JP5255995B2 - ログ情報管理装置、及びログ情報管理方法 - Google Patents

ログ情報管理装置、及びログ情報管理方法 Download PDF

Info

Publication number
JP5255995B2
JP5255995B2 JP2008286714A JP2008286714A JP5255995B2 JP 5255995 B2 JP5255995 B2 JP 5255995B2 JP 2008286714 A JP2008286714 A JP 2008286714A JP 2008286714 A JP2008286714 A JP 2008286714A JP 5255995 B2 JP5255995 B2 JP 5255995B2
Authority
JP
Japan
Prior art keywords
log
information
terminal
log information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008286714A
Other languages
English (en)
Other versions
JP2010114751A (ja
Inventor
賢 太田
敦 竹下
千恵 野田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2008286714A priority Critical patent/JP5255995B2/ja
Publication of JP2010114751A publication Critical patent/JP2010114751A/ja
Application granted granted Critical
Publication of JP5255995B2 publication Critical patent/JP5255995B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Facsimiles In General (AREA)

Description

本発明は、ログ情報管理装置、及びログ情報管理方法に関する。
端末の内部には電話帳、メール、或いは業務ファイルなどの個人情報、業務情報が数多く存在している。特許文献1には、それらの情報の漏洩の防止、及び端末の不正利用の防止のために遠隔から指示することで通信端末の機能を無効とする技術が開示されている。
特開平7−193865号公報
しかしながら、特許文献1に記載された発明では以下の課題がある。すなわち、端末の使用者によるログ情報の削除、修正、或いはアクセスポリシの設定を可能とした場合、紛失或いは盗難時に第三者による情報の操作或いは情報漏えいの把握は、第三者によってログ情報を削除等されることにより困難となる。
一方、端末の管理者或いはシステムによるログ情報の削除、修正、或いはアクセスポリシの設定を可能とした場合、端末の使用者のプライバシは、端末の管理者或いはシステムによる表示、分析等により完全には保護されない場合がある。
従って、第三者による情報操作或いは情報漏えいの把握とプライバシ保護との両立が困難であるという課題があった。
そこで上記課題を解決するために、本発明では、情報操作或いは情報漏えいの把握とプライバシ保護との両立が可能となるログ情報管理装置、及びログ情報管理方法を提供することを目的とする。
上記課題を解決するために、本発明のログ情報管理装置は、端末における操作内容の記憶としてのログ情報を管理するログ情報管理装置であって、ログ情報を保持する第一ログ情報保持手段と、ログ情報を保持する第二ログ情報保持手段と、端末に搭載されたログ機能提供に係る基幹的プログラムとしてのシステム、及び端末の管理者による操作のみが可能となるように第一ログ情報保持手段を制御する第一ログ操作制御手段と、システム以外のアプリケーション、及び端末の使用者による操作のみが可能となるように第二ログ情報保持手段を制御する第二ログ操作制御手段と、端末外から送信された操作指示に関する情報を受信する遠隔命令受信手段と、遠隔命令受信手段が、操作指示に関する情報としてログ送信指示に関する情報を受信した場合に、第一ログ情報保持手段に保持されている情報、及び第二ログ情報保持手段に保持されている情報のうち少なくとも一部からログ送信用データを作成するログ送信用データ作成手段と、ログ送信用データ作成手段が作成したログ送信用データを、端末外に送信するログ送信手段と、を備え、ログ情報は、ログ情報の種別毎に、第一ログ情報保持手段、第二ログ情報保持手段、又は、第一ログ情報保持手段及び第二ログ情報保持手段、のうち何れかに保持され、第一ログ操作制御手段は、システム、及び端末の管理者によるログ操作、及びアクセスポリシの設定が可能となるように第一ログ情報保持手段を制御し、第二ログ操作制御手段は、システム以外のアプリケーション、及び端末の使用者によるログ操作、及びアクセスポリシの設定が可能となるように第二ログ情報保持手段を制御し、アクセスポリシは、ログの種別毎に、及び端末において又はネットワークを通じて実行されるアプリケーションプログラム毎に、実行可能な操作を設定する情報であり、当該実行可能である操作には、該当するログ種別について収集、読み込み、及び書き込みの少なくとも一つを含み、ログ情報の種別には、第一ログ情報保持手段にのみ保持されるログを意味するログの種別、及び第二ログ情報保持手段にのみ保持されるログを意味するログの種別が含まれ、第一ログ情報保持手段は、不正利用に関するログ種別のログ情報を保持し、第二ログ情報保持手段は、端末の使用者のプライバシに関するログ種別のログ情報を保持し、ログ送信用データ作成手段は、不正利用に関するログ種別のログ情報のみログ送信用データとして作成する、ことを特徴とする。
この構成により、第一ログ情報保持手段は、ログ情報を保持し、第二ログ情報保持手段は、ログ情報を保持し、第一ログ操作制御手段は、端末に搭載されたログ機能提供に係る基幹的プログラムとしてのシステム、及び端末の管理者による操作が可能となるように第一ログ情報保持手段を制御し、第二ログ操作制御手段は、システム以外のアプリケーション、及び端末の使用者による操作が可能となるように第二ログ情報保持手段を制御し、ログ情報は、ログ情報の種別毎に、第一ログ情報保持手段、第二ログ情報保持手段、又は、第一ログ情報保持手段及び第二ログ情報保持手段、のうち何れかに保持されるため、端末の使用者のプライバシに関するログ情報と、第三者による情報の操作或いは情報漏えいの把握に利用可能であるログ情報と、を分けて管理できることとなり、第三者による情報操作或いは情報漏えいの把握とプライバシ保護とを両立させることが可能となる。
また、端末の管理者、及び使用者は夫々アクセスポリシとしてログの種別毎に、及び端末において又はネットワークを通じて実行されるアプリケーションプログラム毎に、実行可能な操作を設定できるため、端末の管理者は第三者による情報操作或いは情報漏えいの把握に利用可能であるログ情報を保護し、端末の使用者はプライバシ保護に必要なログ情報を保護する設定をすることで、より確実に第三者による情報操作或いは情報漏えいの把握とプライバシ保護とを両立させることが可能となる。
さらに、ログ送信用データ作成手段は、遠隔命令受信手段が操作指示に関する情報としてログ送信指示に関する情報を受信した場合に、第一ログ情報保持手段に保持されている情報、及び第二ログ情報保持手段に保持されている情報のうちの少なくとも一部からログ送信用データを作成し、ログ送信手段は、ログ送信用データ作成手段が作成したログ送信用データを端末外に送信するため、端末を紛失してしまった場合などに、第三者による情報操作或いは情報漏えいの把握に利用可能であるログ情報、端末の使用者のプライバシ保護に関するログ情報、或いはその両方、を選択的に外部に送信することが可能となり、第三者による情報操作或いは情報漏えいの把握と端末の所有者のプライバシ保護との両立がより確実となる。
また、本発明のログ情報管理装置は、情報管理が必要である情報としての要管理情報を保持する要管理情報保持手段をさらに備え、ログ送信用データ作成手段は、作成する前記ログ送信用データに前記要管理情報の操作履歴情報を含めることが好適である。
その構成により、要管理情報の操作履歴情報がログ送信用データに含まれることとなり、第三者が要管理情報を操作したか否かを把握することが可能となる。
また、本発明のログ情報管理装置は、ログ送信用データ作成手段は、削除された要管理情報を特定する情報、及び削除時刻をログ送信用データに含めることが好適である。
この構成により、ログ送信用データ作成手段は、削除された要管理情報を特定する情報、及び削除時刻をログ送信用データに含めるため、第三者による要管理情報の操作内容をより詳細に把握することが可能となる。
本発明のログ情報管理装置、及びログ情報管理方法によれば、情報操作或いは情報漏えいの把握とプライバシ保護との両立が可能となる。
本発明の実施形態に係る移動通信端末について、図面を参照して説明する。なお、説明において、同一要素又は同一機能を有する要素には同一符号を用いることとし、重複する説明は省略する。
図1に本発明のログ情報管理装置10の機能構成図を示す。図1に示すように本発明のログ情報管理装置10は、端末1の機能の一部を占め、端末1の外部にあるデバイス管理サーバ2、ログサーバ3、及びバックアップ先サーバ4と通信可能とされている。ログ情報管理装置10は、OS上のアプリケーション或いはミドルウェアとして実装されていても良い。或いはデバイスドライバ等OS内のソフトウェアとして実装されても良い。更にハードウェアとして実装されていても良い。
端末1(端末)は、具体的には携帯電話、簡易型携帯電話機(PHS:Personal Handy-phone System)、通信機能を有する携帯型情報端末(PDA:Personal Digital Assistant)、或いは、パーソナルコンピュータ(PC:Personal Computer)等を指す。但しこれらに限定しない。図1には端末1の機能のうち通信機能、入力機能、或いは出力機能等は省略している。
デバイス管理サーバ2は、ログ情報管理装置10(ログ情報管理装置)を遠隔操作するサーバである。
ログサーバ3は、ログ情報管理装置10が保持しているログ情報をバックアップするサーバである。
バックアップ先サーバ4は、ログ情報管理装置10が保持している要管理情報をバックアップするサーバである。ここで要管理情報とは、管理を要する情報のことを指し、例えば電話帳、メール、撮影画像、コンテンツ、業務ファイル等が該当する。但しこれらに限定するものではない。要管理情報に含める情報の種類は端末1の管理者、又は使用者が登録できる。
ログ情報管理装置10は、ログ情報及び要管理情報の保持と管理を行う。具体的にはログ情報管理装置10は、第一ログ情報保持部20(第一ログ情報保持手段)、第二ログ情報保持部30(第二ログ情報保持手段)、ログ情報収集部40、直接操作部50、遠隔操作部60、及び要管理情報保持部80(要管理情報保持手段)を含んで構成されている。
第一ログ情報保持部20は、ログ情報保持態様決定部42(決定手段)からログ情報、不正利用に関わるログ種別かについて、及び端末1の使用者の識別子の通知(後述)を受けると、それらを保持する機能を有する。また、第一ログ情報保持部20は、第一ログ操作制御部52(第一ログ操作制御手段)、ログ送信用データ作成部66(ログ送信用データ作成手段)、及び情報消去部68(情報消去手段)、の制御に従って保持するログ情報等の操作を行う機能を有する。なお、具体的な操作内容については後述する。
第一ログ情報保持部20は、第一ログ操作制御部52によって端末1の管理者及びシステムのみがログ情報の操作及びアクセスポリシの設定を実行可能であるように制御されている。具体的には、例えば、正当な管理者による操作である認証ができた操作のみ許可する、使用者によって第一ログ情報保持部20の操作が可能であるインターフェースやメニューを実装しないなどの方法によって実施可能である。更に、正当な管理者による操作か否かの判断は、例えば、管理者用の暗証番号を入力させること、或いは、遠隔操作時の操作指示に関する情報に付加された鍵や証明書を利用することで判断可能である。
ここで、本明細書において「システム」とは端末1に搭載されているミドルウェア、或いはログを管理するプログラム等のことを指す。また、「操作の設定」とは、管理者或いは使用者が行うログ情報の参照、削除或いは修正等の「人」によるログ情報操作のことを指す。「アクセスポリシの設定」とは、システム或いはアプリケーションからログ情報へアクセスする場合の制限の設定を指し、具体的には「収集」、「読み込み」、「書き込み」、或いは「外出し」等である。アクセスポリシの設定は、例えば、アプリケーションからの収集、読み込み、書き込み、或いは外出しを原則禁止し、システム及びオペレータが許可したアプリケーションのみ許可することで実施可能である。本明細書において、端末1の「管理者」とは、端末1の使用者以外の者であって、端末1を管理する者を指し、例えば端末1を子供が使用している場合の親、会社において雇用人に使用させている場合の当該会社、また、個人で使用している場合の通信事業者等のことを指す。
本発明のログ情報管理装置10が、第一ログ情報保持部20を備えることにより、例えば端末の開閉操作、認証操作、ファイルの閲覧、情報の取り出し等、端末の不正利用の有無を判定するのに利用できるログ種別を分離し、管理者が管理できるため、紛失或いは盗難等の場合において第三者による情報操作或いは情報漏えいの把握が可能となる。
第二ログ情報保持部30は、ログ情報保持態様決定部42から、ログ情報、不正利用に関わるログ種別かについて、及び端末1の使用者の識別子の通知を受けると(後述)、それらを保持する機能を有する。また、第一ログ情報保持部20は、第二ログ操作制御部53(第二ログ操作制御手段)、ログ送信用データ作成部66、及び情報消去部68、の制御に従って保持するログ情報等の操作を行う機能を有する。なお、具体的な操作内容については後述する。
第二ログ情報保持部30は、端末1の使用者、及びアプリケーションのみがログ情報の操作、及びアクセスポリシの設定を実行可能であるように構成されている。「操作」とは、具体的には「参照」、「削除」、及び「修正」等である。具体的には、例えば、使用者が第二ログ情報保持部30に保持されているログ情報を操作可能であるようにメニューを設置すること、及びアプリケーションがアクセス可能なインターフェースを実装することによって実施可能である。又、正当な使用者であることを認証できた操作のみを許可することが好適である。
ここで、本明細書において「アプリケーション」とは、端末1に搭載されている「システム」以外のソフトウェアのことを指し例えばメーラ、ブラウザ、又は電話帳等を指す。「アクセスポリシ」は、具体的には「収集」、「読み込み」、「書き込み」、「外出し」などが該当する。アクセスポリシの設定は、例えばアプリケーションの種別や署名の有無に従って判断することで実施可能である。
本発明のログ情報管理装置10が、第二ログ情報保持部30を備えることにより、端末1の使用者のプライバシに関するログ種別を分離して使用者自身で管理できるため、端末1の使用者のプライバシを保護することが可能となる。
第一ログ情報保持部20、及び第二ログ情報保持部30は、第一ログ操作制御部52、第二ログ操作制御部によって、保持するログ情報をそれぞれ暗号化されることが好適である。これによって、端末1の紛失時或いは盗難時にログ情報を保護することができる。又、第一ログ情報保持部20、及び第二ログ情報保持部30は別々の鍵を用いてログ情報を暗号化されることが好適である。これにより、端末1の使用者が第一ログ情報保持部20に保持されているログ情報を操作等することが制限されることとなり、端末1の管理者が第二ログ情報保持部30に保持されているログ情報を操作等することが制限されることとなる。
ログ情報収集部40は、端末1におけるログ情報を収集し、第一ログ情報保持部20及び第二ログ情報保持部30に保持する機能を備える。具体的にはログ情報収集部40は、ログ種別情報保持部41、及びログ情報保持態様決定部42を含んで構成されている。
ログ種別情報保持部41は、第一ログ情報保持部20、及び第二ログ情報保持部30毎に、どのログ種別を保持するかに関する情報、及びログ種別ごとに不正利用に関わるログ種別か否かに関する情報を保持する。図2及び図3に、ログ種別情報保持部41に保持されている情報の具体例を示す。図2は、第一ログ情報保持部20に関連する情報の例であり、図3は、第二ログ情報保持部30に関連する情報の例である。始めに図2を用いて説明する。
図2に示すように、ログ種別情報保持部41には、“共通ログ”或いは“独自ログ”の別、「ログ種別」、及び「不正利用に関わるログ種別か」についての情報が保持されている。端末1の管理者は、これらの保持されている情報の設定が可能となっている。但し、共通ログについては出荷時に予め定められていてもよい。
“共通ログ”とは、第一ログ情報保持部20、及び第二ログ情報保持部30の両方に保持されるログ種別をいう。“独自ログ”とは、第一ログ情報保持部20にのみ保持されるログ種別をいう。
「ログ種別」は、ログの種類を指す。「不正利用に関わるログ種別か」とは、対応するログ種別が、端末1の不正利用の有無を判定するのに利用できるログ種別であるか否かについての情報である。図2で示す例では「発着信履歴」、「電話帳編集履歴」、「開閉」、及び「暗証番号入力」が第三者による端末1の不正利用の有無を判定するのに利用できるが、「ブラウザ履歴」は、端末1の第三者による不正利用の有無を判定するのに利用できる可能性が相対的に低いことを意味している。ログ種別毎の不正利用に関わるログ種別かについての設定は,端末1の管理者によって登録可能となっている。但し出荷時に予め登録されていても良い。または使用者によって設定可能となっていても良い。
次に、図3を用いて、第二ログ情報保持部30に関連する部分について説明する。図3に示すように、ログ種別情報保持部41には、“共通ログ”及び“独自ログ”の別、「ログ種別」、及び「不正利用に関わるログ種別か」についての情報が保持されている。
このうち“共通ログ”、「ログ種別」、及び「不正利用に関わるログ種別か」については、図2と同様であるためここでは説明を省略する。
図3の“独自ログ”に登録されているログ種別は、第二ログ情報保持部30にのみ保持されるログ種別であることを示す。端末1の使用者は、どのログ種別を独自ログとするかについて登録を行うことができる。
ログ情報保持態様決定部42は、ログ種別情報保持部41に保持されている情報を参照することで収集したログ情報が第一ログ情報保持部20、第二ログ情報保持部30、及びその両方の何れに保持されるべきかを判断する機能を備える。たま、ログ情報保持態様決定部42は、当該判断に従って、収集したログ情報を、第一ログ情報保持部20と第二ログ情報保持部30との少なくとも一方に通知する機能を備える。また、ログ情報保持態様決定部42は、ログ種別情報保持部41を参照し、収集したログ情報は不正利用に関わるログ種別か否かを判断し、第一ログ情報保持部20と第二ログ情報保持部30との少なくとも一方にログ情報を通知する際に、収集したログ情報は不正利用に関わるログ種別か否かに関する情報を通知する機能を備える。更に、ログ情報保持態様決定部42は、端末1の端末の使用者を識別する識別子を得て、第一ログ情報保持部20と第二ログ情報保持部30との少なくとも一方にログ情報を通知する際に、当該識別子を同時に通知する機能を有する。以下具体的に説明する。
ログ情報保持態様決定部42が、ログ情報として“メール送受信履歴”を検出した場合は、図2に示す「ログ種別」を参照して“メール送受信履歴”が設定されているか確認する。図2に示す例では“メール送受信履歴”は設定されていないため、ログ情報保持態様決定部42は、第一ログ情報保持部20に“メール送受信履歴”を保持する必要はないと判断する。次に図3に示す「ログ種別」を参照して“メール送受信履歴”が設定されているか確認する。図3に示す例では“メール送受信履歴”が設定されているため、ログ情報保持態様決定部42は、第二ログ情報保持部30に当該履歴を保持する必要があると判断する。次に、ログ情報保持態様決定部42は、図3に示す“メール送受信履歴”の「不正利用に関わるログ種別か」を参照する。図3に示す例では“YES”が設定されている。これにより“メール送受信履歴”が不正利用に関わるログ種別であることを検出できる。次に、ログ情報保持態様決定部42は、UIM識別子を得る。更に、ログ情報保持態様決定部42は、上記検出した“メール送受信履歴”、不正利用に関わるログ種別である情報、及びUIM識別子を第二ログ情報保持部30に通知する。次に、ログ情報保持態様決定部42がUIM識別子を得る方法について説明する。
本実施形態においては端末1の使用者を識別する識別子としてUIM識別子を用いている。ログ情報保持態様決定部42は、現在端末1に挿入されているUIMからUIM識別子を得て、当該識別子が現在端末1を使用している使用者の識別子であるとして、第一ログ情報保持部20、第二ログ情報保持部30又はその両方に通知する。使用者を識別する識別子は、第一ログ情報保持部20或いは第二ログ情報保持部30の一方にのみ保持されても良い。
直接操作部50は、第一ログ情報保持部20及び第二ログ情報保持部30に保持されているログ情報を端末1が備える入力機能を用いて端末1の使用者或いは管理者が直接操作できるようにする機能を備える。具体的には直接操作部50は、制御情報保持部51、第一ログ操作制御部52、及び第二ログ操作制御部53を含んで構成されている。
制御情報保持部51は、ログ情報の操作に関する制御情報を保持している。図4及び図5に、制御情報保持部51に保持される情報の具体例を示す。図4は、第一ログ情報保持部20に保持されているログ情報の制御に関する情報の例であり、図5は、第二ログ情報保持部30に保持されているログ情報の制御に関する情報の例である。まず図4を用いて説明する。
図4に示すように、制御情報保持部51が保持する情報は、“共通ログ”或いは“独自ログ”の別、「ログ種別」、「操作制限」、「アクセスポリシ」、「操作制限の反映」、及び「アクセスポリシの反映」を含んで構成される。このうち“共通ログ”及び“独自ログ”の別、「ログ種別」については、図2及び図3で説明した内容と同様であるため、ここでは説明しない。
「操作制限」には、対応するログ種別についての操作制限に関する情報が保持される。操作制限は、ログ種別毎に端末1の管理者による設定が可能である。「アクセスポリシ」には、端末1に搭載されているシステムによる第一ログ情報保持部20へのアクセスの制限に関する情報が保持されている。「アクセスポリシ」は端末1の管理者による設定が可能である。
「操作の反映」には、端末1の管理者による操作を第二ログ情報保持部30に保持されたログ情報に対して反映させるか否かを設定する。例えば図4に示す例では、“発着信履歴”に対して「操作の反映」に“削除”が設定されている。これにより、端末1の管理者が“発着信履歴”を削除する操作をした場合に、その操作は端末1の第二ログ情報保持部30にも反映され、第二ログ情報保持部30に保持されている“発着信履歴”を削除することができる。これにより、システムの管理者が、第一ログ情報保持部20のみならず第二ログ情報保持部30に保持されているログ情報の操作が可能となり、紛失時などの情報漏えい等の把握ができなくなる危険性をより軽減することが可能となる。
ログ種別毎に、操作の反映の設定が可能か否かを予め登録できることが好適である。例えば、端末1の不正利用の有無を判定するために用いることができるログ種別についてのみ操作の反映の設定が可能であるように登録しておいても良い。そうすることで、原則的に端末1の使用者によって自由に操作される第二ログ情報保持部30に保持されているログ情報も、例外的に不正利用の有無を判定するために用いることができるログ種別について端末1の管理者によって操作が可能となり、端末1の使用者のプライバシを最大限保護しつつ、情報漏えい等の危険性を更に軽減することとができる。どのログ種別について操作の反映の設定が可能であるかの登録は出荷時に端末1の生産者によって、或いは、通信事業者によって登録されていても良い。
「アクセスポリシの反映」には、端末1の管理者によって設定された「アクセスポリシ」の内容を第二ログ情報保持部30に保持されたログ情報のアクセスポリシの設定に対して反映させるか否かを設定する。例えば図4に示す例では、“発着信履歴”に対して「アクセスポリシの反映」に“外出し”が設定されている。これにより端末1の管理者が、“発着信履歴”のアクセスポリシとして外出しを禁止する設定をした場合にその設定は第二ログ情報保持部30のアクセスポリシにも反映され、端末1のシステム以外のアプリケーションが第二ログ情報保持部30に保持されている“発着信履歴”を外出しすることができなくなる。これにより、紛失時などの情報漏えい等の危険性をより軽減させることが可能となる。
ログ種別毎に、アクセスポリシの反映の設定が可能か不可能かを予め登録できることが好適である。例えば、端末1の不正利用の有無を判定するために用いることができるログ種別についてのみアクセスポリシの反映の設定が可能であるように登録しておいても良い。そうすることで、原則的に端末1の使用者によって自由に設定できる第二ログ情報保持部30に保持されているログ情報についてのアクセスポリシに対して、例外的に不正利用の有無を判定するために用いることができるログ種別については端末1の管理者によってアクセスポリシの設定が可能となり、端末1の使用者のプライバシを最大限保護しつつ、情報漏えい等の可能性を把握できなくなってしまう危険性をより軽減することができる。どのログ種別についてアクセスポリシの反映の設定が可能であるかの登録は出荷時に端末1の生産者によって登録されても良い。或いは、管理者によって登録されても良い。
次に図5を用いて、第二ログ情報保持部30に保持されているログ情報の制御に関して説明する。“共通ログ”及び“独自ログ”の別、「ログ種別」、「操作制限」、「アクセスポリシ」については、設定を端末1の使用者が行う以外は図4の説明と同様であるためここでは説明を省略する。
「操作の反映」には、端末1の使用者による操作の内容を第一ログ情報保持部20に保持されたログ情報に対して反映させるか否かを設定する。例えば図5に示す例では、“ブラウザ履歴”に対して「操作の反映」に“削除”が設定されている。これにより端末1の使用者が、“ブラウザ履歴”を削除する操作をした場合に、その操作は第一ログ情報保持部20にも反映され、第一ログ情報保持部20に保持されている“ブラウザ履歴”を削除することができる。これにより、端末1の使用者のプライバシをより強く保護することが可能となる。
ログ種別毎に、操作の反映の設定が可能か否かを予め登録できることが好適である。例えば、端末1の使用者のプライバシ保護に特に必要と考えられるログ種別についてのみ操作の反映の設定が可能であるように登録しても良い。或いは、不正利用に関わるログ種別ではない場合には反映の設定が可能と登録しても良い。そうすることで、基本的には端末1の使用者によって操作できない第一ログ情報保持部20に保持されているログ情報も、プライバシ保護に特に必要と考えられるログ種別についてのみ、或いは、不正利用の有無を判定するために用いられないログ種別についてのみ、端末1の使用者によって操作が可能となり、情報漏えい等の可能性を把握できなくなる可能性が高まることを最大限抑制しつつ、使用者のプライバシを保護することができる。どのログ種別について操作の反映の設定が可能であるかの登録は、出荷時に端末1の生産者によって登録されても良い。又は、管理者によって登録されても良い。
「アクセスポリシの反映」には、端末1の使用者によって設定されたアクセスポリシの設定制限の内容を第一ログ情報保持部20に保持されたログ情報のアクセスポリシの設定に対して反映させるか否かを設定する。例えば図5に示す例では、“ブラウザ履歴”に対して「アクセスポリシの反映」に“収集”が設定されている。これにより端末1の使用者が、“ブラウザ履歴”のアクセスポリシとして収集を禁止する設定をした場合にその設定は第一ログ情報保持部20のアクセスポリシにも反映され、端末1のシステムが第一ログ情報保持部20に保持されている“ブラウザ履歴”を収集することができなくなる。これにより、端末1の使用者のプライバシを更に保護することが可能となる。
ログ種別毎に、アクセスポリシの反映の設定が可能か不可能かを予め登録できることが好適である。例えば、使用者のプライバシ保護に特に必要と考えられるログ種別についてのみアクセスポリシの反映の設定が可能であるように登録しても良い。そうすることで、原則的には端末1の管理者によって自由に設定される第一ログ情報保持部20に保持されているログ情報についてのアクセスポリシに対して、使用者のプライバシ保護に特に必要と考えられるログ種別については例外的に使用者によってアクセスポリシの設定が可能となり、情報漏えい等の可能性を把握できなくなってしまう危険性が高まることを最大限抑制しつつ、端末1の使用者のプライバシを保護することができる。どのログ種別についてアクセスポリシの反映の設定が可能であるかの登録は出荷時に端末1の生産者によって登録されていてもよい。或いは、通信事業者等の管理者によって登録されても良い。
第一ログ操作制御部52は、制御情報保持部51に保持されている情報を参照して、上記図4及び5で説明した方法で、端末1の管理者による第一ログ情報保持部20への操作を実際に制御する機能を有する。
第二ログ操作制御部53は、制御情報保持部51に保持されている情報を参照して、上記図4及び5で説明した方法で、端末1の使用者による第二ログ情報保持部30への操作を実際に制御する機能を有する。
遠隔操作部60は、デバイス管理サーバ2からの遠隔操作を処理する機能を有する。具体的には遠隔命令受信部61(遠隔命令受信手段)、操作制限部62(操作制限手段)、ロック実行部63(ロック実行手段)、バックアップデータ作成部64(バックアップデータ作成手段)、バックアップデータ送信部65(バックアップデータ送信手段)、ログ送信用データ作成部66、ログ送信部67(ログ送信手段)、及び情報消去部68を含んで構成される。
遠隔命令受信部61は、デバイス管理サーバ2から送信されるデータ消去指示に関する情報、バックアップ指示に関する情報、ロック実行指示に関する情報、ログ送信指示に関する情報、及び、操作制限指示に関する情報などを含む操作指示に関する情報を受信し、内容に従って操作制限部62、ロック実行部63、バックアップデータ作成部64、ログ送信用データ作成部66、及び情報消去部68に当該受信した情報を通知する機能を有する。
操作制限部62は、遠隔命令受信部61から操作制限指示に関する情報を受信し、ロック実行、バックアップデータの作成及び送信、ログ送信用データの作成及び送信、端末1内の情報の消去など、情報の操作或いは情報漏えいの防止、或いはその把握に必要な処理の開始時に、電源オフ操作及び通信オフ設定を含む操作を無効化する機能を有する。また、処理の終了時に操作の有効化を行う機能を有する。操作を無効としている間は、バッテリ節約のために、LCDのバックライトをオフにする、或いは画面表示をオフにしてもよい。
ログ情報管理装置10が、操作制限部62を備えることにより、バックアップ等の処理中に第三者による電源を切られる等の妨害行為を防止することが可能となる。
操作制限部62による処理は、単独で行っても良い。また、他の情報の操作或いは情報漏えいの防止に必要な処理はどのように組み合わせて良い。
ロック実行部63は、遠隔命令受信部61からロック実行指示に関する情報が通知されると、決済機能など端末1が備える機能をロックする。一度機能がロックされると暗号キーを入力するまでロックを解除できないこととしても良い。
バックアップデータ作成部64は、遠隔命令受信部61からバックアップ指示に関する情報が通知されると、端末1がバックアップサービスに加入しているか否かを検出する機能、端末1がバックアップサービスに加入している場合に、要管理情報保持部80に保持されている要管理情報からバックアップデータを作成する機能、端末1がバックアップサービスに加入していない場合に、要管理情報保持部80に保持されている要管理情報の一部から簡易のバックアップデータを作成する機能、及び、作成したバックアップデータをバックアップデータ送信部65に送る機能を有する。
端末1がバックアップサービスに加入しているか否かの検出方法は、端末1内にバックアップサービスに加入しているか否かの情報を保持しても良い。あるいは、デバイス管理サーバ2から送信されるバックアップ指示に関する情報に、バックアップサービスに加入しているか否かの情報を含めても良い。簡易のバックアップデータとしては、例えば電話帳の件数や名前のリスト等が挙げられる。
バックアップデータ送信部65は、バックアップデータ作成部64からバックアップデータを受け取る機能、及び当該受け取ったバックアップデータを端末1外に存在するバックアップ先サーバ4に送信する機能を有する。
ログ情報管理装置10が、バックアップデータ送信部65を備えることで、要管理情報を第三者によって削除等される前に端末1外の安全な場所に退避させておくことが可能となる。
ログ送信用データ作成部66は、遠隔命令受信部61からログ送信指示に関する情報が通知されると、第一ログ情報保持部20及び第二ログ情報保持部30に保持されているログ情報の少なくとも一部からログ送信用データを作成する機能、及び当該作成したログ送信用データをログ送信部67に送る機能を備える。以下、ログ送信用データ作成部66の機能について詳述する。
ログ送信用データ作成部66は、遠隔命令受信部61が受信した操作指示に関する情報が端末1の管理者から送信されたものであるか否かを判断する。当該判断は、公開鍵による認証、或いは管理者用パスワードなどにより実現できる。操作指示に関する情報が端末1の管理者から送信されたものでない場合、ログ送信用データ作成部66は、操作指示に関する情報が端末1の使用者を特定して送信されたものか否かを判断する。本実施形態では、操作指示に関する情報がUIM識別子を特定して送信されている場合には端末1の使用者を特定して送信されたと判断する。
操作指示に関する情報が端末1の使用者を特定して送信されたものである場合、ログ送信用データ作成部66は、第一ログ情報保持部20、及び第二ログ情報保持部30に保持されているログ情報を参照し、「不正利用に関わるログ種別か」に“YES”が設定されているログ情報についてログ送信用データに含める。更に、「不正利用に関わるログ種別か」に“NO”が設定されている場合には、関連するログ情報の「使用者識別子」に保持されている情報と、現在端末1に挿入されているUIMから得たUIM識別子を比較し、両識別子が同一である場合は関連するログ情報をログ送信用データに含める。
それにより、不正利用に関わるログ種別は全てログ送信用データに含まれることとなる。更に、不正利用に関わるログ種別以外のログ種別に関しては、遠隔命令受信部61が受信した操作指示に関する情報が特定した使用者に関連するログ情報は全てログ送信用データに含まれるが、正規に端末1を利用する他の使用者に関連したログ情報は、ログ送信用データには含まれない事となる。
一般的に、端末1に挿入するUIMを差し替えることで複数の使用者が正規な使用者として端末1を使用する場合において、ある使用者に送信されるログ情報に別の使用者のログ情報が含まれる場合、当該別の使用者のプライバシが損なわれこととなる。
しかし、本実施形態におけるログ情報管理装置10においてはログ送信用データ作成部66を備えることにより、遠隔命令受信部61が受信した操作指示に関する情報が端末の使用者を特定して送信された場合には当該特定された使用者に関連付けられたログ情報のみを送信することとなるため、使用者のプライバシを保護することが可能となる。
遠隔命令受信部61が受信した操作指示に関する情報は、第一ログ情報保持部20、第二ログ情報保持部30の一方のみを操作する指定を含めることができることが好適である。例えば、第一ログ情報保持部20に保持されたログ情報のみ送信したい場合には第一ログ情報保持部20を操作する指定を含めることができる。これにより、例えば、第一ログ情報保持部20が保持する不正利用に関わるログ種別をログ送信用データに含め、第二ログ情報保持部30が保持するプライバシに関わるログ種別はログ送信用データに含めないことが可能となる。
遠隔命令受信部61が受信した操作指示に関する情報が、端末1の識別子を特定して送信されたものである場合、ログ送信用データ作成部66は、第一ログ情報保持部20、及び第二ログ情報保持部30に保持されているログ情報を参照し、「不正利用に関わるログ種別か」に“YES”が設定されているログ情報についてログ送信用データに含める。一方、「不正利用に関わるログ種別か」に“NO”が設定されているログ情報についてはログ送信用データに含めない。
ここで、端末の識別子とは例えば、IMEI(International Mobile Equipment Identifier)やシリアル番号が利用できる。
端末1を紛失或した、或いは盗難された等の場合に、第三者が、UIMを差し替えるなどして、遠隔操作を妨害することが考えられる。その場合、端末1の使用者を指定して遠隔操作をすることができなくなるが、端末1を指定することで、第三者による妨害を回避することが可能となる。
また、不正利用に関するログ情報はログ送信用データに含めるが、それ以外のログ情報はログ送信用データに含めないこととなり、使用者のプライバシを保護することが可能となる。
遠隔命令受信部61が受信した操作指示に関する情報が端末1の管理者から送信されたものでなく、端末1の使用者を特定したものでもなく、且つ端末を特定したものでも無い場合には、不正利用に関わるログ種別、及びその他のログ種別の情報をログ送信用データに含める。
ログ送信用データ作成部66は、遠隔命令受信部61が受信した操作指示に関する情報が端末1の管理者から送信されたものである場合、全てのログをログ送信用データに含めることが好適である。
なお、第一ログ情報保持部20或いは第二ログ情報保持部30には、要管理情報の修正及び削除に関するログ情報は必ず含める設定として、ログ送信用データには、要管理情報の修正及び削除に関するログ情報を必ず含めることが好適である。より具体的には、要管理情報の修正及び削除に関するログ情報として、削除データのファイル名または番号、及び、削除時刻を含むことが好適である。
また、ログ送信用データ作成部66は、ログ送信用データとしてUIM識別子を加工した値であるUIM変換値を含めることが好適である。加工の手段として、例えばSHA1などの一方向のハッシュ関数を利用することが考えられる。一方向の関数を用いることで、UIM変換値から、元のUIM識別子を特定することを防止することが可能となる。
また、ログ送信用データ作成部66は、UIM識別子を加工したUIM変換値を複数個保持し、UIM変換値のいずれかを選択して送信するログに含めることが好適である。UIM変換値のいずれかを選択する方法として、例えば、ログを送信する度に、UIM変換値を変更する、或いは、一定周期や一定回数でUIM変換値を変更することが考えられる。
これにより、ログ情報のネットワークへの流出や、ログサーバ3への不正アクセスにより、ログ情報が悪意を持った人間にさらされた場合に当該ログ情報を生成した使用者が特定され、プライバシが侵害される危険性を減少させることができる。一方、正当な管理者及び使用者のみがそのUIM識別子とUIM変換値の対応付けを知っているように構成することで、使用者と関連付けられたログ情報の管理が可能となる。又、UIM変換値を複数備えることにより、悪意を持った第三者がUIM変換値と関連付けられたログ情報を相互に繋ぎ合わせることを困難にし、使用者のプライバシの保護を強化することができる。
ログ送信部67は、ログ送信用データ作成部66からログ送信用データを受け取る機能、及び、受け取ったログ送信用データを、端末1外にあるログサーバ3に送信する機能を有する。
送信手段は、例えばメールでの送信や、HTTPによる通信など等が考えられるが、これらに限定しない。
ログ送信部67は、圏外状態や低電圧等の原因でログ情報の送信が失敗した場合、圏外状態や低電圧等の送信できない原因が解消された際、再度送信を試みることが好適である。ログ送信部67は、ログ情報の送信に失敗し、且つログ情報の送信失敗の原因がログサーバ3側の障害と判断した場合、別のサーバに送信する、又は別の送信手段を選択して送信することが好適である。別の送信手段として、HTTP送信の代替としてSMS送信を選択する、或いはセルラ通信の代替として無線LANを選択する等が考えられる。
ログ送信部67は、不正利用に関するログ種別のログ情報を優先して送信することが好適である。大量の送信ログ情報があっても、不正利用に関するログ情報を優先して送信することで、圏外やバッテリ枯渇等で送信に失敗した場合でもより重要な情報を送信できる可能性が高まる。
情報消去部68は、遠隔命令受信部61からデータ消去指示に関する情報が通知されると、第一ログ情報保持部20、第二ログ情報保持部30、及び要管理情報保持部80に保持される情報を消去する機能を有する。
データ消去指示に関する情報には、第一ログ情報保持部20、第二ログ情報保持部30、及び要管理情報保持部80に保持されている情報のうちのどの情報を消去するかを特定する情報を含めることが好適である。これは、ログ種別毎、並びに、第一ログ情報保持部20、第二ログ情報保持部30、及び要管理情報保持部80毎に指定できることが好適である。それにより、例えば、プライバシに関わる第二ログ情報保持部30に保持された情報のみを消去することなどが可能となる。ログ情報も消去することにより、個人情報、及び業務情報等を保護することが可能となる。
要管理情報保持部80は、要管理情報を保持する機能を有する。又、要管理情報保持部80は、情報消去部68或いはバックアップデータ作成部64の制御に従って、保持する要管理情報を操作する機能を有する。
図6に、端末1のハードウェア構成を示す。図6に示すように端末1は、物理的には、CPU101、RAM102、ROM103、通信を制御する通信モジュール104、フラッシュメモリー、ハードディスクなどの補助記憶部105、10キーなどの入力装置106、及び、LCDや有機ELディスプレイなどの出力装置107を備える。端末1におけるログ情報管理装置10の各機能は、CPU101、RAM102等のハードウェア上に所定のソフトウェアを読み込ませることにより、CPU101の制御のもとで通信モジュール104、出力装置107、入力装置106を動作させると共に、RAM102や補助記憶部105におけるデータの読み出し及び書き込みを行うことで実現される。
次に図7を用いて本発明のログ情報管理装置10における処理の流れを説明する。この処理は端末1の紛失或いは端末1を盗難などされた場合等に悪意を持った第三者から端末1内の情報を守り、且つ、仮に情報の漏洩などが既に生じてしまっている場合にはその被害を把握するために、端末1の管理者、或いは使用者が遠隔操作をすることで処理が始まる。
遠隔命令受信部61は、デバイス管理サーバ2からデータ消去指示に関する情報を受信し、当該受信した情報を操作制限部62に通知する(ステップS100)。
操作制限部62は、電源OFF、通信遮断などの端末1における操作を制限する(ステップS101)。
ここで、データのバックアップの処理がなされるが(ステップS102)、詳細は図9の流れ図の説明部分で述べる。
データのバックアップの処理が終わると、ログ情報送信の処理がなされるが(ステップS103)、詳細は図10の流れ図の説明部分で述べる。
情報消去部68は、要管理情報保持部80、第一ログ情報保持部20、及び第二ログ情報保持部30に保持されている情報のうち指定された情報を消去する(ステップS104)。
操作制限部62は、操作制限を解除する(ステップS105)。
なお、バックアップ(ステップS102)及びログ情報送信(ステップS103)の処理は必須ではない。バックアップ(ステップS102)の処理を省略した場合には、操作制限の実行(ステップS101)がされた後に、ログ情報が送信され、端末1内の情報が消去される。従って被害の把握と、以後の情報の漏洩を防ぐことが可能となる。
ログ情報送信(ステップS103)の処理を省略した場合には端末1内の情報をバックアップした後に消去される。従って情報を残したまま以後の情報の漏洩を防ぐことが可能となる。
バックアップ(ステップS102)及びログ情報送信(ステップS103)の処理の両方を省略した場合には直ちに情報を消去することができる。
また、操作制限解除(ステップS106)の処理を省略することも可能である。その場合悪意を持った第三者は以後端末1の操作をすることができなくなる。
次に図8を用いて端末1をロックする処理について説明する。この処理は、端末1の管理者、或いは使用者が、遠隔操作によって端末1に備えられた決済機能などを不能とする端末1のロック実行をすることで処理が始まる。
遠隔命令受信部61は、デバイス管理サーバ2からロック実行指示に関する情報を受信し、当該受信した情報を操作制限部62に通知する(ステップS200)。
操作制限部62は、電源OFF、通信遮断などの端末1における操作を制限し、ロック実行指示に関する情報をロック実行部63に通知する(ステップS201)。
ロック実行部63は、端末1が備えている決済に関する機能などを不能とする(ステップS202)。
ここで、データのバックアップの処理がなされるが(ステップS203)、詳細は図9の流れ図の説明部分で述べる。
データのバックアップの処理が終わると、ログ情報送信の処理がなされるが(ステップS204)、詳細は図10の流れ図の説明部分で述べる。
操作制限部62は、操作制限を解除する(ステップS205)。
なお、バックアップ(ステップS203)及びログ情報送信(ステップS204)の処理は必須ではない。また、操作制限解除(ステップS205)の処理を省略することも可能である。その場合悪意を持った第三者は以後端末1の操作をすることができなくなる。
次に図9を用いて本発明のログ情報管理装置10における情報のバックアップ処理の流れを説明する。この処理は、端末1の管理者或いは使用者によって遠隔指示がなされることによって処理が始まる。他の操作と共に行っても良い。また単独で行っても良い。
遠隔命令受信部61は、デバイス管理サーバ2からバックアップ指示に関する情報を受信する(ステップS300)。
遠隔命令受信部61は、バックアップ指示に関する情報を受信すると端末1がバックアップサービスに加入しているか判断する。また、遠隔命令受信部61は、当該判断結果及びバックアップ指示に関する情報をバックアップデータ作成部に通知する(ステップS301)。
端末1がバックアップサービスに加入していない場合(ステップS301で“NO”)、バックアップデータ作成部64は、要管理情報保持部80から要管理情報の一部を取得する(ステップS302)。
端末1がバックアップサービスに加入している場合(ステップS301で“YES”)、バックアップデータ作成部64は、要管理情報保持部80から要管理情報を取得する(ステップS303)。
バックアップデータ作成部64は、要管理情報保持部80から取得したデータを圧縮等することによりバックアップデータを作成し、作成したバックアップデータをバックアップデータ送信部65へ送る(ステップS304)。
バックアップデータ送信部65は、バックアップデータ作成部64から受け取ったバックアップデータを端末1の外部に存在するバックアップ先サーバ4へ送信する(ステップS305)。
次に図10を用いて本発明のログ情報管理装置10におけるログ送信処理の流れを説明する。この処理は、端末1の管理者或いは使用者によって遠隔指示がなされることによって処理が始まる。他の操作と共に行っても良い。また単独で行っても良い。
遠隔命令受信部61は、デバイス管理サーバ2からログ送信指示に関する情報を受信し、遠隔命令受信部61は受信したログ送信指示に関する情報をログ送信用データ作成部66へ通知する(ステップS400)。
ログ送信用データ作成部66は、通知されたログ送信指示に関する情報が端末1の管理者から送信されたものであるか否かを判断する(ステップS401)。
ログ送信指示に関する情報が端末1の管理者から送信されたものである場合(ステップS401において“YES”)、ログ送信用データ作成部66は、第一ログ情報保持部20及び第二ログ情報保持部30を参照して不正利用に関わるログ種別に関する情報、及びその他のログ種別に関する情報を含めたログ送信用データを作成する(ステップS404、S405)。
ログ送信指示に関する情報が端末1の管理者から送信されたものでない場合(ステップS401において“NO”)、ログ送信用データ作成部66は、ログ送信指示に関する情報が端末1の使用者を指定したものであるか否かを判断する(ステップS402)。
ログ送信指示に関する情報が端末1の使用者を指定したものである場合(ステップS402において“YES”)、ログ送信用データ作成部66は、第一ログ情報保持部20及び第二ログ情報保持部30を参照して不正利用に関わるログ種別に関する情報をログ送信用データに含める。更に、その他のログ種別に関する情報のうちログ送信指示に関する情報によって指定された端末1の使用者と関連付けられたログ種別に関する情報をログ送信用データに含める(ステップS406、S407)。
バックアップ指示に関する情報が端末1の使用者を指定したものでない場合(ステップS402において“NO”)、ログ送信用データ作成部66は、バックアップ指示に関する情報が端末1の識別子を指定したものであるか否かを判断する(ステップS403)。
バックアップ指示に関する情報が端末1の識別子を指定したものでない場合(ステップS403において“NO”)、ログ送信用データ作成部66は、第一ログ情報保持部20及び第二ログ情報保持部30を参照して不正利用に関わるログ種別に関する情報、及びその他のログ種別に関する情報を含めたログ送信用データを作成する(ステップS404、S405)。
バックアップ指示に関する情報が端末1の識別子を指定したものである場合(ステップS403において“YES”)、ログ送信用データ作成部66は、第一ログ情報保持部20及び第二ログ情報保持部30を参照して不正利用に関わるログ種別に関する情報からログ送信用データを作成する(ステップS408、S409)。
ログ送信用データ作成部66は、作成したログ送信用データをログ送信部67に送り、ログ送信部67は、受け取ったログ送信用データを端末1外に存在するログサーバ3へ送信する(ステップS410)。
次に図11を用いてログ操作に対する反映の方法を説明する。この例では端末1の使用者が第二ログ情報保持部30に保持されているログ情報を操作する場合において、管理者により第一ログ操作制御部52に設定されたログ操作制限が反映される場合について説明する。なお、端末1の管理者が第一ログ情報保持部20に保持されているログ情報を操作する場合において、端末1の使用者により第二ログ操作制御部53に設定されていたログ操作制限が反映される場合は、以下の説明中第一ログ情報保持部20と第二ログ情報保持部30と、及び、第一ログ操作制御部52と第二ログ操作制御部53とを逆にすれば良い。
第二ログ操作制御部53は、端末1の使用者によるログ操作があるか監視する(ステップS500)。
端末1の使用者によるログ操作があった場合(ステップS500において“YES”)、第二ログ操作制御部53は、操作対象のログ種別は反映が必要なログ種別か否かを制御情報保持部51を参照することで確認する。具体的には図5に示す「操作の反映」に何も設定がなければ、第二ログ操作制御部53は操作対象のログ種別は反映が不要なログ種別であると判断する。図5に示す「操作の反映」に設定がある場合、第二ログ操作制御部53は操作対象のログ種別は反映が必要なログ種別であると判断する(ステップS501)。
操作対象のログ種別は反映が不要なログ種別だと判断した場合(ステップS501で“NO”)、処理が終了する。
操作対象のログ種別は反映が必要なログ種別だと判断した場合(ステップS501で“YES”)、第二ログ操作制御部53は、端末1の使用者による操作内容は反映が必要な操作内容であるか否かを、制御情報保持部51を参照することで判断する。具体的には、端末1の使用者によるログ操作が、図5に示す「操作の反映」に設定されている操作と同一であるか判断する。同一である場合、端末1の使用者による操作内容は反映が必要な操作内容であると判断する。同一でない場合、端末1の使用者による操作内容は反映が不要な操作内容であると判断する(ステップS502)。
端末1の使用者による操作内容は反映が不要な操作内容だと判断した場合(ステップS502で“NO”)、処理が終了する。
端末1の使用者による操作内容は反映が必要な操作内容だと判断した場合(ステップS502で“YES”)、第二ログ操作制御部53は、端末1の使用者による操作内容を、第一ログ情報保持部20に保持されているログ情報に対して反映させる(ステップS503)。
次に図12を用いてアクセスポリシの設定に対する反映の方法を説明する。この例では端末1の使用者が第二ログ情報保持部30に保持されているログ情報に対してアクセスポリシを設定する場合において、管理者により第一ログ操作制御部52に設定されていたアクセスポリシ設定の制限が反映される場合について説明する。なお、端末1の管理者が第一ログ情報保持部20に保持されているログ情報に対してアクセスポリシを設定する場合において、端末1の使用者により第二ログ操作制御部53に設定されていたアクセスポリシ設定の制限が反映される場合は、以下の説明中第一ログ情報保持部20と第二ログ情報保持部30と、及び、第一ログ操作制御部52と第二ログ操作制御部53とを逆にすれば良い。
第二ログ操作制御部53は、端末1の使用者によるアクセスポリシの設定があるか監視する(ステップS600)。
端末1の使用者によるアクセスポリシの設定があった場合(ステップS600において“YES”)、第二ログ操作制御部53は、制御情報保持部51を参照し、アクセスポリシ設定対象のログ種別は反映が必要なログ種別か否かを判断する。具体的には、図4の「アクセスポリシの反映」に何も設定されていなければ反映は不要であると判断する。図4の「アクセスポリシの反映」に設定があれば反映が必要であると判断する(ステップS601)。
アクセスポリシ設定対象のログ種別は反映が不要なログ種別だと判断した場合(ステップS601で“NO”)、処理が終了する。
アクセスポリシ設定対象のログ種別は反映が必要なログ種別だと判断した場合(ステップS601で“YES”)、第二ログ操作制御部53は、制御情報保持部51を参照し、端末1の使用者によるアクセスポリシ設定内容は反映が必要な設定内容であるか否かを判断する。具体的には図4の「アクセスポリシの反映」に設定されている内容が、端末1の使用者によるアクセスポリシ設定の内容と同一である場合は、反映が必要であると判断する。図4の「アクセスポリシの反映」に設定されている内容が、端末1の使用者によるアクセスポリシ設定の内容と同一でない場合は、反映が不要であると判断する。(ステップS602)。
端末1の使用者による設定内容は反映が不要な設定内容だと判断した場合(ステップS602で“NO”)、処理が終了する。
端末1の使用者による設定内容は反映が必要な設定内容だと判断した場合(ステップS602で“YES”)、第二ログ操作制御部53は、当該アクセスポリシ設定対象ログ情報に対する当該設定内容に対応付けられた制限内容を制御情報保持部51から得て、第二ログ情報保持部30に保持されているログ情報に対するアクセスポリシ設定に対して当該制限内容を適応する(ステップS603)。
次に、本発明の作用及び効果について説明する。
本発明のログ情報管理装置10は、第一ログ情報保持部20は、第一ログ操作制御部52により、システム、及び端末1の管理者による操作が可能となるように制御され、第二ログ情報保持部30は、第二ログ操作制御部53により、システム以外のプログラム、及び、端末1の使用者による操作が可能となるように制御され、ログ情報は、ログ情報の種別毎に第一ログ情報保持手段、前記第二ログ情報保持手段、又は、前記第一ログ情報保持手段及び前記第二ログ情報保持手段のうち何れかに保持されるため、端末1の使用者のプライバシに関するログ情報と、第三者による情報の操作或いは情報漏えいの把握に利用可能であるログ情報と、を分けて管理できることとなり、第三者による情報操作或いは情報漏えいの把握とプライバシ保護との両立させることが可能となる。
また、本発明のログ情報管理装置10においては、端末1の管理者、及び使用者は夫々アクセスポリシとしてログの種別毎に、及び端末において又はネットワークを通じて実行されるアプリケーションプログラム毎に、実行可能な操作を設定できるため、端末1の管理者は第三者による情報操作或いは情報漏えいの把握に利用可能であるログ情報を保護し、端末1の使用者はプライバシ保護に必要なログ情報を保護する設定をすることで、より確実に第三者による情報操作或いは情報漏えいの把握とプライバシ保護とを両立させることが可能となる。
また、本発明のログ情報管理装置は、第二ログ操作制御部53は、第一ログ操作制御部52において所定のログ種別に対する所定の操作、或いは所定のアクセスポリシの設定がなされた場合に、当該設定に基づいて第二ログ情報保持部30におけるログ操作及びアクセスポリシを制御するため、特定の場合にシステム或いは端末1の管理者は第二ログ情報保持部30に保持されているログ情報からの情報漏えいなどを防止することが可能となる。
また、本発明のログ情報管理装置10は、第一ログ操作制御部52は、第二ログ操作制御部53において所定のログ種別に対する所定の操作、或いは所定のアクセスポリシの設定がなされた場合に、当該設定に基づいて第一ログ情報保持部20におけるログ操作及びアクセスポリシを制御するため、特定の場合に端末1の使用者は、第一ログ情報保持部20に保持されているログ情報に対してもプライバシ保護のための処置を取ることが可能となる。
また、本発明のログ情報管理装置10は、第一ログ操作制御部52は、第一ログ情報保持部20に保持されているログ情報を暗号化し、第二ログ操作制御部53は、第二ログ情報保持部30に保持されているログ情報を第一ログ操作制御部52による暗号化とは別の鍵を利用して暗号化するため、端末1を紛失した場合等にログ情報を第三者から保護することが可能となる。また、別々の鍵を用いているため、システム或いは端末1の管理者が第二ログ情報保持部30に保持されているログ情報を操作等できてしまうこと、及び、端末1の使用者が第一ログ情報保持部20に保持されているログ情報を操作等できてしまうことを防止することが可能となる。
また、本発明のログ情報管理装置10は、要管理情報保持部80は、情報管理が必要である情報としての要管理情報を保持し、遠隔命令受信部61は、端末1外から送信された操作指示に関する情報を受信し、情報消去部68は、遠隔命令受信部61が操作指示に関する情報としてデータ消去指示に関する情報を受信した場合に、第一ログ情報保持部20、第二ログ情報保持部30、及び、要管理情報保持部80に保持されている情報のうちの少なくとも一部を消去するため、端末1を紛失してしまった場合などに、第三者による情報操作或いは情報漏えいの把握に利用可能であるログ情報、端末1の使用者はプライバシ保護に関するログ情報、或いはその両方、を選択的に消去することが可能となる。
また、本発明のログ情報管理装置10は、要管理情報保持部80は、情報管理が必要である情報としての要管理情報を保持し、バックアップデータ作成部64は、遠隔命令受信部61がバックアップ指示に関する情報を受信した場合に、要管理情報保持部80に保持されている情報のうちの少なくとも一部からバックアップデータを作成し、バックアップデータ送信部65は、バックアップデータ作成部64が作成したバックアップデータを、端末1外に送信するため、第三者の攻撃から要管理情報を守ることが可能となる。
また、本発明のログ情報管理装置10は、操作制限部62は、遠隔命令受信部61が操作指示に関する情報として操作制限指示に関する情報を受信した場合に、所定の操作を無効とするため、第三者による、電源切断、通信遮断又は通信機能の使用等を防止することが可能となる。
また、本発明のログ情報管理装置10は、ロック実行部63は、遠隔命令受信部61が操作指示に関する情報としてロック実行指示に関する情報を受信した場合に、所定の機能を無効とするため、第三者による端末からの決済行為等を防止することが可能となる。
また、本発明のログ情報管理装置10は、ログ送信用データ作成部66は、遠隔命令受信部61が操作指示に関する情報としてログ送信指示に関する情報を受信した場合に、第一ログ情報保持部20に保持されている情報、及び第二ログ情報保持部30に保持されている情報のうちの少なくとも一部からログ送信用データを作成し、ログ送信部67は、ログ送信用データ作成部66が作成したログ送信用データを端末1外に送信するため、端末1を紛失してしまった場合などに、第三者による情報操作或いは情報漏えいの把握に利用可能であるログ情報、端末1の使用者はプライバシ保護に関するログ情報、或いはその両方、を選択的に外部に送信することが可能となり、第三者による情報操作或いは情報漏えいの把握と端末1の所有者のプライバシ保護との両立がより確実となる。
また、本発明のログ情報管理装置10は、ログ送信用データ作成部66は、作成するログ送信用データに要管理情報の操作履歴情報を含めることとなり、第三者が要管理情報を操作したか否かを把握することが可能となる。
また、本発明のログ情報管理装置10は、ログ送信用データ作成部66は、削除された要管理情報を特定する情報、及び削除時刻をログ送信用データに含めるため、第三者による要管理情報の操作内容をより詳細に把握することが可能となる。
また、本発明のログ情報管理装置10は、ログ送信用データ作成部66は、ログ送信指示に関する情報が例えばUIM識別子を特定する等、端末1の使用者を特定して送信されたものである場合に、第一ログ情報保持部20び第二ログ情報保持部30の一方または両方にUIM識別子等と関連付けられて保持されているログ情報のうち、ログ送信指示に関する情報が特定するUIM識別子と関連付けられて保持されている情報からログ送信用データを作成することとなり、正規に複数人が同じ端末1を使用している場合など、他の使用者のログ情報を送信することが無いため、より適切に端末の使用者のプライバシを保護することが可能となる。
また、本発明のログ情報管理装置10は、ログ送信用データ作成部66は、UIM識別子等、端末1の使用者を示す情報を暗号化して送信するためログ情報のネットワークへの流出や、サーバへの不正サクセスにより、ログ情報が悪意を持った人間にさらされた場合に当該ログ情報を生成した使用者が特定され、プライバシが侵害される危険性を減少させることができる。
また、本発明のログ情報管理装置10は、ログ送信用データ作成部66は、UIM識別子等を暗号化した識別子を複数有し当該複数の識別子のうち何れか一つをログ送信用データに含めるため、ログ送信用データ毎に異なる識別子が含まれることとなり、第三者はログ送信用データが同一人物のものであるか否かを判断することが困難となり、端末1の使用者のプライバシをより適切に保護することが可能となる。
また、本発明のログ情報管理装置10は、遠隔命令受信部61が受信するログ送信指示に関する情報が端末1を特定して送信されたものである場合に、ログ送信用データ作成部66は、不正利用に関わるログ種別であるログ情報からログ送信用データを作成するため、第三者によって不正にUIMが差し替えられた場合であっても端末1に対する遠隔操作が可能となり、且つ、端末1の使用者のプライバシに関わるログ情報の送信を最小限に抑えることとなる。それによって、情報操作或いは情報漏えいの把握とプライバシ保護との両立がより適切に可能となる。
本発明におけるログ情報管理装置の機能構成図である。 図1に記載されたログ種別情報保持部が保持する情報の例である。 図1に記載されたログ種別情報保持部が保持する情報の例である。 図1に記載された制御情報保持部が保持する情報の例である。 図1に記載された制御情報保持部が保持する情報の例である。 図1に記載された端末のハードウェア構成図である。 図1に記載されたログ情報管理装置の処理の流れを示す図である。 図1に記載されたログ情報管理装置の処理の流れを示す図である。 図1に記載されたログ情報管理装置のバックアップ処理の流れを示す図である。 図1に記載されたログ情報管理装置のログ情報送信処理の流れを示す図である。 図1に記載されたログ情報管理装置のログ操作の反映処理の流れを示す図である。 図1に記載されたログ情報管理装置のアクセスポリシの反映処理の流れを示す図である。
符号の説明
1…端末、2…デバイス管理サーバ、3…ログサーバ、4…バックアップ先サーバ、10…ログ情報管理装置、20…第一ログ情報保持部、30…第二ログ情報保持部、40…ログ情報収集部、41…ログ種別情報保持部、42…ログ情報保持態様決定部、50…直接操作部、51…制御情報保持部、52…第一ログ操作制御部、53…第二ログ操作制御部、60…遠隔操作部、61…遠隔命令受信部、62…操作制限部、63…ロック実行部、64…バックアップデータ作成部、65…バックアップデータ送信部、66…ログ送信用データ作成部、67…ログ送信部、68…情報消去部、80…要管理情報保持部。

Claims (3)

  1. 端末における操作内容の記憶としてのログ情報を管理するログ情報管理装置であって、
    前記ログ情報を保持する第一ログ情報保持手段と、
    前記ログ情報を保持する第二ログ情報保持手段と、
    前記端末に搭載されたログ機能提供に係る基幹的プログラムとしてのシステム、及び前記端末の管理者による操作のみが可能となるように前記第一ログ情報保持手段を制御する第一ログ操作制御手段と、
    前記システム以外のアプリケーション、及び前記端末の使用者による操作のみが可能となるように前記第二ログ情報保持手段を制御する第二ログ操作制御手段と、
    前記端末外から送信された操作指示に関する情報を受信する遠隔命令受信手段と、
    前記遠隔命令受信手段が、前記操作指示に関する情報としてログ送信指示に関する情報を受信した場合に、前記第一ログ情報保持手段に保持されている情報、及び前記第二ログ情報保持手段に保持されている情報のうち少なくとも一部からログ送信用データを作成するログ送信用データ作成手段と、
    前記ログ送信用データ作成手段が作成したログ送信用データを、前記端末外に送信するログ送信手段と、
    を備え、
    前記ログ情報は、前記ログ情報の種別毎に、前記第一ログ情報保持手段、前記第二ログ情報保持手段、又は、前記第一ログ情報保持手段及び前記第二ログ情報保持手段、のうち何れかに保持され、
    前記第一ログ操作制御手段は、前記システム、及び前記端末の管理者によるログ操作、及びアクセスポリシの設定が可能となるように前記第一ログ情報保持手段を制御し、
    前記第二ログ操作制御手段は、前記システム以外のアプリケーション、及び前記端末の使用者によるログ操作、及びアクセスポリシの設定が可能となるように前記第二ログ情報保持手段を制御し、
    前記アクセスポリシは、前記ログの種別毎に、及び前記端末において又はネットワークを通じて実行されるアプリケーションプログラム毎に、実行可能な操作を設定する情報であり、当該実行可能である操作には、該当するログ種別について収集、読み込み、及び書き込みの少なくとも一つを含み、
    前記ログ情報の種別には、第一ログ情報保持手段にのみ保持されるログを意味するログの種別、及び第二ログ情報保持手段にのみ保持されるログを意味するログの種別が含まれ
    前記第一ログ情報保持手段は、不正利用に関するログ種別のログ情報を保持し、
    前記第二ログ情報保持手段は、端末の使用者のプライバシに関するログ種別のログ情報を保持し、
    前記ログ送信用データ作成手段は、不正利用に関するログ種別のログ情報のみログ送信用データとして作成することを特徴とするログ情報管理装置。
  2. 前記ログ情報管理装置は、情報管理が必要である情報としての要管理情報を保持する要管理情報保持手段をさらに備え、
    前記ログ送信用データ作成手段は、作成する前記ログ送信用データに前記要管理情報の操作履歴情報を含めることを特徴とする請求項1に記載のログ情報管理装置。
  3. 前記ログ送信用データ作成手段は、削除された前記要管理情報を特定する情報、及び削除時刻を前記ログ送信用データに含めることを特徴とする請求項2に記載のログ情報管理装置。
JP2008286714A 2008-11-07 2008-11-07 ログ情報管理装置、及びログ情報管理方法 Active JP5255995B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008286714A JP5255995B2 (ja) 2008-11-07 2008-11-07 ログ情報管理装置、及びログ情報管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008286714A JP5255995B2 (ja) 2008-11-07 2008-11-07 ログ情報管理装置、及びログ情報管理方法

Publications (2)

Publication Number Publication Date
JP2010114751A JP2010114751A (ja) 2010-05-20
JP5255995B2 true JP5255995B2 (ja) 2013-08-07

Family

ID=42302944

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008286714A Active JP5255995B2 (ja) 2008-11-07 2008-11-07 ログ情報管理装置、及びログ情報管理方法

Country Status (1)

Country Link
JP (1) JP5255995B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6000567B2 (ja) * 2012-02-23 2016-09-28 キヤノン株式会社 画像形成装置、画像形成装置の制御方法、及びプログラム
AU2013204953B2 (en) * 2012-08-30 2016-09-08 The Nielsen Company (Us), Llc Methods and apparatus to collect distributed user information for media impressions
WO2014064940A1 (ja) 2012-10-26 2014-05-01 パナソニック株式会社 広告配信方法、及び広告配信システム
CN115136135A (zh) * 2020-03-27 2022-09-30 本田技研工业株式会社 电池信息管理系统以及电池信息管理方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4255395B2 (ja) * 2004-03-18 2009-04-15 利男 谷▲崎▼ 携帯電話の各種データのバックアップ機能を有する該携帯電話操作システム

Also Published As

Publication number Publication date
JP2010114751A (ja) 2010-05-20

Similar Documents

Publication Publication Date Title
CN101371259B (zh) 文件管理系统及方法、以及便携终端装置
US7921305B2 (en) Portable information terminal and data protecting method
US8429410B2 (en) System and method of installing software applications on electronic devices
JP4778970B2 (ja) 携帯端末、アクセス制御管理装置及びアクセス制御管理方法
EP2448303B1 (en) Method and system for securing data of a mobile communications device
US8244210B2 (en) Method for destructive readout of data in case of mobile theft
CA2564186C (en) System and method of operation control on an electronic device
US20080148350A1 (en) System and method for implementing security features and policies between paired computing devices
US20110113242A1 (en) Protecting mobile devices using data and device control
JP2008276456A (ja) ファイル管理システム及び方法、並びに携帯端末装置
CN105610671A (zh) 一种终端数据保护的方法及装置
JP2010063089A (ja) 典型的でないユーザの挙動に基づくデバイスの安全確認
JP5255995B2 (ja) ログ情報管理装置、及びログ情報管理方法
JP2006279321A (ja) 移動端末のためのセキュリティソフトウェア及びセキュリティ通信システム
CN101415186A (zh) 一种手机信息安全保护的方法
JP4695039B2 (ja) リモートロックシステムおよび移動通信端末
JP4894382B2 (ja) セキュリティシステム、情報処理装置、情報保護方法、プログラム
JP2006340074A (ja) 携帯通信端末装置
JP5398752B2 (ja) リモートロックシステム
JP2010146475A (ja) 携帯端末の情報漏洩防止システム、携帯端末の情報漏洩防止方法、及びプログラム
KR101654249B1 (ko) 컴퓨터의 통신 인터페이스 보안 시스템
JP2011125053A (ja) リモートロックシステムおよび移動通信端末
JP2009151572A (ja) 文書ファイル共有システム及びプログラム
Guérin 8, Author retains full rights.
JP2007124339A (ja) 通信端末

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110830

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120927

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121009

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130416

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130422

R150 Certificate of patent or registration of utility model

Ref document number: 5255995

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160426

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250