JP5525048B2 - 不正操作検知方法、及び、不正操作を検知する計算機 - Google Patents

不正操作検知方法、及び、不正操作を検知する計算機 Download PDF

Info

Publication number
JP5525048B2
JP5525048B2 JP2012522371A JP2012522371A JP5525048B2 JP 5525048 B2 JP5525048 B2 JP 5525048B2 JP 2012522371 A JP2012522371 A JP 2012522371A JP 2012522371 A JP2012522371 A JP 2012522371A JP 5525048 B2 JP5525048 B2 JP 5525048B2
Authority
JP
Japan
Prior art keywords
file
input
data
server
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012522371A
Other languages
English (en)
Other versions
JPWO2012001765A1 (ja
Inventor
伸晃 小野寺
信 萱島
晋一 角尾
洋 中越
弘実 礒川
則夫 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=45353919&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP5525048(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of JPWO2012001765A1 publication Critical patent/JPWO2012001765A1/ja
Application granted granted Critical
Publication of JP5525048B2 publication Critical patent/JP5525048B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、操作検知システムに関し、特に、情報漏えい事故につながるリスクの高いクライアント計算機上での操作を検知する不正操作検知システム及び不正操作検知方法に関する。
悪意のある操作、又は、疑わしい操作を検知する操作検知システムとして、特許文献1がある。特許文献1で示される技術では、あらかじめ管理者が悪意ある不正操作パターンを作成し、ログ分析サーバのデータベースに登録した上で、予め記録しておいたユーザの操作ログの内容のマッチング度により危険性を判断する。
特開2009-20812号公報
特許文献1記載の技術の操作パターンでは、クライアントPC(Personal Computer)自体に格納されたファイルの情報漏えいの検知が可能であるが、クライアントPC外部のサーバ計算機にアクセスを行った場合に、クライアントPC管理者が意図した漏えい検知を容易に行うことが出来ない。
クライアント計算機(例えばクライアントPC)が、データをサーバ又は記憶デバイスに送信するためのユーザ操作を検知し、検知したユーザ操作が不正操作であるか否かを、第1及び第2のポリシ情報を基に判断し、その判断の結果が肯定的の場合に、送信されるデータのセキュリティに関する処理であるセキュリティ処理を行う。上記データが、ユーザが所属するグループ内のデータであり、且つ、そのデータの送信先が、そのグループ外のサーバ又は記憶デバイスの場合、上記の判断の結果が肯定的である。
第1のポリシ情報は、下記(x1)毎に下記(y1)を有する情報である。
(x1)クライアント計算機に接続されたサーバの識別子、又は、クライアント計算機に接続された記憶デバイスの種別を表す情報、
(y1)前記クライアント計算機に接続されたサーバ又は記憶デバイスから取得されたデータを前記クライアント計算機の記憶資源に格納するためのユーザ操作を不正操作とするか否かを表す情報。
第2のポリシ情報は、下記(x2)毎に下記(y2)を有する情報である。
(x2)クライアント計算機に接続されたサーバの識別子、又は、前記クライアント計算機に接続された記憶デバイスの種別を表す情報、
(y2)クラアント計算機の記憶資源内のデータを前記クライアント計算機に接続されたサーバ又は記憶デバイスに送信するためのユーザ操作を不正操作とするか否かを表す情報。
本発明の実施例1に係る不正操作検知システムの構成を示す。 クライアントPC121の構成の一例を示す。 実施例1に係るクライアントPC121の機能ブロック図である。 ユーザがWebブラウザでファイルをダウンロードする際にブラウザ監視モジュール330とダイアログ操作監視モジュール340が実行する処理の流れを示す。 ユーザがWebブラウザでファイルをダウンロードする際にブラウザ監視モジュール330、ダイアログ操作監視モジュール340、およびファイル操作監視モジュール350が実行する処理の流れを示す。 ユーザが電子メールに添付されたファイルをメーラでローカルファイルシステム209に保存する際にTCP通信監視モジュール360及びダイアログ操作監視モジュール340が実行する処理の流れを示す。 ユーザがメールに添付されたファイルをメーラでローカルファイルシステム209に保存する際にTCP通信監視モジュール360及びファイル操作監視モジュール350が実行する処理の流れを示す。 ユーザがWebブラウザでファイルをアップロードする際にブラウザ監視モジュール330及びダイアログ操作監視モジュール340が実行する処理の流れを示す。 ユーザがメーラを用いて添付ファイル付きメールを送信する際にTCP通信監視モジュール360及びダイアログ操作監視モジュール340が実行する処理の流れを示す。 ユーザがメーラを用いて添付ファイル付きメールを送信する際にTCP通信監視モジュール360及びファイル操作監視モジュール350が実行する処理の流れを示す。 ユーザが印刷操作を行う際にダイアログ操作監視モジュール340が実行する処理の流れを示す。 図12Aは、ユーザがファイルエクスプローラを用いてファイルサーバ115内の情報をローカルファイルシステム209にコピーする際にファイル操作監視モジュール350が実行する処理の流れを示す。図12Bは、ユーザがファイルエクスプローラを用いてファイルをリムーバブルメディアにコピーする際にファイル操作監視モジュール350が実行する処理の流れを示す。 図13Aは、入力元DB393の構成を示す。図13Bは、入力元識別子1311の一例を示す。 ブラウザ監視モジュール330が実行する処理の流れを示す。 ダイアログ操作監視モジュール340が実行する処理の流れを示す。 図15の処理において生成されたメーラチェックスレッドに従う処理の流れを示す。 図15の処理において生成されたWebブラウザチェックスレッドに従う処理の流れを示す。 図15の処理において生成された印刷チェックスレッドに従う処理の流れを示す。 ファイル操作監視モジュール350が実行する処理の流れを示す。 TCP通信監視モジュール360が実行する処理の流れを示す。 ファイルを入力する際のWebブラウザ画面の一例を示す。 管理サーバ111の構成の一例を示す。 実施例2に係るクライアントPCの機能ブロック図である。 実施例2に係るエージェントが行う不正操作処理の流れを示す。 セキュリティポリシの一部分を示す。 セキュリティポリシの一部分を示す。 セキュリティポリシの一部分を示す。 セキュリティポリシに対する条件設定を行う画面の一例を示す。 操作ログ格納テーブルの構成を示す。 操作ログ一覧表示画面の一例を示す図である。 イベント一覧表示画面の一例を示す図である。 「操作種別」及び「操作種別サブコード」の組合せの例を示す。
以下、図面を参照して、本発明の幾つかの実施例を説明する。
なお、以下の説明では、「プログラム」を主語として処理を説明する場合があるが、プログラムは、プロセッサ(例えばCPU(Central Processing Unit))によって実行されることで、定められた処理を、適宜に記憶資源(例えばメモリ)及び/又は通信インタフェース装置(例えば通信ポート)を用いながら行うため、処理の主語がプロセッサとされてもよい。プログラムを主語として説明された処理は、クライアント計算機(例えば、実施例1のクライアントPC(Personal Computer)121)が行う処理としても良い。また、プロセッサは、CPUそれ自体であっても良いし、プロセッサが行う処理の一部又は全部を行うハードウェア回路を含んでも良い。計算機プログラムは、プログラムソースから各計算機にインストールされても良い。プログラムソースは、例えば、プログラム配布サーバ又は記憶メディアであっても良い。
また、管理システム(例えば、実施例1の管理サーバ111)は、一以上の計算機で構成されて良い。具体的には、例えば、管理計算機が情報を表示する場合、或いは、管理計算機が表示用情報を遠隔の計算機に送信する場合、管理計算機が管理システムである。また、例えば、複数の計算機で管理計算機と同等の機能が実現されている場合は、当該複数の計算機(表示を表示用計算機が行う場合は表示用計算機を含んで良い)が、管理システムである。
また、以下の説明では、クライアントPCに入力される情報、及び/又は、クライアントPCから出力される情報であって、ユーザから操作される情報として、「ファイル」を例に採る。
図1は、本発明の実施例1に係る不正操作検知システムの構成を示す。
本実施例では、ユーザがクライアントPC121に入力するファイルの入力元(例えば、ファイルのダウンロード元、又は、ファイルが添付された電子メールの送信元)、及び、クライアントPC121から出力するファイルの出力先(例えば、ファイルのアップロード先、又は、ファイルが添付された電子メールの送信先)が検知される。
具体的には、本実施例では、エージェントプログラム122が、下記の処理、
(*)クライアントPC121で稼動するアプリケーションプログラムに対する操作(ユーザによる操作)を監視する、
(*)アプリケーションプログラムに対して、クライアントPC121でファイルを使用できるようにそのファイルをクライアントPC121に入力する操作がユーザによって行われた場合、入力されるファイル(入力ファイル)の入力元を識別し、且つ、その入力元を示す識別子(入力元識別子)を入力ファイルに付与する、
(*)アプリケーションプログラムに対して、ファイルをクライアントPC121から出力する操作がユーザによって行われた場合、クライアントPC121から出力されるファイル(出力ファイル)の出力先を識別し、且つ、出力ファイルに付与されている入力元識別子を特定する、
(*)特定された出力先と、特定された入力識別子から識別される入力元とに応じた処理(以下、制御処理)を行う、
を行う。制御処理は、例えば、下記のうちの少なくとも1つである。
(*)アラートを生成し、そのアラートを管理サーバ111に出力すること。
(*)クライアントPC121から出力ファイルを出力先に出力することを禁止すること。
図1に示すように、情報センタ101と、拠点102がある。なお、図1では、拠点102(クライアンPC121)が、単数であるが、複数でも良い。
情報センタ101内のLAN(Local Area Network)117と、拠点102内のLAN124とが広域ネットワーク103を介して接続されている。情報センタ101は、さらに広域ネットワーク104を介してインターネットに接続されていて良い。
不正操作検知システムは、情報センタ101内に設置された管理サーバ111と、拠点102内に設置されたクライアントPC121により構成される。LAN117及び124のうちの少なくとも一方が、LAN以外の通信ネットワークでも良い。
情報センタ101内と拠点102内とで構成された領域を、本実施例において「管理領域」と言う。また、管理領域内に配置された機器、例えば、メールサーバ114、ファイルサーバ115、組織内Webサーバ116、クライアントPC121、ネットワークプリンタ123などを、本実施例において「管理対象」と言う。管理サーバ111は、これら管理対象を管理する。なお、図1によれば、1つの拠点102に1つのクライアントPC121が示されている、1つの拠点102に複数のクライアントPC121が存在しても良い。
管理サーバ111は、マネージャプログラム112(以下、マネージャと呼ぶことがある)と、ディスク113を含む記憶資源と、LAN117を介した通信を行うための通信インターフェース装置(図示せず)と、記憶資源及び通信インターフェース装置に接続されマネージャプログラム112を実行するプロセッサ(図示せず)とを有する。記憶資源は、ディスク113に加えて又は代えて、メモリを含んでも良い。マネージャ112は、不正操作検知システムの全体を統括する。ディスク113には、マネージャ112が不正操作検知システム内のクライアントPC121を管理するために使用するPC管理DB(Data Base)が格納されている。PC管理DBは、マネージャ112が参照可能な他の物理記憶デバイスに格納されても良い。
クライアントPC121は、LAN124を介した通信をするための通信インタフェース装置と、記憶資源(例えばメモリ)と、通信インタフェース装置及び記憶資源に接続されたプロセッサとを有する。クライアントPC121の記憶資源には、例えば、OS(Operating System)、アプリケーションプログラム、及びエージェントプログラム122(以下、エージェントと呼ぶことがある)が記憶されている。エージェント122は、そのエージェント122を有するクライアントPC121に対する、ユーザによる操作を監視する。
クライアントPC121を使用するユーザは、1以上のアプリケーションプログラム(例えば、電子メール、Webサーバ、及びファイルサーバ)を用いて業務を遂行する。このため、情報センタ101には、それら1以上のアプリケーションプログラムによって入出力される情報を送受信する1以上のサーバ、例えば、メールサーバ114と、ファイルサーバ115と、組織内Webサーバ116が設置されている。これらは、LAN117に接続されている。また、インターネットには、クライアントPC121からアクセス可能な組織外Webサーバ131が接続されている。
ここで、例えば、複数のクライアントPC121が同一の組織に属するか否かは、クライアントPC121間に存在する中継機器の種別、又は、複数のクライアントPC121のIPアドレスを基に、決定されて良い。例えば、第1のクライアントPC121と第2のクライアントPC121間にゲートウェイが存在しない場合、又は、第1のクライアントPC121の第1のIPアドレス「aaa.bbb.ccc.ddd」と第2のクライアントPC121の第2のIPアドレス「eee.fff.ggg.hhh」とのうち、n番目の区切りまで同じ場合(例えばn=1又は2)、第1のクライアントPC121と第2のクライアントPC121が同一の組織に属する。言い換えれば、例えば、第1のクライアントPC121と第2のクライアントPC121間にゲートウェイが存在する場合、又は、第1のIPアドレス「aaa.bbb.ccc.ddd」と第2のIPアドレス「eee. fff.ggg.hhh」とのうち、n番目の区切りが異なっている場合(例えばn=1又は2)、第1のクライアントPC121と第2のクライアントPC121が異なる組織に属する。
ファイルの入力元(及び、ファイルの出力先)が組織内か組織外であるかは、例えば、メールの送信元の電子メールアドレスに含まれるドメイン名、入力元装置(例えばサーバ)のURLのドメイン名、入力元装置(例えばクライアントPC)のIPアドレスを基に決定されて良い。
また、拠点102内のLAN124には、印刷に使用するネットワークプリンタ123が接続されている。なお、クライアントPC121(及び/又は、組織外Webサーバ131)に接続されるリムーバブルメディア125は、管理サーバ111の管理対象ではない(例えば、検査対象である)。
図22は、管理サーバ111の構成の一例を示す。
管理サーバ111は、CPU2201、バス2202、メモリ2203、ディスク113、ネットワークI/F2205、デバイスI/F2206、表示デバイス2208、及び入力デバイス2209を有する。ディスク113が、PC管理DB2204を記憶する。デバイスI/F5206は、例えば、USB(Universal Serial Bus)インタフェースで構成される。メモリ2203上には、OS(Operating System)2207がロードされ、このOS2207上で、マネージャプログラム112が動作する。OS227及びマネージャプログラム112は、CPU2201で実行される。
図2は、クライアントPC121の構成の一例を示す。
クライアントPC121は、CPU201、バス202、メモリ203、ローカルファイルシステム209、ネットワークI/F205、デバイスI/F206、入力デバイス210、及び、表示デバイス211を有する。入力デバイス210は、例えば、キーボード及びポインティングデバイス(例えばマウス)であって良い。表示デバイス211に、アプリケーションプログラム208が表示する画面(例えばGUI)、及び、エージェント122が表示する画面(例えばGUI)が表示される。入力デバイス210及び表示デバイス211が一体であっても良い(例えば、タッチパネル型の表示デバイスが備えられていても良い)。
デバイスI/F206は、例えば、USBインタフェースで構成される。メモリ203上には、OS207がロードされ、その上で、エージェント122、及び、1以上のアプリケーションプログラム(例えば、ファイルエクスプローラ、Webブラウザ、メーラ、ワードプロセッサ、表計算ソフトウェア)208が動作する。OS207、エージェント122及びアプリケーションプログラム208は、CPU201で実行される。
ローカルファイルシステム209(物理記憶デバイス)には、システムポリシ391と、セキュリティポリシ(例えばXML(eXtensible Markup Language)形式のデータ)392と、入力元DB393が記憶されている。セキュリティポリシ392は、例えば、アプリケーション毎に存在し、システムポリシ391は、全てのセキュリティポリシ392に共通であって良い。セキュリティポリシ392は、アラートを送信する処理等のセキュリティ処理を行うべき条件を表す情報(例えば、アプリケーションに固有の条件を表す情報)を有する。システムポリシ391は、アプリケーションに依存しない動作定義情報(例えば、マネージャ112と通信する際に管理サーバ111のどのポートにアクセスすれば良いかを表す情報)を有する。これら、システムポリシ391、セキュリティポリシ392及び入力元DB393については、後述する。なお、本実施例において、「アプリケーション」とは、以下の(A)及び(B)、
(A)一つ以上のアプリケーションプログラム、
(B)(b1)当該プログラムの設定情報、(b2)当該プログラムが受信する処理要求の内容、及び(b3)当該プログラムが処理要求を受信する頻度、のうちの少なくとも1つ、
によって定められる、クライアントPC121が行う一連のオペレーションであって良い。
また、「セキュリティ処理」とは、出力(送信)されるファイルのセキュリティに関する処理である。セキュリティ処理は、例えば、アラートを送信する処理に代えて又は加えて、ファイルを出力しない(ファイルの出力を禁止する)という処理でも良い。
ユーザは、ローカルファイルシステム209に保存されたファイル204を、アプリケーションプログラム208を用いて、クライアントPC121の外部に出力することがある。出力の種類として、例えば、下記の4つがある。
(*)ユーザが、ファイルエクスプローラを用いて、デバイスI/F206に接続されたリムーバブルメディア125にファイル204をコピーする。
(*)ユーザが、ワードプロセッサや表計算ソフト等の特定のアプリケーションプログラムが有する印刷機能を用いて、ネットワークプリンタ123等のプリンタからファイル204が有する情報を印刷する。
(*)ユーザが、メーラ(電子メールソフトウェア)で作成したメール本文にファイル204を添付して組織内および組織外のクライアントPC121に送信する。
(*)ユーザが、ファイル204を、ファイルサーバ115、組織内Webサーバ116又は組織外Webサーバ131にアップロードする。
また、ユーザは、アプリケーションプログラム208を用いて、クライアントPC121の外部からローカルファイルシステム209にファイル204を入力することがある。入力の種類として、例えば、下記の3つがある。
(*)ユーザが、ファイルエクスプローラを用いて、デバイスI/F206に接続されたリムーバブルメディア125内のファイル204を、ローカルファイルシステム209にコピーする。
(*)ユーザが、メーラを用いて、メールサーバ114に到着した自分宛の電子メールに添付されているファイル204を、ローカルファイルシステム209にコピーする。
(*)ユーザが、ファイル204を、ファイルサーバ115、組織内Webサーバ116又は組織外Webサーバ131からローカルファイルシステム209にダウンロードする。
図21は、ユーザがクライアントPC121でアプリケーションを操作して、ファイルを入力する際のWebブラウザ画面の一例を示す。
Webブラウザ画面(表示デバイス211に表示される画面)2101上には、いわゆるリンクと呼ばれるエリア(例えば、マウス等のポインティングデバイス(クライアントPC121に接続される入力装置)を用いてクリックすると、画面遷移等を起こすエリア)が存在する。図21によれば、そのエリアに、リンク文字列2102が表示されている。
リンク文字列2102上にマウスカーソルを置き、左ボタンをクリックした場合、次の画面(ページとも言う)に遷移するか、もしくは、ダウンロードダイアログ2111が表示される。ダウンロードダイアログ2111は、クリックしたリンク先にある対象をダウンロードするためのダイアログである。
また、リンク文字列2102上にマウスカーソルを置き、右ボタンをクリックした場合、いわゆるコンテキストメニュー2103と呼ばれるポップアップウィンドウが表示される。ここで表示されたコンテキストメニュー2103には、「対象をファイルに保存(A)…」という項目があり、この項目を左クリックすることにより、対象をダウンロードするためのダウンロードダイアログ2111が表示される。
ダウンロードダイアログ2111には、ダウンロードしたファイルを保存する場所を示すフィールド2112と、保存するフォルダの選択肢を表示するフィールド2113と、保存するファイル名を示すフィールド2114とがある。保存するファイル名は書き換えることが可能である。ユーザは、フィールド2112および2113を操作してファイルを保存するフォルダを選択し、必要に応じてフィールド2114で保存ファイル名を変更し、保存ボタン2115をクリックすることにより、Webブラウザを用いてファイルをダウンロードし、任意のフォルダにファイルを保存することができる。
図3は、実施例1に係るクライアントPC121の機能ブロック図である。
エージェント122は、マネージャ112との通信を担当するマネージャ通信機能モジュール301と、クライアントPC121に対するユーザ操作を監視する複数の監視モジュールを統括する監視モジュール制御機能302とを有する。
監視モジュールとして、例えば、プロセス監視モジュール310と、プリンタ監視モジュール320と、ブラウザ監視モジュール330と、ダイアログ操作監視モジュール340と、ファイル操作監視モジュール350と、TCP通信監視モジュール360とがある。詳細は、下記の通りである。
(*)プロセス監視モジュール310は、クライアントPC121上で稼動するアプリケーションプログラム208の稼働状況を監視対象とする。
(*)プリンタ監視モジュール320は、ネットワークプリンタ123を含むプリンタ304への出力操作を監視対象とする。
(*)ブラウザ監視モジュール330は、Webブラウザ305に対するユーザ操作を監視対象とする。
(*)ダイアログ操作監視モジュール340は、クライアントPC121の画面上に表示される各種ダイアログ306に対するユーザ操作(例えば、ファイルを選択してダウンロード或いはアップロードするための操作)を監視対象とする。
(*)ファイル操作監視モジュール350は、アプリケーションプログラム208に対する操作(例えば、ボタンのクリックやアプリケーションウィンドウ内に表示されたオブジェクトのドラッグ&ドロップなど)を監視対象とする。
(*)TCP通信監視モジュール360は、メーラなど、ネットワークを介してデータを送受信するアプリケーションプログラムが、ユーザの操作によりTCP/IP(Transmission Control Protocol/ Internet Protocol)のソケット308等を用いてデータストリームを送信もしくは受信している状況を監視対象とする。
また、エージェント122は、各種モジュールの動作を制御するための設定ファイルであるシステムポリシ391と、特にセキュリティに関連する制御を行うための設定ファイルであるセキュリティポリシ392を使用する。また、エージェント122は、入力されたファイルに関する情報とその入力元の識別子との組合せが登録される入力元DB393も使用する。入力元DB393の構成、システムポリシ391及びセキュリティポリシ392の役割については後述する。
プロセス監視モジュール310は、起動検知機能311と、抑止機能312と、ユーザ通知機能313とを有する。
起動検知機能311は、クライアントPC121上でアプリケーションプログラム208の起動が要求されたことを検知する。抑止機能312は、起動されるアプリケーションプログラム208がセキュリティポリシ392に抵触するものである場合に、起動を抑止する。ユーザ通知機能313は、ユーザに起動を抑止したことを通知する。
プリンタ監視モジュール320は、印刷検知機能321と、抑止機能322と、ユーザ通知機能323とを有する。
印刷検知機能321は、クライアントPC121上でプリンタ304を用いた印刷がユーザから要求されたことを検知する。抑止機能322は、印刷される情報を有するファイルがセキュリティポリシ392に抵触するものである場合に、印刷を抑止する。ユーザ通知機能323は、ユーザに印刷を抑止したことを通知する。
ブラウザ監視モジュール330は、アクセス検知機能331と、検知内容保持機能332とを有する。
アクセス検知機能331は、クライアントPC121がWebサーバ116又は131にアクセスしたことを検知する。検知内容保持機能332は、アクセス先のWebサーバ116又は131のURL(Uniform Resource Name)、受信したHTML(Hypertext Markup Language)ファイル等を一時的に保持する。
ダイアログ操作監視モジュール340は、ダイアログ検知機能341と、入力元情報付与・検査機能342とを有する。
ダイアログ検知機能341は、ユーザがクライアントPC121上のアプリケーションプログラム208を操作することによりダイアログ(例えば、ファイル選択用ダイアログ、もしくは印刷用ダイアログ)が表示されたことを検知する。入力元情報付与・検査機能342は、ダイアログ306を用いて操作されたファイルに対し、そのファイルの入力元の識別情報の付与、および、付与された入力元識別子の検査を実行する。
ここで、ファイル選択用ダイアログを表示する操作とは、例えば、Webブラウザを用いてファイルをダウンロードもしくはアップロードする操作や、メーラを用いて受信メールから添付ファイルを保存する操作もしくは送信メールにファイルを添付する操作がある。また、印刷用ダイアログを表示する操作とは、例えば、ワードプロセッサや表計算ソフトで印刷機能を選択する操作が該当する。
ファイル操作監視モジュール350は、操作検知機能351と、入力元情報付与・検査機能352とを有する。
操作検知機能351は、ユーザがクライアントPC121上の各種アプリのウィンドウ上での操作(マウスボタンのクリックや、ウィンドウ内に表示されたオブジェクトのドラッグ&ドロップなど)が行われたことを検知する。入力元情報付与・検査機能352は、マウスを用いて操作されたファイルに対し、そのファイルの入力元に関する情報の付与、および、付与された入力元に関する情報の検査を実行する。
ここで、マウスボタンのクリックによるファイル操作とは、例えば、Webブラウザの画面上に表示されたリンクを右クリックし、表示されたメニューに、リンクが指し示すオブジェクトをファイルとして保存する操作や、メーラの受信メッセージ画面に添付されていたファイルをドラッグ&ドロップし、デスクトップ上にコピーする操作が該当する。
TCP通信監視モジュール360は、ソケット受信検知機能361と、プロトコル解析機能362と、登録・通知機能363とを有する。
ソケット受信検知機能361は、ユーザがクライアントPC121
上のネットワークプリケーションで操作を行った結果、ネットワークを介してファイルの送受信が行われたことを検知する。プロトコル解析機能362は、ソケット308を介して送受信されたファイルを解析する。登録・通知機能363は、ソケット308を介してファイルがクライアントPC121にダウンロードされた場合に、そのファイルの入力元識別情報を入力元DB393に登録するとともに、そのファイルの入力元識別情報を入力元情報付与・検査モジュール342又は352に通知する。
上記の各監視モジュールは、検知した事項に応じて、他の監視モジュール又は入力元DB393と通信する機能と、監視モジュール制御機能302およびマネージャ通信機能301を介してマネージャ112にアラートを送信する機能と、アラートやログ(検知した事項を表すログ)を生成する機能とを有する。
なお、以後の説明では、ファイルに関する情報などの表現にて情報を説明するが、これらの情報は、テーブル等のデータ構造以外で表現されてもよい。そのため、データ構造に依存しないことを示すために、「ファイルに関する情報」等について、単に「情報」と呼ぶことがある。同様に、DBとして説明した部分についても必ずしもデータベースとしてのデータ構造を有することは必須ではないため、DBとした説明についても単に「情報」と呼ぶことがある。
また、各情報を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ID」という表現を用いるが、これらについては互いに置換が可能である。
また、本実施例は、必ずしもスレッド機構を用いて実現する必要なく、マイクロスレッドやプロセス機構等OSが提供するプログラムの実行を管理する機構によって実行できればどのような機構を用いても良い。
なお、管理サーバ111は入出力装置を有する。この入出力装置の例としては、ディスプレイとキーボードとポインタデバイスを挙げることができるが、これ以外の装置であってもよい。また、入出力装置の代替として、シリアルインターフェースやイーサーネットインターフェースを入出力装置とし、当該インタフェースにディスプレイ又はキーボード又はポインタデバイスを有する表示用計算機を接続し、表示用情報を表示用計算機で表示を行い、入力を受け付けることで入出力装置での入力及び表示を代替してもよい。
ユーザが、ファイルをクライアントPC121に入力する操作を行った場合に行われる処理の幾つかの例を図4〜図7に従って説明する。
図4は、ユーザがWebブラウザでファイルをダウンロードする際にブラウザ監視モジュール330とダイアログ操作監視モジュール340が実行する処理の流れを示す。なお、図4において、入力の対象となるファイルを、便宜上、「ファイルF4」と記載する。
ユーザがWebブラウザに表示されたリンクの左クリック操作を行うと(ステップ401)、Webブラウザでは、ページ遷移のユーザ操作イベントが発生する。そして、ブラウザ監視モジュール330は、ページ遷移のユーザ操作イベントを検知する(ステップ402)。ブラウザ監視モジュール330は、遷移後のURL(すなわちクリックされたリンク先のオブジェクトのURL)を保存し、ダイアログ操作監視モジュール340からの情報提供リクエストを待つ(ステップ403)。
一方、左クリック操作により、リンク先のオブジェクトが、Webブラウザでインライン表示できないタイプの情報である場合には、ファイルダウンロードダイアログが表示される。この場合、ダイアログ操作監視モジュール340は、ファイルダウンロードダイアログが表示されたときに、ダイアログ操作イベントを検知し(ステップ404)する。ダイアログ操作監視モジュール340は、ブラウザ監視モジュール330に、遷移後URL情報(遷移後のURLを表す情報)をリクエストし、その後、ブラウザ監視モジュール330から遷移後URL情報を入力する(ステップ405)。
ファイルダウンロードダイアログで保存ボタンがクリックされると、ダイアログ操作監視モジュール340は、ダイアログに表示された情報(OS207の処理による情報)から保存先ファイル名を入力する。そして、ダイアログ操作監視モジュール340は、ファイルF4の保存先情報として、フルパス(ファイルF4のパス名)を取得する(ステップ406)。さらに、ダイアログ操作監視モジュール340は、ステップ405で入力した遷移後URL情報から特定されるサーバが、組織内Webサーバ116であった場合には、ファイルF4を監視対象として、ファイルF4にファイルF4の入力元を示す識別子を付与する(ステップ407)。また、ファイルF4の遷移後URL情報から特定されるサーバが、組織外Webサーバ131であった場合には、ダイアログ操作監視モジュール340は、以下の(a)又は(b)、
(a)ファイルF4を監視対象でないとして、ファイルF4にファイルF4の入力元を示す識別子を付与する、
(b)ファイルF4にファイルF4の入力元を示す識別子を付与しない、
を行う。
なお、ファイルF4の入力元(ダウンロード元)が組織内Webサーバ116の場合にファイルF4が監視対象とされ、ファイルF4の入力元が組織外Webサーバ131の場合にファイルF4が監視対象とされない理由の1つは、次の通りである。すなわち、ファイルF4の入力元が組織内であれば、ファイルF4がコンフィデンシャルであり、故に、ファイルF4が組織外に出力されたならばそれを検知すべきであると考えられる。一方、ファイルF4の入力元が組織外であれば、再びファイルF4が組織外に出力されても、組織にとって特に問題ではないと考えられる。
この識別子は、クライアントPC121が利用するローカルファイルシステム209が、例えば、Microsoft社のNTFS(NT File System)であれば、「代替ストリーム」を用いて実現することができる。
図5は、ユーザがWebブラウザでファイルをダウンロードする際にブラウザ監視モジュール330、ダイアログ操作監視モジュール340、およびファイル操作監視モジュール350が実行する処理の流れを示す。なお、図5において、入力の対象となるファイルを、便宜上、「ファイルF5」と記載する。
ユーザがWebブラウザでページを表示すると、ブラウザ監視モジュール330は、ページ遷移のユーザ操作イベントを検知する(ステップ501)。この際、Webブラウザは、遷移後URL情報およびページソースを保持し、ブラウザ監視モジュール330の要求に応じてそれらを渡すことができるようになる。この状態で、Webブラウザに表示されているリンクに対して、ユーザが右クリック操作を行うと(ステップ503)、マウス操作イベントが発生し、ファイル操作監視モジュール350は、そのイベントを検知する(ステップ505)。
マウス操作イベントの発生を検知したファイル操作監視モジュール350は、Webブラウザ上でマウス操作イベントが発生した位置に関する情報を、オブジェクト関連情報として保存し、その情報を、ブラウザ監視モジュール330に送付する(ステップ506)。
ブラウザ監視モジュール330は、Webブラウザでページが表示されるたびに、遷移後のページのURL情報、および、ページのソースを、保存する(ステップ502)。
ユーザの右クリックにより、表示されたコンテキストメニューの中から、「ファイルの保存」に関する項目が選択されると(ステップ504)、ファイル保存ダイアログが表示される。
ダイアログ操作監視モジュール340は、上記のダイアログ表示イベントを検知すると(ステップ507)、ブラウザ監視モジュール330から、表示されたページのURL情報及びページソース(ページデータ)を取得する(ステップ508)。さらに、ダイアログ操作監視モジュール340は、ファイルF5の保存(ダウンロード)のためのファイルパスを取得し(ステップ510)する。ファイルF5についてのURL情報から特定されるに含まれるサーバが組織内Webサーバ116である場合、ダイアログ操作監視モジュール340は、ファイルF5を監視対象であるとして、ファイルF5にファイルF5の入力元識別子を付与する(ステップ511)。また、ファイルF5についてのURL情報から特定されるサーバが組織外Webサーバ131である場合、ダイアログ操作監視モジュール340は、以下の(a)又は(b)、
(a)ファイルF5を監視対象でないとして、ファイルF5にファイルF5の入力元識別子を付与する、
(b)ファイルF5にファイルF5の入力元識別子を付与しない、
を行う。なお、ファイルF5に付与された入力元識別子は、例えば、ファイルF5のメタデータに含まれても良い。
図6は、ユーザが電子メールに添付されたファイルをメーラでローカルファイルシステム209に保存する際にTCP通信監視モジュール360及びダイアログ操作監視モジュール340が実行する処理の流れを示す。なお、図6において、入力の対象となるファイルを、便宜上、「ファイルF6」と記載する。また、電子メールを単に「メール」と言う。
ユーザがメーラを起動したり、メールの表示操作を実行したりするなどのメッセージ受信操作を行うと(ステップ601)、POP(Post Office Protocol)3やIMAP(Internet Message Access Protocol )4などのプロトコルに従い、メーラが、メールサーバ114からメール(メッセージ)を受信(ダウンロード)する。すると、ネットワークドライバやTCP/IPプロトコルスタックの中でソケットを監視するTCP通信監視モジュール360は、受信したメールの解析処理を実施し(ステップ603)、受信メールから送信者名および添付ファイル名を取得する(ステップ604)
さらに、TCP通信監視モジュール360は、Base64等でコード化された添付ファイルをデコードし、ハッシュ値を計算する(ステップ605)。
ステップ604およびステップ605により得られた添付ファイル名、ハッシュ値、および添付ファイルの送信者名は、入力元DB393に登録される(606)。入力元DB393は、図13Aに示すように、ファイル毎に、下記の情報、
(*)ファイルの名称を表すファイル名1301、
(*)そのファイルを添付ファイルとして有するメールの送信者の名前を表す送信者名1302、
(*)ファイル(又は、ファイルのメタデータ以外であるファイル本体)のハッシュ値1303、
を有する。なお、図13Bに示す参照1311が示す情報は、ファイルに付与される入力元識別子の一例である。
ユーザが、メーラを用いてメール本文を閲覧している最中に、添付ファイルF6をローカルファイルシステム209に保存する操作を実行しようとすることがある(この操作は、メールをダウンロードした直後ではなく、相当の時間をあけて実行されることがある)。
ユーザが、ファイル保存ダイアログを用いて添付ファイルF6を保存する操作を行うと(ステップ602)、ダイアログ操作監視モジュール340は、ダイアログ表示イベントを検知し(ステップ607)、ダイアログに表示された情報(例えばユーザから指定された情報)からファイル名を入力し(ステップ608)、ファイルF6の保存先のフルパスを入力する(ステップ609)。さらに、ダイアログ操作監視モジュール340は、上記ダイアログに表示されたファイル名をキーとして入力元DB393を検索し、入力元DB393から、そのファイル名に対応する送信者名及びハッシュ値を取得する(ステップ610)。
ここで、添付ファイル名が一般的な名称、例えば「仕様書.doc」といったものである場合(図13A参照)、入力元DB393には、「仕様書.doc」というファイル名のファイルについて複数のレコードが登録されている場合も考えられる。そのような場合には、ダイアログ操作監視モジュール340は、ステップ608で入力したファイル名のファイルF6のハッシュ値を計算し、ファイル名に代えて又は加えて、そのハッシュ値をキーとして入力元DB393を検索することにより、ローカルファイルシステム209に保存される添付ファイルF6を有するメールの送信者名を取得することが可能である。ファイルのハッシュ値の計算は、ステップ610で必ず行われても良いし、ステップ608で取得されたファイル名が特定の条件に適合する(例えば、そのファイル名が一般的な名称である)場合に限り、行われても良い。
ステップ610では、ファイルF6のハッシュ値が計算される。ダイアログ操作監視モジュール340は、算出された第1のハッシュ値と、入力元DB393から取得された第2のハッシュ値1303とを比較する。第1及び第2のハッシュ値が互いに等しく、且つ、ファイルF6を有するメールの送信者が、組織内の別ユーザ(そのメールを受信したクライアントPC121(ユーザ)が属する組織と同じ組織のユーザ)である場合、ダイアログ操作監視モジュール340は、ファイルF6を監視対象であるとして、ファイルF6にファイルF6の入力元識別子を付与する(ステップ611)。一方、第1及び第2のハッシュ値が互いに等しく、且つ、ファイルF6を有するメールの送信者が、組織外の別ユーザ(そのメールを受信したクライアントPC121(ユーザ)が属する組織と異なる組織のユーザ)である場合、ダイアログ操作監視モジュール340は、以下の(a)又は(b)、
(a)ファイルF6を監視対象で無いとして、ファイルF6に入力元識別子を付与する、
(b)ファイルF6にファイルF6の入力元識別子を付与しない、
を行う。(ステップ611)。なお、第1及び第2のハッシュ値が互いに等しくない場合、ファイルF6が、メール以外の他の方法でクライアントPC121に入力されたとして、ダイアログ操作監視モジュール340は、ファイルF6にファイルF6の入力識別子を付与する。
図7は、ユーザがメールに添付されたファイルをメーラでローカルファイルシステム209に保存する際にTCP通信監視モジュール360及びファイル操作監視モジュール350が実行する処理の流れを示す。なお、図7において、入力の対象となるファイルを、便宜上、「ファイルF7」と記載する。
ステップ701からステップ706までの処理は、図6におけるステップ601からステップ606と同じである。図7では、図6と比較して、添付ファイルをローカルファイルシステム209に保存する操作が異なる。
つまり、図7では、ユーザが、メーラを用いてメール本文を閲覧している最中に、添付ファイルをローカルファイルシステム209に保存する操作として、メーラ画面内に表示された添付ファイルF7を示すアイコンを、デスクトップやファイルエクスプローラにドラッグ&ドロップする。
このような操作を行う場合、ファイル操作監視モジュール350は、メーラ画面からのマウスによるドラッグ&ドロップイベントを検知する(ステップ707)。さらに、ファイル操作監視モジュール350は、ローカルファイルシステム209に対するファイル生成イベントを監視している。ファイル操作監視モジュール350は、マウスによるドラッグ&ドロップ操作に応答して、ローカルファイルシステム209で生成されたファイルF7の名称とフルパスを取得し(ステップ708及び709)、ファイル名およびファイルのハッシュ値をキーとして、入力元DB393から、ファイルF7の送信者名を取得する(710)。
次に、ユーザがクライアントPCに対してファイルの出力操作を行った場合に行われる処理の幾つかの例を図8〜図11に従って説明する。
図8は、ユーザがWebブラウザでファイルをアップロードする際にブラウザ監視モジュール330及びダイアログ操作監視モジュール340が実行する処理の流れを示す。なお、図8において、出力の対象となるファイルを、便宜上、「ファイルF8」と記載する。
Webブラウザに表示された、ファイルアップロードに使用するフォーム画面で、ユーザが、アップロード対象のファイルを追加するボタンをクリックする(ステップ801)。この場合、Webブラウザは、ファイル選択ダイアログを表示する。ダイアログ操作監視モジュール340は、ファイル選択ダイアログが表示されたイベントを検知し、選択されたファイルの名称を取得するとともに、ファイルオープンの監視を開始する(ステップ805)。
ユーザが、ファイル選択ダイアログを用いてファイルF8を選択し、上記フォーム画面においてファイル登録ボタンをクリックする(ステップ802)。この場合、フォーム画面がWebサーバ116又は131にサブミットされて、Webブラウザに表示された画面が遷移する。
ブラウザ監視モジュール330は、その結果として発生するページ遷移イベントを検知し(ステップ803)、遷移後のURLの情報を保存する(ステップ804)。
このとき、ファイルアップロードがWebサーバ116又は131にサブミットされた場合、ダイアログ操作監視モジュール340は、ファイルF8に対するファイルオープンを検知し(ステップ806)、ファイルF8のファイルパスをOS207から取得する(ステップ807)。
さらに、ダイアログ操作監視モジュール340は、ブラウザ監視モジュール330から、ページ遷移後のURL情報を取得する。ダイアログ操作監視モジュール340は、ファイルF8のアップロード先のWebサーバが組織外Webサーバ131の場合、ファイルF8の出力先が検査対象であるとして、ファイルF8の入力元識別子を取得する。そして、ダイアログ操作監視モジュール340は、ファイルF8のアップロードに関わるアプリケーションに対応したセキュリティポリシ(図2参照)392を基に、アラート処理を行う(ステップ809)。例えば、ファイルF8が、組織内入力ファイル(例えば、組織内のファイルサーバ115からコピーされたファイル、組織内Webサーバ116からダウンロードされたファイル、又は、組織内のクライアントPC121から受信したメールに添付されていたファイル)である場合、アラート処理が実施されて良い。
アラート処理とは、クライアントPC121から出力(エクスポート)されるファイルが不正操作によって入力(インポート)されたファイルであるとして、不正操作の条件に適合することを意味するアラート(正確には、アラートを表す情報)を生成し、生成したアラートを、管理サーバ111に送信する処理である。アラート処理は、下記の条件(a)〜(c)の全てが満たされている場合に、行われて良い。この場合、条件(a)〜(c)を表す情報が、セキュリティポリシ392に記述されていて良い。
(a)クライアントPC121から出力されるファイルの出力先(例えば、ファイルF8のアップロード先のWebサーバ)が、組織外Webサーバ131(即ち、管理サーバ111の管理対象とは異なる検査対象)である。
(b)クライアントPC121から出力されるファイル(例えば、クライアントPC121で処理されたファイル)が、組織内入力ファイル(例えば、組織内のファイルサーバ115からコピーされたファイル、組織内Webサーバ116からダウンロードされたファイル、又は、組織内のクライアントPC121から受信したメールに添付されていたファイル)である。
(c)ファイルの入力元識別子から特定された入力元が、管理サーバ111の管理対象である。
この場合、管理サーバ111内のマネージャ112は、クライアントPC121からアラートを受信し、アラートを記憶資源(例えばディスク113)に格納して良い。マネージャ112は、情報漏えい事故につながるリスクの高い不正操作が検出されたとして、アラートを出力(例えば表示)して良い。管理者は、管理サーバ111に収集されたアラートを基に、情報漏えいを抑制するための対策を実行することができる。
アラート処理に代えて又は加えて、他種のセキュリティ処理(例えば、ファイルF8のアップロードを中止する(禁止する)処理、及び/または、ファイルF8のアップロードに関わるアプリケーションに対応したセキュリティポリシ392で規定されている処理)が行われて良い。また、ファイルF8の入力元識別子から特定される入力元とファイルF8のアップロード先との関係が、ファイルF8のアップロードに関わるアプリケーションに対応したセキュリティポリシ392が表す条件に適合する場合、ダイアログ操作監視モジュール809が、セキュリティ処理(例えばアラート処理)を行って良い。
図9は、ユーザがメーラを用いて添付ファイル付きメールを送信する際にTCP通信監視モジュール360及びダイアログ操作監視モジュール340が実行する処理の流れを示す。なお、図9において、出力の対象となるファイルを、便宜上、「ファイルF9」と記載する。
ユーザが、メーラで送信メールを作成中に、ファイル選択ダイアログを用いてファイルF9を添付する操作を行う(ステップ901)。この場合、ダイアログ操作監視モジュール340は、ファイル選択ダイアログの表示イベントを検知する(ステップ906)。そして、ダイアログ操作監視モジュール340は、選択されたファイルF9の名称およびフルパスを取得して(ステップ907)、メールが送信されるまで待機する。なお、ステップ901では、ダイアログ操作監視モジュール340は、添付ファイルF9のハッシュ値(第1のハッシュ値)を計算する。ダイアログ操作監視モジュール340は、第1のハッシュ値と、ファイルF9のファイル名と、送信先情報(例えば、宛先の電子メールアドレス)とのセットを、図示しない出力先管理情報(例えば、出力先DB(図示せず))に登録して良い。
この後、ユーザが、メーラでメール送信操作を実施すると(ステップ902)、TCP通信監視モジュール360は、SMTP(Simple Mail Transfer Protocol)のプロトコルで送信されるデータを解析する(ステップ903)。ステップ903で、例えば、TCP通信監視モジュール360は、そのメールの添付ファイルF9のハッシュ値を計算する。そして、TCP通信監視モジュール360は、ステップ901で算出された第1のハッシュ値と、ステップ903で算出された第2のハッシュ値とを比較することにより、送信先情報および添付ファイル名を取得する(ステップ904)。ステップ904で取得された送信先情報及びファイル名は、例えば、第2のハッシュ値と一致する第1のハッシュ値に対応付けられている送信先情報及びファイル名であって、上記出力先管理情報から取得された情報である。なお、送信メールにファイルが添付されていない場合、ステップ903及び904は行われないで良い。
送信メールにファイルF9が添付されており、かつ、メール送信先が組織外である場合、TCP通信監視モジュール360は、待機中のダイアログ操作監視モジュール340に、ファイルF9に関する属性情報(例えば、メールが組織外のあて先に送信される)ことを通知する(ステップ905)。
ダイアログ操作監視モジュール340は、送信メールに添付されたファイルF9の入力元識別子を取得する。そして、ダイアログ操作監視モジュール340は、ファイルF9を添付したメールの送信に関わるアプリケーションに対応したセキュリティポリシ(図2参照)392を基に、セキュリティ処理を行う(ステップ908)。例えば、ファイルF9が、組織内入力ファイル(例えば、組織内のクライアントPC121から受信したメールに添付されていたファイル)である場合、アラート処理が実施されて良い。
図10は、ユーザがメーラを用いて添付ファイル付きメールを送信する際にTCP通信監視モジュール360及びファイル操作監視モジュール350が実行する処理の流れを示す。なお、図10において、出力の対象となるファイルを、便宜上、「ファイルF10」と記載する。
ユーザが、メーラで送信メールを作成中に、ドラッグ&ドロップでファイルF10を添付する操作を行う(ステップ1001)。ファイル操作監視モジュール350は、ファイルエクスプローラ等から、メーラのウィンドウにファイルがドラッグ&ドロップされたことを検知する(ステップ1006)。ファイル操作監視モジュール350は、選択されたファイルF10の名称およびファイルのフルパスを取得して(ステップ1007)、メールが送信されるまで待機する。ステップ1001では、ステップ901と同様、ファイルF10の第1のハッシュ値が算出される。
この後、ユーザが、メーラでメール送信操作を実施すると(ステップ1002)、TCP通信監視モジュール360は、SMTPのプロトコルで送信されるデータを解析し(ステップ1003)、送信先情報および添付ファイル名を取得する(ステップ1004)。ステップ1003で、通信監視モジュール360が、添付ファイルF10の第2のハッシュ値を算出する。第2のハッシュ値と一致する第1のハッシュ値に対応した送信先情報および添付ファイル名が取得される。
送信メールにファイルF10が添付されており、かつ、メール送信先が組織外である場合、TCP通信監視モジュール360は、待機中のダイアログ操作監視モジュール340に、ファイルF10に関する属性情報(メールが組織外のあて先に送信されること)を通知する(ステップ1005)。
ファイル操作監視モジュール350は、第1及び第2のハッシュ値が互いに一致している場合、送信メールに添付されているファイルF10の入力元識別子を取得する。そして、ファイル操作監視モジュール350は、ファイルF10を添付したメールの送信に関するアプリケーションに対応するセキュリティポリシ(図2参照)に基づき、セキュリティ処理を行う(ステップ1008)。例えば、ファイルF10が、組織内入力ファイルの場合、ファイル操作監視モジュール350は、アラート処理を実施して良い。
図11は、ユーザが印刷操作を行う際にダイアログ操作監視モジュール340が実行する処理の流れを示す。なお、図11において、出力の対象となるファイルを、便宜上、「ファイルF11」と記載する。
ユーザが、アプリケーションプログラム(例えばワードプロセッサ)に対して印刷操作を行う(ステップ1101)。この場合、ダイアログ操作監視モジュール340は、印刷ダイアログの表示イベントを検知し(ステップ1103)、印刷を実施するアプリケーションプログラムのウィンドウタイトルを取得する(ステップ1104)。その後、アプリケーションプログラムがオープンし、ダイアログ操作監視モジュール340は、印刷を実行しようとしているファイルF11のフルパスを取得する(ステップ1105)。
この後、ユーザが、印刷ダイアログにおいて印刷ボタンをクリックすると(ステップ1102)、ダイアログ操作監視モジュール340は、ダイアログがクローズされたことを検知する(ステップ1106)。ダイアログ操作監視モジュール340は、送信されたファイルF11の入力元識別情報を取得する。そして、ダイアログ操作監視モジュール340は、ファイルF11が有する情報の印刷に関するアプリケーションに対応するセキュリティポリシ(図2参照)に基づき、セキュリティ処理を行う(ステップ1107)。例えば、ファイルF11が、組織内入力ファイルの場合、ダイアログ操作監視モジュール340は、アラート処理を実施する。
図12Aは、ユーザがファイルエクスプローラを用いてファイルサーバ115内の情報をローカルファイルシステム209にコピーする際にファイル操作監視モジュール350が実行する処理の流れを示す。なお、図12Aにおいて、入力の対象となるファイルを、便宜上、「ファイルF12A」と記載する。
ユーザが、ファイルエクスプローラを用いたファイルのコピー、もしくは移動操作を行うと(ステップ1201)、ファイル操作監視モジュール350は、ファイルのコピー元とコピー先を特定する処理を行う(ステップ1202)。そして、ファイル操作監視モジュール350は、コピー元がファイルサーバ115で、コピー先がクライアントPC121である場合、操作対象のファイルF12Aに入力元識別子を付与する(ステップ1203)。
図12Bは、ユーザがファイルエクスプローラを用いてファイルをリムーバブルメディアにコピーする際にファイル操作監視モジュール350が実行する処理の流れを示す。なお、図12Bにおいて、出力の対象となるファイルを、便宜上、「ファイルF12B」と記載する。
ユーザが、ファイルエクスプローラを用いてファイルのコピー、もしくは移動操作を行うと(ステップ1211)、ファイル操作監視モジュール350は、ファイルのコピー元とコピー先を特定する処理を行う(ステップ1212)。そして、ファイル操作監視モジュール350は、コピー元がクライアントPC121のローカルファイルシステム209で、コピー先がリムーバブルメディア125である場合、操作対象のファイルF12Bの入力元識別子を取得する。そして、ファイル操作監視モジュール350は、ファイルF12Bのリムーバブルメディア125へのコピー或いは移動に関するアプリケーションに対応するセキュリティポリシ(図2参照)に基づき、セキュリティ処理を行う(ステップ1213)。例えば、ファイルF12Bが、組織内入力ファイルの場合、ファイル操作監視モジュール350は、アラート処理を実施する。
図13Aは、入力元DB393の構成を示す。
入力元DB393は、前述したように、ファイル毎に、ファイル名1301、メールの送信者名1302、及び、ファイルのハッシュ値1303を有する。
図13Bは、ローカルファイルシステム209に格納されたファイル204に付与される入力元識別子1311の一例を示す。
入力元識別子1311は、既に述べたように、Microsoft社のNTFS(NT File System)であれば「代替ストリーム」を用いて、intファイル形式のデータとして実現することができる。ファイルが、メールサーバ114から入力したファイルであれば、そのファイルの入力元識別子1311において、From行に、送信者のメールアドレスが記載される。ファイルが、ファイルサーバ115から入力したファイルであれば、そのファイルの入力元識別子1311において、Server行に、ファイルサーバ115のサーバ名もしくはIPアドレスが記載される。ファイルが、組織内Webサーバから入力されたファイルであれば、そのファイルの入力元識別子1311において、URL行に、ファイルのダウンロード元のURLが記載される。未使用の行は、消去してあっても、イコール以降が空白であってもよい。
本実施例では、入力元識別子1311に含まれる情報が、アラートに含められて良い。また、ファイルがクライアントPC121に入力された時刻を表す情報(入力時刻情報)が、入力元識別子1311に含まれて良い。これにより、出力されるファイルがどこから入力されたファイルであるかということ以外に、そのファイルがいつ入力されたかを表す情報(入力時刻情報)を、アラートに含めることができる。
上記を実現するために入力元DB393には、ファイル毎に、添付ファイルを有するメールを受信した時刻を表す情報(入力時刻情報)が登録されて良い。この場合、TCP通信監視モジュール360が、ステップ606又は706において、メールヘッダに記載された受信時刻も入力元DB393に登録し、ファイル属性を取得するステップ610又は710において、入力元DB393内が表す入力時刻情報も入力元識別子1311に含めることができる。
図14は、ブラウザ監視モジュール330が実行する処理の流れを示す。
ブラウザ監視モジュール330は、Webブラウザが起動されたタイミングで起動され、Webブラウザに対するユーザ操作イベントの監視を設定し(ステップ1401)、イベントが発生したかを判断するループに入る(ステップ1402)。
イベントの発生を検知した場合、ブラウザ監視モジュール330は、ユーザの左クリック操作でページが遷移したかどうかを判断する(ステップ1403)。
ユーザの左クリック操作でページが遷移した場合には、ブラウザ監視モジュール330は、遷移後のURL情報を取得し(ステップ1404)、その後、ダイアログ監視モジュール340にそのURL情報を送信する(ステップ1404)。
一方、ページが遷移しなかった場合には、ブラウザ監視モジュール330は、ファイル操作監視モジュール350よりマウスイベントのブラウザ上の座標情報を取得するステップ(ステップ1405)と、マウスカーソルの下に位置するHTMLのアンカータグを取得するステップ(ステップ1406)と、マウスカーソルで選択したURLを抽出するステップ(ステップ1407)とを実行した上で、ダイアログ監視モジュール340にURLを送信する(ステップ1404)。
図15は、ダイアログ操作監視モジュール340が実行する処理の流れを示す。
ダイアログ操作監視モジュール340は、ユーザがクライアントPC121にログオンしたタイミングで起動され、ダイアログ(図4等を参照して説明したダイアログ)を用いたファイル操作を監視する。ダイアログ操作監視モジュール340は、例えば、タイマー監視等のセットアップを行った後(ステップ1501)、ダイアログが表示されるイベントを監視する(ステップ1502)。
イベントが発生した場合、ダイアログ操作監視モジュール340は、アップロードダイアログ若しくはダウンロードダイアログが表示されているかをチェックする(ステップ1503)。ダイアログが表示されていた場合には、ダイアログ操作監視モジュール340は、ダイアログを表示させたアプリケーションプログラムの種別を判断する(ステップ1504)。その結果、アプリケーションプログラムがメーラである場合、ダイアログ操作監視モジュール340は、メーラチェックスレッドを生成する(ステップ1505)。また、アプリケーションプログラムがWebブラウザである場合、ダイアログ操作監視モジュール340は、Webブラウザチェックスレッドを生成する(ステップ1506)。
また、ステップ1503において、表示されているダイアログがアップロードダイアログもしくはダウンロードダイアログではない場合、ダイアログ操作監視モジュール340は、表示されているダイアログが印刷用ダイアログかどうか判断し(ステップ1507)、印刷チェックスレッドを生成する(ステップ1508)。
各スレッドを生成するステップを実施した後、ダイアログ操作監視モジュール340は、ダイアログが表示されるイベントを監視する(ステップ1502)。
図16は、図15の処理において生成されたメーラチェックスレッドに従う処理の流れを示す。
本スレッドでは、ダイアログ操作監視モジュール340は、アップロードダイアログかもしくはダウンロードダイアログが表示されているかをチェックする(ステップ1601)。そして、ダイアログが表示されている場合には、ダイアログ操作監視モジュール340は、ダイアログに表示されている文字列から、フォルダ名及びファイル名を取得する(ステップ1602及び1603)。ダイアログ操作監視モジュール340は、それらフォルダ名及びファイル名を用いて、アップロードもしくはダウンロード対象のファイルのフルパスを構成し(ステップ1604)、その後、ステップ1601を再度行う。
この後、ユーザが、ダイアログの保存ボタン等をクリックしてダイアログが非表示になると、ダイアログ操作監視モジュール340は、ステップ1605以降の処理を実行する。
まず、ダイアログ操作監視モジュール340は、ステップ1604を既に実行してフルパスが構成されており、かつフルパスで示されるファイル(図16の説明において「対象ファイル」と言う)が存在するか判断する(ステップ1605)。そして、対象ファイルが存在する場合、ダイアログ操作監視モジュール340は、ステップ1606以降の処理を実行し、対象ファイルが存在しない場合には、ステップ1601を再度実行する。
対象ファイルが存在する場合、ダイアログ操作監視モジュール340は、表示されていたダイアログ(表示ダイアログ)がダウンロードダイアログか否かを判断する(ステップ1606)。表示ダイアログが、ダウンロードダイアログであった場合、ダイアログ操作監視モジュール340は、対象ファイルのハッシュ値を計算する(ステップ1607)。その後、TCP通信監視モジュール360が、入力元DBに登録した情報を検索し(ステップ1608)、入力元が組織内別ユーザであるなど条件に一致する場合、対象ファイルに入力元識別子を書き込む(ステップ1609)。
表示ダイアログがアップロードダイアログであった場合、ダイアログ操作監視モジュール340は、TCP通信監視モジュール360からの通知を待つ(ステップ1610)。表示ダイアログで指定されたファイルがメールに添付されて送信された場合、ダイアログ操作監視モジュール340は、対象ファイルから入力元識別子を読み込む(ステップ1611)。ダイアログ操作監視モジュール340は、その入力元識別子から特定される入力元と対象ファイルの出力先が、セキュリティポリシ392が表すセキュリティ処理定義に適合する場合、セキュリティ処理(例えばアラート処理)を行う(ステップ1612)。
セキュリティポリシ392が有するセキュリティ処理定義は、例えば、以下の(x)〜(z)の情報、
(x)入力元の条件、
(y)出力先の条件、
(z)実行すべきセキュリティ処理の種類、
を含んで良い。(x)及び/又は(y)は、組織内又は組織外のように大まかな条件でも良いし、詳細な条件(例えば、電子メールアドレス、URL或いはIPアドレス)であっても良い。また、(z)は、例えば、アラート処理、出力の禁止(中止)のいずれかであって良い。
図17は、図15の処理において生成されたWebブラウザチェックスレッドに従う処理の流れを示す。
本スレッドでは、ダイアログ操作監視モジュール340は、アップロードダイアログ若しくはダウンロードダイアログが表示されているかをチェックする(ステップ1701)。ダイアログが表示されている場合には、ダイアログ操作監視モジュール340は、ダイアログに表示されている文字列からフォルダ名及びファイル名を取得する(ステップ1702及び1703)。ダイアログ操作監視モジュール340は、それらフォルダ名及びファイル名を用いて、アップロード若しくはダウンロード対象のファイルのフルパスを構成し(ステップ1704)、ステップ1701を実行する。この後、ユーザが、ダイアログの保存ボタン等をクリックしてダイアログが非表示になると、ダイアログ操作監視モジュール340は、ステップ1705以降の処理を実行する。
ダイアログ操作監視モジュール340は、ステップ1704を既に実行してフルパスが構成されており、かつフルパスから特定されるファイル(図17の説明において「対象ファイル」と言う)が存在するか判断する(ステップ1705)。次に、ダイアログ操作監視モジュール340は、対象ファイルが存在する場合には、ステップ1706以降の処理を実行し、対象ファイルが存在しない場合には、ステップ1701を実行する。
対象ファイルが存在する場合、ダイアログ操作監視モジュール340は、表示されていたダイアログ(表示ダイアログ)がダウンロードダイアログか否かを判断する(ステップ1706)。そして、表示ダイアログがダウンロードダイアログであった場合、ダイアログ操作監視モジュール340は、ブラウザ監視モジュール330が保持するダウンロード元情報を入力する(ステップ1707)。そして、ダイアログ操作監視モジュール340は、入力元が組織内別ユーザであるなど条件に一致する場合、対象ファイルに入力元識別子を書き込む(ステップ1708)。
表示ダイアログがアップロードダイアログであった場合、ダイアログ操作監視モジュール340は、ブラウザ監視モジュール330が保持するアップロード先情報を、ブラウザ監視モジュール330から入力する(ステップ1709)。そして、ダイアログで指定された対象ファイルが送信された場合、ダイアログ操作監視モジュール340は、対象ファイルの入力元識別子を読み込む(ステップ1710)。ダイアログ操作監視モジュール340は、その入力元識別子から特定される入力元と対象ファイルの出力先が、セキュリティポリシ392が表すセキュリティ処理定義に適合する場合、セキュリティ処理(例えばアラート処理)を行う(ステップ1711)。
図18は、図15の処理において生成された印刷チェックスレッドに従う処理の流れを示す。
本スレッドでは、ダイアログ操作監視モジュール340は、印刷ダイアログが表示されているかをチェックする(ステップ1801)。そして、ダイアログが表示されている場合、ダイアログ操作監視モジュール340は、印刷を指示したアプリケーションプログラムのプロセスのIDを取得する(ステップ1802)。ダイアログ操作監視モジュール340は、そのプロセスがオープンしているファイル一覧からファイル名を取得し(ステップ1803)、印刷対象のファイルのフルパスを構成した上で(ステップ1804)、ステップ1801を実行する。
この後、ユーザが、ダイアログの印刷ボタン等をクリックしてダイアログが非表示になると、ダイアログ操作監視モジュール340は、印刷対象ファイルから入力元識別子を読み込む(ステップ1805)。ダイアログ操作監視モジュール340は、その入力元識別子から特定される入力元が、セキュリティポリシ392が表すセキュリティ処理定義に適合する場合、セキュリティ処理(例えばアラート処理)を行う(ステップ1806)。
図19は、ファイル操作監視モジュール350が実行する処理の流れを示す。
ファイル操作監視モジュール350は、ユーザがクライアントPC121にログオンしたタイミングで起動される。そして、ファイル操作監視モジュール350は、マウスイベントのフックを開始し(ステップ1901)、その後、ファイル操作監視モジュール350は、マウスを用いたファイル操作(ファイルに対するユーザ操作)を監視する。ファイル操作(イベント)を検知したときには、ファイル操作監視モジュール350は、検知したファイル操作が右クリックか否かを判断する(ステップ1902)。
ファイル操作が右クリックであった場合、ファイル操作監視モジュール350は、フォアグラウンドウィンドウでのマウスカーソル座標を取得し(ステップ1903)、ブラウザウィンドウの座標への変換処理を実行する(ステップ1904)。ファイル操作監視モジュール350は、ブラウザ監視モジュール330に、ステップ1904で取得した座標を通知し(ステップ1905)、再びイベント監視を行う。
一方、ステップ1902で、ファイル操作が右クリックでない場合、ファイル操作監視モジュール350は、ドラッグイベントか否かを判断する(ステップ1906)。ファイル操作がドラッグイベントでない場合、ファイル操作監視モジュール350は、再びイベント監視を行う。
ファイル操作がドラッグイベントである場合、ファイル操作監視モジュール350は、ドラッグされたファイルがドロップされるイベントを検出する。ファイル操作監視モジュール350は、ファイルがファイルエクスプローラ上でドラッグされメーラ上でドロップされたか否かを判断する(ステップ1907)。
ステップ1907の判断の結果が肯定的の場合(ステップ1907:Yes)、ファイル操作監視モジュール350は、そのファイルのフルパスを取得し(ステップ1908)、そのフルパスで示されるファイルの入力元識別子を読み込む(ステップ1909)。ファイル操作監視モジュール350は、その入力元識別子から特定される入力元が、セキュリティポリシ392が表すセキュリティ処理定義に適合する場合、セキュリティ処理(例えばアラート処理)を行う(ステップ1910)。
ステップ1907の判断の結果が否定的の場合(ステップ1907:No)、ファイル操作監視モジュール350は、ドラッグ&ドロップイベントが、メーラ上でドラッグされ、ファイルエクスプローラ上でドロップされたイベントであるか否かを判断する(ステップ1911)。
ステップ1911の判断の結果が否定的の場合(ステップ1911:No)、ファイル操作監視モジュール350は、再びイベント監視を行う。ステップ1911の判断の結果が肯定的の場合(ステップ1911:Yes)、ファイル操作監視モジュール350は、ファイルのドロップ先のファイルパスを取得する(ステップ1912)。次に、ファイル操作監視モジュール350は、ステップ1912で取得したファイルパスが示すファイルのハッシュ値を計算し(ステップ1913)する。ファイル操作監視モジュール350は、そのハッシュ値と一致するハッシュ値に対応した送信者名を入力元DBから特定し(ステップ1914)、特定された送信者名(入力元)が組織内別ユーザであるなどの条件に一致する場合、ステップ1912で取得したフルパスで示されるファイルに対し、入力元識別子を書き込む(ステップ1915)。
なお、図12に示した処理において、ドラッグ元がファイルサーバ115でドロップ先がローカルファイルシステム209である場合、ファイル操作監視モジュール350は、ステップ1912とステップ1915と同様の処理を行えばよい。また、ドラッグ元がローカルファイルシステム209で、ドロップ先がリムーバブルメディアである場合、ファイル操作監視モジュール350は、ステップ1908とステップ1910と同様の処理を行えばよい。また、ドラッグ元がファイルサーバ115で、ドロップ先がリムーバブルメディアである場合、ファイル操作監視モジュール350は、ステップ1910と同様の処理を行えばよい。
図20は、TCP通信監視モジュール360が実行する処理の流れを示す。
TCP通信監視モジュール360は、ユーザがクライアントPC121にログオンしたタイミングで起動され、1以上の所定のプロトコル(例えば、SMTP、POP3、IMAP4)に従って通信されるデータを監視する。TCP通信監視モジュール360は、ソケット通信の監視を開始し(ステップ2001)、所定のプロトコルで通信されたデータかどうかを判断する(ステップ2002)。
ステップ2002の判断の結果が否定的の場合(ステップ2002:No)、TCP通信監視モジュール360は、ソケット通信の監視を再び行う。ステップ2002の判断の結果が肯定的の場合(ステップ2002:Yes)、TCP通信監視モジュール360は、ステップ2003以降の処理を実施する。
ステップ2003では、TCP通信監視モジュール360は、メールを解析する。これにより、TCP通信監視モジュール360は、メールのヘッダ領域より、送信者および受信者を特定し、MIME(Multipurpose Internet Mail Extension)パートより、添付ファイルの有無およびファイル名などを特定することができる。
次に、TCP通信監視モジュール360は、メールに添付ファイルがあるかどうかを判断する(ステップ2004)。
ステップ2004の判断の結果が肯定的の場合(ステップ2004:Yes)、TCP通信監視モジュール360は、さらに、プロトコル種別がメール受信用のプロトコル(例えばPOP3もしくはIMAP4)であるか否かを判断する(ステップ2005)。
ステップ2005の判断の結果が肯定的の場合(ステップ2005:Yes)、TCP通信監視モジュール360は、送信者名及び添付ファイル名を受信メールから特定する(ステップ2006)。TCP通信監視モジュール360は、添付ファイルをデコードした後、ハッシュ値を計算し(ステップ2007)、添付ファイル名及びハッシュ値を入力元DB393に登録する。その後、TCP通信監視モジュール360は、ソケット通信の監視を再び行う。
一方、ステップ2005の判断の結果が否定的の場合(プロトコル種別が、メール送信用のプロトコル(例えばSMTP)の場合)(ステップ2005:No)、TCP通信監視モジュール360は、送信先情報及び添付ファイル名を送信メールから取得する(ステップ2009)。TCP通信監視モジュール360は、ダイアログ監視モジュール350およびファイル監視モジュール360に、ステップ2009で取得した情報を送付する。
以上の構成および処理により、本システムでは、監視対象とは異なる機器よりクライアントPC121に入力されたファイルが、検査対象となる機器に出力されたことを識別することが可能となる。クライアントPC121にファイルを入力する操作としては、例えば、下記の操作、
(1)Webブラウザを用いてファイルをダウンロードする操作、
(2)受信したメールに添付されているファイルをローカルファイルシステム209に保存する操作、
(3)ファイルエクスプローラを用いてファイルサーバからローカルファイルシステム209へファイルを保存(コピー又は移動)する操作、
がある。それらのいずれの操作でも、入力されたファイルには、入力元識別子が付与される。
クライアントPC121のローカルファイルシステムに入力されたファイルが処理(例えば、コピー、名前変更、或いは、移動)されても、処理後のファイル(例えば、コピーされたファイル)に入力元識別子が付与される機能が備わっているファイルシステムプログラム(例えばMicrosoft社のNTFS)がある。ファイルの出力操作として、例えば、下記の操作、
(1)Webブラウザを用いてファイルをアップロードする操作、
(2)ファイルが添付されたメールを送信する操作、
(3)ファイルが有する情報を印刷するための操作、
(4)リムーバブルメディアへファイルを保存(コピー又は移動)する操作、
がある。出力操作が行われる際に、セキュリティ処理(例えばアラート処理)を行うことが可能である。
セキュリティ処理(例えばアラート処理)を行うことの条件(セキュリティポリシが有する情報が表す条件)は、入力元識別子が有する情報に関する条件であって良い。例えば、出力されるファイルが、Webブラウザを用いてダウンロードされたファイルである場合、上記条件は、出力されるファイルの入力元識別子が組織内Webサーバを表していることであって良い。また、例えば、エージェント122が、入力元識別情報が有する情報(例えばURL)を基に、重要なファイルが格納されているWebサーバを識別することができる場合、上記条件は、入力元識別子が、特定のWebサーバのURLを有することであっても良い。
また、上記条件は、出力操作を行う時刻、出力操作を行う時間帯、出力されるファイルの種別、出力されるファイルのサイズのうちの少なくとも1つを含んでいても良い。
本実施例によれば、ユーザが、組織内別ユーザ(組織内の別のクライアントPC121)によって作成されたファイルを自分のクライアントPC121に入力した後、そのファイルを組織外に出力した操作を、不正操作として検出することが可能である。そのようなファイルは、機密情報である可能性がある。従って、機密情報が漏えいするリスクの高い操作を不正操作として検出することができる。そして、そのような不正操作を検出した場合、管理者にアラートを出力する(或いは、ファイルの出力を禁止する)ことができる。
以下、本発明の実施例2を説明する。その際、実施例1との相違点を主に説明し、実施例1との共通点については説明を省略或いは簡略する。
本実施例では、不正操作に該当する条件を、クライアントPCの管理者(以下、管理者)(例えば、情報センタ101にいる者)が柔軟に変更することができる。具体的には、例えば、管理者が、セキュリティポリシ392に記載する条件を変更することができる。前述したセキュリティポリシ392(及びシステムポリシ391)は、例えば、管理者によって作成され管理サーバ111内の記憶資源に格納されて良い。マネージャ112が、セキュリティポリシ392(及びシステムポリシ391)を、クライアントPC121に送信して良い。エージェント122が、管理サーバ111からのセキュリティポリシ392(及びシステムポリシ391)を、ローカルファイルシステム209に格納して良い。
本実施例により、例えば、クライアントPCが、組織内Webサーバと組織外Webサーバにアクセス可能であるケースにおいて、組織内Webサーバからダウンロードしたファイルを組織外Webサーバに送信する場合のみ、エージェント122が、アラートを生成しそのアラートを管理サーバ111に送信することができる。また、クライアントPCが、組織外Webサーバからダウンロードしたファイルを組織内Webサーバに格納する場合は、エージェント122は、アラートを生成しないこともできる。つまり、利用状況(ファイルの入力元及び出力先)に応じて、セキュリティ処理を行うか否か(例えば、アラートを生成するか否か)を柔軟に変更することができる。
実施例2のような制御が行われない場合、多数のアラートが発生してしまい、それ故、管理者が、重要なアラートの把握が困難になってしまうことが考えられる。
以下、本実施例を詳細に説明する。
図23は、実施例2に係るクライアントPCの機能ブロック図である。
不正操作検知フィルタ2301がある。不正操作検知フィルタ2301は、入力元および出力先と、クライアントの管理領域とを区分する。不正操作検知フィルタ2301の配置は、イメージであり、実際には、不正操作検知フィルタ2301は、実質的に、セキュリティポリシである。セキュリティポリシに記載する条件を変更することにより、アラートの対象とする不正操作の条件を変えることができる。
図24は、実施例2に係るエージェントが行う不正操作処理の流れを示す。
ステップ2401で、エージェント122は、ユーザ操作を検知する。エージェント122は、検知したユーザ操作についてログを作成して良い。図24の説明において、ステップ2401で検知されたユーザ操作を「対象ユーザ操作」と言い、対象ユーザ操作のログを「対象ログ」と言う。
次に、ステップ2402で、エージェント122は、対象ユーザ操作が、入力元から管理領域へファイルを入力する操作(例えば、組織外から組織内へファイルを入力する操作)であるか否かをチェックする。
ステップ2402の判断の結果が肯定的である場合(ステップ2402:Yes)、ステップ2403で、エージェント122は、対象ユーザ操作が不正操作条件(セキュリティポリシに記載の条件)に該当するか否かを判断する。
ステップ2403の判断の結果が肯定的である場合(ステップ2403:Yes)、ステップ2404で、エージェント122は、不正操作チェックフラグをONとする。その不正操作チェックフラグは、例えば、対象ログにある。対象ログは、エージェント122によって管理サーバ111に送信され、マネージャ112が、受信した対象ログを、図29に示す操作ログ格納テーブル(例えば、管理サーバ111内の記憶資源に記憶されているテーブル)に、追加しても良い。
ステップ2402の判断の結果が否定的である場合(ステップ2402:No)、ステップ2403の判断の結果が否定的である場合(ステップ2403:No)、又は、ステップ2404が行われた場合、ステップ2405が行われる。ステップ2405で、エージェント122が、対象ユーザ操作が管理領域から出力先へファイルを出力する操作(例えば、組織内から組織外へファイルを出力する操作)であるか否かを判断する。
ステップ2405の判断の結果が肯定的である場合(ステップ2405:Yes)、ステップ2406で、エージェント122は、対象ユーザ操作が不正操作条件(セキュリティポリシに記載の条件)に該当するか否かを判断する。
ステップ2406の判断の結果が肯定的である場合(ステップ2406:Yes)、ステップ2407で、エージェント122は、対象ユーザ操作に対応する不正操作チェックフラグがONか否かを判断する。
ステップ2407の判断の結果が肯定的である場合(ステップ2407:Yes)、エージェント122は、ステップ2408で、アラートを生成し、生成したアラートを、管理サーバ111に送信する。この場合、管理サーバ111内のマネージャ112が、クライアントPC121からアラートを受信し、受信したアラートを、表示デバイス2208に表示する、及び/又は、管理サーバ111内の記憶資源に格納する。
以上の流れによれば、下記の通りである。
(*)対象ユーザ操作が、入力元から管理領域へファイルを入力する操作であるが、不正操作条件に該当しない場合、ステップ2403がNo、且つ、ステップ2405がNoとなり、処理が終了する。
(*)対象ユーザ操作が、管理領域から出力先へファイルを出力する操作である場合、ステップ2402がNoとなり、ステップ2405が行われる。
(*)対象ユーザ操作が、管理領域から出力先へファイルを出力する操作であるが、不正操作条件に該当しない場合、ステップ2402がNo、ステップ2405がYes、且つ、ステップ2406がNoとなり、処理が終了する。
(*)対象ユーザ操作が、管理領域から出力先へファイルを出力する操作であり、不正操作条件に該当するものの、そのファイルの入力操作に対応した不正操作チェックフラグがOFFになっている場合、ステップ2402がNo、ステップ2405がYes、ステップ2406がYes、且つ、ステップ2407がNoとなり、処理が終了する。つまり、ファイルの出力操作が不正操作条件に該当しても、アラートが生成されない。
セキュリティポリシは、例えば、図25乃至図27に示す情報の組合せを含んだ情報である。
図25によれば、セキュリティポリシに、ユーザ操作種別(操作ログ取得項目)が記載されている。操作ログ取得項目として、例えば、Webアップロード及びダウンロード、FTPを介したファイル送信及び受信、添付ファイル付メールの送信、受信及び保存などがある。なお、項目の内容は、管理者が自由に変更して良い。
図26は、図25に示す情報内のレコードX(ファイルコピー又はファイル移動に対応したレコード)に関連付けられている情報を示す。
図26に示す情報は、入力元としての記憶デバイスの種類と、管理領域内の記憶デバイスの種類との関係を示す。図中の「○」が、不正操作に該当することを表している。従って、例えば、入力元としての記憶デバイスも管理領域内の記憶デバイスもローカルドライブ(例えば、クライアントPCに内臓のハードディスクドライブ)であるファイルコピーは、不正操作に該当しないと判断される。一方、例えば、入力元としての記憶デバイスがリモートドライブ(例えばネットワークドライブ)であり管理領域内の記憶デバイスがローカルドライブであるファイルコピーは、不正操作に該当すると判断される。
図27は、図25に示す情報内のレコードY(ファイルコピー又はファイル移動に対応したレコード)に関連付けられている情報を示す。
図27に示す情報は、出力先としての記憶デバイスの種類と、管理領域内の記憶デバイスの種類との関係を示す。図中の「○」が、不正操作に該当することを表している。従って、例えば、出力先としての記憶デバイスも管理領域内の記憶デバイスもローカルドライブであるファイルコピーは、不正操作に該当しないと判断される。一方、例えば、出力先としての記憶デバイスがリムーバブルドライブ(例えばUSB接続のフラッシュメモリ)であり管理領域内の記憶デバイスがローカルドライブであるファイルコピーは、不正操作に該当すると判断される。
図28は、セキュリティポリシに対する条件設定を行う画面の一例を示す。
画面2801は、入力元及び/又は出力先の電子メールアドレスの条件を設定するための画面である。
管理者が、アドレス設定欄2802に、電子メールアドレスの一部(例えばドメイン)(又は全部)である文字列(以下、メールアドレス文字列)を設定する。
例えば、ファイルが添付された電子メールの送信元の電子メールアドレスが、この画面2801を介して設定されたメールアドレス文字列を含む場合、不正操作チェックフラグがONとされる。そして、ファイルが添付された電子メールの送信先の電子メールアドレスが、この画面2801を介して設定されたメールアドレス文字列を含む場合、そのファイルに対応する入力操作について不正操作チェックフラグがONとなっていれば、その電子メールの送信が、不正操作であると判断される。
また、FTP送受信やWebアップロード/ダウンロードなどの監視設定を行う画面の場合には、プライベートなアドレスであるかグローバルなアドレスであるか否かを問わず、URLの一部分(例えばドメイン)(又は全部)が設定されて良い。以下、その設定された文字列を「URL文字列」と言う。入力元に対応するURLが、その設定されたURL文字列を含んでいれば、例えば、不正操作チェックフラグがONとされる。
方向設定欄2803には、チェックする方向を表す情報が設定される。ここで言う「方向」とは、ファイルの流れの方向である。具体的には、「入力元から管理領域」という方向と、「管理領域から出力先」という方向と、それらの両方との3種類がある
動作設定欄2804には、この設定でチェックされた場合にそれを不正操作として判断するかしないかが設定される。
上記の設定欄2802、2803及び2804に情報が設定され、OKボタン2805が押されれば、その情報がセキュリティファイルに設定される。一方、キャンセルボタン2806が押されれば、設定欄2802、2803及び2804に設定された情報がキャンセルされる。
この画面2801に、下記のような情報が設定され、OKボタン2805が押されたとする。
(*)設定欄2802に、管理者任意の電子メールアドレスが設定される。
(*)設定欄2803に、「入力元から管理領域」が設定される。
(*)設定欄2804に、「不正操作とする」が設定される。
上述のように設定した場合、設定された電子メールアドレスを送信元としてクライアントPCに添付ファイル付きのメールの送信があった場合、不正操作の可能性があるとして、不正操作チェックフラグがONにされる。
図29は、操作ログ格納テーブルの構成を示す。
操作ログ格納テーブルは、例えば、管理サーバ111の記憶資源に格納されている。操作ログ格納テーブルの1行は、1つの操作ログに対応する。管理サーバ111のマネージャ112が、操作ログを、管理サーバ111の管理対象の1以上のクライアントPCから受信し、その操作ログを、操作ログ格納テーブルに追加する。
操作ログは、例えば、図29に示す通り、下記の情報、
(*)ユーザ操作が検知された日時を表す「操作日時」、
(*)ユーザ操作を検知したクライアントPCの識別子である「クライアント識別子」、
(*)検知されたユーザ操作を表す「操作種別」及び「操作種別サブコード」
(*)不正操作チェックフラグ、
を有する。不正操作チェックフラグは、「1」が、ONを意味し、「NULL」が、OFFを意味する。「操作種別」及び「操作種別サブコード」の組合せにより、検地されたユーザ操作を特定することができる。「操作種別」及び「操作種別サブコード」の組合せの例は、図32に示す通りである。
取得された複数の操作ログが、図30に示すように、管理サーバ111の表示デバイス2208に一覧表示される。この一覧表示される情報項目は、管理者が任意に選択できても良い。また、操作ログについて、不正操作と検知されアラートが発生している場合、マネージャ112が、操作ログと共にアラートも表示して良い。
また、図30に示した画面に代えて又は加えて、マネージャ112は、図31に示す画面を、表示しても良い。図31に示す画面は、管理サーバ111の記憶資源に蓄積されている操作ログと、アラートとに基づいている。
本実施例によれば、管理者が設定したセキュリティポリシに基づいて、管理者にとって不正操作である可能性が高いユーザ操作のみが、不正操作と判断されるようにすることができる。このため、たくさんのアラートが発生したが故に管理者が重要なアラートを見落としてしまうといったことが生じないようにすることが期待できる。すなわち、情報漏えいのリスクを低減しつつ、特定の操作が行われた場合にのみ不正と判断することが可能な機能を実現することができる。
また、本実施例によれば、どのようなユーザ操作を不正操作とするかの条件を詳細に及び/又は柔軟に設定することができる。
また、本実施例によれば、入力元から管理領域へのファイル入力に関するフィルタ(条件)と、管理領域から出力先へのファイル出力に関するフィルタ(条件)を個別に設定することができる。このため、様々なユーザ操作についてエージェント121が不正操作か否かを判断することが可能となる。
例えば、入力元から管理領域へのファイル入力に関しては、特定のサイトからのダウンロードのみを監視対象とし、管理領域から出力先へのファイル出力に関しては、アップロードには制限を設けず添付メールの送受信に関してのみ組織の内外を問わず監視対象とする、というように設定することもできる。このように、設定の組み合わせにより監視対象とする操作にバリエーションを持たせることが可能となる。
以上、本発明の幾つかの実施例を説明したが、本発明は、この実施例に限定されるものでなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
例えば、検知されたユーザ操作が不正操作か否かに関わらず、検知されたユーザ操作の操作ログは必ず作成されても良い。
また、例えば、組織内のサーバには、プライベートアドレスが割り当てられ、組織外のサーバには、グローバルアドレスが割り当てられて良い。
また、例えば、組織内のサーバは、管理者から指定されたIPアドレス範囲内のIPアドレスが割り当てられたサーバであって、組織外のサーバは、管理者から指定されたIPアドレス範囲外のIPアドレスが割り当てられたサーバであって良い。
また、組織外のサーバは、第1サーバへのアクセス(例えばダウンロード)が許可されたユーザ以外のユーザがファイルのアップロード先とできる第2のサーバであって良い。また、別な言い方をすれば組織外のサーバは、第1サーバへのアクセス(例えばアップロード)が許可されたユーザ以外のユーザがファイルのダウンロード元とできる第2のサーバであっても良い。
また、例えば、エージェント121は、出力されるファイルに入力元識別子が付与されていない場合(つまり、入力元がわからない場合)、常に、セキュリティ処理を行っても良い。
また、例えば、セキュリティポリシは、入力元から管理領域へのファイル入力に対応した第1のポリシと、管理領域から出力先へのファイル出力に対応した第2のポリシとを含んでいても良い。
また、例えば、セキュリティポリシは、検知したユーザ操作の操作ログを取得するための条件を表す情報を含んでも良い。検知されたユーザ操作がその条件に該当する場合に、エージェント121が、そのユーザ操作の操作ログを作成しても良い。
また、図26及び図27に示した情報は、入力元、管理領域及び出力先を表す情報として、記憶デバイスの種別を表す情報に代えて又は加えて、クライアントPC121がアクセス可能なサーバ(例えば、組織内Webサーバ、ファイルサーバ、メールサーバ、組織外Webサーバ)の識別子(例えば、IPアドレス、URL、サーバ名)を含んでいても良い。
また、例えば、入力元から管理領域(例えばローカルファイルシステム209)へのファイル入力の場合、操作ログが作成されなくても良いし、入力元識別子が入力されたファイルに付与されなくても良い。
また、例えば、アラートは、そのアラートに対応するユーザ操作について、ファイルの入力元を表す情報と、ファイルの出力先を表す情報との少なくとも一方を含んで良い。
また、例えば、ハッシュ値を取得する方法とは別の方法で、添付されたファイルと、入力又は送信されたファイルとの対応関係が特定されて良い。また、添付されたファイルと、入力又は送信されたファイルとの類似度が所定値以上であれば、添付されたファイルと入力又は送信されたファイルとが同じであるとみなされても良い。
111…管理サーバ、121…クライアントPC

Claims (15)

  1. 所定のグループ内のユーザが使用し記憶資源を有し1以上のサーバ及び1以上の記憶デバイスの少なくとも1つが接続されている計算機であるクライアント計算機に対して前記クライアント計算機に接続されたサーバ又は記憶デバイスから前記クライアント計算機内の記憶資源にデータを入力するための入力操作も前記クラアント計算機の記憶資源内のデータを前記クライアント計算機に接続されたサーバ又は記憶デバイスに送信する送信操作も行うユーザの不正操作を検知する方法であって、
    (A)ユーザ操作を検知し、
    (B)前記(A)で検知したユーザ操作が前記入力操作である場合、前記入力操作が不正操作であるか否かを、前記入力操作を不正操作とするか否かを入力元となり得るサーバの識別子毎及び/又は記憶デバイスの種別毎に有する第1のポリシ情報を基に判断し、前記(A)で検知したユーザ操作が前記送信操作である場合、前記送信操作が不正操作であるか否かを、前記送信操作を不正操作とするか否かを送信先となり得るサーバの識別子毎及び/又は記憶デバイスの種別毎に有する第2のポリシ情報を基に判断し、
    (C)前記(B)の判断の結果が肯定的の場合に、アラートを生成しそのアラートを管理サーバに送信する処理と前記検知したユーザ操作に従うデータ入力又はデータ送信を禁止する処理との少なくとも一方の処理であるセキュリティ処理を行
    不正操作検知方法。
  2. 請求項1記載の不正操作検知方法であって、
    前記(A)において、前記データが、前記グループ内のサーバ又は記憶デバイスから入力されたデータであり、且つ、前記データの送信先が、前記グループ内のサーバ又は記憶デバイスの場合、前記(B)の判断の結果が、否定的である、
    不正操作検知方法。
  3. 請求項1記載の不正操作検知方法であって、
    前記(A)において、前記データが、前記グループ外のサーバ又は記憶デバイスから入力されたデータである場合、前記(B)の判断の結果が、否定的である、
    不正操作検知方法。
  4. 請求項1記載の不正操作検知方法であって、
    (E)前記第1又は第2のポリシ情報に設定すべき情報の入力を管理者から受け付ける設定画面を表示し、前記設定画面を介して設定された情報を前記第1又は第2のポリシ情報に含め、
    前記設定画面には、データ入力であるかデータ送信であるかを表すデータ方向情報と、前記サーバ又は記憶デバイスに関する情報とが前記管理者から入力され、
    前記(E)において、入力された前記データ方向情報がデータ入力を表す場合、前記設定画面を介して設定された情報を、前記第1のポリシ情報に含め、入力された前記データ方向情報がデータ送信を表す場合、前記設定画面を介して設定された情報を、前記第2のポリシ情報に含める、
    不正操作検知方法。
  5. 請求項1記載の不正操作検知方法であって、
    前記アラートが、前記データの入力元及び送信先の少なくとも一方を表す情報を含んでいる、
    不正操作検知方法。
  6. 請求項1記載の不正操作検知方法であって、
    前記データの入力元が不明の場合、前記(C)が行われる、
    不正操作検知方法。
  7. 請求項1記載の不正操作検知方法であって、
    前記セキュリティ処理は、アラートを生成しそのアラートを管理サーバに送信する処理を含み、
    前記(A)で検知したユーザ操作が前記送信操作であり前記()の判断の結果が肯定的であっても、前記送信操作の対象となる前記データの前記入力操作について前記(B)の判断の結果が否定的となった履歴があれば、前記(C)行わない
    不正操作検知方法。
  8. 所定のグループ内のユーザが使用し1以上のサーバ及び1以上の記憶デバイスの少なくとも1つが接続された計算機であって、
    記憶資源と、
    前記記憶資源に接続され前記ユーザから入力操作も送信操作も受け付けるプロセッサと
    を有し、
    前記記憶資源が、前記入力操作を不正操作とするか否かを入力元となり得るサーバの識別子毎及び/又は記憶デバイスの種別毎に有する第1のポリシ情報と、前記送信操作を不正操作とするか否かを送信先となり得るサーバの識別子毎及び/又は記憶デバイスの種別毎に有する第2のポリシ情報を記憶し、
    前記入力操作は、前記計算機に接続されているサーバ又は記憶デバイスから前記記憶資源にデータを入力するためのユーザ操作であり、
    前記送信操作は、前記記憶資源内のデータを前記計算機に接続されているサーバ又は記憶デバイスに送信するユーザ操作であり、
    前記プロセッサが、
    (A)ユーザ操作を検知し、
    (B)前記(A)で検知したユーザ操作が前記入力操作である場合、前記入力操作が不正操作であるか否かを、前記第1のポリシ情報を基に判断し、前記(A)で検知したユーザ操作が前記送信操作である場合、前記送信操作が不正操作であるか否かを、前記第2のポリシ情報を基に判断し、
    (C)前記(B)の判断の結果が肯定的の場合に、アラートを生成しそのアラートを管理サーバに送信する処理と前記検知したユーザ操作に従うデータ入力又はデータ送信を禁止する処理との少なくとも一方の処理であるセキュリティ処理を行
    計算機。
  9. 請求項8記載の計算機であって、
    前記(A)において、前記データが、前記グループ内のサーバ又は記憶デバイスから入力されたデータであり、且つ、前記データの送信先が、前記グループ内のサーバ又は記憶デバイスの場合、前記(B)の判断の結果が、否定的である、
    計算機。
  10. 請求項8記載の計算機であって、
    前記(A)において、前記データが、前記グループ外のサーバ又は記憶デバイスから入力されたデータである場合、前記(B)の判断の結果が、否定的である、
    計算機。
  11. 請求項8記載の計算機であって、
    前記プロセッサが、
    (E)前記第1又は第2のポリシ情報に設定すべき情報の入力を管理者から受け付ける設定画面を表示し、前記設定画面を介して設定された情報を前記第1又は第2のポリシ情報に含め、
    前記設定画面には、データ入力であるかデータ送信であるかを表すデータ方向情報と、前記サーバ又は記憶デバイスに関する情報とが前記管理者から入力され、
    前記(E)において、入力された前記データ方向情報がデータ入力を表す場合、前記プロセッサは、前記設定画面を介して設定された情報を、前記第1のポリシ情報に含め、入力された前記データ方向情報がデータ送信を表す場合、前記設定画面を介して設定された情報を、前記第2のポリシ情報に含める、
    計算機。
  12. 請求項8記載の計算機であって、
    前記アラートが、前記データの入力元及び送信先の少なくとも一方を表す情報を含んでいる、
    計算機。
  13. 請求項8記載の計算機であって、
    前記データの入力元が不明の場合、前記プロセッサが、前記(C)を行う、
    計算機。
  14. 請求項8記載の計算機であって、
    前記セキュリティ処理は、アラートを生成しそのアラートを管理サーバに送信する処理を含み、
    前記(A)で検知したユーザ操作が前記送信操作であり前記()の判断の結果が肯定的であっても、前記送信操作の対象となる前記データの前記入力操作について前記(B)の判断の結果が否定的となった履歴があれば、前記プロセッサが、前記(C)を行わない
    計算機。
  15. 所定のグループ内のユーザが使用し記憶資源を有し1以上のサーバ及び1以上の記憶デバイスの少なくとも1つが接続され前記ユーザから入力操作も送信操作も受け付ける計算機で実行されるコンピュータプログラムであって、
    (A)ユーザ操作を検知し、
    (B)前記(A)で検知したユーザ操作が、前記計算機に接続されたサーバ又は記憶デバイスから前記記憶資源にデータを入力するための入力操作である場合、前記入力操作が不正操作であるか否かを、前記入力操作を不正操作とするか否かを入力元となり得るサーバの識別子毎及び/又は記憶デバイスの種別毎に有する第1のポリシ情報を基に判断し、前記(A)で検知したユーザ操作が、前記記憶資源内のデータを前記計算機に接続されたサーバ又は記憶デバイスに送信する送信操作である場合、前記送信操作が不正操作であるか否かを、前記送信操作を不正操作とするか否かを送信先となり得るサーバの識別子毎及び/又は記憶デバイスの種別毎に有する第2のポリシ情報を基に判断し、
    (C)前記(B)の判断の結果が肯定的の場合に、アラートを生成しそのアラートを管理サーバに送信する処理と前記検知したユーザ操作に従うデータ入力又はデータ送信を禁止する処理との少なくとも一方の処理であるセキュリティ処理を行う、
    ことを前記計算機に実行させるコンピュータプログラム。
JP2012522371A 2010-06-29 2010-06-29 不正操作検知方法、及び、不正操作を検知する計算機 Active JP5525048B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2010/061013 WO2012001765A1 (ja) 2010-06-29 2010-06-29 不正操作検知方法、及び、不正操作を検知する計算機

Publications (2)

Publication Number Publication Date
JPWO2012001765A1 JPWO2012001765A1 (ja) 2013-08-22
JP5525048B2 true JP5525048B2 (ja) 2014-06-18

Family

ID=45353919

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012522371A Active JP5525048B2 (ja) 2010-06-29 2010-06-29 不正操作検知方法、及び、不正操作を検知する計算機

Country Status (3)

Country Link
US (1) US8533850B2 (ja)
JP (1) JP5525048B2 (ja)
WO (1) WO2012001765A1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8750557B2 (en) * 2011-02-15 2014-06-10 Ebay Inc. Identifying product metadata from an item image
KR101250028B1 (ko) * 2011-04-25 2013-04-03 한국과학기술원 컨텐츠 프로바이더로부터 미디어 컨텐츠를 수집하는 정보 전달 장치 및 방법
WO2013145125A1 (ja) * 2012-03-27 2013-10-03 株式会社日立製作所 コンピュータシステム及びセキュリティ管理方法
JP6458345B2 (ja) * 2013-02-28 2019-01-30 株式会社リコー 電子情報連携システム
KR101678168B1 (ko) * 2015-03-13 2016-11-21 네이버 주식회사 효율적인 메일 검색을 위한 메일 서비스 시스템 및 방법
US10114966B2 (en) * 2015-03-19 2018-10-30 Netskope, Inc. Systems and methods of per-document encryption of enterprise information stored on a cloud computing service (CCS)
JP2016224819A (ja) * 2015-06-02 2016-12-28 日本電信電話株式会社 業務管理システム、業務管理方法および業務管理プログラム
US11425169B2 (en) 2016-03-11 2022-08-23 Netskope, Inc. Small-footprint endpoint data loss prevention (DLP)
US10834113B2 (en) 2017-07-25 2020-11-10 Netskope, Inc. Compact logging of network traffic events
CN107633173B (zh) * 2017-09-06 2021-08-17 北京金山安全管理系统技术有限公司 文件处理方法和装置
CN110149810B (zh) * 2017-12-08 2021-02-26 谷歌有限责任公司 限制在网络环境中操纵内容的传输系统和方法及数字助理装置
US10671370B2 (en) * 2018-05-30 2020-06-02 Red Hat, Inc. Distributing file system states
US11416641B2 (en) 2019-01-24 2022-08-16 Netskope, Inc. Incident-driven introspection for data loss prevention
US11856022B2 (en) 2020-01-27 2023-12-26 Netskope, Inc. Metadata-based detection and prevention of phishing attacks
US11526612B2 (en) * 2020-09-22 2022-12-13 International Business Machines Corporation Computer file metadata segmentation security system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002288030A (ja) * 2001-03-27 2002-10-04 Hitachi Software Eng Co Ltd データ持ち出し禁止用プログラム
JP2007334386A (ja) * 2006-06-12 2007-12-27 Hitachi Software Eng Co Ltd 機密情報の管理プログラム
WO2008129915A1 (ja) * 2007-04-18 2008-10-30 Hitachi Software Engineering Co., Ltd. 電子メールのフィルタリング手段を備えた機器
JP2010015543A (ja) * 2008-06-03 2010-01-21 Hitachi Ltd ファイル管理システム

Family Cites Families (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3584540B2 (ja) 1995-04-20 2004-11-04 富士ゼロックス株式会社 文書複写関係管理システム
JPH0944432A (ja) 1995-05-24 1997-02-14 Fuji Xerox Co Ltd 情報処理方法および情報処理装置
JPH0954735A (ja) 1995-06-07 1997-02-25 Fuji Xerox Co Ltd 情報処理方法及び情報処理装置
US6412017B1 (en) 1996-07-01 2002-06-25 Microsoft Corporation Urgent replication facility
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US6119208A (en) 1997-04-18 2000-09-12 Storage Technology Corporation MVS device backup system for a data processor using a data storage subsystem snapshot copy capability
US6067541A (en) 1997-09-17 2000-05-23 Microsoft Corporation Monitoring document changes in a file system of documents with the document change information stored in a persistent log
JP3832077B2 (ja) 1998-03-06 2006-10-11 富士ゼロックス株式会社 文書管理装置
JP2001273388A (ja) 2000-01-20 2001-10-05 Hitachi Ltd セキュリティ管理システムおよび方法
JP2003044297A (ja) 2000-11-20 2003-02-14 Humming Heads Inc コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム
US7062649B2 (en) * 2001-01-12 2006-06-13 Hewlett-Packard Development Company, L.P. System and method for categorizing security profile rules within a computer system
JP3744361B2 (ja) 2001-02-16 2006-02-08 株式会社日立製作所 セキュリティ管理システム
US6996672B2 (en) 2002-03-26 2006-02-07 Hewlett-Packard Development, L.P. System and method for active-active data replication
US8374966B1 (en) 2002-08-01 2013-02-12 Oracle International Corporation In memory streaming with disk backup and recovery of messages captured from a database redo stream
CA2504680C (en) * 2002-10-30 2014-04-01 Vidius Inc. A method and system for managing confidential information
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
JP2004334574A (ja) 2003-05-08 2004-11-25 Hitachi Ltd ストレージの運用管理プログラム、運用管理方法及び管理計算機
US7177865B2 (en) 2003-06-30 2007-02-13 Sap Ag Data synchronization method and system
JP2005078612A (ja) 2003-09-04 2005-03-24 Hitachi Ltd ファイル共有システム及びファイル共有装置間のファイル移行方法
US20050134894A1 (en) * 2003-10-31 2005-06-23 Information Handling Services Inc. Remote access printing systems and methods
JP3758661B2 (ja) * 2003-11-17 2006-03-22 株式会社インテリジェントウェイブ 不正監視プログラム、不正監視の方法及び不正監視システム
JP2005189995A (ja) 2003-12-24 2005-07-14 Hitachi Ltd ファイル授受プロセス管理方法、および、ファイル授受プロセス可視化方法、ならびに、ファイル授受システムにおけるファイル授受プロセス管理装置、および、ユーザ端末
US8180743B2 (en) 2004-07-01 2012-05-15 Emc Corporation Information management
US8011003B2 (en) * 2005-02-14 2011-08-30 Symantec Corporation Method and apparatus for handling messages containing pre-selected data
JP2006302170A (ja) 2005-04-25 2006-11-02 Hitachi Ltd ログ管理方法及び装置
JP2007183911A (ja) 2006-08-17 2007-07-19 Intelligent Wave Inc 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム
JP2008052570A (ja) 2006-08-25 2008-03-06 Hitachi Software Eng Co Ltd 操作履歴管理システム
JP4518056B2 (ja) * 2006-09-25 2010-08-04 富士ゼロックス株式会社 文書操作認証装置、及びプログラム
US8181036B1 (en) * 2006-09-29 2012-05-15 Symantec Corporation Extrusion detection of obfuscated content
US7788235B1 (en) 2006-09-29 2010-08-31 Symantec Corporation Extrusion detection using taint analysis
JP4742010B2 (ja) 2006-10-20 2011-08-10 日立キャピタル株式会社 個人情報ファイルの監視システム
JP2008109380A (ja) * 2006-10-25 2008-05-08 Media Exchange Inc 電子メール送受信システム
US7966426B2 (en) 2006-11-14 2011-06-21 Microsoft Corporation Offline synchronization capability for client application
JP5045118B2 (ja) 2007-01-26 2012-10-10 富士ゼロックス株式会社 文書管理装置、文書管理システム及びプログラム
JP4058467B1 (ja) 2007-05-17 2008-03-12 クオリティ株式会社 電子メールシステムおよび電子メール送受信プログラム
JP2008310417A (ja) 2007-06-12 2008-12-25 Hitachi Ltd アクセス状況監視システム
KR100912870B1 (ko) 2007-06-12 2009-08-19 삼성전자주식회사 컨텐츠 및 메타데이터의 무결성 보장 시스템 및 방법
JP5179792B2 (ja) 2007-07-13 2013-04-10 株式会社日立システムズ 操作検知システム
JP5127489B2 (ja) 2008-02-07 2013-01-23 株式会社東芝 情報ライフサイクル管理システム、情報管理サーバ装置、電子媒体制御装置及びプログラム
US8370948B2 (en) * 2008-03-19 2013-02-05 Websense, Inc. System and method for analysis of electronic information dissemination events
JP2009237804A (ja) 2008-03-26 2009-10-15 Sky Co Ltd 電子メールシステム
WO2009147855A1 (ja) 2008-06-03 2009-12-10 株式会社 日立製作所 ファイル管理システム
JP2010003051A (ja) 2008-06-19 2010-01-07 Fuji Xerox Co Ltd 文書情報処理装置、及びプログラム
JP5456425B2 (ja) 2008-10-22 2014-03-26 株式会社日立ソリューションズ コンテンツ認可装置
JP4521462B2 (ja) 2008-12-26 2010-08-11 株式会社東芝 情報ライフサイクル管理システム、情報管理サーバ装置、情報媒体制御装置及びプログラム
US8286253B1 (en) * 2009-11-23 2012-10-09 Trend Micro Incorporated Data leakage prevention for resource limited device
US8843567B2 (en) * 2009-11-30 2014-09-23 International Business Machines Corporation Managing electronic messages
US8832802B2 (en) * 2010-02-01 2014-09-09 Protextion Technologies, Llc System for distribution permissions for network communications
JP5396314B2 (ja) * 2010-03-10 2014-01-22 株式会社日立製作所 不正操作検知システム及び不正操作検知方法
US8407341B2 (en) * 2010-07-09 2013-03-26 Bank Of America Corporation Monitoring communications

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002288030A (ja) * 2001-03-27 2002-10-04 Hitachi Software Eng Co Ltd データ持ち出し禁止用プログラム
JP2007334386A (ja) * 2006-06-12 2007-12-27 Hitachi Software Eng Co Ltd 機密情報の管理プログラム
WO2008129915A1 (ja) * 2007-04-18 2008-10-30 Hitachi Software Engineering Co., Ltd. 電子メールのフィルタリング手段を備えた機器
JP2010015543A (ja) * 2008-06-03 2010-01-21 Hitachi Ltd ファイル管理システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6013055274; 一柳 淑美、鈴来 和久、毛利 公一、大久保 英嗣: 'オペレーティングシステムSalviaにおけるデータアクセス制御の記述モデル,' 情報処理学会研究報告 Vol.2005 No.70, 20050722, p.235-p.242, 情報処理学会 *

Also Published As

Publication number Publication date
JPWO2012001765A1 (ja) 2013-08-22
WO2012001765A1 (ja) 2012-01-05
US20110321170A1 (en) 2011-12-29
US8533850B2 (en) 2013-09-10

Similar Documents

Publication Publication Date Title
JP5525048B2 (ja) 不正操作検知方法、及び、不正操作を検知する計算機
JP5396314B2 (ja) 不正操作検知システム及び不正操作検知方法
JP6731687B2 (ja) 電子メッセージベースのセキュリティ脅威の自動軽減
JP5417533B2 (ja) 計算機システムの管理方法及びクライアントコンピュータ
JP6549767B2 (ja) ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
US8914892B2 (en) Method and system to enhance accuracy of a data leak prevention (DLP) system
US20200244680A1 (en) Computer security system with network traffic analysis
JP2008507757A (ja) エンドユーザのリスク管理
US11949699B2 (en) Electronic mail security system
US8627404B2 (en) Detecting addition of a file to a computer system and initiating remote analysis of the file for malware
KR20120087119A (ko) 메일링 리스트용 자동 메시지 검열
JP6851212B2 (ja) アクセス監視システム
WO2012111144A1 (ja) 不正操作検知方法、不正操作検知システム及び計算機読み取り可能な非一時的記憶媒体
JP6517416B1 (ja) 分析装置、端末装置、分析システム、分析方法およびプログラム
CN106796569A (zh) 信息处理装置及程序
Leiba Support for Internet Message Access Protocol (IMAP) Events in Sieve
JP2019125037A (ja) 攻撃種別判定装置、攻撃種別判定方法、及びプログラム
Paquette An ounce of prevention for the healthcare IT network: bots and trojans and spyware, oh my! New threats arrive daily to exploit vulnerable healthcare networks. Here's how to protect yours.
Leiba RFC 6785: Support for Internet Message Access Protocol (IMAP) Events in Sieve
Thurman Plugging holes in antivirus shield: software keeps quashing vulnerability as it should, but how does this worm wriggle in every day?
Arar The empire strikes back: Win XP SP2

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140401

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140410

R150 Certificate of patent or registration of utility model

Ref document number: 5525048

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150