JP5730735B2 - セキュリティ管理システム及び方法並びにプログラム - Google Patents
セキュリティ管理システム及び方法並びにプログラム Download PDFInfo
- Publication number
- JP5730735B2 JP5730735B2 JP2011216809A JP2011216809A JP5730735B2 JP 5730735 B2 JP5730735 B2 JP 5730735B2 JP 2011216809 A JP2011216809 A JP 2011216809A JP 2011216809 A JP2011216809 A JP 2011216809A JP 5730735 B2 JP5730735 B2 JP 5730735B2
- Authority
- JP
- Japan
- Prior art keywords
- client
- server
- unregistered
- log
- decryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title description 15
- 238000007726 management method Methods 0.000 claims description 68
- 238000004458 analytical method Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、予め定めたデバイス制御ポリシーにより、デバイスの使用が制御されているクライアントを含むセキュリティ管理システム及び方法並びにプログラムに係り、不正機器の可能性がある未登録デバイスを使用するユーザの監視を行い、当該未登録デバイスの使用による情報漏洩のリスクを低減させることができるセキュリティ管理システム及び方法並びにプログラムに関するものである。
従来におけるクライアント・サーバ型のセキュリティ管理システムにおけるデバイス制御では、サーバがシステムで一意となるデバイスの使用可否を定義したデバイス制御ポリシーを設定している。
対象となるデバイスは、USBメモリ、外付けHDDといった外部電磁的記録媒体や、無線LAN,Blue Toothといった通信デバイス等、多岐にわたる。
クライアントは、サーバからデバイス制御ポリシーを取得し、デバイス制御ポリシーに従い、ミドルウェアに位置するソフトウェアが、デバイスの使用を制限させる。
ミドルウェア上のソフトウェアは、デバイス接続ログを出力し、ある一定間隔ごとにログサーバに送信する仕組みとなっている。セキュリティ管理者は、送信されたデバイス接続ログから、不審なデバイスが使用されていないかを確認することになる。従来の運用の一例を図10に示す。
対象となるデバイスは、USBメモリ、外付けHDDといった外部電磁的記録媒体や、無線LAN,Blue Toothといった通信デバイス等、多岐にわたる。
クライアントは、サーバからデバイス制御ポリシーを取得し、デバイス制御ポリシーに従い、ミドルウェアに位置するソフトウェアが、デバイスの使用を制限させる。
ミドルウェア上のソフトウェアは、デバイス接続ログを出力し、ある一定間隔ごとにログサーバに送信する仕組みとなっている。セキュリティ管理者は、送信されたデバイス接続ログから、不審なデバイスが使用されていないかを確認することになる。従来の運用の一例を図10に示す。
従来においては、管理者41がデバイス制御ポリシーを管理サーバ42に設定する。
クライアント43は設定されたデバイス制御ポリシーを取得し、当該ポリシーに未登録の不正なデバイスが接続されると前記デバイス制御ポリシーによって不正デバイスの接続を検知し、そのことを示すログをログサーバ44に送信する。管理者41はログサーバ44に収集されたログによって不正デバイスの接続されたクライアント43を検出し、必要な処置を実施する。
クライアント43は設定されたデバイス制御ポリシーを取得し、当該ポリシーに未登録の不正なデバイスが接続されると前記デバイス制御ポリシーによって不正デバイスの接続を検知し、そのことを示すログをログサーバ44に送信する。管理者41はログサーバ44に収集されたログによって不正デバイスの接続されたクライアント43を検出し、必要な処置を実施する。
上記のようなケースで問題となるのが、不正なデバイスの接続が事後の確認となってしまうことである。すなわち、管理者41がデバイス接続ログを確認した時点で不正なデバイスの接続があったことがわかるため、管理者41が確認し、注意を促す、もしくは対象のデバイスの使用を禁止に設定する、といった対策をとろうとしたとしても、すでに過去のこととなってしまっている。
また、通常全てのデバイスの使用を禁止に設定し、不正デバイスの使用を禁止とすることも可能であるが、この場合、業務で必要なデバイスまで禁止されてしまうため、運用に支障をきたす可能性がある。そのため、現状の技術では、管理者41がユーザ45の使用しているデバイスを、デバイス接続ログから確認し、業務で必要なデバイスであるかを判断した上で、デバイス制御ポリシーを更新する必要があり、デバイス制御ポリシーを更新するまでの間は、不正デバイスが不当に利用され、この不正デバイスによって機密データが持ち出されてしまうといった問題がある。
さらに、不正デバイスの使用が業務上必要なため発生したのか、ユーザの悪意によるものなのか判定することが困難であり、ログサーバ44に集められたログからデバイスの利用傾向の分析が困難であるといった問題がある。
不正デバイスの不当な利用を迅速に検知するためには、デバイス接続ログ出力機能に加え、管理者41やユーザ45への通知機能、およびデバイス申請機能が必要となる。関連する技術として、不正アクセスログの管理者への通知を提案した特開2005―228177号公報が挙げられる。
特開2005−228177号公報では、ネットワークのセキュリティ管理においては、検知された不正アクセスのうち緊急度の高い不正アクセスをセキュリティ管理者に通知する仕組みを提案している。
特開2005−228177号公報では、ネットワークのセキュリティ管理においては、検知された不正アクセスのうち緊急度の高い不正アクセスをセキュリティ管理者に通知する仕組みを提案している。
また、使用デバイスの正当性を判断に関連する技術として、承認されたデバイスを承認された範囲内でのみ使用することを可能とするシステムを提案した特開2009−245284号公報が挙げられる。
特開2009−245284号公報では、システムの使用権限のあるユーザが、管理者の意図しない操作を禁止する仕組みを提案している。
特開2009−245284号公報では、システムの使用権限のあるユーザが、管理者の意図しない操作を禁止する仕組みを提案している。
上記特許文献1の技術にあっては、ネットワーク上の不正アクセスを前提としているため、不正侵入検知システムの設置が必要不可欠となっており、USBメモリなどの外部電磁的記録媒体等のデバイスについては考慮されていない。また、不正侵入検知システムが収集した不正アクセスログファイルに対し、緊急度が高いかを判断してから通知を行うため、不正アクセスの通知は事後となってしまい、背景技術で挙げた問題の解決には至らない。さらに、ユーザへの通知も考慮されていないため、不正デバイスを利用しようとしたユーザがなぜデバイスが使用できないのか、わからないままとなってしまう。
上記特許文献2の技術にあっては、不正なアクセスは基本的にすべてユーザによる悪意を持った操作として扱うため、実務運用での柔軟性に欠けるものとなる。また、やむを得ない事情により承認された以上の操作を情報処理対象サーバに対して行う必要が生じた際、管理者から承認を得るまで、「作業待ち」の状態で留まってしまうため、緊急時に迅速に対応することが出来ないという問題がある。
本開発の目的は、上記問題を解決すべく、エンドユーザが未登録デバイスを接続した時点でエンドユーザへの通知を行うと共に、接続が行われた直後に管理者が内容を確認でき、管理者が承認した場合に、デバイス制御の設定を変更することができる不正機器接続時の通報機能に加え、「作業待ち状態」が生じるのを解消するためにユーザからの申請により緊急避難的に当該未登録デバイスを使用可能にすることができるセキュリティ管理システム及び方法並びにプログラムを提供することである。
さらに、未登録デバイスを業務上やむを得ず使用する必要があったのかといったユーザのセキュリティ意識をログから分析することができるセキュリティ管理システム及び方法並びにプログラムを提供することである。
さらに、未登録デバイスを業務上やむを得ず使用する必要があったのかといったユーザのセキュリティ意識をログから分析することができるセキュリティ管理システム及び方法並びにプログラムを提供することである。
上記目的を達成するために、本発明に係るセキュリティ管理システムは、クライアントに接続して使用するデバイスについてデバイスID別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムであって、
前記クライアントが、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定する手段と、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示する手段と、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可する手段と、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信する手段とを備え、
前記サーバが、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシー及び追加ポリシーを管理者から受付ける手段と、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信する手段とを備え、
前記ログサーバが、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示する手段と、受信したログを分析する手段を備えることを特徴とするセキュリティ管理システム。
前記クライアントが、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定する手段と、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示する手段と、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可する手段と、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信する手段とを備え、
前記サーバが、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシー及び追加ポリシーを管理者から受付ける手段と、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信する手段とを備え、
前記ログサーバが、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示する手段と、受信したログを分析する手段を備えることを特徴とするセキュリティ管理システム。
また、前記クライアントは、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させる手段と、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号する手段とをさらに備え、
前記サーバは、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信する手段をさらに備えることを特徴とするセキュリティ管理システム。
前記サーバは、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信する手段をさらに備えることを特徴とするセキュリティ管理システム。
また、前記サーバは、前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信することを特徴とする。
また、前記クライアントは、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させることを特徴とする。
また、本発明に係るセキュリティ管理方法は、クライアントに接続して使用するデバイスについてデバイスID別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムにおけるセキュリティ管理方法であって、
前記クライアントが、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定するステップと、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示するステップと、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可するステップと、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信するステップとを備え、
前記サーバが、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシーおよび追加ポリシーを管理者から受付けるステップと、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信するステップとを備え、
前記ログサーバが、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示するステップと、受信したログを分析するステップとを備えることを特徴とするセキュリティ管理方法。
前記クライアントが、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定するステップと、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示するステップと、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可するステップと、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信するステップとを備え、
前記サーバが、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシーおよび追加ポリシーを管理者から受付けるステップと、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信するステップとを備え、
前記ログサーバが、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示するステップと、受信したログを分析するステップとを備えることを特徴とするセキュリティ管理方法。
また、前記クライアントは、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させるステップと、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号するステップとをさらに備え、
前記サーバは、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信するステップをさらに備えることを特徴とするセキュリティ管理方法。
前記サーバは、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信するステップをさらに備えることを特徴とするセキュリティ管理方法。
また、前記サーバは、前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信することを特徴とする。
また、前記クライアントは、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させることを特徴とする。
また、本発明に係るセキュリティ管理プログラムは、クライアントに接続して使用するデバイスについてデバイスID別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムに用いるプログラムであって、
前記クライアントを、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定する手段と、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示する手段と、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可する手段と、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信する手段として機能させ、
前記サーバを、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシーおよび追加ポリシーを管理者から受付ける手段と、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信する手段として機能させ、
前記ログサーバを、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示する手段と、受信したログを分析する手段として機能させることを特徴とするセキュリティ管理プログラム。
前記クライアントを、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定する手段と、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示する手段と、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可する手段と、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信する手段として機能させ、
前記サーバを、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシーおよび追加ポリシーを管理者から受付ける手段と、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信する手段として機能させ、
前記ログサーバを、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示する手段と、受信したログを分析する手段として機能させることを特徴とするセキュリティ管理プログラム。
また、前記クライアントを、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させる手段と、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号する手段としてさらに機能させ、
前記サーバを、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信する手段としてさらに機能させることを特徴とするセキュリティ管理プログラム。
前記サーバを、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信する手段としてさらに機能させることを特徴とするセキュリティ管理プログラム。
また、前記サーバを、前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信する手段としてさらに機能させることを特徴とする。
また、前記クライアントを、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させること手段としてさらに機能させることを特徴とする。
本発明によれば、次のような効果がある。
(1)クライアントに未登録の不正なデバイスが接続された時点で警告画面によりユーザへ警告を行うことで、ユーザが使用しているクライアントがセキュリティポリシーによって管理されていることを意識させることが可能となり、未登録の不正デバイスによってデータが不正に持ち出されてしまうのを抑止することができ、セキュリティを向上させることができる。
(2)未登録の不正デバイスをクライアントに接続した時点で、該当デバイスの使用申請をサーバに送信し、管理者の承認を受けることができるような仕組みを用意し、管理者の承認を得て未登録デバイスであっても緊急避難的に、あるいは臨時的に未登録デバイスを使用可能にすることにより、「作業待ち状態」が生じるなどの事態を防ぎ、作業を円滑に進めることが可能になる。
さらに承認申請を受けた未登録デバイスによってデータを持ち出す場合、使用制限があることを明示した上で暗号化して記憶させる、さらに望ましくは所定時間後に消滅させる消滅プログラムを付加して記憶させることにより、無制限、かつ自由に参照することができなくなり、持ち出したデータの安全性が向上する。
(3)管理者が承認したデバイス一覧とクライアントで使用されたデバイスの情報をログとしてログサーバに収集し、管理者が分析可能にしておくことにより、管理者は未登録デバイスを使用したユーザのセキュリティ意識を把握し、意識向上のための対策を立てることが可能になると共に、危険性の高い利用形態については必要な対策を未然に立て、セキュリティを向上させることができるなどの効果がある。
なお、未登録デバイスの承認申請をしなかった場合には、いずれのクライアントであっても使用不可能なデバイスとしてリジェクトされる。
(1)クライアントに未登録の不正なデバイスが接続された時点で警告画面によりユーザへ警告を行うことで、ユーザが使用しているクライアントがセキュリティポリシーによって管理されていることを意識させることが可能となり、未登録の不正デバイスによってデータが不正に持ち出されてしまうのを抑止することができ、セキュリティを向上させることができる。
(2)未登録の不正デバイスをクライアントに接続した時点で、該当デバイスの使用申請をサーバに送信し、管理者の承認を受けることができるような仕組みを用意し、管理者の承認を得て未登録デバイスであっても緊急避難的に、あるいは臨時的に未登録デバイスを使用可能にすることにより、「作業待ち状態」が生じるなどの事態を防ぎ、作業を円滑に進めることが可能になる。
さらに承認申請を受けた未登録デバイスによってデータを持ち出す場合、使用制限があることを明示した上で暗号化して記憶させる、さらに望ましくは所定時間後に消滅させる消滅プログラムを付加して記憶させることにより、無制限、かつ自由に参照することができなくなり、持ち出したデータの安全性が向上する。
(3)管理者が承認したデバイス一覧とクライアントで使用されたデバイスの情報をログとしてログサーバに収集し、管理者が分析可能にしておくことにより、管理者は未登録デバイスを使用したユーザのセキュリティ意識を把握し、意識向上のための対策を立てることが可能になると共に、危険性の高い利用形態については必要な対策を未然に立て、セキュリティを向上させることができるなどの効果がある。
なお、未登録デバイスの承認申請をしなかった場合には、いずれのクライアントであっても使用不可能なデバイスとしてリジェクトされる。
以下、本発明を適用したセキュリティ管理システムの実施の一形態について説明する。
図1は、本発明に係るセキュリティ管理システムの実施の形態を示すシステム構成図である。
この実施形態のセキュリティ管理システムは、大別すると、管理サーバ1、クライアント2、デバイス承認サーバ3、ログサーバ4とで構成されている。
図1は、本発明に係るセキュリティ管理システムの実施の形態を示すシステム構成図である。
この実施形態のセキュリティ管理システムは、大別すると、管理サーバ1、クライアント2、デバイス承認サーバ3、ログサーバ4とで構成されている。
このうち、管理サーバ1は、以下の手段で構成されている。
(1)デバイス制御ポリシー設定部10
これは、管理者がデバイス制御ポリシーを設定するものであり、設定されたデバイス制御ポリシーは管理サーバDB12に保存される。
デバイス制御ポリシーで設定可能な定義例としては、デバイス種別、デバイスIDごとの使用可否、外部電磁的記録媒体の個体識別制御(使用許可とするデバイスインスタンスIDを記述)などがある。
図2は、予めユーザからの登録申請により登録されたデバイスと制御ポリシーの例を示す図であり、ここでは、デバイス種別210、デバイスID220、マシンID230、制御ポリシー(デバイス制御ポリシー)240を登録済みデバイス一覧200として登録可能になっている。
デバイス種別210とは、記憶機能を有するデバイスであるのか、通信機能を有するデバイスであるのかを識別する情報である。
デバイスID220とは、当該デバイスに固有の識別情報である。
マシンID230とは、当該デバイスを通常使用するクライアントマシンの識別情報である。当該デバイスを他のクライアントマシンに接続した場合には、ログサーバ4にそのマシンIDが通知されるので、ログ分析により、不正使用された可能性があるものと管理者に認識される。
(1)デバイス制御ポリシー設定部10
これは、管理者がデバイス制御ポリシーを設定するものであり、設定されたデバイス制御ポリシーは管理サーバDB12に保存される。
デバイス制御ポリシーで設定可能な定義例としては、デバイス種別、デバイスIDごとの使用可否、外部電磁的記録媒体の個体識別制御(使用許可とするデバイスインスタンスIDを記述)などがある。
図2は、予めユーザからの登録申請により登録されたデバイスと制御ポリシーの例を示す図であり、ここでは、デバイス種別210、デバイスID220、マシンID230、制御ポリシー(デバイス制御ポリシー)240を登録済みデバイス一覧200として登録可能になっている。
デバイス種別210とは、記憶機能を有するデバイスであるのか、通信機能を有するデバイスであるのかを識別する情報である。
デバイスID220とは、当該デバイスに固有の識別情報である。
マシンID230とは、当該デバイスを通常使用するクライアントマシンの識別情報である。当該デバイスを他のクライアントマシンに接続した場合には、ログサーバ4にそのマシンIDが通知されるので、ログ分析により、不正使用された可能性があるものと管理者に認識される。
(2)デバイス制御ポリシー配布部11
これは、予めデバイスごとのデバイス制御ポリシーが登録された図2の登録済みデバイス一覧200を管理サーバDB12から取得し、クライアント2へ配布するものである。
(3)管理サーバDB12
図2の図2の登録済みデバイス一覧20と、緊急避難的に管理者が承認した未登録のデバイスの一覧を示す承認済みデバイス一覧300(図3参照)を記憶したデータベースである。
なお、図3の承認済みデバイス一覧300は、デバイス種別310、デバイスID320、マシンID330、制御ポリシー340、復号鍵350、追加ポリシー360の各項目のデータをデバイス別に格納可能になっている。デバイス種別310、デバイスID320、マシンID330、制御ポリシー340は、登録済みデバイス一覧200で説明したのと同じである。復号鍵350は、承認された未登録デバイスによってデータを暗号化して持ち出すようになっているため、その暗号化データを復号するための鍵である。
追加ポリシー360は、暗号化を行うこと及び自動消滅プログラムを付加することを示すポリシーである。
この承認済みデバイス一覧300に記憶されるデータは、ユーザが未登録デバイスを緊急避難的に使用するために、管理者への申請画面に入力したデータを元に管理者が設定するようになっている。
この承認済みデバイス一覧300に登録されたデバイスは、あくまでも緊急用のものであって、登録済みデバイス一覧200に登録されたデバイスとは異なり、正規デバイスとして取り扱うことはない。
以下では、管理者によって使用が承認された未登録デバイスを「承認デバイス」と言う。
これは、予めデバイスごとのデバイス制御ポリシーが登録された図2の登録済みデバイス一覧200を管理サーバDB12から取得し、クライアント2へ配布するものである。
(3)管理サーバDB12
図2の図2の登録済みデバイス一覧20と、緊急避難的に管理者が承認した未登録のデバイスの一覧を示す承認済みデバイス一覧300(図3参照)を記憶したデータベースである。
なお、図3の承認済みデバイス一覧300は、デバイス種別310、デバイスID320、マシンID330、制御ポリシー340、復号鍵350、追加ポリシー360の各項目のデータをデバイス別に格納可能になっている。デバイス種別310、デバイスID320、マシンID330、制御ポリシー340は、登録済みデバイス一覧200で説明したのと同じである。復号鍵350は、承認された未登録デバイスによってデータを暗号化して持ち出すようになっているため、その暗号化データを復号するための鍵である。
追加ポリシー360は、暗号化を行うこと及び自動消滅プログラムを付加することを示すポリシーである。
この承認済みデバイス一覧300に記憶されるデータは、ユーザが未登録デバイスを緊急避難的に使用するために、管理者への申請画面に入力したデータを元に管理者が設定するようになっている。
この承認済みデバイス一覧300に登録されたデバイスは、あくまでも緊急用のものであって、登録済みデバイス一覧200に登録されたデバイスとは異なり、正規デバイスとして取り扱うことはない。
以下では、管理者によって使用が承認された未登録デバイスを「承認デバイス」と言う。
(4)復号鍵配布部13
データを暗号化して持ち出した承認デバイスに格納された暗号化データの復号鍵を要求に応じて配布するものである。復号鍵の送信先は鍵の要求元のクライアントである。
復号鍵は、未登録デバイスについて管理者から使用承認を受けた段階でデバイス承認サーバ2の復号鍵生成部35で生成し、これをデバイス制御ポリシー更新部34から受信し、復号鍵の配布要求があるまで管理サーバDB12に保存される。
また、復号鍵の要求元の情報は前記管理サーバDB12に保存される。
(5)ログ送信部14
管理サーバDB12に登録した登録済みデバイス一覧20と承認済みデバイス一覧30をログサーバ4へ送信するものである。
データを暗号化して持ち出した承認デバイスに格納された暗号化データの復号鍵を要求に応じて配布するものである。復号鍵の送信先は鍵の要求元のクライアントである。
復号鍵は、未登録デバイスについて管理者から使用承認を受けた段階でデバイス承認サーバ2の復号鍵生成部35で生成し、これをデバイス制御ポリシー更新部34から受信し、復号鍵の配布要求があるまで管理サーバDB12に保存される。
また、復号鍵の要求元の情報は前記管理サーバDB12に保存される。
(5)ログ送信部14
管理サーバDB12に登録した登録済みデバイス一覧20と承認済みデバイス一覧30をログサーバ4へ送信するものである。
一方、デバイス承認用サーバ3は以下の手段で構成されている。
(6)デバイス使用申請受信部31
これは、クライアント2から送信されたデバイス使用申請を受信し、メールを用いて管理者へ通知するものである。なお、管理者は受け取ったメールに記述されているURL(デバイス申請判断部32)にアクセスして、申請内容を確認する。
(7)デバイス申請判断部32
管理者は、各ユーザからのデバイス申請に対し、承認/却下を決定する。デバイス申請結果(承認/却下)については、申請元ユーザへメールで通知すると同時に、デバイス申請履歴DB15にも格納する。
また、未登録のデバイスについては不正デバイスの可能性があるため、データの暗号化とデータの自己消滅をポリシー36を図3の承認済みデバイス一覧30に追加してデバイス申請履歴DB15に格納する。
(8)デバイス制御ポリシー更新部34
これは、未登録デバイスの申請で使用が新たに承認されたデバイスについて、承認済みデバイス一覧300に追加するものである。それと同時に、デバイス制御ポリシー配布部11を通して更新された承認済みデバイス一覧300をクライアント2配布するものである。
(6)デバイス使用申請受信部31
これは、クライアント2から送信されたデバイス使用申請を受信し、メールを用いて管理者へ通知するものである。なお、管理者は受け取ったメールに記述されているURL(デバイス申請判断部32)にアクセスして、申請内容を確認する。
(7)デバイス申請判断部32
管理者は、各ユーザからのデバイス申請に対し、承認/却下を決定する。デバイス申請結果(承認/却下)については、申請元ユーザへメールで通知すると同時に、デバイス申請履歴DB15にも格納する。
また、未登録のデバイスについては不正デバイスの可能性があるため、データの暗号化とデータの自己消滅をポリシー36を図3の承認済みデバイス一覧30に追加してデバイス申請履歴DB15に格納する。
(8)デバイス制御ポリシー更新部34
これは、未登録デバイスの申請で使用が新たに承認されたデバイスについて、承認済みデバイス一覧300に追加するものである。それと同時に、デバイス制御ポリシー配布部11を通して更新された承認済みデバイス一覧300をクライアント2配布するものである。
(9)復号鍵生成部35
未登録デバイスについて管理者から使用承認を受けた段階で当該未登録デバイスに対応する復号鍵を生成し、その生成した復号鍵をデバイス制御ポリシー更新部34から管理サーバ1へ送信し、承認済みデバイス一覧300の該当するデバイスの復号鍵の欄に登録するものである。
(10)ログ送信部36
デバイスの申請・承認履歴をデバイス申請履歴DB32から取得し、ログサーバ4へ送信するものである。
ログサーバは以下の手段で構成されている。
(11)ログ収集部41
管理サーバ1とデバイス承認用サーバ3、クライアント2から収集したログを受け付け、ログ管理DBに格納するものである。
(12)ログ解析部42
管理サーバ1、デバイス承認用サーバ3、クライアント2から収集したログをログ管理DB44から取り出し、1つのログとしてマージするものである。
(13)ログ表示部43
ログ解析部42で解析した結果を、監査目的に合わせて編集して表示させるものである。
未登録デバイスについて管理者から使用承認を受けた段階で当該未登録デバイスに対応する復号鍵を生成し、その生成した復号鍵をデバイス制御ポリシー更新部34から管理サーバ1へ送信し、承認済みデバイス一覧300の該当するデバイスの復号鍵の欄に登録するものである。
(10)ログ送信部36
デバイスの申請・承認履歴をデバイス申請履歴DB32から取得し、ログサーバ4へ送信するものである。
ログサーバは以下の手段で構成されている。
(11)ログ収集部41
管理サーバ1とデバイス承認用サーバ3、クライアント2から収集したログを受け付け、ログ管理DBに格納するものである。
(12)ログ解析部42
管理サーバ1、デバイス承認用サーバ3、クライアント2から収集したログをログ管理DB44から取り出し、1つのログとしてマージするものである。
(13)ログ表示部43
ログ解析部42で解析した結果を、監査目的に合わせて編集して表示させるものである。
一方、クライアント2は以下の手段で構成されている。
(1)デバイス制御ポリシー取得部20
これは、サーバ1に設定された登録済みデバイス一覧200及び承認済みデバイス一覧300の登録内容をデバイス制御ポリシーファイル21へ書き込むものである。デバイス制御ポリシーファイル21へのユーザのアクセスはフック制御により禁止される。
(2)デバイス制御部22
これは、管理サーバ1から取得したデバイス制御ポリシーの内容に従い、ユーザが接続したデバイス(もしくは当初から接続されていたデバイス)の使用可否を制御するものである。ユーザが接続したデバイスがデバイス制御ポリシーにより、使用禁止となっていた場合、ユーザはそのデバイスを使用することができない。
(3)通知表示部23
これは、デバイス制御ポリシーによりデバイスの使用が禁止された場合、ユーザへの警告画面を表示するものである。さらに、該当するデバイスがUSBメモリなどの外部電磁的記録媒体であった場合には、サーバ1へ該当デバイスの申請を行うかを判断させる画面も表示する。
(4)デバイス使用申請送信部24
これは、通知表示部23に表示された申請画面より、ユーザが申請を行った場合、管理サーバ1へのデバイス使用申請を送信するものである。
(1)デバイス制御ポリシー取得部20
これは、サーバ1に設定された登録済みデバイス一覧200及び承認済みデバイス一覧300の登録内容をデバイス制御ポリシーファイル21へ書き込むものである。デバイス制御ポリシーファイル21へのユーザのアクセスはフック制御により禁止される。
(2)デバイス制御部22
これは、管理サーバ1から取得したデバイス制御ポリシーの内容に従い、ユーザが接続したデバイス(もしくは当初から接続されていたデバイス)の使用可否を制御するものである。ユーザが接続したデバイスがデバイス制御ポリシーにより、使用禁止となっていた場合、ユーザはそのデバイスを使用することができない。
(3)通知表示部23
これは、デバイス制御ポリシーによりデバイスの使用が禁止された場合、ユーザへの警告画面を表示するものである。さらに、該当するデバイスがUSBメモリなどの外部電磁的記録媒体であった場合には、サーバ1へ該当デバイスの申請を行うかを判断させる画面も表示する。
(4)デバイス使用申請送信部24
これは、通知表示部23に表示された申請画面より、ユーザが申請を行った場合、管理サーバ1へのデバイス使用申請を送信するものである。
(5)持ち出し処理部25
前記デバイス制御ポリシーファイル21に記載されたポリシーに従い、外部電磁的記憶媒体へ書き込みを行うものである。
なお、未登録のデバイスへ持ち出した機密情報が残り続けることを避けるため、この持ち出し制御部25では、機密情報の暗号処理を行う際に、暗号化データに対して、持ち出しを実行したマシン情報と自己消滅プログラムを埋め込み、持ち出しを行ったマシン以外のPCに不正デバイスを接続した場合は、自己消滅プログラムにより暗号化データを自己消滅させる機能を備えている。
また、持ち出した暗号化データの(暗号ファイル)の復号鍵は、データを受け取ったものが前記管理サーバ1に対し、パスワード要求を行うことによって、復号するものとする。
前記デバイス制御ポリシーファイル21に記載されたポリシーに従い、外部電磁的記憶媒体へ書き込みを行うものである。
なお、未登録のデバイスへ持ち出した機密情報が残り続けることを避けるため、この持ち出し制御部25では、機密情報の暗号処理を行う際に、暗号化データに対して、持ち出しを実行したマシン情報と自己消滅プログラムを埋め込み、持ち出しを行ったマシン以外のPCに不正デバイスを接続した場合は、自己消滅プログラムにより暗号化データを自己消滅させる機能を備えている。
また、持ち出した暗号化データの(暗号ファイル)の復号鍵は、データを受け取ったものが前記管理サーバ1に対し、パスワード要求を行うことによって、復号するものとする。
(6)ログ送信部26
前記持ち出し処理部25で外部電磁的記憶媒体へのデータの書き込みのタイミングでログサーバ4へ持ち出したデータファイルの情報を送信する。
前記持ち出し処理部25で外部電磁的記憶媒体へのデータの書き込みのタイミングでログサーバ4へ持ち出したデータファイルの情報を送信する。
図4は、本発明を適用したセキュリティシステムの運用例を示す図である。
図4において、ユーザ5が、クライアント2のOSにログオンしてクライアント2を操作可能とし、クライアント2に管理サーバ1に未登録の不正デバイスの接続を試みたとする(ステップS201)。これに先立ち、クライアント2は管理サーバ1に管理者4が予め設定しておいたデバイス制御ポリシーを登録済みデバイス一覧200として取得している(ステップS202,S203)。そこで、不正デバイスの接続が行われると、クライアント2は前記デバイス制御ポリシーに従い、当該デバイスが未登録の不正デバイスであることを検知し、クライアント2の画面に、不正デバイスが接続されたことをユーザ5に通知する警告画面を表示すると共に、管理者4宛に正規デバイスとして申請するための申請画面を表示する(ステップS204)。
図4において、ユーザ5が、クライアント2のOSにログオンしてクライアント2を操作可能とし、クライアント2に管理サーバ1に未登録の不正デバイスの接続を試みたとする(ステップS201)。これに先立ち、クライアント2は管理サーバ1に管理者4が予め設定しておいたデバイス制御ポリシーを登録済みデバイス一覧200として取得している(ステップS202,S203)。そこで、不正デバイスの接続が行われると、クライアント2は前記デバイス制御ポリシーに従い、当該デバイスが未登録の不正デバイスであることを検知し、クライアント2の画面に、不正デバイスが接続されたことをユーザ5に通知する警告画面を表示すると共に、管理者4宛に正規デバイスとして申請するための申請画面を表示する(ステップS204)。
警告画面は図6(a)に示すようなものであり、使用が制限されているデバイスが接続されたこと、管理者の承認が必要であること、デバイスID、利用者名、検知日が表示され、この情報は管理者へメール送信されたことが通知される。ここで、「利用者名」は、クライアント2にログオンしているユーザ5のユーザID情報を取得することによって、ユーザIDと対応付けられたユーザ5の氏名を表示する。
申請画面は、図7に示すようなものであり、デバイス種別、デバイスID、接続するマシンID、申請者(ユーザ名)を入力するようになっている。マシンIDは、ユーザが通常使用するマシンのIDである。
この申請画面において、接続したデバイスを正規デバイスとして登録することを希望する場合、正規登録ボタンをクリックし、承認デバイスとして登録することを希望する場合、承認登録ボタンをクリックして登録申請を行う。
申請画面は、図7に示すようなものであり、デバイス種別、デバイスID、接続するマシンID、申請者(ユーザ名)を入力するようになっている。マシンIDは、ユーザが通常使用するマシンのIDである。
この申請画面において、接続したデバイスを正規デバイスとして登録することを希望する場合、正規登録ボタンをクリックし、承認デバイスとして登録することを希望する場合、承認登録ボタンをクリックして登録申請を行う。
ユーザ5が、承認デバイスとして申請する必要があると判断した場合、クライアント2の申請画面に必要事項(ユーザ名、デバイスIDなど)を入力し、デバイス承認用サーバ3へ送信する(ステップS205)。
管理者4は、デバイス承認用サーバ3からメールで受信した申請内容に対し、該当のデバイスの使用を承認するか、却下するかを判断する。承認した場合は、管理サーバ1上の承認済みデバイス一覧300に新たに承認したデバイスを追加し、クライアント2へ送信する(ステップS206)。
これにより、クライアント2は承認されたデバイス(申請前は不正デバイス)を承認デバイスとして使用することができるが、却下された場合は、不正デバイスを使用することができない。
管理者4は、デバイス承認用サーバ3からメールで受信した申請内容に対し、該当のデバイスの使用を承認するか、却下するかを判断する。承認した場合は、管理サーバ1上の承認済みデバイス一覧300に新たに承認したデバイスを追加し、クライアント2へ送信する(ステップS206)。
これにより、クライアント2は承認されたデバイス(申請前は不正デバイス)を承認デバイスとして使用することができるが、却下された場合は、不正デバイスを使用することができない。
図5は、本発明を適用したセキュリティ管理システムの運用例を示す図である。
図5において、ユーザ5が不正機器の可能性が高い未登録の不正デバイスを使用し、この不正デバイスを使用してデータを持ち出し、その不正デバイスを他のユーザに渡し、他のユーザが復号するまでの例について説明する。
図5において、ユーザ5が不正機器の可能性が高い未登録の不正デバイスを使用し、この不正デバイスを使用してデータを持ち出し、その不正デバイスを他のユーザに渡し、他のユーザが復号するまでの例について説明する。
まず、ユーザ5が、未登録の不正デバイス(顧客から一時的に借り受けたUSBメモリなどの外部電磁的記録媒体など)を使用し、管理サーバ1に承認デバイスとして登録し、データ持ち出しを実施しようとした場合(ステップS301)、クライアント2は承認済みデバイス一覧300に登録された制御ポリシーに従い、持ち出し処理部25の機能によりデータの暗号化持ち出しを可能とする(ステップS302)。この時、図6に示すように、持ち出しデータについては使用制限があること(暗号化されていること、所定時間後に自動消滅すること、管理サーバから復号鍵を受け取ること)が画面表示される。
クライアント2は、承認デバイスによってデータの暗号化持ち出しが行われたときに、そのログ(デバイスID、ユーザ5のマシンID、復号鍵、暗号化ファイルID)をログサーバ4に送信する。
未登録の承認デバイスは、ユーザ5からユーザ6に対し、物理的に送付する(ステップS303)。
データの受け渡しが行われたことは、ユーザ6が承認デバイスをユーザ6のマシンに接続し、そのマシンから管理サーバ1に対して復号鍵の要求を行ったときに管理サーバ1が検知し、そのログ(デバイスID、復号鍵、復号鍵の要求をしたマシンID)がログサーバ4で受信されることによって確認できる(ステップS304)。
未登録の承認デバイスは、ユーザ5からユーザ6に対し、物理的に送付する(ステップS303)。
データの受け渡しが行われたことは、ユーザ6が承認デバイスをユーザ6のマシンに接続し、そのマシンから管理サーバ1に対して復号鍵の要求を行ったときに管理サーバ1が検知し、そのログ(デバイスID、復号鍵、復号鍵の要求をしたマシンID)がログサーバ4で受信されることによって確認できる(ステップS304)。
ユーザ6は、管理サーバ4から通知を受けた復号鍵によって、ユーザ5から受け取った承認デバイスに格納された暗号化データの復号を行う(ステップS306)。
ログサーバ4は、クライアント2から承認デバイスへのデータ持ち出し時に送付されたログとユーザ6から復号鍵の送付要求があったときに管理サーバ1から送付されたログをマージし、持ち出し情報と受け取り情報に不一致がないか解析する(ステップS307)。
この例では承認デバイスによってデータを持ち出したマシンはユーザ5のクライアントであり、復号鍵を要求したマシンはユーザ6のクライアントであるので、管理者が承認したデバイスであるが、持ち出しユーザと復号ユーザが異なるので、このことを分析結果に明示し、不正持ち出しが実施された可能性があることを示唆するメッセージをログ表示部43の画面に表示する。
この例では承認デバイスによってデータを持ち出したマシンはユーザ5のクライアントであり、復号鍵を要求したマシンはユーザ6のクライアントであるので、管理者が承認したデバイスであるが、持ち出しユーザと復号ユーザが異なるので、このことを分析結果に明示し、不正持ち出しが実施された可能性があることを示唆するメッセージをログ表示部43の画面に表示する。
図8は、本発明を適用したセキュリティ管理システムのログの監査例を示す図である。
図4において、監査者7はログ管理DB44に蓄積されたログをログ解析部42で解析し分析された結果を、ログ表示部43を通して参照を行い、年度別に監査を行う(ステップS401)。
図4において、監査者7はログ管理DB44に蓄積されたログをログ解析部42で解析し分析された結果を、ログ表示部43を通して参照を行い、年度別に監査を行う(ステップS401)。
ログ管理DB44に蓄積された持ち出しログは、ログ解析部42によって登録済みデバイスへの持ち出し432、未登録デバイス(承認デバイス)への持ち出し433、ログの不一致434へと分類する。そして、分類した全てのログをマージし、マージしたログ431を危険度別に並び替えて表示する。図4では、危険度を大、中、小の3段階に分けて表示している。
ここでは、使用を許可しているデバイスを適切に使用して場合は危険度=小、未登録の不正デバイスの承認を一括して申請している場合は危険度=中、特定のユーザが毎回未登録デバイスを使用している場合は危険度=大、不正デバイスへの持ち出し済みかつ復号パスワードの要求元が毎回異なる場合は危険度=大、承認申請時の情報と復号パスワードの要求者の記録情報が異なる場合は危険度=大という具合に分類している。
この場合、危険度を判定する処理は危険度の高い使用例を記録したテーブルを設け、それぞれの例に対して管理者が危険度を設定しておき、このテーブルを参照して危険度別に分類するプログラムによって自動判定するように構成されている。
ここでは、使用を許可しているデバイスを適切に使用して場合は危険度=小、未登録の不正デバイスの承認を一括して申請している場合は危険度=中、特定のユーザが毎回未登録デバイスを使用している場合は危険度=大、不正デバイスへの持ち出し済みかつ復号パスワードの要求元が毎回異なる場合は危険度=大、承認申請時の情報と復号パスワードの要求者の記録情報が異なる場合は危険度=大という具合に分類している。
この場合、危険度を判定する処理は危険度の高い使用例を記録したテーブルを設け、それぞれの例に対して管理者が危険度を設定しておき、このテーブルを参照して危険度別に分類するプログラムによって自動判定するように構成されている。
監査者7は、定期的にログ表示部43に表示されたログを参照、比較を行い(ステップS402)、各クライアント2のユーザのセキュリティ意識の推移を調査する。
図9は、未登録デバイスがクライアント2に接続されてから、デバイス承認用サーバ3への申請を行い、該当デバイスの使用が許可されるまでの処理の概略を示すフローチャートである。
図9において、ユーザがクライアント2にシステム未登録デバイスの接続を試みたとする(ステップ501)。
クライアント2は、管理サーバ1から予め取得した登録済みデバイス一覧のデバイス制御ポリシーに基づき、当該デバイスが使用可能かどうかを判定する(ステップ502)。接続されたデバイスが使用が禁止されていなかったら使用可能とし(ステップ514)、禁止されたいた場合は、外部電磁的記録媒体であるかを判定し(ステップ503)、外部電磁的記録媒体でなかった場合(外部との通信デバイスなどであった場合)には、図6(c)で示したような警告画面をクライアント2の通知表示部23に表示し(ステップ512)、使用不可能なデバイスであることをユーザ5に通知する(ステップ513)。
図9において、ユーザがクライアント2にシステム未登録デバイスの接続を試みたとする(ステップ501)。
クライアント2は、管理サーバ1から予め取得した登録済みデバイス一覧のデバイス制御ポリシーに基づき、当該デバイスが使用可能かどうかを判定する(ステップ502)。接続されたデバイスが使用が禁止されていなかったら使用可能とし(ステップ514)、禁止されたいた場合は、外部電磁的記録媒体であるかを判定し(ステップ503)、外部電磁的記録媒体でなかった場合(外部との通信デバイスなどであった場合)には、図6(c)で示したような警告画面をクライアント2の通知表示部23に表示し(ステップ512)、使用不可能なデバイスであることをユーザ5に通知する(ステップ513)。
外部電磁的記録媒体であった場合には、図6(a)に示したような警告画面と、図7の
デバイス使用申請画面を表示する(ステップ504)。
ユーザ5が、承認デバイスとして申請する必要があると判断した場合、クライアント2の申請画面に必要事項(ユーザ名、デバイスIDなど)を入力し、デバイス承認用サーバ3へ送信する(ステップ505)。
デバイス使用申請画面を表示する(ステップ504)。
ユーザ5が、承認デバイスとして申請する必要があると判断した場合、クライアント2の申請画面に必要事項(ユーザ名、デバイスIDなど)を入力し、デバイス承認用サーバ3へ送信する(ステップ505)。
ステップ505において、ユーザ5は不正デバイスを承認デバイスとして登録するか否か判定する(ステップ506)。ユーザ5が承認デバイスとして登録を希望している場合は、通常の持ち出し申請・承認デバイスとして処理を進める(ステップ509)。顧客から一時的に借り受けたデバイス等、システムに登録すべきでないと判定した場合、情報漏洩やセキュリティ事故のリスクを低減するために、制限付きで持ち出しを許可させる図6(a)の警告画面を表示し(ステップ510)、制限付きで該当デバイスを使用することを可能にする(ステップ511)。
管理者によって却下された場合は、デバイスを使用することが出来ない(ステップ513)。
管理者によって却下された場合は、デバイスを使用することが出来ない(ステップ513)。
ステップ506において、ユーザ5が正規デバイスとして登録を希望している場合は、該当デバイスの登録申請を受付け、管理者の承認を待って登録済みデバイス一覧200に登録し(ステップ507)、該当デバイスを正規の登録済みデバイスとして使用可能にする(ステップ508)。
なお、上記実施形態において、デバイスの承認申請を専用のデバイス承認用サーバ3で受付けるように構成しているが、管理サーバ1で受付け、管理サーバ1が使用を許可するか否かを決定するように構成することができる。また、デバイス承認用サーバ3の機能は管理サーバ1に移し、管理サーバ1とデバイス承認用サーバ3とを一体化して構成することができる。
なお、上記実施形態において、デバイスの承認申請を専用のデバイス承認用サーバ3で受付けるように構成しているが、管理サーバ1で受付け、管理サーバ1が使用を許可するか否かを決定するように構成することができる。また、デバイス承認用サーバ3の機能は管理サーバ1に移し、管理サーバ1とデバイス承認用サーバ3とを一体化して構成することができる。
以上のように、本実施形態においては、クライアントに未登録の不正なデバイスが接続された時点で警告画面によりユーザへ警告を行うことで、ユーザが使用しているクライアントがセキュリティポリシーによって管理されていることを意識させることが可能となり、未登録の不正デバイスによってデータが不正に持ち出されてしまうのを抑止することができ、セキュリティを向上させることができる。
(2)未登録の不正デバイスをクライアントに接続した時点で、該当デバイスの使用申請をサーバに送信し、管理者の承認を受けることができるような仕組みを用意し、管理者の承認を得て未登録デバイスであっても緊急避難的に、あるいは臨時的に未登録デバイスを使用可能にすることにより、「作業待ち状態」が生じるなどの事態を防ぎ、作業を円滑に進めることが可能になる。
さらに承認申請を受けた未登録デバイスによってデータを持ち出す場合、使用制限があることを明示した上で暗号化して記憶させる、さらに望ましくは所定時間後に消滅させる消滅プログラムを付加して記憶させることにより、無制限、かつ自由に暗号化したデータを参照することができなくなり、持ち出したデータの安全性が向上する。
(3)管理者が承認したデバイス一覧とクライアントで使用されたデバイスの情報をログとしてログサーバに収集し、管理者が分析可能にしておくことにより、管理者は未登録デバイスを使用したユーザのセキュリティ意識を把握し、意識向上のための対策を立てることが可能になると共に、危険性の高い利用形態については必要な対策を未然に立て、セキュリティを向上させることができるなどの効果がある。
(2)未登録の不正デバイスをクライアントに接続した時点で、該当デバイスの使用申請をサーバに送信し、管理者の承認を受けることができるような仕組みを用意し、管理者の承認を得て未登録デバイスであっても緊急避難的に、あるいは臨時的に未登録デバイスを使用可能にすることにより、「作業待ち状態」が生じるなどの事態を防ぎ、作業を円滑に進めることが可能になる。
さらに承認申請を受けた未登録デバイスによってデータを持ち出す場合、使用制限があることを明示した上で暗号化して記憶させる、さらに望ましくは所定時間後に消滅させる消滅プログラムを付加して記憶させることにより、無制限、かつ自由に暗号化したデータを参照することができなくなり、持ち出したデータの安全性が向上する。
(3)管理者が承認したデバイス一覧とクライアントで使用されたデバイスの情報をログとしてログサーバに収集し、管理者が分析可能にしておくことにより、管理者は未登録デバイスを使用したユーザのセキュリティ意識を把握し、意識向上のための対策を立てることが可能になると共に、危険性の高い利用形態については必要な対策を未然に立て、セキュリティを向上させることができるなどの効果がある。
1 管理サーバ
2 クライアント
3 デバイス承認用サーバ
4 ログサーバ
11 デバイス制御ポリシー配布部
12 管理サーバデータベース
13 復号鍵配布部
14 ログ送信部
20 デバイス制御ポリシー取得部
21 デバイス制御ポリシーファイル
22 デバイス制御部
23 通知表示部
24 デバイス使用申請送信部
25 持ち出し処理部
26 ログ送信部
31 デバイス使用申請受信部
32 デバイス申請判断部
33 デバイス申請履歴データベース
34 デバイス制御ポリシー更新部
35 復号鍵生成部
36 ログ送信部
41 ログ収集部
42 ログ解析部
43 ログ表示部
200 登録済デバイス一覧
300 承認済みデバイス一覧
2 クライアント
3 デバイス承認用サーバ
4 ログサーバ
11 デバイス制御ポリシー配布部
12 管理サーバデータベース
13 復号鍵配布部
14 ログ送信部
20 デバイス制御ポリシー取得部
21 デバイス制御ポリシーファイル
22 デバイス制御部
23 通知表示部
24 デバイス使用申請送信部
25 持ち出し処理部
26 ログ送信部
31 デバイス使用申請受信部
32 デバイス申請判断部
33 デバイス申請履歴データベース
34 デバイス制御ポリシー更新部
35 復号鍵生成部
36 ログ送信部
41 ログ収集部
42 ログ解析部
43 ログ表示部
200 登録済デバイス一覧
300 承認済みデバイス一覧
Claims (12)
- クライアントに接続して使用するデバイスについてデバイスID別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムであって、
前記クライアントが、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定する手段と、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示する手段と、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可する手段と、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信する手段とを備え、
前記サーバが、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシー及び追加ポリシーを管理者から受付ける手段と、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信する手段とを備え、
前記ログサーバが、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示する手段と、受信したログを分析する手段を備えることを特徴とするセキュリティ管理システム。 - 前記クライアントは、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させる手段と、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号する手段とをさらに備え、
前記サーバは、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信する手段をさらに備えることを特徴とする請求項1に記載のセキュリティ管理システム。 - 前記サーバは、前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信することを特徴とする請求項2に記載のセキュリティ管理システム。
- 前記クライアントは、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させることを特徴とする請求項2〜3のいずれか一項に記載のセキュリティ管理システム。
- クライアントに接続して使用するデバイスについてデバイスID別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムにおけるセキュリティ管理方法であって、
前記クライアントが、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定するステップと、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示するステップと、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可するステップと、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信するステップとを備え、
前記サーバが、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシーおよび追加ポリシーを管理者から受付けるステップと、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信するステップとを備え、
前記ログサーバが、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示するステップと、受信したログを分析するステップとを備えることを特徴とするセキュリティ管理方法。 - 前記クライアントは、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させるステップと、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号するステップとをさらに備え、
前記サーバは、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信するステップをさらに備えることを特徴とする請求項5に記載のセキュリティ管理方法。 - 前記サーバは、前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信することを特徴とする請求項6に記載のセキュリティ管理方法。
- 前記クライアントは、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させることを特徴とする請求項6〜7のいずれか一項に記載のセキュリティ管理方法。
- クライアントに接続して使用するデバイスについてデバイスID別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムに用いるプログラムであって、
前記クライアントを、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定する手段と、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示する手段と、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可する手段と、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信する手段として機能させ、
前記サーバを、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシーおよび追加ポリシーを管理者から受付ける手段と、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信する手段として機能させ、
前記ログサーバを、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示する手段と、受信したログを分析する手段として機能させることを特徴とするセキュリティ管理プログラム。 - 前記クライアントを、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させる手段と、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号する手段としてさらに機能させ、
前記サーバを、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信する手段としてさらに機能させることを特徴とする請求項9に記載のセキュリティ管理プログラム。 - 前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信する手段としてさらに機能させることを特徴とする請求項10に記載のセキュリティ管理プログラム。
- 前記クライアントを、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させること手段としてさらに機能させるを特徴とする請求項10〜11のいずれか一項に記載のセキュリティ管理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011216809A JP5730735B2 (ja) | 2011-09-30 | 2011-09-30 | セキュリティ管理システム及び方法並びにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011216809A JP5730735B2 (ja) | 2011-09-30 | 2011-09-30 | セキュリティ管理システム及び方法並びにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013077182A JP2013077182A (ja) | 2013-04-25 |
| JP5730735B2 true JP5730735B2 (ja) | 2015-06-10 |
Family
ID=48480595
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011216809A Expired - Fee Related JP5730735B2 (ja) | 2011-09-30 | 2011-09-30 | セキュリティ管理システム及び方法並びにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5730735B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015121923A1 (ja) | 2014-02-12 | 2015-08-20 | 三菱電機株式会社 | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 |
| JP2015191461A (ja) * | 2014-03-28 | 2015-11-02 | 日本電気株式会社 | 管理端末、管理システム、管理方法及びプログラム |
| JP6828805B2 (ja) * | 2017-03-21 | 2021-02-10 | 日本電気株式会社 | Usb機器管理システム及びusb機器管理方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008186195A (ja) * | 2007-01-29 | 2008-08-14 | Mitsubishi Electric Corp | Usbメモリ |
| JP5360565B2 (ja) * | 2009-06-11 | 2013-12-04 | 日本電気株式会社 | 記憶媒体管理装置、記憶媒体管理システム、記憶媒体管理方法、及び記憶媒体管理用プログラム |
| JP5337664B2 (ja) * | 2009-10-19 | 2013-11-06 | 京セラドキュメントソリューションズ株式会社 | 電子機器 |
-
2011
- 2011-09-30 JP JP2011216809A patent/JP5730735B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013077182A (ja) | 2013-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10375116B2 (en) | System and method to provide server control for access to mobile client data | |
| US12067553B2 (en) | Methods for locating an antenna within an electronic device | |
| CN102227734B (zh) | 用于保护机密文件的客户端计算机和其服务器计算机以及其方法 | |
| JP2007241513A (ja) | 機器監視装置 | |
| AU2020217317B2 (en) | Tunneled monitoring service and methods | |
| JP5601840B2 (ja) | ネットワークへの情報流出防止装置 | |
| JP5730735B2 (ja) | セキュリティ管理システム及び方法並びにプログラム | |
| CN111291366B (zh) | 安全中间件系统 | |
| JP2007226827A (ja) | ログイン要求受付装置およびアクセス管理装置 | |
| JP2007200229A (ja) | ソフトウエア管理システム | |
| Bayer et al. | Technical and Legal Review of the Stopp Corona App by the Austrian Red Cross | |
| JP2008225830A (ja) | 情報管理システム及び端末装置及び情報管理方法及びプログラム | |
| JP2012212371A (ja) | クライアントサーバシステム | |
| JP2013196194A (ja) | データ管理装置、利用者情報削除方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140107 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140828 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140904 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141104 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150311 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150408 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5730735 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |