JP5740260B2 - Security policy management server, security monitoring system - Google Patents
Security policy management server, security monitoring system Download PDFInfo
- Publication number
- JP5740260B2 JP5740260B2 JP2011200744A JP2011200744A JP5740260B2 JP 5740260 B2 JP5740260 B2 JP 5740260B2 JP 2011200744 A JP2011200744 A JP 2011200744A JP 2011200744 A JP2011200744 A JP 2011200744A JP 5740260 B2 JP5740260 B2 JP 5740260B2
- Authority
- JP
- Japan
- Prior art keywords
- importance
- file
- electronic file
- management server
- electronic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、電子ファイルに対するアクセスを監視するセキュリティ監視プログラムのセキュリティ監視ポリシーを管理する技術に関するものである。 The present invention relates to a technique for managing a security monitoring policy of a security monitoring program for monitoring access to an electronic file.
企業で扱われる電子ファイル(以下、ファイルと呼ぶ場合もある)は、その内容などに応じて重要度がそれぞれ異なる。企業では、重要度によるファイルの取り扱い、持ち出し可否等のセキュリティ運用規則を作成し運用している。しかし、規則はあるものの実際は運用に手間が掛かり運用されていないケースが多く存在する。 Electronic files handled by companies (hereinafter sometimes referred to as files) have different levels of importance depending on the contents. Enterprises create and operate security operation rules such as handling of files according to importance and whether or not they can be taken out. However, although there are rules, there are many cases where the operation is actually troublesome and not used.
下記特許文献1では、文書の重要度を簡易に評価するための技術が開示されている。同文献では、文書に付されるタイトル名も所定のキーワードが含まれているか否かによって文書の重要度を判定している。
上記特許文献1に記載されている技術では、電子ファイルの重要度を簡易に判定することができるが、重要度に応じてアクセス可否を設定する作業は、システム管理者などが手動で別途実施する必要がある。特に、ファイルに対するアクセスをセキュリティ監視プログラムによって監視している場合、セキュリティポリシーをあらかじめ設定しておく必要があるが、各ファイルの重要度をセキュリティポリシーに反映する作業を別途実施する必要があり、管理者にとって負担となっている。
In the technique described in
本発明は、上記のような課題を解決するためになされたものであり、ファイルの重要度に応じて、セキュリティ監視プログラムのセキュリティポリシーを自動的に設定することのできる技術を提供することを目的とする。 The present invention has been made to solve the above-described problems, and an object of the present invention is to provide a technique capable of automatically setting a security policy of a security monitoring program according to the importance of a file. And
本発明に係るセキュリティポリシー管理サーバは、電子ファイルの重要度を判定するファイル分類部と、電子ファイルに対するアクセス可否をファイルの重要度毎に定義した動作定義データとを備える。セキュリティポリシー管理サーバは、セキュリティ監視プログラムからアクセス可否について照会を受け付けると、動作定義データとファイル重要度にしたがってアクセス可否を回答する。 The security policy management server according to the present invention includes a file classification unit that determines the importance of an electronic file, and operation definition data that defines whether or not an electronic file can be accessed for each importance of the file. When the security policy management server receives an inquiry about access permission from the security monitoring program, the security policy management server answers access permission according to the action definition data and file importance.
本発明に係るセキュリティポリシー管理サーバは、ファイルの重要度に対応したアクセス可否定義を保持しており、これをセキュリティポリシーとしてセキュリティ監視プログラムへ提供することができる。これにより、システム管理者はファイルの重要度とアクセス可否との対応関係を管理する処理をセキュリティポリシー管理サーバへ集約することができるので、システム管理者を作業負担から解放することができる。 The security policy management server according to the present invention holds an access permission definition corresponding to the importance of a file, and can provide this to the security monitoring program as a security policy. As a result, the system administrator can consolidate the process for managing the correspondence between the importance of the file and the accessibility to the security policy management server, so that the system administrator can be released from the work load.
<実施の形態1>
図1は、本発明の実施形態1に係るセキュリティ監視システム1000の構成図である。セキュリティ監視システム1000は、電子ファイルに対するアクセスを監視するシステムであり、セキュリティポリシー管理サーバ100、ファイル重要度管理サーバ200、クライアント端末300、ファイルサーバ400を有する。これら装置はネットワークで接続されている。
<
FIG. 1 is a configuration diagram of a
以下では記載の都合上、各プログラムを動作主体として説明する場合があるが、実際に各プログラムを実行するのは各プログラムを搭載した装置が備えるプロセッサなどの演算装置であることを付言しておく。 In the following description, for convenience of description, each program may be described as an operation subject. However, it is added that the actual execution of each program is an arithmetic device such as a processor provided in a device equipped with each program. .
セキュリティポリシー管理サーバ100は、電子ファイルに対するアクセスを監視するセキュリティ監視プログラムの動作を定義するセキュリティ監視ポリシーを管理するサーバ装置であり、ファイル分類プログラム110、セキュリティ監視制御プログラム120、記憶装置130を備える。また、上記各プログラムを実行するプロセッサ、メモリ装置、ネットワークインターフェースなどを適宜備える。
The security
ファイル分類プログラム110は、クライアント端末300がアクセスする電子ファイルの重要度を判定し、重要度毎に分類するプログラムである。ファイル分類プログラム110は、分類結果を後述のファイル重要度管理サーバ200へ格納する。電子ファイルの重要度を判定する手法としては、任意の公知手法を用いることができるが、後述する実施形態でも別途例示する。
The
セキュリティ監視制御プログラム120は、後述するセキュリティ監視プログラム310から、電子ファイルに対するアクセスを許可すべきか否かの照会を受け取り、その電子ファイルの重要度と後述する動作定義テーブル133の記述にしたがって、アクセス可否を回答する。クライアント端末300とセキュリティ監視制御プログラム120の間の通信手順として、HTTP(Hyper Text Transfer Protocol)などの汎用的な通信プロトコルを用いることができる。例えば、SOAP(Simple Object Access Protocol)に準じた通信手順を用いることができる。
The security
記憶装置130は、例えばハードディスク装置などを用いて構成されており、重要度区分テーブル131、重要度変更ルール定義テーブル132、動作定義テーブル133を格納している。これらテーブルの詳細は後述の図2〜図4を用いて説明する。
The
ファイル重要度管理サーバ200は、ファイルサーバ400が格納する電子ファイルの重要度を管理するサーバ装置であり、記憶装置210を備える。記憶装置210は、後述の図5で説明する重要度定義テーブル211を格納している。
The file
クライアント端末300は、ファイルサーバ400が格納している電子ファイルにアクセスするコンピュータであり、セキュリティ監視プログラム310があらかじめインストールされている。クライアント端末300は、セキュリティ監視プログラム310を常時実行している。セキュリティ監視プログラム310は、クライアント端末300が電子ファイルにアクセスしようとしていることを検知し、セキュリティポリシー管理サーバ100にアクセス可否を問い合わせ、その回答に応じて当該電子ファイルに対するアクセスを制御する。
The
ファイルサーバ400は、クライアント端末300がアクセスする電子ファイルを格納するサーバ装置である。以下ではクライアント端末300自身が格納している電子ファイルに対するアクセス監視については説明しないが、これを実施する場合は、ファイルサーバ400が格納しているファイルフルパス名をクライアント端末300のローカルファイルパス名に変更すれば、同様の動作を実施することができる。
The
ファイル分類プログラム110、セキュリティ監視制御プログラム120、セキュリティ監視プログラム310は、ここではソフトウェアであることを前提としたが、これらと同等の機能を回路デバイスなどのハードウェアによって実現することもできる。
The
図2は、重要度区分テーブル131の構成とデータ例を示す図である。重要度区分テーブル131は、電子ファイルの重要度区分とその説明を記述するデータテーブルであり、重要度区分フィールド1311、重要度説明フィールド1312を有する。 FIG. 2 is a diagram illustrating a configuration of the importance level classification table 131 and data examples. The importance level classification table 131 is a data table describing the importance level classification and description of the electronic file, and includes an importance level classification field 1311 and an importance level description field 1312.
重要度区分フィールド1311は、電子ファイルの重要度区分の名称を保持する。ここでは3段階の重要度区分を例示したが、これに限られるものではない。重要度説明フィールド1312は、重要度区分フィールド1311が記述している重要度区分の説明文を保持する。システム管理者などが本テーブルを管理する際に、本フィールドの説明文を参照することができる。 The importance category field 1311 holds the name of the importance category of the electronic file. Here, three levels of importance classification are illustrated, but the present invention is not limited to this. The importance level explanation field 1312 holds an explanation of the importance level category described in the importance level category field 1311. When a system administrator or the like manages this table, the explanation in this field can be referred to.
図3は、重要度変更ルール定義テーブル132の構成とデータ列を示す図である。重要度変更ルール定義テーブル132は、電子ファイルの重要度を変更することを認めるか否かのルールを定義するデータテーブルであり、重要度区分フィールド1321、重要度変更ルールフィールド1322を有する。 FIG. 3 is a diagram showing the configuration and data string of the importance level change rule definition table 132. The importance level change rule definition table 132 is a data table that defines a rule for determining whether or not to change the importance level of an electronic file, and includes an importance level field 1321 and an importance level change rule field 1322.
重要度区分フィールド1321は、電子ファイルの重要度区分の名称を保持する。本フィールドは重要度区分テーブル131の重要度区分フィールド1311に対応する。重要度変更ルールフィールド1322は、重要度区分フィールド1311が記述している重要度区分に分類されている電子ファイルを、さらに高い重要度区分に変更したり、より低い重要度区分に変更したりすることを認めるか否かのルールを記述している。システム管理者などが本テーブルを管理する際に、本フィールドが既定しているルールを参照することができる。 The importance level field 1321 holds the name of the importance level of the electronic file. This field corresponds to the importance category field 1311 of the importance category table 131. The importance level change rule field 1322 changes the electronic file classified in the importance level described in the importance level field 1311 to a higher importance level or to a lower importance level. The rule of whether or not to admit is described. When a system administrator or the like manages this table, the rule set in this field can be referred to.
図3のデータ例では、重要度区分「低」の電子ファイルは重要度をそれ以上下げることができず、重要度区分「中」の電子ファイルは重要度を上げることのみ認められ、重要度区分「高」の電子ファイルは重要度をそれ以上上げることができないことを示している。 In the data example of FIG. 3, the importance level “low” electronic file cannot be further reduced in importance, and the importance level “medium” electronic file is only allowed to increase in importance. A “high” electronic file indicates that the importance cannot be increased any further.
図4は、動作定義テーブル133の構成とデータ例を示す図である。動作定義テーブル133は、各重要度区分に分類された電子ファイルに対してセキュリティ監視プログラム310がアクセスを許可するか否かを定義するデータテーブルである。本テーブルは、セキュリティ監視プログラム310の動作を定義するセキュリティポリシーとしての役割を有する。動作定義テーブル133は、重要度区分フィールド1331、アクセス可否フィールド1332を有する。
FIG. 4 is a diagram illustrating a configuration of the operation definition table 133 and data examples. The action definition table 133 is a data table that defines whether or not the
重要度区分フィールド1331は、電子ファイルの重要度区分の名称を保持する。本フィールドは重要度区分テーブル131の重要度区分フィールド1311に対応する。アクセス可否フィールド1332は、重要度区分フィールド1311が記述している重要度区分に分類されている電子ファイルに対してクライアント端末300がアクセスしたとき、セキュリティ監視プログラム310がどのように振る舞うかを記述している。ここでは当該電子ファイルをファイルサーバ400の外部に持ち出すことを許可するか否かを例示したが、その他の動作やより詳細なアクセス可否を記述することもできる。例えば、外付けディスクドライブに対するコピーおよび移動を禁止する、などの例が考えられる。
The importance category field 1331 holds the name of the importance category of the electronic file. This field corresponds to the importance category field 1311 of the importance category table 131. The accessibility field 1332 describes how the
図5は、重要度定義テーブル211の構成とデータ例を示す図である。重要度定義テーブル211は、ファイルサーバ400が格納する電子ファイルの重要度を定義するデータテーブルであり、ファイル名フィールド2111、ファイルパスフィールド2112、重要度フィールド2113を有する。
FIG. 5 is a diagram illustrating a configuration of the importance level definition table 211 and data examples. The importance definition table 211 is a data table that defines the importance of an electronic file stored in the
ファイル名フィールド2111とファイルパスフィールド2112は、ファイルサーバ400が格納する電子ファイルのファイル名とフルパス名をそれぞれ保持する。重要度フィールド2113は、ファイル名フィールド2111とファイルパスフィールド2112によって特定される電子ファイルの重要度値を保持する。
The file name field 2111 and the file path field 2112 hold the file name and full path name of the electronic file stored in the
図6は、重要度毎に分類されていないファイルにクライアント端末300がアクセスしたときの処理シーケンスを示す図である。クライアント端末300が重要度毎に分類されていないファイルに初めてアクセスしたときは、重要度を判定する処理を実施する必要がある。以下、図6の各ステップについて説明する。
FIG. 6 is a diagram illustrating a processing sequence when the
(図6:(1)フォルダにアクセスする)
クライアント端末300のユーザは、適当なファイルブラウザなどを操作して、ファイルサーバ400上のファイルフォルダにアクセスするよう指示する。クライアント端末300は、その指示にしたがってファイルフォルダにアクセスする。
(Figure 6: (1) Access to folder)
The user of the
(図6:(2)フルパスを通知する)
クライアント端末300のセキュリティ監視プログラム310は、ステップ(1)でアクセスしたファイルフォルダ内の電子ファイル一覧を取得し、各電子ファイルのフルパス名をセキュリティポリシー管理サーバ100へ通知する。ここで通知するフルパス名は、例えば「\\testsv\test\test.txt」などのように、ファイルフォルダのパス名とファイル名を連結したものである。
(Figure 6: (2) Notify full path)
The
(図6:(3)ファイルを分類する)
セキュリティポリシー管理サーバ100のセキュリティ監視制御プログラム120は、クライアント端末300から電子ファイルのフルパス名を受け取る。セキュリティポリシー管理サーバ100は、ファイル分類プログラム110を起動し、各電子ファイルの重要度を判定して重要度毎に分類する。
(Figure 6: (3) Classify files)
The security
(図6:(4)分類結果を格納する)
ファイル分類プログラム110は、ステップ(3)の分類結果を、フルパス名とともにファイル重要度管理サーバ200に通知する。ファイル重要度管理サーバ200は、各電子ファイルの分類結果を重要度定義テーブル211に格納する。本ステップの結果、ファイルサーバ400上の各電子ファイルについて、図5に例示したような重要度定義レコードが作成され、各電子ファイルとその重要度が管理されることになる。
(Figure 6: (4) Store the classification results)
The
図7は、重要度毎に分類されているファイルにクライアント端末300がアクセスしたときの処理シーケンスを示す図である。クライアント端末300が重要度毎に分類されているファイルにアクセスしたときは、そのアクセスを許可するか否かを判定する必要がある。以下、図7の各ステップについて説明する。
FIG. 7 is a diagram illustrating a processing sequence when the
(図7:(1)ファイルを持ち出そうとする)
クライアント端末300のユーザが、適当なファイルブラウザなどを操作して、ファイルサーバ400上の電子ファイルをファイルサーバ400の外部またはクライアント端末300の外部に持ち出そうとしていると仮定する。ここでは、クライアント端末300に外付けされている記憶装置に電子ファイルをコピーしようとしている場面を想定する。セキュリティ監視プログラム310は、ファイルブラウザに対する操作入力を監視するなどして、電子ファイルをコピーする旨の操作を検出する。
(Figure 7: (1) Try to bring out a file)
Assume that the user of the
(図7:(2)可否を問い合わせる)
セキュリティ監視プログラム310は、ステップ(1)で外部持ち出しようとしていることを検出した電子ファイルについて、そのファイル操作アクセス(ここでは外付け記憶装置へのコピー)を許可すべきか否かを、セキュリティポリシー管理サーバ100に問い合わせる。
(Figure 7: (2) Inquiries about availability)
The
(図7:(3)重要度を取得する)
セキュリティポリシー管理サーバ100のセキュリティ監視制御プログラム120は、クライアント端末300からアクセス可否について照会を受け付けると、ファイル重要度管理サーバ200が保持している重要度定義テーブル211から、その電子ファイルの重要度を取得する。
(Figure 7: (3) Obtain importance)
When the security
(図7:(4)可否を判定する)
セキュリティ監視制御プログラム120は、ステップ(3)で取得した電子ファイルの重要度を用いて動作定義テーブル133を照会し、その重要度の電子ファイルに対するアクセス可否定義を取得する。例えば図4に示したデータ例では、重要度中以上の電子ファイルは持ち出し禁止と定義されているため、外付け記憶装置にコピーなどすることは禁止されていることが分かる。
(FIG. 7: (4) Judgment of availability)
The security
(図7:(5)可否を回答する)
セキュリティ監視制御プログラム120は、ステップ(4)で取得したアクセス可否定義に基づき、ステップ(2)で問い合わせを受け付けた電子ファイルに対するアクセス可否をクライアント端末300へ回答する。
(Figure 7: Answer (5) Yes / No)
The security
(図7:(6)アクセスを制御する)
クライアント端末300のセキュリティ監視プログラム310は、ステップ(5)で受け取った回答に基づき、ステップ(1)でファイル操作アクセスを検出した電子ファイルに対するアクセスを制御する。例えばアクセスを禁止する場合は、その旨のメッセージなどを画面表示し、アクセスを遮断する。その他、アクセスは許可するがログにファイル操作アクセスの内容を記録する、などの制御動作も考えられる。
(Figure 7: (6) Controlling access)
The
<実施の形態1:まとめ>
以上のように、本実施形態1に係るセキュリティポリシー管理サーバ100は、電子ファイルの重要度を判定して重要度毎に分類し、セキュリティ監視プログラムが電子ファイルに対するアクセスを許可すべきか否かを重要度毎に定義する。これにより、電子ファイルを重要度に応じて分類する処理と、重要度に応じてアクセス可否を設定する処理とをセキュリティポリシー管理サーバ100に集約して自動化することができるので、システム管理者の作業負担を軽減することができる。
<Embodiment 1: Summary>
As described above, the security
また、本実施形態1に係るセキュリティポリシー管理サーバ100は、セキュリティ監視プログラム310のセキュリティポリシーを、動作定義テーブル133の形式でセキュリティ監視プログラム310本体から切り離して保持している。これにより、セキュリティ監視プログラム310の種類に依拠することなく、セキュリティポリシーを集約管理することができる。例えば、印刷制御をしたい場合はそのようなセキュリティ監視プログラム310を採用し、メールの送信制御をしたい場合はその機能を備えたセキュリティ監視プログラム310を採用することができる。その他のセキュリティ監視プログラム310についても同様に制御することができる。
Also, the security
また、本実施形態1に係るセキュリティポリシー管理サーバ100は、クライアント端末300との間の通信インターフェースとして、HTTPに準じた通信プロトコルを用いることができる。HTTPはクライアント・サーバ間の通信でよく用いられる汎用的なプロトコルであるため、多くのセキュリティ監視プログラム310がサポートしている。すなわち、広範な種類のセキュリティ監視プログラム310に対応することができる点で、個々のセキュリティ監視プログラム310に対する依存性を緩和し、セキュリティポリシー管理サーバ100の汎用性を高めることができる。
The security
<実施の形態2>
本発明の実施形態2では、実施形態1で説明したファイル分類プログラム110が付与した重要度を、クライアント端末300上でも画面表示してユーザが確認できるようにした構成を説明する。クライアント端末300上でファイルの重要度を表示または更新する処理に係る構成以外は実施形態1と同様であるため、以下では差異点を中心に説明する。
<
In the second embodiment of the present invention, a configuration will be described in which the importance given by the
図8は、本実施形態2に係るセキュリティ監視システム1000の構成図である。本実施形態2において、クライアント端末300は、実施形態1で説明した構成に加えて重要度表示プログラム320と重要度変更プログラム330を備える。これらプログラムと同等の機能を回路デバイスなどのハードウェアによって実現してもよい。
FIG. 8 is a configuration diagram of the
重要度表示プログラム320は、クライアント端末300がアクセスする電子ファイルの重要度を画面表示する。詳細は後述の図9〜図10で説明する。重要度変更プログラム330は、電子ファイルの重要度を変更する操作入力を受け取り、セキュリティポリシー管理サーバ100を経由してファイル重要度管理サーバ200に通知する。詳細は後述の図11で説明する。
The importance display program 320 displays the importance of the electronic file accessed by the
図9は、クライアント端末300が表示するフォルダ重要度表示画面321の画面イメージ例である。フォルダ重要度表示画面321は、ファイルフォルダ内に格納されている電子ファイルとその重要度の一覧を表示する画面である。以下、図9の画面を表示する際の動作手順を説明する。
FIG. 9 is a screen image example of the folder importance level display screen 321 displayed by the
(図9:動作手順ステップ1)
クライアント端末300のユーザは、適当なファイルブラウザを介してファイルサーバ400上のフォルダにアクセスする。重要度表示プログラム320は、アクセスしたファイルフォルダのパス名をセキュリティポリシー管理サーバ100に転送する。
(FIG. 9: Operation procedure step 1)
A user of the
(図9:動作手順ステップ2)
セキュリティポリシー管理サーバ100のセキュリティ監視制御プログラム120は、クライアント端末300からフォルダのパス名を受け取ると、そのパス名をファイル重要度管理サーバ200に通知する。
(FIG. 9: Operation procedure step 2)
Upon receiving the folder path name from the
(図9:動作手順ステップ3)
ファイル重要度管理サーバ200は、受け取ったフォルダのパス名を元に重要度定義テーブル211を検索し、パス名が一致するファイルおよび重要度の一覧を取得してセキュリティポリシー管理サーバ100に返信する。
(FIG. 9: Operation procedure step 3)
The file
(図9:動作手順ステップ4)
セキュリティポリシー管理サーバ100は、ファイル重要度管理サーバ200から受け取ったファイルおよび重要度の一覧を、クライアント端末300に返信する。
(FIG. 9: Operation procedure step 4)
The security
(図9:動作手順ステップ5)
クライアント端末300の重要度表示プログラム320は、セキュリティポリシー管理サーバ100からファイルと重要度の一覧を受け取り、ステップ1でファイルサーバ400にアクセスしたファイルブラウザにその一覧を引き渡す。ファイルブラウザは、受け取ったファイルと重要度の一覧を、それぞれ図9のファイル表示欄3211と重要度表示欄3212に表示する。
(FIG. 9: Operation procedure step 5)
The importance display program 320 of the
(図9:動作手順ステップ5:補足)
例えば、クライアント端末300がファイルサーバ400上の「\\testsv\test」フォルダにアクセスし、「\\testsv\test」フォルダに重要度が「高」のファイル「test.txt」が存在する場合、フォルダ重要度表示画面321にはファイル名「test.txt」とその重要度「高」が表示される。
(Figure 9: Operation procedure Step 5: Supplement)
For example, when the
図10は、クライアント端末300が表示するファイルプロパティ表示画面322の画面イメージ例である。ファイル重要度表示画面322は、電子ファイルの重要度とその説明文を表示する画面である。以下、図10の画面を表示する際の動作手順を説明する。
FIG. 10 is a screen image example of the file property display screen 322 displayed by the
(図10:動作手順ステップ1)
クライアント端末300のユーザは、ファイルブラウザ上で電子ファイルのファイルプロパティ表示画面322を表示する。この時点では、ファイルおよび重要度の一覧は既に図9で説明した手順によって取得済みであるものとする。重要度表示プログラム320は、そのファイルの重要度に対応する説明文とファイルアクセス可否を、セキュリティポリシー管理サーバ100に照会する。
(FIG. 10: Operation procedure step 1)
The user of the
(図10:動作手順ステップ2)
セキュリティポリシー管理サーバ100のセキュリティ監視制御プログラム120は、クライアント端末300から照会を受けた重要度の説明文を、重要度区分テーブル131から取得する。また、アクセス可否定義を動作定義テーブル133から取得する。セキュリティ監視制御プログラム120は、各テーブルから取得した値をクライアント端末300に返信する。
(FIG. 10: Operation procedure step 2)
The security
(図10:動作手順ステップ3)
クライアント端末300の重要度表示プログラム320は、セキュリティポリシー管理サーバ100から説明文とアクセス可否定義を受け取り、ステップ1でファイルのプロパティを表示したファイルブラウザにその一覧を引き渡す。ファイルブラウザは、受け取った説明文を重要度説明表示欄3222に表示し、アクセス可否定義をアクセス可否表示欄3223に表示する。重要度表示欄3221の値は、既に取得済みであるものをそのまま表示する。
(FIG. 10: Operation procedure step 3)
The importance display program 320 of the
(図10:動作手順ステップ1〜3:補足)
上記説明では、重要度に対応する説明文をセキュリティポリシー管理サーバ100から取得することを説明したが、説明文の内容は固定的であることが多いと考えられるため、クライアント端末300またはファイルブラウザを起動する時点で、あらかじめセキュリティポリシー管理サーバ100から全ての説明文を取得しておいてもよい。この場合、重要度表示プログラム320はクライアント端末300またはファイルブラウザが起動する時点で説明文を取得し、クライアント端末300のメモリ上に保持しておく。ファイルブラウザはファイルプロパティ表示画面322を表示する際に、メモリ上の説明文を取得して画面表示する。
(FIG. 10: Operation procedure Steps 1-3: Supplement)
In the above description, the explanation corresponding to the importance is obtained from the security
図11は、クライアント端末300が表示する重要度変更画面331の画面イメージ例である。重要度変更画面331は、電子ファイルの重要度と説明文を変更するための変更指示を入力する画面である。以下、図11の画面に係る動作手順を説明する。
FIG. 11 is a screen image example of the importance level change screen 331 displayed by the
(図11:動作手順ステップ1)
クライアント端末300のユーザは、ファイルブラウザ上で電子ファイルを選択し、重要度変更画面331を表示するように指示する。この時点では、ファイルおよび重要度の一覧は既に図9で説明した手順によって取得済みであるものとする。重要度変更プログラム330は、重要度表示プログラム320と同様の手順で、重要度の説明文とアクセス可否定義を取得する。また、同様の手順で重要度変更ルール定義テーブル132を取得し、重要度を変更することが認められているか否かを把握しておく。
(FIG. 11: Operation procedure step 1)
The user of the
(図11:動作手順ステップ2)
重要度変更プログラム330は、ステップ1で選択されたファイル、変更指示メッセージ、ファイルの重要度、アクセス可否定義を、それぞれ表示欄3311、3312、3313、3316に表示する。重要度変更欄3314は、現在選択されているファイルの重要度を変更入力する欄である。重要度変更プログラム330は、重要度説明文を説明文入力欄3315に表示する。この欄は重要度説明文を変更入力できるようになっている。
(FIG. 11: Operation procedure step 2)
The importance
(図11:動作手順ステップ3)
ユーザは、重要度入力欄3314と説明文入力欄3316に変更内容を入力し、変更ボタン3317をクリックする。重要度変更プログラム330は、各欄の入力内容とファイルフルパス名をセキュリティポリシー管理サーバ100に通知する。
(FIG. 11: Operation procedure step 3)
The user inputs change contents in the importance level input field 3314 and the explanatory text input field 3316 and clicks the change button 3317. The importance
(図11:動作手順ステップ3:補足)
重要度変更プログラム330は、ステップ1で選択されたファイルの重要度が、重要度変更ルール定義テーブル132の定義によって変更不可となっている場合は、変更ボタン3317を押下できないよう非活性状態する。さらに、表示欄3312にその旨を表示してもよい。
(FIG. 11: Operation procedure Step 3: Supplement)
If the importance level of the file selected in
(図11:動作手順ステップ4)
セキュリティポリシー管理サーバ100は、クライアント端末300から受け取った説明文入力欄3316の入力内容で、対応する重要度説明フィールド1312の値を更新する。また、クライアント端末300から受け取った重要度入力欄3314の入力内容を、フルパス名とともにファイル重要度管理サーバ200に転送する。
(FIG. 11: Operation procedure step 4)
The security
(図11:動作手順ステップ5)
ファイル重要度管理サーバ200は、重要度管理テーブル210が保持しているレコードのうち、セキュリティポリシー管理サーバ100から受け取ったフルパス名と一致するものを、受け取った説明文入力欄3316の内容で変更する。
(FIG. 11: Operation procedure step 5)
The file
(図11:動作手順ステップ1〜5:補足)
重要度変更ルール定義テーブル132の定義内容は、クライアント端末300またはファイルブラウザを起動する時点で、あらかじめセキュリティポリシー管理サーバ100から取得しておいてもよい。この場合、重要度変更プログラム330はクライアント端末300またはファイルブラウザが起動する時点で同テーブルを取得し、クライアント端末300のメモリ上に保持しておく。ファイルブラウザは重要度変更画面331を表示する際に、メモリ上の同テーブルを取得し、必要に応じて変更ボタン3317や表示欄3312を調整する。
(FIG. 11: Operation procedure steps 1 to 5: supplement)
The definition content of the importance level change rule definition table 132 may be acquired from the security
<実施の形態2:まとめ>
以上のように、本実施形態2に係るセキュリティ監視システム1000において、クライアント端末300は重要度定義テーブル211の定義内容を取得し、ファイル一覧またはファイルプロパティとともに画面表示する。これにより、ユーザは各電子ファイルに対してファイル操作アクセスする前にその重要度を把握できるので、セキュリティ意識を喚起することができる。
<Embodiment 2: Summary>
As described above, in the
また、本実施形態2に係るセキュリティ監視システム1000において、クライアント端末300は動作定義テーブル133の定義内容を取得し、ファイル一覧またはファイルプロパティとともに画面表示する。これにより、ユーザは各電子ファイルに対してセキュリティ監視プログラム310が実施するアクセス制御を把握できるので、セキュリティ意識を喚起することができる。また、不用意に禁止されている操作を実施することがないように抑制する効果も期待できる。
In the
また、本実施形態2に係るセキュリティ監視システム1000において、クライアント端末300は重要度変更画面331を画面表示し、各ファイルの重要度と説明文を変更する機能を提供する。これにより、ファイル分類プログラム110が実施した分類が完全でない場合でも、ユーザが自ら重要度を正確に付与することができる。
In the
<実施の形態3>
本発明の実施形態3では、実施形態1で説明したファイル分類プログラム110がファイルの重要度を判定する1手法について説明する。その他の構成は実施形態1〜2と同様である。
<
In the third embodiment of the present invention, a method for determining the importance of a file by the
図12は、セキュリティポリシー管理サーバ100が保持するフォルダ重要度定義ファイル141の構成例を示す図である。フォルダ重要度定義141は、ファイルフォルダとその重要度との対応関係を定義するデータファイルであり、重要度フィールド1411、フォルダパスフィールド1412を有する。
FIG. 12 is a diagram illustrating a configuration example of the folder importance level definition file 141 held by the security
重要度フィールド1411は、電子ファイルの重要度区分の名称を保持する。本フィールドは重要度区分テーブル131の重要度区分フィールド1311に対応する。フォルダパスフィールド1412は、ファイルサーバ400が有するファイルフォルダのパス名を保持する。
The importance field 1411 holds the name of the importance classification of the electronic file. This field corresponds to the importance category field 1311 of the importance category table 131. The folder path field 1412 holds the path name of the file folder that the
ファイル分類プログラム110は、クライアント端末300がアクセスしたフォルダパスがフォルダ重要度定義ファイル141に記載されているフォルダパスフィールド1412またはその配下のフォルダに合致する場合は、対応する重要度フィールド1411の値をその電子ファイルに付与する。
When the folder path accessed by the
図12のデータ例では、「\\testsv\test」配下のフォルダに格納されているファイルは重要度「高」を付与するということが記載されている。クライアント端末300がファイルサーバ400上の「\\testsv\test\test」にアクセスした場合、ファイル分類プログラム110は、同フォルダに格納されているファイルに重要度「高」を付与する。
In the data example of FIG. 12, it is described that a file stored in a folder under “\\ testsv \ test” is given importance “high”. When the
<実施の形態4>
本発明の実施形態4では、実施形態1で説明したファイル分類プログラム110がファイルの重要度を判定する1手法について説明する。その他の構成は実施形態1〜3と同様である。
<
In the fourth embodiment of the present invention, one method in which the
図13は、セキュリティポリシー管理サーバ100が保持するファイル名重要度定義ファイル142の構成例を示す図である。ファイル名重要度定義ファイル142は、ファイルの重要度とファイル名に含まれるキーワードとの対応関係を定義するデータファイルであり、重要度フィールド1421、ファイル名キーワードフィールド1422を有する。
FIG. 13 is a diagram showing a configuration example of the file name importance definition file 142 held by the security
重要度フィールド1421は、電子ファイルの重要度区分の名称を保持する。本フィールドは重要度区分テーブル131の重要度区分フィールド1311に対応する。ファイル名キーワードフィールド1422は、ファイル名に含まれる可能性があるキーワードのうちファイル重要度を判定する基準となるものを保持する。 The importance field 1421 holds the name of the importance classification of the electronic file. This field corresponds to the importance category field 1311 of the importance category table 131. The file name keyword field 1422 holds a keyword that can be included in the file name and serves as a criterion for determining the file importance.
ファイル分類プログラム110は、クライアント端末300がアクセスしたファイルのファイル名にファイル名キーワードフィールド1422が保持するいずれかのキーワードが含まれている場合は、対応する重要度フィールド1421の値をその電子ファイルに付与する。
When any of the keywords held in the file name keyword field 1422 is included in the file name of the file accessed by the
図13のデータ例では、ファイル名に「極秘」が含まれるファイルは重要度「高」を付与するということが記載されている。クライアント端末300がアクセスしたファイルのファイル名が「極秘ファイル.txt」であれば、ファイル分類プログラム110は、同ファイルに重要度「高」を付与する。
In the data example of FIG. 13, it is described that a file having “confidential” in the file name is given importance “high”. If the file name of the file accessed by the
<実施の形態5>
本発明の実施形態5では、実施形態1で説明したファイル分類プログラム110がファイルの重要度を判定する1手法について説明する。その他の構成は実施形態1〜4と同様である。
<
In the fifth embodiment of the present invention, one method in which the
図14は、セキュリティポリシー管理サーバ100が保持する拡張子重要度定義ファイル143の構成例を示す図である。拡張子重要度定義ファイル143は、ファイルの重要度とファイル拡張子との対応関係を定義するデータファイルであり、重要度フィールド1431、拡張子フィールド1432を有する。
FIG. 14 is a diagram illustrating a configuration example of the extension importance level definition file 143 held by the security
重要度フィールド1431は、電子ファイルの重要度区分の名称を保持する。本フィールドは重要度区分テーブル131の重要度区分フィールド1311に対応する。拡張子フィールド1432は、ファイル拡張子のうちファイル重要度を判定する基準となるものを保持する。 The importance field 1431 holds the name of the importance classification of the electronic file. This field corresponds to the importance category field 1311 of the importance category table 131. The extension field 1432 holds a file extension that serves as a reference for determining file importance.
ファイル分類プログラム110は、クライアント端末300がアクセスしたファイル拡張子が拡張子フィールド1432に合致する場合は、対応する重要度フィールド1431の値をその電子ファイルに付与する。
If the file extension accessed by the
図14のデータ例では、ファイルの拡張子が「.doc」であるファイルは重要度「高」を付与するということが記載されている。クライアント端末300がアクセスしたファイルが「test.doc」ファイル名である場合、ファイル分類プログラム110は、同ファイルに重要度「高」を付与する。
In the data example of FIG. 14, it is described that a file having a file extension of “.doc” is given importance “high”. When the file accessed by the
<実施の形態6>
本発明の実施形態6では、実施形態1で説明したファイル分類プログラム110がファイルの重要度を判定する1手法について説明する。その他の構成は実施形態1〜5と同様である。
<
In the sixth embodiment of the present invention, one method in which the
図15は、セキュリティポリシー管理サーバ100が保持するキーワード重要度定義ファイル144の構成例を示す図である。キーワード重要度定義ファイル144は、ファイルの重要度とファイル内に記録されているキーワードとの対応関係を定義するデータファイルであり、重要度フィールド1441、キーワードフィールド1442を有する。
FIG. 15 is a diagram showing a configuration example of the keyword importance definition file 144 held by the security
重要度フィールド1441は、電子ファイルの重要度区分の名称を保持する。本フィールドは重要度区分テーブル131の重要度区分フィールド1311に対応する。キーワードフィールド1442は、ファイル内に記録されている可能性があるキーワードのうちファイル重要度を判定する基準となるものを保持する。 The importance field 1441 holds the name of the importance classification of the electronic file. This field corresponds to the importance category field 1311 of the importance category table 131. The keyword field 1442 holds keywords that can be recorded in the file and serve as criteria for determining the file importance.
ファイル分類プログラム110は、クライアント端末300がアクセスしたファイル内にキーワードフィールド1442が保持するいずれかのキーワードが含まれている場合は、対応する重要度フィールド1441の値をその電子ファイルに付与する。
If any of the keywords held in the keyword field 1442 is included in the file accessed by the
図15のデータ例では、クライアント端末300がアクセスしたファイル内に「鈴木一郎」というキーワードが記録されている場合、ファイル分類プログラム110はそのファイルに重要度「高」を付与する。
In the data example of FIG. 15, when the keyword “Ichiro Suzuki” is recorded in the file accessed by the
図16は、キーワードフィールド1442が保持するキーワードを別ファイルに記録した例を示す。同図に示す例において、キーワード重要度定義ファイル144は、キーワードフィールド1442に代えてキーワードファイル名フィールド1443を有する。キーワードファイル名フィールド1443は、キーワードフィールド1442に相当するキーワードを記録したファイル名を保持する。 FIG. 16 shows an example in which the keywords held in the keyword field 1442 are recorded in another file. In the example shown in the figure, the keyword importance definition file 144 has a keyword file name field 1443 instead of the keyword field 1442. The keyword file name field 1443 holds a file name in which a keyword corresponding to the keyword field 1442 is recorded.
ファイル分類プログラム110は、クライアント端末300がアクセスしたファイル内に、キーワードファイル名フィールド1443が指定するファイル内に記録されているいずれかのキーワードが含まれている場合は、対応する重要度フィールド1441の値をその電子ファイルに付与する。
When any one of the keywords recorded in the file specified by the keyword file name field 1443 is included in the file accessed by the
図16のデータ例では、クライアント端末300がアクセスしたファイル内に「name.txt」が保持しているキーワードが記録されている場合、ファイル分類プログラム110はそのファイルに重要度「高」を付与する。
In the data example of FIG. 16, when the keyword held in “name.txt” is recorded in the file accessed by the
図15〜図16では、特定のキーワードまたは指定したファイル内に含まれるキーワードに特定の重要度を割り当てているが、例えばキーワードの出現数が多ければ高い重要度を割り当てる、などのようにキーワード出現数に応じて重要度を動的に判定するようにしてもよい。 In FIGS. 15 to 16, a specific importance level is assigned to a specific keyword or a keyword included in a specified file. For example, if a keyword has a large number of occurrences, a high importance level is assigned. The importance may be determined dynamically according to the number.
<実施の形態7>
実施形態3〜6で説明した手法は、任意に組み合わせることができる。例えば、フォルダ重要度定義ファイル141が記述していないフォルダが格納しているファイルについては、ファイル名重要度定義ファイル142の定義にしたがって重要度を判定する、といった補完的な利用方法が考えられる。
<
The methods described in the third to sixth embodiments can be arbitrarily combined. For example, for a file stored in a folder that is not described in the folder importance definition file 141, a complementary usage method in which the importance is determined according to the definition of the file name importance definition file 142 may be considered.
<実施の形態8>
図17は、本発明の実施形態8に係るセキュリティ監視システム1000の構成図である。本実施形態8において、クライアント端末300とファイルサーバ400の間には、ゲートウェイ装置500が配置されている。その他の構成は実施形態1〜7と同様である。ここでは実施形態1の図1に対応する構成を例示した。
<Eighth embodiment>
FIG. 17 is a configuration diagram of a
ゲートウェイ装置500は、クライアント端末300がファイルサーバ400にアクセスするとき、セキュリティ監視プログラム310に代えて、またはこれと平行してそのアクセスを検出する。これは、図6のステップ(1)および図7のステップ(1)においてゲートウェイ装置500がこれらステップの処理を実施することに相当する。以後のステップはセキュリティ監視プログラム310が実施してもよいし、ゲートウェイ装置500が可能な範囲で代替実施してもよい。
When the
本実施形態8では、クライアント端末300はゲートウェイ装置500を経由しないとファイルサーバ400にアクセスすることができない。そのため、セキュリティ監視プログラム310がファイル操作アクセスを検出できなかったときでも、ファイルサーバ400に対するアクセスを確実に検出することができる。
In the eighth embodiment, the
<実施の形態9>
実施形態1〜8で説明したセキュリティ監視システム100を実際に運用開始すると、システム導入時に決定した重要度変更ルールでは不十分であることが判明する場合が考えられる。また、社内ルールの変更により、システム導入時に設定した重要度変更ルールが陳腐化していく可能性もある。そのため、監視ルールを継続的に改訂することが必要になると考えられる。特に、ファイルの重要度の分類状況と、セキュリティポリシーに応じたアクセス状況を監視して、改善していくことが必要である。しかし、これら監視および改善を継続的に実施する作業は、管理者にとって負担が大きい。
<Embodiment 9>
When the
そこで本発明の実施形態9では、ファイルの重要度とセキュリティポリシーに応じた運用状況を自動的に分析し、セキュリティポリシーを改善することを支援する技術を提供する。 Therefore, Embodiment 9 of the present invention provides a technique for automatically analyzing the operation status according to the importance level of a file and the security policy, and assisting in improving the security policy.
図18は、本実施形態9に係るセキュリティ監視システム1000の構成図である。本実施形態9において、セキュリティポリシー管理サーバ100は、実施形態1〜8で説明した構成に加え、分類状況表示プログラム150、ログ記録プログラム160、運用状況分析プログラム170を備える。その他の構成は実施形態1〜8と同様である。
FIG. 18 is a configuration diagram of a
分類状況表示プログラム150は、ファイル重要度管理サーバ200に格納されている各電子ファイルをその重要度に応じて分類した結果を、後述の図19で例示するような方法で視覚的に表示する。また、後述の図24で例示する閾値にしたがって、その分類が適正に分布しているか否かを利用者に表示する。
The classification
ログ記録プログラム160は、セキュリティ監視プログラム310からファイル重要度管理サーバ200に対するアクセス、およびセキュリティ監視制御プログラム120が判断したアクセス可否結果を記録する。例えば、セキュリティ監視プログラム310がファイルアクセスを検知したとき、そのアクセス可否を判断するためにセキュリティポリシー管理サーバ100に問い合わせるが、ログ記録プログラム160はそのときセキュリティ監視制御プログラム120が判断したアクセス可否結果を記録する。また、ファイル分類プログラム110がファイルを分類した結果を記録する。さらには、重要度区分テーブル131、重要語変更ルール定義テーブル132、動作定義テーブル133に対するアクセス状況も記録する。
The log recording program 160 records the access from the
運用状況分析プログラム170は、ファイル重要度管理サーバ200に格納されている各電子ファイルの分類状況と、ログ記録プログラム160が記録したアクセス記録を分析し、後述の図20に示すような運用改善のための提案レポートを出力する。例えば、分類状況が特定の重要度に偏りすぎていた場合、重要度定義テーブル211の定義が現状に則していないことを警告する。その他、頻繁に持ち出しのためにアクセスされるファイルの重要度が高となっている場合、特定の管理者に承認行為が集中しすぎている場合などに、警告を表示する。
The operation status analysis program 170 analyzes the classification status of each electronic file stored in the file
図19は、分類状況表示プログラム150が生成する分類結果画面151の表示例を示す図である。分類結果画面151は、分類状況を視覚的に示すグラフ152、重要度毎のファイル数153を表示する。これにより管理者は、現状の分類状況を把握することができる。
FIG. 19 is a diagram showing a display example of the
図20は、運用状況分析プログラム170が提示する運用改善のための提案レポートの1例を示す図である。ここでは、テキストファイル形式で生成したレポートファイル171を例示した。 FIG. 20 is a diagram illustrating an example of a proposal report for operational improvement presented by the operational status analysis program 170. Here, the report file 171 generated in the text file format is illustrated.
レポートファイル171内には、1行毎にレポートが記載されており、先頭行はヘッダ行である。1行の項目は、提案の対象となる「ファイル名」、分類された「重要度」、対象ファイルに対するアクセスを集計した「期間」、期間内のアクセスを示す「回数」、対象ファイルに対する「提案」、を表す。 In the report file 171, a report is described for each line, and the first line is a header line. The items in one line are “file name” to be proposed, classified “importance”, “period” totaling access to the target file, “number of times” indicating access within the period, “suggestion” for the target file ".
図20に示す例では、ファイル「test2.txt」に対し、1週間に100回のアクセスが発生したことが示されている。図4に例示した動作定義テーブル133によると、重要度「中」のアクセス可否は「持ち出し禁止」であるため、本ファイルのアクセス可否は「持ち出し禁止」となるはずである。しかし、本ファイルに対して大量のアクセスが発生していることに鑑みると、本ファイルに対するアクセス可否は「持ち出し許可」である方が妥当であると考えられる。管理者は、レポートファイル171の内容に基づき、本ファイルに対する妥当なアクセス可否定義を改めて判断することができる。 The example illustrated in FIG. 20 indicates that the file “test2.txt” has been accessed 100 times per week. According to the operation definition table 133 illustrated in FIG. 4, the accessibility of the importance “medium” is “prohibited to take out”, and therefore the accessibility of this file should be “prohibited to take out”. However, in view of the fact that a large amount of access has occurred to this file, it is considered more appropriate that the access permission for this file is “permission allowed”. Based on the contents of the report file 171, the administrator can determine again the appropriate access permission definition for this file.
図21は、運用状況分析プログラム170が提示する運用改善のための提案レポートの別例を示す図である。ここでは、テキストファイル形式で生成したレポートファイル172を例示した。 FIG. 21 is a diagram showing another example of a proposal report for operational improvement presented by the operational status analysis program 170. Here, the report file 172 generated in the text file format is illustrated.
図21に示す例では、ファイル「test.txt」に対して、1週間に100回のアクセスが発生している。図4に例示した動作定義テーブル133によると、重要度「高」のアクセス可否は「持ち出し禁止」である。アクセス回数自体は図20の例と同様であるが、本ファイルの重要度はより高い「高」であるため、図20とは異なりアクセスが多過ぎるのはむしろ問題である。そこで、本ファイルに対するアクセス制限を掛けることが妥当であると考えられる。管理者は、レポートファイル172の内容に基づき、本ファイルに対する妥当なアクセス可否定義を改めて判断することができる。 In the example shown in FIG. 21, the file “test.txt” is accessed 100 times per week. According to the operation definition table 133 illustrated in FIG. 4, the access permission with the importance “high” is “prohibition to take out”. The number of accesses is the same as in the example of FIG. 20, but since the importance of this file is “high”, it is rather a problem that there are too many accesses unlike FIG. Therefore, it is considered appropriate to restrict access to this file. Based on the contents of the report file 172, the administrator can determine again the appropriate access permission definition for this file.
図22は、運用状況分析プログラム170が提案レポートを生成する際に使用するレポート基準テーブル173の構成とデータ例を示す図である。レポート基準テーブル173は、運用状況分析プログラム170が提示する提案レポート内の提案内容を定義するデータテーブルであり、重要度フィールド1731、アクセス可否フィールド1732、アクションフィールド1733、レポートフィールド1734を有する。 FIG. 22 is a diagram showing a configuration and data example of the report reference table 173 used when the operation status analysis program 170 generates a proposal report. The report reference table 173 is a data table that defines the proposal content in the proposal report presented by the operation status analysis program 170, and includes an importance field 1731, an accessibility field 1732, an action field 1733, and a report field 1734.
重要度フィールド1731とアクセス可否フィールド1732は、動作定義テーブル133が定義する電子ファイルの重要度とアクセス可否を保持する。レポートフィールド1734は、重要度フィールド1731とアクセス可否フィールド1732が指定する重要度とアクセス可否を有するファイルに対して、アクションフィールド1733が指定するアクションが発生した場合に、提案レポート内で提示すべき提案内容を保持する。 The importance field 1731 and the accessibility field 1732 hold the importance level and accessibility of the electronic file defined by the operation definition table 133. A report field 1734 is a suggestion to be presented in the proposal report when an action specified by the action field 1733 occurs for a file having the importance and accessability specified by the importance field 1731 and the accessibility field 1732. Keep the contents.
図22に示す1行目のデータ例では、重要度「高」、アクセス可否「持ち出し禁止」のファイルに対して1週間に100回以上のアクセスが発生したときは、メッセージ1を提案内容として提示すべき旨が定義されている。これは図21に示したレポートファイル172の内容に相当する。同様に2行目のデータ例は、図20に示したレポートファイル171の内容に相当する。
In the data example of the first line shown in FIG. 22, when 100 or more accesses occur in a week for a file of importance “high” and accessibility “prohibited to carry out”,
図19に示すように、ファイルの重要度セキュリティポリシーに応じた運用状況レポートを提供することにより、運用改善を進める効果が期待できる。また、この運用状況レポートを作成する際に得られるデータに基づき、図20〜図22で例示したような提案レポートを提示し、具体的な改善内容を示唆することもできる。 As shown in FIG. 19, by providing an operation status report corresponding to the importance security policy of a file, an effect of promoting operation improvement can be expected. Moreover, based on the data obtained when creating this operation status report, a proposal report as illustrated in FIGS. 20 to 22 can be presented to suggest specific improvements.
さらには、図20〜図22で例示したような提案内容を提示するのみに留まらず、提案内容に相当するセキュリティポリシーを自動的に反映することも考えられる。この場合はレポートフィールド1734の内容に相当するセキュリティポリシーをあらかじめ作成しておき、運用状況分析プログラム170が提案レポートを生成するときと同様の契機でこれを反映すればよい。以下にそのための構成例を説明する。 Furthermore, it is conceivable to automatically reflect a security policy corresponding to the proposed content in addition to presenting the proposed content as illustrated in FIGS. In this case, a security policy corresponding to the contents of the report field 1734 may be created in advance, and this may be reflected at the same timing as when the operation status analysis program 170 generates a proposal report. A configuration example for this purpose will be described below.
図23は、運用状況分析プログラム170がセキュリティポリシーを自動的に更新する際に使用するアクション基準テーブル174の構成とデータ例を示す図である。アクション基準テーブル174は、運用状況分析プログラム170がセキュリティポリシーを自動更新する際の更新内容を定義するデータテーブルであり、重要度フィールド1741、アクセス可否フィールド1742、アクションフィールド1743、自動変更フィールド1744を有する。
FIG. 23 is a diagram showing a configuration and data example of the action criterion table 174 used when the operation status analysis program 170 automatically updates the security policy. The action criteria table 174 is a data table that defines the update contents when the operation status analysis program 170 automatically updates the security policy, and includes an importance field 1741, an accessibility field 1742, an action field 1743, and an
重要度フィールド1741、アクセス可否フィールド1742、アクションフィールド1743は、それぞれレポート基準テーブル173の重要度フィールド1731、アクセス可否フィールド1732、アクションフィールド1733と同様である。自動変更フィールド1744は、重要度フィールド1741とアクセス可否フィールド1742が指定する重要度とアクセス可否を有するファイルに対して、アクションフィールド1743が指定するアクションが発生した場合に、セキュリティポリシーに反映すべき更新内容を保持する。
The importance field 1741, the accessibility field 1742, and the action field 1743 are the same as the importance field 1731, the accessibility field 1732, and the action field 1733 of the report reference table 173, respectively. An
図23に示す2行目のデータ例では、重要度「中」、アクセス可否「持ち出し禁止」のファイルに対して1週間に100回以上のアクセスが発生したときは、当該ファイルのアクセス可否を「持ち出し許可」に変更すべき旨が定義されている。これは図20に示したレポートファイル171の内容に相当する。図20では提案内容を提示するに留めたが、本データ例によれば、同様の内容をセキュリティポリシー上に直接反映することができる。 In the data example of the second row shown in FIG. 23, when access is performed 100 times or more per week for a file with importance “medium” and access permission “prohibition to carry out”, the access permission of the file is indicated as “ It is defined that it should be changed to “take-out permission”. This corresponds to the contents of the report file 171 shown in FIG. In FIG. 20, the proposed content is only presented, but according to this data example, the same content can be directly reflected on the security policy.
図24は、ファイルの重要度の分布状況が適正であるか否かを分類状況表示プログラム150が判断する際に用いる閾値テーブル154の1例を示す図である。閾値テーブル154は、重要度1541と閾値1542の対応関係を定義する。図24に示す例では、重要度「低」のファイル数が全ファイル数の15%を超えた場合は、何らかの警告表示等を利用者に通知すべきであることが定義されている。例えば、分類結果画面151のグラフ152上で、重要度「低」を赤文字表示する、などが考えられる。
FIG. 24 is a diagram showing an example of the threshold value table 154 used when the classification
<実施の形態9:まとめ>
以上のように、本実施形態9に係るセキュリティポリシー管理サーバ100は、ファイル重要度の分類状況を分析し、管理者が把握しやすい形態で分類状況を提示する。これにより、管理者はファイル重要度の分類状況を視覚的に把握し、セキュリティポリシーの運用状況を改善する契機とすることができる。
<Embodiment 9: Summary>
As described above, the security
また、本実施形態9に係るセキュリティポリシー管理サーバ100は、ファイルに対するアクセス状況とファイル重要度の対応関係が適切であるか否かを分析し、セキュリティポリシーを改善すべき場合は、その旨の提案レポートを提示する。これにより、システム管理者がセキュリティポリシーを見直すための作業負担を軽減することができる。
Also, the security
また、本実施形態9に係るセキュリティポリシー管理サーバ100は、上記提案レポートを提示することに代えて、同様の内容をセキュリティポリシー上に自動的に反映することもできる。これにより、システム管理者がセキュリティポリシーを見直すための作業負担をさらに軽減することができる。
In addition, the security
また、本実施形態9に係るセキュリティポリシー管理サーバ100において、ログ記録プログラム160は、ログデータを他のプログラムと切り離して管理している。これにより、他のログ管理製品との連携が容易になる効果が望める。
In the security
100:セキュリティポリシー管理サーバ、110:ファイル分類プログラム、120:セキュリティ監視制御プログラム、130:記憶装置、131:重要度区分テーブル、1311:重要度区分フィールド、1312:重要度説明フィールド、132:重要度変更ルール定義テーブル、1321:重要度区分フィールド、1322:重要度変更ルールフィールド、133:動作定義テーブル、1331:重要度区分フィールド、1332:アクセス可否フィールド、141:フォルダ重要度定義ファイル、1411:重要度フィールド、1412:フォルダパスフィールド、142:ファイル名重要度定義ファイル、1421:重要度フィールド、1422:ファイル名キーワードフィールド、143:拡張子重要度定義ファイル、1431:重要度フィールド、1432:拡張子フィールド、144:キーワード重要度定義ファイル、1441:重要度フィールド、1442:キーワードフィールド、1443:キーワードファイル名フィールド、150:分類状況表示プログラム、151:分類結果画面、152:グラフ、153:重要度毎のファイル数、154:閾値テーブル、1541:重要度名称フィールド、1542:閾値フィールド、160:ログ記録プログラム、170:運用状況分析プログラム、171:レポートファイル、172:レポートファイル、173:レポート基準テーブル、1731:重要度フィールド、1732:アクセス可否フィールド、1733:アクションフィールド、1734:レポートフィールド、174:アクション基準テーブル、1741:重要度フィールド、1742:アクセス可否フィールド、1743:アクションフィールド、1744:自動変更フィールド、200:ファイル重要度管理サーバ、210:記憶装置、211:重要度定義テーブル、2111:ファイル名フィールド、2112:ファイルパスフィールド、2113:重要度フィールド、300:クライアント端末、320:重要度表示プログラム、321:フォルダ重要度表示画面、3211:ファイル表示欄、3212:重要度表示欄、322:ファイルプロパティ表示画面、3221:重要度表示欄、3222:重要度説明表示欄、3223:アクセス可否表示欄、330:重要度変更プログラム、331:重要度変更画面、3311、3312、3313、3316:表示欄、3314:重要度変更欄、3315:説明文入力欄、3317:変更ボタン、400:ファイルサーバ、500:ゲートウェイ装置、1000:セキュリティ監視システム。 100: Security policy management server 110: File classification program 120: Security monitoring control program 130: Storage device 131: Importance category table 1311: Importance category field 1312: Importance description field 132: Importance Change rule definition table, 1321: Importance level field, 1322: Importance level change rule field, 133: Operation definition table, 1331: Importance level field, 1332: Accessibility field, 141: Folder importance level definition file, 1411: Important Degree field, 1412: Folder path field, 142: File name importance definition file, 1421: Importance field, 1422: File name keyword field, 143: Extension importance definition file, 14 1: Importance field, 1432: Extension field, 144: Keyword importance definition file, 1441: Importance field, 1442: Keyword field, 1443: Keyword file name field, 150: Classification status display program, 151: Classification result screen , 152: Graph, 153: Number of files for each importance, 154: Threshold table, 1541: Importance name field, 1542: Threshold field, 160: Log recording program, 170: Operation status analysis program, 171: Report file, 172 : Report file, 173: Report criteria table, 1731: Importance field, 1732: Accessability field, 1733: Action field, 1734: Report field, 174: Action criteria table 1741: Importance field, 1742: Accessability field, 1743: Action field, 1744: Automatic change field, 200: File importance management server, 210: Storage device, 211: Importance definition table, 2111: File name field, 2112: File path field, 2113: Importance field, 300: Client terminal, 320: Importance display program, 321: Folder importance display screen, 3211: File display field, 3212: Importance display field, 322: File property display Screen, 3221: importance display field, 3222: importance explanation display field, 3223: access availability display field, 330: importance change program, 331: importance change screen, 3311, 3312, 3313, 3316: display field, 3314 : Importance change column, 3315: Explanation text input column, 3317: Change button, 400: File server, 500: Gateway device, 1000: Security monitoring system.
Claims (15)
電子ファイルの重要度を判定してその重要度毎に分類するファイル分類部と、
前記電子ファイルに対するアクセスを前記セキュリティ監視プログラムが許可すべきか否かを前記重要度毎に定義した動作定義データと、
前記セキュリティ監視プログラムを実行するコンピュータから、前記電子ファイルに対するアクセスを許可すべきか否かの照会を受け付け、前記電子ファイルの重要度と前記動作定義データの定義にしたがってアクセス可否を回答するセキュリティ監視制御部と、
前記電子ファイルに対するアクセス状況と、その電子ファイルの前記重要度との対応関係を分析し、その結果レポートを作成する運用状況分析部と、
前記電子ファイルの前記重要度、当該電子ファイルに対するアクセス状況、および当該電子ファイルに対するセキュリティ監視ポリシーについて実施すべき処理内容の対応関係を記述した基準テーブルと、
を備え、
前記運用状況分析部は、
前記電子ファイルに対するアクセス状況と、その電子ファイルの前記重要度との対応関係を分析し、その分析結果に対応する前記処理内容を前記基準テーブルから取得してその処理を実施するように構成されており、
前記基準テーブルは、
前記処理内容として、前記運用状況分析部がアクセス状況を分析した前記電子ファイルに対するアクセス頻度が所定のアクセス頻度閾値以上である場合は、前記重要度が所定の重要度閾値以下である前記電子ファイルについてはアクセス可否を外部持ち出し禁止から外部持ち出し許可へ変更するとともに前記重要度が前記重要度閾値超である前記電子ファイルについてはアクセス可否を外部持ち出し許可から外部持ち出し禁止へ変更するよう指定する、セキュリティ監視ポリシーの更新内容を記述し、または
前記処理内容として、前記運用状況分析部がアクセス状況を分析した前記電子ファイルに対するアクセス頻度が前記アクセス頻度閾値以上である場合は、前記重要度が前記重要度閾値以下である前記電子ファイルについてはアクセス可否を外部持ち出し禁止から外部持ち出し許可へ変更するとともに前記重要度が前記重要度閾値超である前記電子ファイルについてはアクセス可否を外部持ち出し許可から外部持ち出し禁止へ変更するよう促す、セキュリティ監視ポリシーの更新内容について提案するメッセージを記述しており、
前記運用状況分析部は、
前記分析の結果に対応する前記更新内容を前記セキュリティ監視ポリシーに反映し、または前記分析の結果に対応する前記メッセージを提示する
ことを特徴とするセキュリティポリシー管理サーバ。 A server device that manages a security monitoring policy that defines an operation of a security monitoring program that monitors access to an electronic file,
A file classification unit that determines the importance of an electronic file and classifies it according to its importance;
Action definition data defining, for each importance, whether the security monitoring program should allow access to the electronic file;
A security monitoring control unit that accepts an inquiry as to whether or not to permit access to the electronic file from a computer that executes the security monitoring program and answers whether or not the electronic file is accessible according to the importance of the electronic file and the definition of the operation definition data When,
An operational status analysis unit that analyzes a correspondence relationship between the access status of the electronic file and the importance of the electronic file, and creates a result report;
A reference table describing the correspondence between the importance of the electronic file, the access status to the electronic file, and the processing content to be implemented for the security monitoring policy for the electronic file;
With
The operational status analysis unit
It is configured to analyze a correspondence relationship between the access status to the electronic file and the importance of the electronic file, and obtain the processing content corresponding to the analysis result from the reference table and execute the processing. And
The reference table is
When the access frequency for the electronic file whose access status has been analyzed by the operation status analysis unit is equal to or higher than a predetermined access frequency threshold as the processing content, the electronic file whose importance is equal to or lower than a predetermined importance threshold Changes the access permission from external take-out prohibition to external take-out permit, and specifies that the access permission / inhibition is changed from external take-out permission to external take-out prohibition for the electronic file whose importance is greater than the importance threshold. If the access frequency for the electronic file whose access status is analyzed by the operation status analysis unit is equal to or higher than the access frequency threshold, the importance is described as the importance threshold. The following electronic files are accessible Whether prompted to change the electronic files access permission for the importance the important degree threshold than with changing external takeout prohibited outside takeout permission from the external takeout permission to the external take-out prohibiting updating of security monitoring policy Describes a message that suggests content,
The operational status analysis unit
The security policy management server, wherein the update content corresponding to the analysis result is reflected in the security monitoring policy or the message corresponding to the analysis result is presented.
前記セキュリティ監視プログラムを実行するコンピュータから前記動作定義データに対する照会を受け取り、前記コンピュータに返信する
ことを特徴とする請求項1記載のセキュリティポリシー管理サーバ。 The security monitoring control unit uses a communication protocol using HTTP,
The security policy management server according to claim 1, wherein an inquiry about the operation definition data is received from a computer that executes the security monitoring program and is returned to the computer.
前記電子ファイルを格納するファイルフォルダと、そのファイルフォルダの重要度との対応関係を定義するフォルダ重要度定義データを読み取り、
前記フォルダ重要度定義データの定義にしたがって、前記電子ファイルの重要度を判定する
ことを特徴とする請求項1または2記載のセキュリティポリシー管理サーバ。 The file classification unit
Read the folder importance definition data that defines the correspondence between the file folder storing the electronic file and the importance of the file folder;
The security policy management server according to claim 1 or 2, wherein the importance of the electronic file is determined according to the definition of the folder importance definition data.
前記電子ファイルのファイル名と、そのファイル名に含まれるキーワードの重要度との対応関係を定義するファイル名重要度定義データを読み取り、
前記ファイル名重要度定義データの定義にしたがって、前記電子ファイルの重要度を判定する
ことを特徴とする請求項1から3のいずれか1項記載のセキュリティポリシー管理サーバ。 The file classification unit
Read the file name importance definition data that defines the correspondence between the file name of the electronic file and the importance of the keyword included in the file name;
The security policy management server according to any one of claims 1 to 3, wherein the importance of the electronic file is determined according to the definition of the file name importance definition data.
前記電子ファイルの拡張子と、その拡張子の重要度との対応関係を定義する拡張子重要度定義データを読み取り、
前記拡張子重要度定義データの定義にしたがって、前記電子ファイルの重要度を判定する
ことを特徴とする請求項1から4のいずれか1項記載のセキュリティポリシー管理サーバ。 The file classification unit
Read the extension importance definition data defining the correspondence between the extension of the electronic file and the importance of the extension,
The security policy management server according to any one of claims 1 to 4, wherein the importance of the electronic file is determined according to the definition of the extension importance definition data.
前記電子ファイル内に記録されているキーワードと、そのキーワードの重要度との対応関係を定義するキーワード重要度定義データを読み取り、
前記キーワード重要度定義データの定義にしたがって、前記電子ファイルの重要度を判定する
ことを特徴とする請求項1から5のいずれか1項記載のセキュリティポリシー管理サーバ。 The file classification unit
Read keyword importance definition data that defines the correspondence between the keywords recorded in the electronic file and the importance of the keywords,
The security policy management server according to claim 1, wherein the importance of the electronic file is determined according to the definition of the keyword importance definition data.
ことを特徴とする請求項1から6のいずれか1項記載のセキュリティポリシー管理サーバ。 The security policy management server according to claim 1, further comprising a file classification status display unit that analyzes a current status of the classification performed by the file classification unit and displays the contents thereof. .
ことを特徴とする請求項7記載のセキュリティポリシー管理サーバ。 The security policy management server according to claim 7, wherein the file classification status display unit classifies the number of the electronic files for each importance and displays the graph.
ことを特徴とする請求項1から8のいずれか1項記載のセキュリティポリシー管理サーバ。 The security policy according to any one of claims 1 to 8, further comprising a log recording unit that records, as a log, that the file classification unit has performed the classification and an access status to the electronic file. Management server.
前記電子ファイルのファイルパスと当該電子ファイルの重要度との対応関係を定義する重要度定義データを保持するファイル重要度管理サーバと、
を有し、
前記ファイル分類部は、
前記重要度を判定した結果を当該電子ファイルのフルパス名とともに前記ファイル重要度管理サーバに通知し、
前記ファイル重要度管理サーバは、
前記ファイル分類部が前記重要度を判定した結果を受け取って前記重要度定義データに格納する
ことを特徴とするセキュリティ監視システム。 The security policy management server according to any one of claims 1 to 9,
A file importance management server that holds importance definition data that defines the correspondence between the file path of the electronic file and the importance of the electronic file;
Have
The file classification unit
Notifying the file importance management server of the result of determining the importance together with the full path name of the electronic file,
The file importance management server
The security monitoring system, wherein the file classification unit receives a result of determining the importance and stores it in the importance definition data.
前記クライアントコンピュータは、
前記電子ファイルを格納しているファイルフォルダ内の電子ファイル一覧を取得し、
前記重要度定義データが定義している、前記ファイル一覧に記載された各電子ファイルの重要度を取得し、各電子ファイルの重要度を前記ファイル一覧とともに画面表示する
ことを特徴とする請求項10記載のセキュリティ監視システム。 Having a client computer to access the electronic file;
The client computer is
Obtain a list of electronic files in the file folder storing the electronic files,
The importance of each electronic file described in the file list defined by the importance definition data is acquired, and the importance of each electronic file is displayed on the screen together with the file list. The security monitoring system described.
前記電子ファイルを格納しているファイルフォルダ内の電子ファイル一覧を取得し、
前記動作定義データが定義している、前記ファイル一覧に記載された各電子ファイルに対するアクセス可否定義を取得し、各電子ファイルに対するアクセス可否を前記ファイル一覧とともに画面表示する
ことを特徴とする請求項11記載のセキュリティ監視システム。 The client computer is
Obtain a list of electronic files in the file folder storing the electronic files,
Claim 11, characterized in that the operation definition data is defined, to obtain an access permission definition for each electronic files listed in the file list, the screen displays the accessibility to each electronic file together with the file list The security monitoring system described.
前記重要度定義データが定義している重要度を変更する変更指示を入力するための重要度変更画面を画面表示し、
前記重要度変更画面上で前記変更指示を受け付けると、前記重要度定義データが定義している重要度をその変更指示にしたがって変更するように前記セキュリティポリシー管理サーバへ指示し、
前記セキュリティポリシー管理サーバは、
前記クライアントコンピュータからの指示にしたがって前記重要度定義データが定義している重要度を変更する
ことを特徴とする請求項11または12記載のセキュリティ監視システム。 The client computer is
An importance change screen for inputting a change instruction to change the importance defined by the importance definition data is displayed on the screen.
When the change instruction is received on the importance change screen, the security policy management server is instructed to change the importance defined by the importance definition data according to the change instruction,
The security policy management server
The security monitoring system according to claim 11 or 12, wherein the importance defined by the importance definition data is changed in accordance with an instruction from the client computer.
前記セキュリティ監視プログラムは、前記クライアントコンピュータに、
前記電子ファイルに対するアクセスが発生したことを検知するステップ、
前記電子ファイルに対するアクセスを許可すべきか否かを前記セキュリティポリシー管理サーバに照会するステップ、
前記照会の結果にしたがって前記電子ファイルに対するアクセス可否を制御するステップ、
を実行させることを特徴とする請求項11から13のいずれか1項記載のセキュリティ監視システム。 The client computer executes the security monitoring program,
The security monitoring program is provided on the client computer.
Detecting that access to the electronic file has occurred;
Inquiring to the security policy management server whether or not to permit access to the electronic file;
Controlling access to the electronic file according to the result of the inquiry;
The security monitoring system according to claim 11 , wherein the security monitoring system is executed.
前記ゲートウェイ装置は、
前記クライアントコンピュータが前記電子ファイルに対してアクセスする際に、その電子ファイルのフルパス名を取得して前記セキュリティポリシー管理サーバに通知し、
前記セキュリティポリシー管理サーバは、
前記ゲートウェイ装置から受け取った前記電子ファイルのフルパス名に基づき前記電子ファイルの重要度を判定する
ことを特徴とする請求項11から14のいずれか1項記載のセキュリティ監視システム。 A gateway device that relays access to the electronic file from the client computer;
The gateway device is
When the client computer accesses the electronic file, obtain the full path name of the electronic file and notify the security policy management server,
The security policy management server
The security monitoring system according to claim 11, wherein importance of the electronic file is determined based on a full path name of the electronic file received from the gateway device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011200744A JP5740260B2 (en) | 2011-02-02 | 2011-09-14 | Security policy management server, security monitoring system |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011020307 | 2011-02-02 | ||
JP2011020307 | 2011-02-02 | ||
JP2011200744A JP5740260B2 (en) | 2011-02-02 | 2011-09-14 | Security policy management server, security monitoring system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012178137A JP2012178137A (en) | 2012-09-13 |
JP5740260B2 true JP5740260B2 (en) | 2015-06-24 |
Family
ID=46979918
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011200744A Active JP5740260B2 (en) | 2011-02-02 | 2011-09-14 | Security policy management server, security monitoring system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5740260B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EA201892619A1 (en) | 2011-04-29 | 2019-04-30 | Роше Гликарт Аг | IMMUNOCONJUGATES CONTAINING INTERLEUKIN-2 MUTANT POLYPETIPS |
JP6291707B2 (en) | 2012-08-10 | 2018-03-14 | 三菱電機株式会社 | Contact image sensor, output correction device for contact image sensor, and output correction method for contact image sensor |
JP5930203B2 (en) | 2012-12-11 | 2016-06-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Method for controlling access to service, computer and computer program thereof |
JP6415353B2 (en) | 2015-03-02 | 2018-10-31 | キヤノン株式会社 | Information processing apparatus, information processing apparatus control method, and computer program |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000308126A (en) * | 1999-04-15 | 2000-11-02 | Canon Inc | Security device and security method |
JP2004062417A (en) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | Certification server device, server device and gateway device |
JP4524628B2 (en) * | 2005-02-03 | 2010-08-18 | 日本電気株式会社 | Carry-in / out management system and information management method for information processing equipment |
JP2006343887A (en) * | 2005-06-07 | 2006-12-21 | Matsushita Electric Ind Co Ltd | Storage medium, server device, and information security system |
US7606801B2 (en) * | 2005-06-07 | 2009-10-20 | Varonis Inc. | Automatic management of storage access control |
JP2007109016A (en) * | 2005-10-13 | 2007-04-26 | Nec Corp | Access policy creation system, method and program |
JP2007179130A (en) * | 2005-12-27 | 2007-07-12 | Kokuyo Co Ltd | Classification management device and its program |
JP4711343B2 (en) * | 2006-06-02 | 2011-06-29 | 日本電信電話株式会社 | Method and system for protecting personal information |
JP2008052651A (en) * | 2006-08-28 | 2008-03-06 | Fuji Xerox Co Ltd | Access right management program and access right management system |
JP2009223657A (en) * | 2008-03-17 | 2009-10-01 | Sky Co Ltd | Operation object management system and operation object management program |
JP5365286B2 (en) * | 2009-03-18 | 2013-12-11 | 株式会社リコー | Information processing apparatus, installation management method, installation management program, and remote management system |
JP5124525B2 (en) * | 2009-05-19 | 2013-01-23 | 株式会社日立製作所 | File access control method |
JP2011002987A (en) * | 2009-06-18 | 2011-01-06 | Fuji Xerox Co Ltd | Use authority attaching device and program |
-
2011
- 2011-09-14 JP JP2011200744A patent/JP5740260B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012178137A (en) | 2012-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8677448B1 (en) | Graphical user interface including usage trending for sensitive files | |
US9558193B2 (en) | Detecting behavioral patterns and anomalies using activity data | |
US9703978B2 (en) | Transforming policies to enforce control in an information management system | |
US9531595B2 (en) | Intelligent policy deployment | |
US8024214B2 (en) | System and method of visualization for aggregation of change tracking information | |
US11809397B1 (en) | Managing slot requests for query execution in hybrid cloud deployments | |
US9069949B2 (en) | Non-transitory computer readable storage medium, access filtering device, and access filtering method | |
US11455314B2 (en) | Management of queries in a hybrid cloud deployment of a query system | |
US20220138188A1 (en) | Generic scheduling | |
JP5740260B2 (en) | Security policy management server, security monitoring system | |
JP7352345B2 (en) | Information processing device, its control method, information processing system, and program | |
JP6517416B1 (en) | Analyzer, terminal device, analysis system, analysis method and program | |
US20070061276A1 (en) | Device and method for registering a plurality of types of information | |
JP6441742B2 (en) | Security level management system, security level management device, security level management method and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140109 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140723 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140819 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141016 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150210 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150319 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150407 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150427 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5740260 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |