JP5985756B2 - モバイルコンピューティング機器のためのデータ損失防止 - Google Patents

モバイルコンピューティング機器のためのデータ損失防止 Download PDF

Info

Publication number
JP5985756B2
JP5985756B2 JP2015533323A JP2015533323A JP5985756B2 JP 5985756 B2 JP5985756 B2 JP 5985756B2 JP 2015533323 A JP2015533323 A JP 2015533323A JP 2015533323 A JP2015533323 A JP 2015533323A JP 5985756 B2 JP5985756 B2 JP 5985756B2
Authority
JP
Japan
Prior art keywords
data
dlp
location
mobile computing
computing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015533323A
Other languages
English (en)
Other versions
JP2015529374A (ja
Inventor
ポール シン アフージャ,ラティンデル
ポール シン アフージャ,ラティンデル
シン,バルビール
バッタチャルジー,ラジビール
クルカルニ,ダッタトラヤ
Original Assignee
マカフィー, インコーポレイテッド
マカフィー, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マカフィー, インコーポレイテッド, マカフィー, インコーポレイテッド filed Critical マカフィー, インコーポレイテッド
Publication of JP2015529374A publication Critical patent/JP2015529374A/ja
Application granted granted Critical
Publication of JP5985756B2 publication Critical patent/JP5985756B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/80Arrangements enabling lawful interception [LI]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明開示は、一般的に、セキュリティ分野に関する。より特定的には、ロケーションに基づいたモバイル機器における管理アプリケーションに関する。
モバイル機器の使用の増加と供に、データ損失防止(data loss prevention)(または”DLP”)の分野において新たなチャレンジが出現してきた。モバイル機器は、しばしば、従来のデスクトップおよび装置上には通常は見い出せない多くの情報および機能を有している。全地球測位システム(GPS)、カメラ、近距離無線通信(NFC)、等といったものである。そうした機能は、また、漏洩するおそれのある新たなタイプの機密データをもたらし得る。種々の異なるチャネルを介して常に通信ネットワークと接続されるというモバイル機器の傾向によって、状況はさらに複雑になっている。チャネルは、音声、GPRS、3G、4G、データ、ブルートゥース(登録商標)、等といったものである。そうしたインスタンスにおいては、漏洩するおそれのあるデータの種類は、より多様であり得る。漏洩が発生する機会も同様である。加えて、いくつかのモバイル機器プラットフォームは、コンテンツインスペクションを難しくしている。他の障害のうち、厳格なコンテナ化および粗粒(coarse grained)のパーミッションモデルを通じたものである。他の実施例のうち、「ブリングユアオウンデバイス(”bring your own device”)」またはBYODの傾向は、さらに、機密データのセキュリティソリューションおよびコントロール管理を一様に提供することを課された管理者とIT従事者の関心事である。
モバイルコンピューティング機器のためのデータ損失防止である。
モバイルコンピューティング機器のカーネルへのシステムコールがモニタされる。所定のシステムコールが、モバイルコンピューティング機器の入力/出力(I/O)機能に関してインターセプトされる。所定のシステムコールに適用可能なデータ損失防止(DLP)ポリシが特定される。少なくとも部分的にDLPポリシに基づいて、所定のシステムコール上でアクションが実行される。
種々の図面における類似の参照番号および記号は、類似のエレメントを示すものである。
図1は、一つの実施例に従った、データ損失防止(DLP)サーバーを含むシステム例の簡素化された模式的な図である。 図2は、一つの実施例に従った、モバイルユーザ機器とDLPサーバーを含むシステム例の簡素化された図である。 図3は、一つの実施例に従った、一つまたはそれ以上のモバイルユーザ機器について展開され得るDLPソリューションに係る一組の例を表している簡素化された図である。 図4は、一つの実施例に従った、ネットワークベースのDLPソリューション例を示している簡素化された図である。 図5Aは、一つの実施例に従った、暗号化されたコンテナ(container)の簡素化された例である。 図5Bは、一つの実施例に従った、暗号化されたコンテナの簡素化された例である。 図6Aは、一つの実施例に従った、DLPエージェントとセキュリティモジュールを含んでいるモバイルコンピューティング機器の例を表している簡素化された図である。 図6Bは、一つの実施例に従った、DLPエージェントとセキュリティモジュールを含んでいるモバイルコンピューティング機器の例を表している簡素化された図である。 図7は、一つの実施例に従った、DLPエージェントアプリケーションとセキュリティモジュールとの間のインタラクションの例を表している簡素化された図である。 図8Aは、一つの実施例に従った、ロケーションベースのDLP実施を表している簡素化されたフロー図である。 図8Bは、一つの実施例に従った、ロケーションベースのDLP実施を表している簡素化されたフロー図である。 図8Cは、一つの実施例に従った、ロケーションベースのDLP実施を表している簡素化されたフロー図である。 図9Aは、一つの実施例に従った、モバイルコンピューティング機器のためのデータ損失防止に関するオペレーションの例を表しているフローチャートである。 図9Bは、一つの実施例に従った、モバイルコンピューティング機器のためのデータ損失防止に関するオペレーションの例を表しているフローチャートである。
いくつかの実施において、モバイルユーザコンピューティング機器のためのデータ損失(DLP)ソリューションの例が提供される。例えば、リナックス(登録商標)セキュリティマネージャ(LSM)といった、カーネル(kernel)セキュリティマネージャを通じたものである。LSMサービスは、他の実施例の機能のうち、モバイル機器の種々のアプリケーションにわたって作用し、柔軟性のあるポリシフレームワークを提供し、かつ、モバイル機器アプリケーションとサブシステムのコンフィグレーションを維持することができる。
従来のDLPツールおよびシステムは、不適切にシステムを離れていく(または、入ってくる)種々のタイプのデータから身を守ることができる。データタイプは、実行データ(data−in−motion)を含み得る。eメール、ウェブポスト、ネットワークトラフィック、インスタントメッセージ、等である。活動するデータは、例えば、システムのネットワークに係る進入(ingress)及び/又は放出(egress)ポイントにおいて展開されるソリューションを通じて、実施され得る。データタイプは、さらに、保存データ(data−at−rest)のデータタイプを含み得る。共有ファイル、データベース、システム内のデスクトップおよびラップトップにおけるストレージ、等といったものである。ディスカバリ(discovery)およびフィンガープリントソリューションは、保存データに関して利用され得る。加えて、実行データタイプは、リムーバブル媒体、プリンタ、グラフィカルディスク、等を介して保管または出力されるデータを含んでよく、DLP実施は、そうしたデータ放出が生じ得るところであるコンピューティング機器のエンドポイント(endpoint)において発生し得る。従って、従来のDLPソリューションは、種々のソリューションを採用して、システム内でのデータ損失の種々の原因と形式から身を守ることができる。加えて、DLPソリューションは、システムを出ていくもの、または、入ってくるものと検出されたデータに係るコンテンツおよびコンテクスト(context)の分析に基づいて、DLPポリシを実施することができる。さらに、DLPソリューションは、種々のプローブ(probe)、DLPイベントを検出するために、ファイルシステムプローブ、eメールプローブ、ネットワークプローブ、HTTPプローブ、プリンタプローブといったものを利用することができる。そうしたプローブおよび対応するフック(hook)は、しかしながら、最新のモバイルコンピューティング機器プラットフォームおよびオペレーティングシステムにおいては、実施するのが難しい。モバイルオペレーティングシステムは、閉じた世界を構成し得る。モバイル機器は、さらに、CPU、メモリ、バッテリー、および、モバイル機器に特有のパフォーマンス制限、を有し得る。さらに、モバイル機器は、典型的に、従来のコンピューティング機器よりも多くの起こり得る攻撃チャネル(attack channel)を有し得る。SMS、4G、ブルートゥース、NFC、Wi−Fi、SDカード、等を通じて提供される攻撃チャネルを含むものである。さらに、追加的なデータ損失の脆弱性が出現し得る。モバイル機器アプリケーションとユーザが、今まで以上にクラウドベースまたは他のウェブ提供および分散サービス、等に依存しているからである。
データは、種々のメカニズムを通じて、導入され、かつ、モバイルコンピューティング機器に入ることができる。例えば、データは、eメール、SMSメッセージ、ファイル共有(クラウドベース及びローカル共有を含む)を通じて、インターネット、ウェブベースアプリケーション、等を介して、導入され得る。データは、類似の多種多様なメカニズムを通じて、共有され、出力され、または、モバイルコンピューティング機器を「離れる(”leave”)」ことができる。外部機器とデータ交換するアプリケーション、ウェブメール、ウェブポスト、メッセージ、eメール、クラウドベースのストレージおよびアプリケーションサービス、等といったものを介してである。さらに、モバイルコンピューティング機器は、しばしば、よりサイズが小さく、種々の環境の中にユーザによって持ち運ばれるので、モバイルコンピューティング機器は、例えば、機器の盗難または紛失を通じて、より危険にさらされる傾向があり得る。盗難または紛失は、さらに、データ損失の理由となり得るものである。
図1は、例えば、DLPポリシサーバー105、および、一つまたはそれ以上のモバイルコンピューティング機器110、115、120、125を含む、システム100の簡素化された図を示している。モバイルコンピューティング機器は、一つまたはそれ以上のネットワークにわたって接続し、通信することができる。インターネットといったものであり、プライベート、ローカルエリア、および、他のネットワーク(例えば、集合的に130)も同様である。モバイルコンピューティング機器(例えば、110、115、120、125)は、一つまたはそれ以上のネットワーク130にわたり、種々の他のコンピューティング機器と、インターフェイスし、サービスを利用し、アクセスし、かつ、データを共有することができる。そうしたコンピューティング機器は、例えば、他のパーソナルコンピューティング機器(例えば、110、115、120、125)を含んでよい。データ、アプリケーション、および、サービスに係る外部サーバー145も同様である。さらに、いくつかの実施において、DLPポリシサーバー105、GPSサーバー140、および、他のシステムは、モバイルコンピューティング機器に向けたDLPソリューションを支援するサービスを提供することができる。そうしたサービスは、いくつかの実施例において、さらに、一つまたはそれ以上のネットワーク130にわたり、モバイルコンピューティング機器(例えば、110、115、120、125)と外部サーバー(例えば、105、140)との間の通信を含み得る。いくつかの実施において、モバイルコンピューティング機器(例えば、110、115、120、125)は、モバイルコンピューティング機器に対してDLPサービスを提供するためにモバイルコンピューティング機器上のDLPエージェントに関してオペレーションしている、モバイルコンピューティング機器のカーネルとインターフェイスしているセキュリティマネージャを含んでよい。いくつかの場合には、リモートのDLPポリシサーバー105、および、他の外部システム、セキュリティツール、および他のリソースの支援に関するものである。
一般的に、コンピューティング環境100の実施例におけるシステム機器(例えば、110、115、120、125、140、145、等)を含む、「サーバー」、「クライアント」、「クライアント機器」、「コンピューティング機器」、「ネットワークエレメント」、「ホスト」、「システムタイプのシステムエンティティ」は、コンピューティング環境100に関するデータおよび情報を、受信し、送信し、処理し、保管し、または、管理するように動作可能な電子コンピューティング機器を含み得る。この明細書において使用されるように、用語「コンピュータ」、「プロセッサ」、「プロセッサデバイス」、または「処理装置」は、あらゆる好適な処理装置を包含するように意図されたものである。例えば、コンピューティング環境100の中で単独のデバイスとして示されているエレメントは、複数のコンピューティング機器またはプロセッサを使用して実施されてよい。複数のサーバーコンピュータを含んでいるサーバープール(server pool)といったものである。さらに、コンピューティング機器のあらゆるもの、全て、または、いくつかのものは、あらゆるオペレーティングシステムを実行するように適合され得る。リナックス(登録商標)、UNIX(登録商標)、マイクロソフトウィンドウズ(登録商標)、アップルOS、アップルiOS、Googleアンドロイド、ウィンドウズ(登録商標)サーバー、等を含んでおり、カスタマイズされ、占有されたオペレーティングシステムを含む、所定のオペレーティングシステムも同様である。
さらに、サーバー、クライアントデバイス、ネットワークエレメント、システム、および、コンピューティングデバイスは、それぞれに、一つまたはそれ以上のプロセッサ、コンピュータで読取り可能なメモリ、および、一つまたはそれ以上のインターフェイス、他の機能やハードウェアなど、を含み得る。サーバーは、あらゆる好適なソフトウェアコンポーネントまたはモジュール、もしくは、ソフトウェアアプリケーションおよびサービスをホスト及び/又は提供することができるコンピューティングデバイス(例えば、パーソナルセイフティシステム、サーバー105のサービスおよびアプリケーション、など)を含み得る。分散、エンタープライズ、または、クラウドベースのソフトウェアアプリケーション、データ、および、サービスを含むものである。例えば、いくつかの実施において、DLPポリシサーバー105、GPSサーバー140、外部サーバー145、または、コンピューティングシステム100に係る他のサブシステムは、クラウドで実施されるシステムであってよい。データ、ソフトウェアサービス、および、システム100における他のサービスおよびデバイスをインターフェイスし、調整し、独立し、または、使用されるアプリケーション、をリモートにホストし、提供し、または、そうでなければ管理するように構成されているものである。いくつかのインスタンスにおいて、サーバー、システム、サブシステム、または、コンピューティングデバイスは、共通のコンピューティングシステム、サーバー、サーバープール、または、クラウドコンピューティング環境においてホストされ得るデバイスのいくつかの組合せとして実施され、共有メモリ、プロセッサ、および、インターフェイスを含む、コンピューティングリソースを共有することができる。
ユーザ、エンドポイント、または、クライアントコンピューティングデバイス(例えば、110、115、120、125、等)は、従来の移動可能なコンピューティングデバイスを含み得る。パーソナルコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、スマートフォン、パーソナルデジタルアシスタント、フィーチャーフォン、ハンドヘルドビデオゲームコンソール、デスクトップコンピュータ、インターネット可能テレビ、および、人間のユーザとインターフェイスするようにデザインされて、一つまたはそれ以上のネットワーク(例えば、130)上で他のデバイスと通信可能な他のデバイス、を含むものである。コンピュータアシスト、または、「スマート(”smart”)」な装置は、家庭用または産業用のコンピュータプロセッサを含むデバイスおよびマシンを含み得る。そして、コンピュータプロセッサ、他のハードウェア、及び/又は、コンピュータプロセッサによって実行される一つまたはそれ以上のソフトウェアプログラムによって、コントロールされ、モニタされ、アシストされ、補足され、または、そうでなければデバイスの機能を拡張する。コンピュータアシスト装置は、幅広い種類のコンピュータアシストマシンおよび製品を含み得る。冷蔵庫、食器洗浄機、自動車、HVACシステム、産業用機械、オーブン、セキュリティシステム、等を含むものである。
ユーザコンピューティングデバイス、コンピュータアシスト装置、サーバー、および、コンピューティングデバイスに係る属性は、一般的には、デバイス間で幅広く様々であり得る。それぞれのオペレーティングシステム、ロードされ、インストールされ、実行され、オペレーションされ、または、そうでなければそれぞれのデバイスに対してアクセス可能な、ソフトウェアプログラムのコレクション(collection)を含むものである。例えば、コンピューティングデバイスは、種々のプログラムのセットを稼働し、実行し、インストールさせ、または、そうでなければ有することができる。オペレーティングシステム、アプリケーション、プラグイン、アプレット、仮想マシン、マシンイメージ、ドライバー、実行可能ファイル、および、それぞれのデバイスによって稼働され、実行され、または、そうでなければ使用される他のソフトウェアベースのプログラム、に係る種々の組合せを含むものである。
いくつかのシステムデバイスは、さらに、少なくとも一つのグラフィカルディスプレイ装置とユーザインターフェイスを含み得る。システムデバイスのコンピュータプロセッサによってサポートされており、ユーザは、システム100において提供されるアプリケーションおよび他のプログラムのグラフィカルユーザインターフェイスを見てインタラクションすることができる。システムデバイスの中でホストされているアプリケーションとインタラクションするプログラムに係るユーザインターフェイスおよびグラフィカル表示を含んでおり、システム100に係るサービスおよびアプリケーションに関するグラフィカルユーザインターフェイスも同様である、等。さらに、システムデバイスは、一人のユーザによって使用される観点で説明されている一方で、この発明開示では、多くのユーザが一つのコンピュータを使用する、または、一人のユーザが複数のコンピュータを使用することができるものと理解している。
図1は、複数のエレメントを含み、または、関連するものとして説明されているが、本発明開示の代替的なそれぞれの実施例においては、図1のコンピューティング環境100の中に示された必ずしも全てのエレメントが利用されなくてもよい。加えて、図1の実施例に関して説明された一つまたはそれ以上のエレメントは、コンピューティング環境100に対して外部に位置してもよい。一方、他のインスタンスにおいては、所定のエレメントが、一つまたはそれ以上の他の説明されたエレメントの中に、または、その一部として含まれてよい。図示された実施例において説明されていない他のエレメントも同様である。さらに、図1において示される所定のエレメントは、他のコンポーネントと組合わされてもよい。同様に、ここにおいて説明された目的に加えて、代替的または追加的な目的のためにも使用される。
これから、図2の実施例のブロック図に移ると、一つまたはそれ以上のネットワーク(例えば、130)上で通信し、インタラクションすることができるモバイルユーザ機器205およびDLPサーバー210の例を含むシステムの実施例が示されている。一つの実施例において、モバイルユーザ機器205は、一つまたはそれ以上のプロセッサデバイス212および一つまたはそれ以上のメモリエレメント214を含み得る。プロセッサ212とメモリエレメント214を使用する追加のコンポーネント、アプリケーション、および、サブシステムを伴うものである。例えば、モバイルユーザ機器205は、複数のサブシステム218を含み得る。バッテリードライバー、ネットワークアクセス、ディスプレイ装置、データポート、スピーカ、電話、可能性のある多くの他の例など、といったものである。モバイルユーザ機器205は、さらに、種々のアプリケーション224(または「モバイルアプリケーション(”mobile apps”)」)を含み得る。ソフトウェア及び/又はハードウェアベースのコンポーネントと機能も同様である。例えば、一つの実施例において、モバイルユーザ機器205は、カーネルセキュリティマネージャ216を含み得る。リナックス(登録商標)カーネルとインターフェイスしているLSM、セキュリティマネージャ216と併せてオペレーションしているDLPエージェント222、および、DLPエージェント222と別個か、統合されたか、いずれかの他のコンポーネント、といったものである。そうしたコンポーネントの例は、いくつかの実施例において、暗号化マネージャ228、VPNマネージャ230、タギングエンジン220、など他の例、を含み得る。
いくつかの実施例において、カーネルセキュリティマネージャ216とDLPエージェント222は、DLPポリシ238のカーネルベースの実施を提供するために利用され得る。種々のデータ234は、モバイルユーザ機器205に保管され、保持される。そして、所定のタイプのデータおよびデータ234に係るアクセスと配布をコントロールするために、DLPポリシ238が定義され得る。いくつかの実施例において、DLPは、例えば、VPNマネージャ230と暗号化マネージャ228を使用して、代替的なアプローチを通じて実施され得る。例えば、VPNマネージャ230は、モバイルユーザ機器205を含んでいる通信を、仮想プライベートネットワーク、プライベートネットワーク、エンタープライズ、または、そうでなければ一つまたはそれ以上のDLP実施ツールの展開を含む他のネットワーク、に対して再ルート化(reroute)するように試みることができる。他のインスタンスにおいて、暗号マネージャ228は、少なくともデータ234のいくつかを暗号化し、安全に、データ234の部分をハウジングし(housing)、かつ、データ損失を防止するための暗号化コンテナ(container)を作成し、管理することができる、等である。
さらに、いくつかの実施例において、データ234は、例えば、それぞれのデータ(例えば、234)に適用されている一つまたはそれ以上のポリシ238に係る識別子に基づいて、トリガーされ得る。所定のデータファイル(例えば、234)上のタグ236の存在は、データ上のポリシ238の実施を合理化することができる。さらに、ロケーションデータは、ロケーションコンテクストと同様に、DLPポリシの実施に関連して使用され、考慮され得る。そうした実施をサポートしているロケーションデータは、例えば、モバイルユーザ機器205で利用可能な全地球測位システム(GPS)を通じて収集され、提供され得る。実際に、いくつかのアプリケーション224とサブシステム218は、GPSサービスを利用することができ、同様に、測位検出機能をアプリケーションおよびサブシステムの振る舞い及びオペレーションの中に統合することができる。例えば、いくつかの実施例において、モバイルユーザ機器205に備えられたデジタルカメラ232は、デジタルカメラ232を使用してキャプチャされたジオタギング(geo−tagging)写真のための一つのオプションをユーザの提供することができる、等。他の測位検出機能は、例えば、携帯ベース、ネットワークベース、または、他の検出機能を含み得る。
DLPサーバー210の実施例は、また、一つまたはそれ以上のプロセッサデバイス242、一つまたはそれ以上のメモリエレメント244、および、一つまたはそれ以上のソフトウェア及び/又はハードウェアベースのコンポーネントおよび機能を含み得る。デバイスマネージャ246、ユーザマネージャ248、ポリシエンジン250、脅威インテリジェンスエンジン252、および、DLPPツール254といったものであり、本発明の実施例において明確には示されていない他のセキュリティツール、コンポーネント、および、機能を伴うものである。例えば、デバイスマネージャ246は、一つまたはそれ以上のモバイルユーザ機器(例えば、205)とのDLPサーバーのインタラクションを管理し、カスタム化することができる。DLPサービスを提供し、かつ、デバイスデータ256の中に記述されるようにそれぞれ個々のデバイス(例えば、205)の属性に対して仕立てられたDLPポリシを適用するためである。加えて、ユーザマネージャ248の実施例は、種々のモバイルユーザ機器(例えば、205)に関連付けされた種々のユーザプロファイルを記述しているユーザデータ260を管理することができる。ユーザマネージャ248の実施例は、所与のモバイルユーザ機器/ユーザとって適切または好適なDLPサービスおよびポリシ258を、さらにカスタマイズし、かつ、特定するようにユーザデータ260を利用することができる。
いくつかの実施において、ポリシエンジン250は、DLPサーバー210によって保持されているポリシ258を管理することができる。ポリシエンジン250は、クライアントモバイルユーザ機器(例えば、205)に対するポリシの規定を作成し、補足し、変更し、かつ、管理することができる。いくつかの実施において、一つまたはそれ以上のネットワークおよびシステムにおいて検出された種々の脅威および他のセキュリティ関連状況を記述している脅威インテリジェンスデータ262は、ポリシ258の生成において考慮され、かつ、利用され得るし、種々のモバイルユーザ機器205に対するポリシ258の割り当ても同様である。例えば、それぞれのデバイス属性、ユーザ属性、エンタープライズポリシ、サーバープロバイダポリシ、および、所定のモバイルユーザ機器に関連する他の特性、に基づくものである。さらに、いくつかの実施において、DLPサーバー210の例は、モバイルユーザ機器(例えば、205)から離れて展開された種々のDLPツール254を通じてDLPサービスを提供することができる。モバイルユーザ機器のトラフィック(traffic)がリダイレクト(redirect)され得るVPNといった、ネットワークにおいて実施されるDLPツールといったものである、等。
DLPサービスは、それぞれのモバイルユーザ機器(例えば、205)においてローカルに又はリモートシステム(例えば、210)を通じて提供されたものであるが、モバイルユーザ機器に入ってくる又は出ていくデータをコントロールし、かつ、モニタするために使用することができる。それによって、また、いくつかの実施において、種々のDLPポリシ238、258が適用されるデバイスのネットワークをコントロールし、かつ、モニタする。例えば、DLPサービスは、一つのアプリケーションから別のアプリケーションへ、モバイルユーザ機器205から外部サーバー145または外部のパーソナルコンピューティングデバイス240へ、ユーザデバイス間、等で移動しているデータを保護することができる。DLPサービスは、さらに、外部ソースから所与のモバイルユーザ機器205へ移動しているデータを保護することができる、等。
図3の実施例に移ると、一つまたはそれ以上のモバイルユーザ機器に関連して展開され得る一組のDLPソリューションを説明する簡素化されたブロック図300が示されている。一組のうち一つのDLPソリューションまたは組合せが、モバイルコンピューティングデバイス上で検出されたDLPイベントに関連して使用され得る。一つの実施例において、DLPソリューションは、モバイル機器のトラフィックを一つまたはそれ以上のプライベートネットワーク(仮想プライベートネットワーク(例えば、305)といったもの)へとリダイレクトすることを含み得る。例えば、リダイレクトされたトラフィックが一つまたはそれ以上のDLPポリシを実施するために使用され得るネットワークベースのツールおよびサービスを用いるものである。暗号化コンテナ、特定アプリケーションの暗号化コンテナ(例えば、310)といったものは、オペレーティングシステム暗号化コンテナ(例えば、315)と同様に、追加的または代替的に、モバイル機器データをデータ損失または漏洩から保護するために利用される。加えて、深い分析技術(例えば、320)、LSMベースのDLPソリューションといったものが、利用され得る。カーネルとインターフェイスし、デバイスにインストールされたDLPエージェントのサービスを利用するセキュリティマネージャを通じて、といったものである。
一つの実施例において、モバイルDLPソリューションは、2つのレベルのセキュリティを提供することができる。デバイス内セキュリティ(例えば、LSMモジュールを通じたもの)、デバイス外セキュリティ、VPNを介したモバイル機器トラフィックの適時的なルーティング(routing)、および、ロバスト(robust)なエンタープライズ指向のネットワークDLPツール、等を含むネットワークベースのDLPツールおよびフィルタ、を通じたものである。
図4に移ると、いくつかのインスタンスにおいて、モバイル機器によって利用されるるネットワークベースのDLPソリューションの実施例を説明している簡素化された図400が示されている。そうしたネットワークベースのアプローチによって、既存のネットワークベースのDLPインフラストラクチャの利益効果をあげることができる。例えば、モバイル機器トラフィックをVPN450に強制することによって、潜在的な機密のトラフィックおよびデータがネットワークに対して再ルート化され、ロバストなDLPコンポーネント(例えば、410、415、420)がコンテンツを検査し、検査に基づいて適切なアクションをダイレクトすることができる。ネットワークベースのDLPソリューションは、エンタープライズモバイルマネジメント(EMM)410強制的VPN技術、セキュアなウェブゲートウェイ415へのトラフィックのリダイレクト、例えばウェブゲートウェイにおいて実施されるデータ損失防止技術(例えば、420)、セキュリティVPNセッション、ワンタイムパスワードの強制的VPN,等を含み得る。
図5A−5Bに示される実施例に移ると、暗号化コンテナは、また、いくつかの実施において、モバイルコンピューティング機器に関連して利用され得る。図5Aの実施例においては、暗号化コンテナソリューションのアプリケーションが表わされている。そうしたコンテナ(例えば、505、510、515)は、モバイルコンピューティング機器上の個々のアプリケーションをラップ(wrap)することができ、所与のアプリケーションのために、所定のアプリケーション(例えば、520、525、530)によって使用または生成される全てのデータを暗号化する。そうしたアプリケーションコンテナは、いくつかのインスタンスにおいて、所定のアプリケーションについて仕立てられ得る。一方、他のインスタンスにおいては、アプリケーション(例えば、図5Bに示されるもの)による使用のための一式の利用可能なファイルシステム(例えば、540、545、550)として実施されるオペレーティングシステムベースのコンテナが、一般的に、アプリケーションの入/出力を暗号化するためのあらゆる種類のアプリケーションによって使用され得る。いくつかのインスタンスにおいて、ユーザは、例えば、潜在的な機密データを利用または生成するための所与のアプリケーションに係る傾向に基づいて、どのアプリケーションがコンテナの中にラップされるべきかを指示することができる。モバイル機器管理システム(例えば、モバイル機器管理(MDM)サーバー535)は、さらに、モバイルコンピューティング機器に対して使用されるべきコンテナを管理するために使用され得る。アプリケーションコンテナの使用を通じて、アプリケーションは、専用の暗号化されたデータストア(data store)を有することができ、ストア内に含まれるデータは、暗号化されたデータストアに対応するアプリケーション以外のアプリケーションによって、アクセスされ、共有され、操作され、または、コントロールされることが防止される。一つの実施例において、セキュアなコンテナアプリケーションは、エンタープライズモビリティマネジメントクライアントとインターフェイスで接続することができる。いくつかの実施において、第三者アプリケーションまたは所与のアプリケーションを用いたオペレーションが明確に認定されていないアプリケーションは、対応するエンタープライズモビリティマネジメントクライアントと通信すること、または、暗号化されたアプリケーションのストレージにアクセスすることができない。一つの実施例のアプローチにおいて、アプリケーションコンテナは、エンタープライズデータといった、所定のタイプのアプリケーションデータを、ユーザのパーソナルファイルといった、暗号化されないままの残りのタイプのデータと供に、取っておくために使用され得る。別の実施例のアプローチにおいては、アプリケーション自身がコンテナの中にラップされ、アプリケーションによってアクセスされるデータをモニタし、コントロールする、等。
図6A−6Bは、DLPソリューションに基づいたセキュリティモジュールの実施例を示している。例えば、スマートフォン、または、Googleアンドロイド(Android)又は別のプラットフォームを使用しているタブレット上での使用のためのLSMベースのDLPソリューションといったものである。DLPソリューションの組合せが使用され得ることが、正しく理解されるべきである。いくつかのインスタンスにおいては、所定の一組のDLPソリューションが、管理されるべきデータ、通信、または、トランザクション(transaction)のタイプまたはコンテクストに基づいて利用され得る。例えば、一つの実施例において、トラフィックをVPN上のネットワークDLP展開に対して成功裡にリダイレクトできないことは、LSMベースのDLPソリューションといった、一つまたはそれ以上のDLPソリューションを発動させ得る、等。例えば、DLPソリューションの階層は、種々のコンテクスト、シチュエーション、データタイプ、トランザクションタイプ、通信、デバイス、等のうちあらゆる一つに対して定義され得る。
一つのシステム実施例において、一連のアプリケーション603、610、615、620が、仮想マシンレイヤ(layer)とアンドロイドフレームワークの上方に位置しているアプリケーションレイヤにおいて提供され得る。アプリケーションは、仮想マシンレイヤにおいて実行されることでコンテナ化され得る。例えば、ダルビック(Dalvik)仮想マシン(VM)625、等を使用するものである。システムカーネル630は、仮想マシンレイヤと、LSMといった、セキュリティモジュール635を伴うインターフェイスの下方に位置している。カーネルは、バインダモジュール640を含み、関連するデバイス/dev/binderを有している。いくつかの実施において、全てではないとしても、アプリケーション間(および、アプリケーションとデバイスサブシステム(例えば、645、650、655)との間)の大部分の通信は、カーネル630上で、/dev/binderに対するI/Oコントロールシステムコールを介して促進され得る。セキュリティモジュール635は、カーネルバインダ640とインターフェイスで接続され、I/O関連のシステムコールをモニタし、インターセプトすることができる。さらに、セキュリティモジュール635は、加えて、DLPエージェントとインターフェイスで接続することができ、一つまたはそれ以上の保持されたポリシがインターセプトされたシステムコールに対して適用されるか否かを、例えばDLPエージェントによって、判断することにおいて、インターセプトされたシステムコールを検査するための機能を含んでいる。
一つの実施例においては、図6Aの実施例に示されるように、一例として、ポリシエンジン660およびポリシデータベース665といった、DLPエージェントに係る機能の全て又は一部分が、セキュリティモジュール635自身の中に包含され、コード化され得る。他のインスタンスにおいては、DLPエージェントロジックが、モニタされたモバイルユーザ機器上にインストールされ、いくつかのインスタンスでは、プラットフォームのアプリケーションレイヤに配置されたDLPエージェントアプリケーション670の中に配置することによって、カーネル630におけるフットプリントを小さくすることが望ましい。図6Bの実施例に示されるようにである。いずれの実施においても、DLPエージェントのポリシエンジン660は、リモートのDLPサーバー、等といった、他のデバイスによってホストされるDLPポリシマネジメントサービスとインターフェイスで接続し、統合してよい。モバイルユーザ機器上でインターセプトされたシステムコールに対して適用されるようにポリシを受け取り、アップデートするためである。
セキュリティモジュール635の実施例は、フック(hook)を提供し、カーネルエクステンション(kernel extension)は、ディスク書込み、ソケット書込み、I/Oコントロール、メモリマップオペレーション、等のような種々のオペレーションをコントロールして制限することができる。セキュリティモジュール635は、全てのカーネルデータに対するアクセスを有することができ、このアクセスを、DLPエージェントに関して、モバイルユーザ機器上で細粒の(fine−grained)DLPポリシを実施するために活用することができる。例えば、カーネル630とインターフェイスで接続しているセキュリティモジュール635は、読出し、書込み、作成、または他のオペレーションを含む、ファイルオペレーションを制限し、モニタするために使用され得る。ファイル675は、検査され、タグ付けされ、例えば、ファイルが機密であるか否か、および、所定のポリシがファイルに対して適用可能か否かを示している。さらに、ポリシは、ファイルに付加された所定のタグの存在に基づいて、例えば、セキュリティモジュール635(または別のコンポーネント)によって、適用され、実行され得る。さらに、所定のシステムコールまたはオペレーションのサブジェクトであるデータは、検査されスキャンされて、(例えば、DLPポリシの中で適宜されているように)データの秘密または機密性を示すパターンが、データの中で検査される。そうした検査により、所定のポリシが適用され、DLPタスクが実行されるべき、そうした秘密または機密データの動的な特定を、結果として生じ得る。
図7は、DLPエージェントアプリケーション670と、LSMといった、セキュリティモジュール635との間のインタラクションの例を表している簡素化された図700である。この実施例において、LSMは、カーネルバインダ640とインターフェイスで接続するように構成されてよく、バインダ640に対して予定されたI/Oシステムコールを検査し、かつ、潜在的にそうしたシステムコールをインターセプトする。LSMによってインターセプトされたシステムコール及びそうしたシステムコールの特性を記述しているデータは、LSMによって、DLPエージェント670に対して通信され得る。DLPエージェント670は、インターセプトされたシステムコールをアセスし、モバイルユーザ機器に対する一つまたはそれ以上のDLPポリシがシステムコールについて適用されるべきか否かを判断するためのロジックと機能を含み得る。インターセプトされたシステムコールに対して、DLPポリシ特定されないか、または、許容的なDLPポリシが特定されない場合、DLPエージェントは、所定のデータのI/Oを含んでいるシステムコールが、モバイルユーザ機器のDLPポリシに基づいて、実施され得ることを示す結果を、LSMにリターンしてよい。他のインスタンスにおいて、LSMは、所定のシステムコールのインターセプションに関してDLPエージェントに問い合せてよく、かつ、DLPエージェントは、インターセプトされたシステムコールに対してより制限的なDLPポリシを適用することを特定してよい。このことは、所定のインターセプトされたシステムコールに対して特定されたDLPポリシとつりあった所定のシステムコールについて適用されるべきDLP実行アクションを促進することができる。そうしたアクションは、いくつかの実施例において、システムコールの却下、システムコールの編集、システムコールのデータの変形または置換、等を含み得る。
いくつかの実施において、LSM635の例は、読出し、書込み、送信、受信、I/Oコンポーネント、等のような所定の興味のあるシステムコールをインターセプトすることができ、そして、DLPエージェント670のポリシエンジンに対して、システムコールおよびシステムコールに影響され又は前提とするデータを記述している情報を渡す。いくつかの実施において、LSM635は、それぞれのインターセプトされたシステムコールに応じて、DLPエージェント670と通信することができる。システムコール、および、関連するデータの一つまたはそれ以上のDLPポリシを伴うコンプライアンスに関するインテリジェンス(intelligence)を取得するためである。LSMは、インテリジェンスを利用して(例えば、DLPエージェント670と通信してDLPエージェントまたは外部ソースから、等)、インターセプトされたコールを制限、または、変更するといった、DLPアクションを実行する。
図6A−6Bおよび図7に関して説明され記述されたような実施例は、プラットフォームに係るカーネル、仮想マシンレイヤ、オペレーティングシステムフレームワーク、インストールされた他のアプリケーション(例えば、705)または他のライブラリ(例えば、710)の修正をすることなく、ロバストなDLPマネジメントを可能にしている。そうしたカーネルベースのセキュリティモジュールは、セキュリティモジュールがデバイス上の全てのI/Oに対してアクセスを有しているので、機密漏洩防止のセキュリティを提供することができる。そうした実施は、さらに、細粒のDLPルールおよび施行アクションの実施例に対して柔軟性を提供し得る。例えば、セキュリティモジュールおよびDLPエージェントは、デバイスオペレーション(例えば、取り付け/取り外し、モバイル機器のUSBドライブをマウントする試みを許可しない、等)を制限またはモニタするために、ソケット(socket)オペレーション(例えば、送信、受信、バインド、接続、等)を制限またはモニタするために使用され得る。モバイル機器のネットワーク機能を使用することを望むアプリケーションに制限をかける(例えば、細粒のポリシの実施を通じて、ソケットから読出し/書込みされるデータをスキャンする、等)、I/Oコントロールオペレーションを制限する(例えば、クリップボードおよび他のアプリケーション間での通信とデータ共有をブロックすること、等)ためである。
説明するに、アプリケーションは、カーネルバインダ(および、対応するデバイス /dev/binder)を介してお互いに通信することができる。クリップボード、共有メモリに対するいくつかのデータの書込み(例えば、(ashmem)、そして次に、/dev/binder上のioctlファンクションコール)を通じて、といったものである。セキュリティモジュール635の実施例は、/dev/binder上のそうしたファンクションコールを検出して制限するために使用され得る。上述の方針を適用しているセキュリティモジュールベースのDLPソリューションの柔軟性を説明する別の実施例においては、モバイルコンピューティング機器の固有の特性および一式の特徴を利用する複雑化された攻撃も、また、ブロックされ得る。例えば、非構造付加サービスデータ(またはUSSD)攻撃が開発されてきており、モバイル機器に対してtel://を伴うURL USSDリンクを投入して、モバイル機器にUSSDリンクを自動的にダイアルさせて、モバイル機器のSIM証明書を改ざんするように試みる。セキュリティモジュールベースのDLPソリューションを使用することで、そうしたリンクの導入が、I/Oシステムコールとしてカーネルレベルにおいて特定され、インターセプトされ、かつ、そうした攻撃を回避するために定められたポリシに従ったセキュリティモジュールによってブロックされ得る。さらに別の実施例において、モバイルコンピューティング機器のNFC機能が、また、悪意のある第三者によって開発されてきている。例えば、NFCタグを利用することによって、モバイルユーザ機器のブラウザに強制的に悪意のあるウェブサイトをオープンさせる、等。セキュリティモジュールベースのDLPアプリケーションは、また、これらの攻撃を救済することもできる。モバイルユーザ機器のNFCモジュールから発生しているI/Oシステムコールを特定し、インターセプトし、かつ、ブロックすることによるものである。
さらに他の実施例においては、セキュリティモジュールベースのDLPソリューションは、いくつかのモバイルコンピューティング機器上のUSSDコード、NFCコミュニケーションに関するシステムコールからデータをインターセプトすることができ得る。他のI/O機能に関するものも同様である。例えば、モバイル機器のブルートゥースモジュールから発生しているI/Oシステムコール、および、他のシステムコールも、また、DLPポリシの実施のためにインターセプトされ、処理され得る。一つの実施例において、セキュリティベースDLPソリューションが利用され、承認されていないブルートゥース周辺機器がモバイルコンピューティング機器に接続されることを防止し得る。例えば、ブルートゥース機器が、所定の定義された条件を除いて、モバイルユーザコンピューティング機器に接続する機能を制限するようにポリシを定めることができる。所定のタイプのブルートゥース可能な機器に対して、モバイルユーザ機器が所与の信頼できるロケーション(例えば、ユーザの家またはオフィス)の中にあるものと(例えば、GPSを通じて)検出された場合、等といったものを除いている。別の実施例においては、モバイル機器から送信されるように意図されたSMSメッセージがインターセプトされ得る。SMSメッセージは、例えば、DLPエージェントによって分析され、メッセージの宛先及び/又はペイロード(payload)が一つまたはそれ以上のDLPポリシに違反しているか否かを特定し得る。例えば、メッセージのコンテンツが分析され、一つまたはそれ以上のポリシ、パターン、または、アルゴリズムに従って、潜在的に機密性があると特定されたデータを送信する試みを特定し得る。一つの実施例として、クレジットカード番号、ソーシャルセキュリティ番号、PIN番号、等のそうした機密情報を記述していると思われるデータを含んでいるSMSメッセージは、特定されたタイプの情報に対応するDLPポリシを実行するためのセキュリティモジュールを使用して、インターセプトされ、ブロックまたは修正され得る、等。
上述のように、DLPエージェントのポリシエンジンを通じて、カーネルレベルでのセキュリティモジュールベースのDLPソリューションと協力して、細粒のDLPソリューションが、定義され、カーネルでのセキュリティモジュールを使用してモニタされるI/Oシステムコール(および、他のシステムコール)に対して成功裡に適用され得る。例えば、DLP保護は、SMS、4G、ブルートゥース、カメラ、マイクロフォン、GPSモジュール、等を含む、モバイルコンピューティング機器の種々のI/Oチャネルのそれぞれにわたり実施され得る。さらに、カーネルとインターフェイスで接続しているセキュリティモジュールは、システムコールを発生している又はそうでなければ包含されているサブシステム及び/又はアプリケーションを特定し得る。所与のファイルが由来するIPアドレスとドメインといったシステムコールに関する情報が、特定され、トラックされ得る。そうした情報は、いくつかの実施例においては、種々のソース、ドメイン、IPアドレス、アプリケーション、等の信用性といった、トラックされた情報から特定されたパターンに基づいてポリシを定義して実施することによって、選択的なDLPコントロールを提供するために使用され得る。実際に、いくつかの実施例においては、所定の既知のエンティティまたはドメインから発生し、又は、包含されているものとして特定されたシステムコールにおいて参照されたデータは、所定のエンティティまたはドメインを含んでいる、以前にトラックされ処理されたシステムコールに基づいてタグ付けされ、関連するDLPポリシ(例えば、所定のエンティティまたはドメインに特有のもの)を早くトラックする(fast−track)ことができる。加えて、モニタされたシステムコール等を通じて取得された情報に基づいて、セキュリティモジュールベースのDLPソリューションを使用して、反復スコアが生成されて保持され得る。
上述のように、セキュリティモジュールベースのDLPソリューションは、I/Oシステムコールにおいてインターセプトされたデータをタグ付けするための機能を含み得る、等。データの評価に基づいて、例えば一つまたはそれ以上のDLPポリシに従ったDLPエージェントによって、データは、例えば、機密、信用性なし、プライベート、等としてタグ付けされ得る。そうしたタグは、次に、DLPソリューションによって保持され得る。例えば、DLPエージェント及び/又はセキュリティモジュールによるものである。タグを使用して、タグ付けされたデータを含んでいる後続のシステムコールが、特定され得る。タグに基づいて、DLPエージェントでのインターセプトされたシステムコールの再評価がスキップされ得る。タグの特定を用いて、タグまたはタグにマップされたポリシ及び/又はDLP実施アクションの自動的な特定ができるようになる。一つの実施例においては、拡張属性を伴うYAFFS2ファイルシステムが、タグのストレージにおいて使用され得る。代替的に、タグ付けされたファイルのデータベースは、LSM、及び/又は、DLPエージェントのポリシエンジンといった、セキュリティモジュールによって保持され、参照され得る。
いくつかの実施例においては、暗号化コンテナといった、他の潜在的なDLPソリューションに対して提供される暗号化機能に加えて、セキュリティモジュールは、システムコールの中に含まれるデータをインターセプトするため使用され得る。かつ、DLPエージェントによって保持されている特定されたルールとポリシに基づいて、インターセプトされたデータが機密性のものであり、暗号化されるべきであることを動的に特定するために使用され得る。従って、いくつかの実施において、セキュリティモジュールは、そうしたインターセプトされたデータを、例えば、外部のモバイル機器と通信されるように、例えば、デバイスストレージ、デバイスアプリケーション、または、デバイスサブシステムへ進行する前に暗号化されるようにすることができる。このことにより、ファイルシステム全体の暗号化、アプリケーションデータ全体の暗号化、等といった、より力ずくのアプローチというよりむしろ、より効率的なファイルの暗号化を続々と行うことができ、かつ、細粒DLPポリシに従っている。自動的に、かつ、ユーザによるファイルごとの明確な指示なく、データを暗号化することによって、大部分のモバイル機器上の機密データは、保護のために暗号化されたフォーマットにおいて保持され得る。例えば、モバイル機器の窃盗または他の損失関連といった、データの漏洩または損失から保護するためである。
図8A−8Cの実施例に移ると、GPS、および、モバイルコンピューティング機器に対応するジオロケーション(geolocation)情報を検出することができる最新のモバイルコンピューティング機器の他の機能は、セキュリティモジュールベースのソリューションの例を通じて実行されるDLPポリシに関して活用され得る。例えば、ロケーションベースのポリシが、一つまたはそれ以上の異なるタイプのデータおよびシステムコールに対して定義され得る。一つの実施例において、ロケーションベースのポリシが、モバイルコンピューティング機器のデジタルカメラモジュールを使用して撮影された写真に対応する写真データを保護するために、モバイルコンピューティング機器のカメラに対して定義され得る。そうでなければ、モバイルコンピューティング機器にダウンロードされた写真も同様である。同様に、オーディオデータに対応するマイクロフォン、ビデオデータに対するビデオカメラ、等としてのそうしたモバイル機器モジュールも、また、ロケーションベースで定義されたポリシを有し得る。例えば、セキュアな企業、研究所、政府、または、他の施設といった、所定のロケーションにおいてキャプチャされたものであると検知される写真、オーディオデータ、ビデオ等が、ユーザの施設との関与または使用と密接な関係がある適切なコンテクストの外部において共有されるのを防止することが望ましい。例として、対応するロケーションベースのポリシは、例えば、モバイル機器が、同一の定義された境界内または他の許容できる定義されたロケーション内(例えば、一つまたはそれ以上のジオフェンス(geo−fence)として定義されたもの)に存在しているものと検出された場合にだけ、写真、オーディオ、及び/又は、ビデオデータがアクセス可能であり、通信されることができ、または、そうでなければモバイル機器で使用可能であるものと、定義され得る。従って、ユーザコンピューティングデバイスにおいて受信され又は生成されたデータは、ロケーションベースの情報を用いてタグ付けされて、カーネルでのセキュリティモジュールの例を通じて特定され得る。そうしたデータを特定し、インターセプトされたデータに適用可能なロケーションベースのポリシを認識するためである、等。
図8Aの所定の実施例においては、例えば、モバイルコンピューティング機器810上のデジタルカメラモジュールを使用した写真またはビデオデータ(集合的に「写真データ」805)のキャプチャの説明が示されている。さらに、全地球測位データが、例えば、モバイルコンピューティング機器上のGPS機能(または、他のジオロケーション機能)を使用して、写真データのキャプチャに関して特定され得る。従って、モバイル機器810のカメラによってキャプチャされた写真データ805は、ロケーションタグ815を用いてタグ付けされ得る。全地球測位情報を特定し、かつ、写真データがキャプチャされた一般的な(また、いくつかのケースでは、所定の)ロケーションを記述しているものである。同様な方針が、オーディオデータといった、他のデータの生成に対しても適用され得る。他のソースからそうしたデータを受信することも同様である。そうした実施において、ジオロケーションデータは、モバイルコンピューティング機器のデータの使用、作成、および、アクセスに係る空間的なコンテクストを示すロケーションタグを生成するために使用され得る。
図8Bに示されるように、タグ付けされた写真データに係る以前の実施例を続けると、ユーザは、後に、ロケーションタグに対応する許可されたロケーションの一つ以外のロケーションにいる間に、タグ付けされた写真データをアクセスまたは共有しようと試みることがある。タグ付けされたデータをアクセスまたは共有しようとする試みは、システムカーネルとインターフェイスで接続されているセキュリティモジュールの例を使用してインターセプトされ、そして、例えば、モバイルコンピューティング機器上のDLPエージェントと協働することによって、一つまたはそれ以上のポリシが特定され得る。タグ付けされたデータに対するアクセスが制限され、または、ブロックされるべきであることを判断するためである。例えば、ロケーションベースのポリシは、モバイル機器が所定のロケーション(または、所定のロケーションに対応して定義された境界(ジオポリティカルな境界を含む))の外部で発見された場合に、所定の機密ロケーションの中で取得されたデータの共有を制限するように定義されたものと特定され得る、等。従って、図8Cの実施例に示されるように、モバイルコンピューティング機器が所定のロケーションの中で検知される間に、同一のタグ付けされた写真データ805にアクセスしようとする後続の試みも、また、特定され得る。許可されているユーザを結果として生じるロケーションベースのポリシを用いて、モバイルコンピューティング機器810を通じて、許可された地理的領域の中にあるとしてモバイルコンピューティング機器810が(例えば、モバイルコンピューティング機器のGPSモジュールを通じて、等)検出される間、タグ付けされたデータをアクセスし、又は、そうでなければ、使用するように特定される。従って、細粒のロケーションベースのDLPポリシは、モバイルコンピューティング機器のカーネルレベルにおいてセキュリティモジュールベースのDLPソリューションを使用して、他のDLPポリシと同様に、モニタされ実施され得る、等。
図9A−9Bは、モバイルコンピューティング機器のシステムカーネルレベルでのセキュリティモジュールベースのDLPを含んでいる技術の実施例を説明しているフローチャート900a−bの実施例を示している。図9Aの実施例において、システムコールは、例えば、LSMといった、カーネルとインターフェイスで接続しているセキュリティモジュールによって、モニタされ得る905。モバイルコンピューティング機器のI/O機能に関連する所定のシステムコールがインターセプトされ得る910。モバイルコンピューティング機器上のDLPエージェントが、インターセプトされたシステムコールに適用可能なDLPポリシについて問い合せされ得る。いくつかのインスタンスにおいて、DLPエージェントは、セキュリティモジュールによってモニタされたシステムコールのそれぞれについて問い合せされ得る。他の実施例において、セキュリティモジュールは、セキュリティモジュールに対してアクセス可能なロジックとルールに基づいて、どのシステムコールがインターセプトされ、DLPエージェントと通信するかフィルタすることができる。モバイルコンピューティング機器のI/O機能、および、機器に対するDLPゴール及び/又はポリシ、等におそらく関連するシステムコールといったものである。DLPエージェントから結果が受信され920、アクションが実行され得る925。例えば、セキュリティモジュールによる、受信されたデータおよび対応する特定されたDLPポリシに基づくものである。例えば、DLPエージェントからの結果は、インターセプトされたシステムコールに適用される制限的なポリシを示し得る。DLPエージェントに、ブロックさせ、拒否させ、変更させ、または、システムコール上のいくつかの他のアクション及び/又は特定されたポリシと一致する関連データそのままを実行させるものである。
図9Bの実施例に移ると、ロケーションベースのDLPポリシは、また、モバイルコンピューティング機器上でも実施され得る。例えば、システムコールは、写真、ビデオ、または、オーディオデータを含んでインターセプトされ得るもので、カメラ、マイクロフォン、および、モバイルコンピューティング機器の他のサブシステムを使用して生成されたそうしたデータを含んでいる。システムコールにおけるデータのタイプとコンテンツは、例えば、セキュリティモジュール及び/又はDLPエージェントによって、特定され得る。さらに、データに対応するロケーション情報が特定され得る935。例えば、ロケーション情報は、モバイルコンピューティング機器上のジオロケーション機能を使用して生成することができ、かつ、いくつかのインスタンスにおいて、データとロケーション情報をタグ付けするために使用され得る。いくつかの実施例において、ロケーションタグは、インターセプトされたシステムコールにおいて特定されたデータに対して特定され得る、等。DLPエージェントは、インターセプトされたシステムコールに対して適用可能なDLPポリシを問い合せされ得る940。ロケーション情報は、いくつかの実施例において、所定のデータが作成または取得されたロケーションを示すことができる。他の実施例において。ロケーション情報は、データの作成または取得に直接的に関連しなくてよいが、代わりに、データと関連付けされるべき(例えば、一つまたはそれ以上のポリシに従って)所定のロケーションを示すことができる。例えば、データのアクセスまたは使用が条件的に許可され、または、制限されるロケーションに応じたものである。さらに、DLPエージェントからの結果が受信され得る945。受信された結果に基づいて、インターセプトされたシステムコール上のアクションが実行され得る950。特定されたロケーション情報に基づいて、データに対して特定されたロケーションベースのDLPポリシと一致するアクションといったもの、等である。
この発明開示は、所定の実施例および一般的に関連する方法に関して説明されてきたが、これらの実施例及び方法の代替と置換が、当業者にとっては明らかであろう。例えば、ここにおいて説明されたアクションは、説明と異なる順番で実行されてよく、かつ、それでも望ましい結果を達成することができる。一つの実施例として、添付の図面において示されたプロセスは、所望の結果を達成するために、示された所定の順番、または連続する順番を必ずしも必要としない。所定の実施例においては、マルチタスクおよび並列処理が有利であろう。加えて、多様なユーザインターフェイスのレイアウトと機能がサポートされ得る。他の変形は、添付する特許請求の範囲内のものである。
この明細書において説明された技術的事項およびオペレーションに係る実施例は、デジタル電子回路、または、コンピュータソフトウェア、ファームウェア、または、ハードウェアにおいて実施され得る。この明細書の中で開示された構成、および、それらの構造的な均等物、または、それらの一つまたはそれ以上の組合せ、を含んでいるものである。この明細書において説明された技術的事項の実施例は、一つまたはそれ以上のコンピュータプログラムとして実施され得る。つまり、データ処理装置による実行、または、データ処理装置のオペレーションをコントロールする実行のために、コンピュータストレージ媒体上でエンコードされた、コンピュータプログラムインストラクションに係る一つまたはそれ以上のモジュールである。代替的または追加的にプログラムインストラクションは、人工的に生成されプロパゲートされた信号上でエンコード化され得る。例えば、マシンで生成された電気、光、または、電磁気信号であって、データ処理装置による実行のために適切な受信装置への送信のために情報をエンコード化するように生成されたものである。コンピュータストレージ媒体は、コンピュータで読取り可能なストレージデバイス、コンピュータで読取り可能なストレージサブストレート、ランダムまたは連続アクセスのメモリアレイまたはデバイス、または、これらの一つまたはそれ以上の組合せ、であってよく、または、それらに包含され得る。さらに、コンピュータストレージ媒体は、それ自体はプロパゲートされた信号ではないが、コンピュータストレージ媒体は、人工的に生成されプロパゲートされた信号の中にエンコード化されるコンピュータプログラムインストラクションのソースまたは宛先であり得る。コンピュータストレージ媒体は、また、一つまたはそれ以上の分離した物理的なコンポーネントまたは媒体(例えば、複数のCD、ディスク、または、他のストレージデバイス)であってもよく、または、包含され得る。分散ソフトウェア環境またはクラウドコンピューティング環境を含んでいるものである。
無線アクセスネットワークを含む、コアおよびアクセスネットワークを含んでいる、ネットワークは、一つまたはそれ以上のネットワークエレメントを含み得る。「ネットワークエレメント」は、種々のタイプのルータ、スイッチ、ゲートウェイ、ブリッジ、ロードバランサ、ファイアウォール、サーバー、インラインサービスノード、プロキシ、プロセッサ、モジュール、または、あらゆる他の適切なデバイス、コンポーネント、エレメント、または、ネットワーク環境において情報交換するように動作可能なオブジェクト、を包含し得る。ネットワークエレメントは、ここにおいて概説したように、スクリーン管理機能のためのプロセッサの使用に関連するアクティビティをサポート(また、そうでなければ実行)するために、適切なプロセッサ、メモリエレメント、ハードウェア、及び/又は、ソフトウェアを含み得る。さらに、ネットワークエレメントは、あらゆる適切なコンポーネント、モジュール、インターフェイス、または、オブジェクトを含んでよく、それらのオペレーションを促進する。このことは、データまたは情報の効果的な交換ができるようにする適切なアルゴリズムおよび通信プロトコルを含んでよい。
この明細書において説明されたオペレーションは、一つまたはそれ以上のコンピュータで読取り可能なストレージデバイス上のデータまたは他のソースから受信したデータについてデータ処理装置によって実行されるオペレーションとして実施され得る。用語「データ処理装置」、「プロセッサ」、「プロセッサデバイス」、および「コンピューティングデバイス」は、データ処理のための全ての種類の装置、デバイス、および、マシンを包含し得る。例として、プログラマブルプロセッサ、コンピュータ、システムオンチップ、もしくは、それらの複数のもの又は組合せ、を含んでいる。装置は、汎用または専用ロジック回路を含み得る。例えば、中央演算装置(CPU)、ブレード、特定用途向け集積回路(ASIC)、または、フィールドでプログラム可能なゲートアレイ(FPGA)、他の適切なオプション等である。いくつかのプログラムおよびコンピューティングデバイスが、単一プロセッサとして説明及び/又は図示されてきたが、関連するサーバーの所定のニーズに従ってマルチプロセッサが使用されてよい。単一プロセッサへの言及は、適用可能な場合にマルチプロセッサを含むことを意味している。一般的に、プロセッサは、所定のオペレーションを実施するために、インストラクションを実行し、データを操作する。装置は、また、ハードウェアに加えて、当のコンピュータプログラムのための実行環境を作成するコードも含み得る。例えば、プロセッサファームウェア、プロトコルスタック、データベース管理システム、オペレーティングシステム、クロスプラットフォームランタイム環境、仮想マシン、または、これらの一つまたはそれ以上の組合せ、を構成するコードである。装置と実行環境は、種々の異なるコンピューティングモデルインフラストラクチャーを実現し得る。ウェブサービス、分散コンピューティング、および、グリッド(grid)コンピューティングインフラストラクチャー、といったものである。
コンピュータプログラム(プロセッサ、ソフトウェア、ソフトウェアアプリケーション、スクリプト、モジュール、(ソフトウェア)ツール、(ソフトウェア)エンジン、または、コード、としても知られているもの)は、あらゆる形式のプログラミング言語で書くことができる。コンパイルまたはインタープリートされた言語、宣言型または手続型言語を含んでおり、あらゆる形式において展開され得る。スタンドアロンプログラムとして、もしくは、モジュール、コンポーネント、サブルーチン、オブジェクト、または、コンピューティング環境における使用に適切な他のユニット、としての形式を含んでいる。例えば、コンピュータプログラムは、コンピュータで読取り可能なインストラクション、ファームウェア、有線またはプログラムされたハードウェア、または、これらのあらゆる組合せを含んでよく、有形の媒体上で、実行された場合に、ここにおいて説明された少なくとも一つのプロセスとオペレーションを実施するように動作可能である。コンピュータプログラムは、必ずしもそうではないが、ファイルシステムにおけるファイルに対応している。プログラムは、他のプログラムまたはデータ(例えば、マークアップ言語ドキュメントの中に保管された一つまたはそれ以上のスクリプト)の一部分、当のプログラム専用の単一ファイル、または、複数の調和されたファイル(例えば、一つまたはそれ以上のモジュール、サブプログラム、またはコード部分を保管しているファイル)、の中に保管され得る。コンピュータプログラムは、一つのコンピュータ上、または、複数のコンピュータ上で実行されるように展開され得る。コンピュータは、一つのサイトに配置され、または、複数のサイトにわたり分散されて通信ネットワークによって相互接続されているものである。
プログラムは、個々のモジュールとして実施され得る。種々のオブジェクト、メソッド、または、他のプロセスを通じて種々の特性および機能を実施し、または、代わりに、数多くのサブモジュール、第三者サービス、コンポーネント、ライブラリ、といったものを適切な方法で含んでよい。反対に、種々のコンポーネントの特性および機能は、適切な方法で単一のコンポーネントの中に結合され得る。所定の場合に、プログラムおよびソフトウェアシステムは、複合的にホストされたアプリケーションとして実施されてよい。例えば、複合的アプリケーションの部分は、エンタープライズJava(登録商標) Beans(EJB)として実施されてよく、または、デザインタイム(design−time)コンポーネントは、異なるプラットフォームの中にランタイム実施を生成する機能を有してよい。J2EE(Java(登録商標)ツープラットフォーム、エンタープライズ版)、ABAP(アドバンストビジネスアプリケーションプログラミング)オブジェクト、または、マイクロソフトの.NET、等といったものである。加えて、アプリケーションは、ネットワークを介して(例えば、インターネットを通じて)アクセスされ実行されるウェブベースのアプローチを表してもよい。さらに、所定のホストされたアプリケーションまたはサービスに関する一つまたはそれ以上のプロセスは、リモートで保管され、参照され、または、実行されてよい。例えば、所定のホストされたアプリケーションまたはサービスの一部分は、リモートにコールされるアプリケーションに関するウェブサービスであってよい。一方、ホストされたアプリケーションの別の部分は、リモートクライアントでのプロセスに対してバンドルされたインターフェイスオブジェクトまたはエージェントであってよい。さらに、ホストされたアプリケーションおよびサービスのいくつか又は全ては、本発明開示の範囲を逸脱しない、別のソフトウェアモジュールまたはエンタープライズアプリケーション(図示なし)に係る子供(child)またはサブモジュールであってよい。さらに、なお、ホストされたアプリケーションの部分は、アプリケーションをホストしているサーバーで直接的に働いているユーザによって実行され得る。
この明細書において説明されたプロセスおよび論理フローは、入力データでのオペレーションによってアクションを実施する一つまたはそれ以上のコンピュータプログラムを実行し、かつ、出力を生成する、一つまたはそれ以上のプログラム可能なプロセッサによって実行され得る。プロセスおよび論理フローは、また、専用論理回路、例えばFPGA(フィールドでプログラム可能なゲートアレイ)またはASIC(特定用途向け集積回路)によって実行され、かつ、装置も、また、専用論理回路またはASICとして実施され得る。
コンピュータプログラムの実行に適切なプロセッサは、例として、汎用と専用マイクロプロセッサの両方、および、あらゆる種類のデジタルコンピュータのあらゆる一つまたはそれ以上のプロセッサを含んでいる。一般的に、プロセッサは、読出し専用メモリ、または、ランダムアクセスメモリ、もしくは、その両方からインストラクションとデータを受け取る。コンピュータの主要なエレメントは、インストラクションに従ってアクションを実行するためのプロセッサ、および、インストラクションとデータを保管するための一つまたはそれ以上のメモリデバイス、である。一般的に、コンピュータは、また、データを保管するための一つまたはそれ以上の大容量ストレージデバイスを含み、または、そこからデータを受信し、または、そこにデータを送信するように動作可能に接続されており、もしくは、その両方である。ストレージデバイスは、例えば、磁気、光磁気ディスク、または、光ディスクである。しかしながら、コンピュータは、そうしたデバイスを有することを要しない。さらに、コンピュータは、別のデバイスの中にエンベッドされ得る。例えば、いくつか例を挙げると、携帯電話、パーソナルデジタルアシスタント(PDA)、タブレットコンピュータ、携帯オーディオまたはビデオプレーヤ、ゲームコンソール、全地球測位システム(GPS)受信器、または、ポータブルストレージデバイス(例えば、ユニバーサルシリアルバス(USB)フラッシュメモリ)である。コンピュータプログラムインストラクションとデータを保管するために適切なデバイスは、全ての形式の不揮発性メモリ、メディア、および、メモリデバイスを含んでいる。例として、半導体メモリデバイス、例えばEPROM、EEPROMとフラッシュメモリデバイス、および、フラッシュメモリデバイス、磁気ディスク、例えば内部ハードドライブまたはリムーバブルディスク、光磁気ディスク、および、CD ROMとDVD−ROMディスク、を含んでいる。プロセッサとメモリは、専用論理回路によって補足され、または、包含され得る。
ユーザとのインタラクションを提供するために、この明細書において説明された技術的事項の実施例は、ユーザに対して情報を表示するためのディスプレイ装置、例えば、CRT(ブラウン管)またはLCD(液晶ディスプレイ)、および、ユーザがコンピュータに対して入力を提供することができる、キーボードとポインティングデバイス、例えば、マウスまたはトラックボール、を有するコンピュータ上で実施され得る。他の種類のデバイスも、同様に、ユーザとのインタラクションを提供するために使用され得る。例として、ユーザに提供されるフィードバックはあらゆる形式のセンサ上のフィルタであってよい。例えば、視覚的フィルタ、音響的フィードバック、または、触覚的フィードバックである。そして、ユーザからの入力は、あらゆる形式で受信され得る。音響、会話、または、触覚の入力である。加えて、コンピュータは、ドキュメントを送信およびデバイスからドキュメントを受信することによってユーザとインタラクションできる。デバイスは、ユーザによって使用されるリモートデバイスを含んでいる。
以降の例示は、この明細書に従った実施例に関するものである。一つまたはそれ以上の実施例は、装置、システム、マシンで読取り可能な媒体、および、方法を提供し得る。モバイルコンピューティング機器のカーネルに対するシステムコールをモニタし、モバイルコンピューティング機器の入力/出力(I/O)機能に関する所定のシステムコールをインターセプトし、所定のシステムコールに適用可能なデータ損失防止(DLP)ポリシを特定し、かつ、DLPポリシに少なくとも部分的に基づいて、所定のシステムコール上のアクションを実行する、ためのものである。
一つの実施例において、モバイルコンピューティング機器上のエージェントは、所定のシステムコールに適用可能なDLPポリシを問い合せされ得る。そして、DLPポリシが所定のシステムコールに適用可能か否かを特定しているエージェントからの結果を特定する結果が、エージェントから受信され得る。
一つの実施例において、所定のシステムコールおよびアクションにDLPポリシを適用しない又は寛容なDLPポリシを適用することを特定するエージェントからの結果は、処理のために所定のシステムコールをカーネルに渡すことを含んでいる。
一つの実施例において、所定のシステムコールおよびアクションに適用可能な一つまたはそれ以上のDLPポリシを特定する、エージェントからの結果は、DLP実施アクションを含んでいる。
一つの実施例において、DLP実施アクションは、システムコールを却下することを含んでいる。
一つの実施例において、DLP実施アクションは、所定のシステムコールに関連してデータを入力または出力されるように変更することを含んでいる。
一つの実施例において、DLP実施アクションは、暗号化されるべき所定のシステムコールに関連してデータが入力または出力されるようにすることを含んでいる。
一つの実施例において、エージェントは、モバイルコンピューティング機器上にインストールされたアプリケーションである。
一つの実施例において、エージェントは、モバイルコンピューティング機器に対応するポリシ情報のために、リモートのセキュリティサーバーとインターフェイスで接続している。
一つの実施例において、エージェントロジックは、カーネルとインターフェイスで接続しているセキュリティモジュールの中に含まれる。
一つの実施例において、カーネルはリナックス(登録商標)カーネルコールであり、システムコールがリナックス(登録商標)セキュリティモジュール(LSM)によってインターセプトされる。
一つの実施例において、所定のシステムコールは、SMS、近距離無線通信(NFC)、ブルートゥース、および、モバイルコンピューティング機器の電話機能、のうち少なくとも一つを使用した所定のデータの出力を含んでいる。
一つの実施例において、所定のシステムコールは、カメラ、マイクロフォン、および、モバイルコンピューティング機器の全地球測位システムを利用している所定のデータの入力、のうち少なくとも一つを含んでいる。
一つの実施例において、所定のシステムコールを対象とする所定のデータは、特定されたDLPポリシに基づいてタグ付けされる。
一つの実施例において、所定のデータを含んでいる後続のシステムコールが受信され、タグ付けが特定され、そして、少なくとも部分的にタグ付けに基づいて後続のシステムコール上でアクションで実行され得る。
一つの実施例において、モバイルコンピューティング機器のアプリケーションは、仮想マシンのコンテナのプロセスにおいて実行される。仮想マシンのコンテナのプロセスは、ダルビック(Dalvik)プロセスの仮想マシンであり得る。
一つの実施例において、システムは、プロセッサデバイス、メモリエレメント、データ損失防止(DLP)エレメント、および、セキュリティマネージャを含んでいる。システムは、さらに、ネットワークレベルのDLPを使用して、モバイルコンピューティング機器を含む入力/出力(I/O)の試みを仮想プライベートネットワークに再ルート化するように適合された仮想プライベートネットワークマネージャを含み得る。システムは、さらに、モバイルコンピューティング機器のデータの暗号化されたストレージのために、アプリケーションレベルまたはオペレーティングシステムレベルのコンテナを含み得る。システムは、さらに、DLPエージェントに対してポリシ情報を供給するためのリモートセキュリティサーバーを含み得る。システムは、モバイルコンピューティング機器であり得る。
一つまたはそれ以上の実施例は、モバイルコンピューティング機器のカーネルに対する写真データを含んでいるシステムコールをインターセプトするための装置、システム、マシンで読取り可能な媒体、および、方法を備え得る。モバイルコンピューティング機器に係る検出されたロケーションに少なくとも部分的に基づいて、写真データの使用に適用可能なロケーションベースのデータ損失防止(DLP)ポリシが特定され得る。ロケーションベースのDLPポリシおよびモバイルコンピューティング機器のロケーションに少なくとも部分的に基づいて、インターセプトされたシステムコール上でアクションが実行され得る。
一つの実施例において、モバイルコンピューティング機器が所定の地理的ロケーションの外部にいる間に写真データを出力する試みは、ロケーションベースのDLPポリシに基づいてブロックされる。
一つの実施例において、カーネルはリナックス(登録商標)カーネルコールであり、システムコールがリナックス(登録商標)セキュリティモジュール(LSM)によってインターセプトされる。
一つの実施例において、エージェントは、モバイルコンピューティング機器上にインストールされたアプリケーションである。
一つの実施例において、エージェントは、モバイルコンピューティング機器に対応するポリシ情報のためにリモートセキュリティサーバーとインターフェイスで接続している。
一つの実施例において、エージェントロジックは、カーネルとインターフェイスで接続しているセキュリティモジュールの中に含まれる。
一つの実施例において、所定のシステムコールは、SMS、eメール、近距離無線通信(NFC)、ブルートゥース、および、モバイルコンピューティング機器のWiFi機能に係る出力のうち少なくとも一つを含んでいる。
一つの実施例において、写真データを利用することができるモバイルコンピューティング機器のアプリケーションは、仮想マシンのコンテナのプロセスにおいて実行される。仮想マシンのコンテナのプロセスは、ダルビック(Dalvik)プロセスの仮想マシンを含み得る。
一つの実施例において、写真データは、ビデオデータを含んでいる。
一つの実施例において、ロケーションベースのDLPポリシを特定することは、写真データに適用可能なDLPポリシをモバイルコンピューティング機器上のエージェントに問い合せること、および、DLPポリシを写真データに適用するか否かを特定する結果を、エージェントから受信することを含む。結果は、ロケーションベースのDLPポリシを特定している。
一つの実施例において、ロケーションベースのDLPポリシは、所定の地理的領域の外部で写真データへのアクセスを制限する。所定の地理的領域は、ジオフェンスを使用して定義され得る。所定の地理的領域は、写真が作成されたロケーションに対応し得る。
一つの実施例において、システムコールは、写真データの入力を含み得る。そして、写真データは、モバイルコンピューティング機器上のカメラから発生する。
一つの実施例において、アクションは、写真データをロケーション情報とタグ付けすることを含んでいる。ロケーションベースのDLPポリシは、タグ付けされたロケーション情報に基づいて写真データ上で実施される。
一つの実施例において、ロケーション情報は、写真データがキャプチャされた場所に対応している。
一つの実施例において、ロケーション情報は、写真データのキャプチャにおける、モバイルコンピューティング機器を使用して取得された地理上のロケーションデータに対応している。
一つの実施例において、写真データを含んでいる後続のシステムコールが受信され、ロケーションデータが特定され、そして、エージェントへの写真データに適用可能なDLPポリシの問い合せに関連して通信され得る。アクションは、少なくとも部分的にタグ付けに基づいて後続のシステムコール上で実行され得る。
一つの実施例において、システムは、プロセッサデバイス、メモリエレメント、および、セキュリティマネージャを含み得る。システムは、さらに、写真データを生成するためのカメラを含み得る。システムは、モバイルコンピューティング機器であり得る。
一つの実施例において、システムは、さらに、DLPエージェントを含んでおり、ロケーションベースのDLPポリシを特定することは、写真データに適用可能なDLPポリシをモバイルコンピューティング機器上のエージェントに問い合せること、および、DLPポリシを写真データに適用するか否かを特定する結果を、エージェントから受信することを含む。結果は、ロケーションベースのDLPポリシを特定している。
この明細書において説明された技術的事項に係る実施例は、バックエンドコンポーネントを含むコンピューティングシステム、例えばデータサーバー、または、ミドルウェアコンポーネントを含むコンピューティングシステム、例えばアプリケーションサーバー、もしくは、フロントエンドコンポーネントを含むコンピューティングシステム、例えば、グラフィカルユーザインターフェイスまたはユーザがこの明細書において説明された技術的事項の実施とインストラクションできるウェブブラウザを有するクライアントコンピュータ、において実施され得る。もしくは、一つまたはそれ以上のそうしたバックエンド、ミドルウェア、または、フロントエンドコンポーネントのあらゆる組合せにおいて実施され得る。システムのコンフィグレーションは、あらゆる形式またはデジタルデータ通信のメディア、例えば通信ネットワークによって、相互接続され得る。通信ネットワークの実施例は、システムにおける種々のコンピューティングコンポーネント間で通信を促進するために動作可能な、あらゆる内部または外部のネットワーク、複数ネットワーク、サブネットワーク、または、これらの組合せ、を含んでいる。ネットワークは、例えば、インターネットプロトコル(IP)パケット、フレームリレーフレーム、非同期転送モード(ATM)セル、音声、ビデオ、データ、および、ネットワークアドレス間の他の好適な情報を通信することができる。ネットワークは、また、一つまたはそれ以上のローカルエリアネットワーク(LAN)、ラジオアクセスネットワーク(RAN)、メトロポリタンエリアネットワーク(MAN)、ワイドエリアネットワーク(WAN)、インターネットの全部または一部分、ピアツーピア(peer−to−peer)ネットワーク(例えば、アドホックピアツーピアネットワーク)、及び/又は、あらゆる他の通信システムまたは一つまたはそれ以上のロケーションにある複数システム、を含んでよい。
コンピューティングシステムは、クライアントとサーバーを含み得る。クライアントとサーバーは、一般的には、お互いに離れており、典型的には、通信ネットワークを通じてインタラクションする。クライアントとサーバーの関係は、それぞれのコンピュータ上で実行され、かつ、お互いにクライアント−サーバー関係を有しているコンピュータプログラムから生じている。いくつかの実施例において、サーバーは、データ(例えば、HTMLページ)をクライアントデバイスに対して送信する(例えば、データを表示すること、および、クライアントデバイスとインストラクションしているユーザからユーザ入力を受信する目的のためである)。クライアントデバイスにおいて生成されたデータ(例えば、ユーザインタラクションの結果)は、サーバーにおけるクライアントデバイスから受信され得る。
この明細書は、多くの所定の詳細な実施例を含んでいるが、これらは、あらゆる発明またはクレームされるものに係る範囲(scope)を限定するものと理解されるべきではない。むしろ、所定の発明に係る所定の実施例に特有の特徴を説明したものとして理解されるべきである。別々の実施例に係るコンテクストにおける、この明細書で説明される所定の特徴は、また、単一の実施例として組合されても実施され得る。反対に、単一の実施例に係るコンテクストにおいて説明された種々の特徴は、また、複数の実施例において別々でも、または、あらゆる好適なサブコンビネーションにおいても実施され得る。さらに、特徴は、上記に所定の組合せにおいて動作するものとして説明され、そして、そのように最初にクレームされてさえいるが、クレームされた組合せからの一つまたはそれ以上の特徴は、いくつかの場合において、組合せから削除され得る。そして、クレームされた組合せは、サブコンビネーションまたはサブコンビネーションの変形に向けたものであってよい。
同様に、オペレーションは、図面において、所定の順番で示されているが、このことは、望ましい結果を達成するために、そうしたオペレーションが、示された所定の順番で、または、連続した順番で実行されること、または、示された全てのオペレーションが実行されること、を要求しているものと理解されるべきではない。所定の環境においては、マルチタスクおよび並列処理が有利である。さらに、上記の実施例における種々のシステムコンポーネントの分離は、全ての実施例においてそうした分離が要求されているものと理解されるべきではない。そして、所望のプログラムコンポーネントとシステムは、一般的に、単一のソフトウェアプロダクトの中に一緒に統合され、または、複数のソフトウェアプロダクトの中にパッケージされ得ることが理解されるべきである。
このように、技術的事項に係る所定の実施例が説明されてきた。他の実施例は、以降の特許請求の範囲(claim)内にある。いくつかの場合において、クレームにおいて示されたアクションは異なる順番で実行されてよく、それでも所望の結果を達成し得る。加えて、添付の図面において示されたプロセスは、所望の結果を達成するために、示された所定の順番、または連続した順番を必ずしも要しない。

Claims (26)

  1. インストラクションが保管された少なくとも一つのマシンでアクセス可能なコンピュータプログラムであって、
    マシン上でインストラクションが実行されると、前記マシンは、
    モバイルコンピューティング機器のカーネルに対する、写真データを含んでいるシステムコールをインターセプトし、
    前記モバイルコンピューティング機器の検出されたロケーションに少なくとも部分的に基づいて、前記写真データの使用に適用可能なロケーションベースのデータ損失防止(DLP)ポリシを特定し、かつ、
    前記ロケーションベースのDLPポリシおよび前記モバイルコンピューティング機器の前記ロケーションに少なくとも部分的に基づいて、インターセプトされた前記システムコール上のアクションを実行する、
    コンピュータプログラム
  2. 前記モバイルコンピューティング機器が所定の地理的ロケーションの外部にある間に前記写真データを出力しようとする試みは、前記ロケーションベースのDLPポリシに基づいてブロックされる、
    請求項1に記載のコンピュータプログラム
  3. 前記カーネルは、リナックス(登録商標)(Linux(登録商標))カーネルであり、かつ、
    前記システムコールは、リナックス(登録商標)セキュリティモジュール(LSM)によってインターセプトされる、
    請求項1に記載のコンピュータプログラム
  4. エージェントは、前記モバイルコンピューティング機器上にインストールされたアプリケーションである、
    請求項1に記載のコンピュータプログラム
  5. エージェントは、前記モバイルコンピューティング機器に対応するポリシ情報のために、リモートのセキュリティサーバーとインターフェイスで接続している、
    請求項に記載のコンピュータプログラム
  6. エージェントのロジックは、前記カーネルとインターフェイスで接続されているセキュリティモジュールの中に含まれている、
    請求項1に記載のコンピュータプログラム
  7. 所定の前記システムコールは、前記モバイルコンピューティング機器に係るSMS、eメール、近距離無線通信(NFC)、ブルートゥース、および、WiFi機能のうち少なくとも一つを使用した前記写真データの出力を含んでいる、
    請求項1に記載のコンピュータプログラム
  8. 前記写真データを利用することができる前記モバイルコンピューティング機器のアプリケーションは、仮想マシンのコンテナのプロセスにおいて実行される、
    請求項1に記載のコンピュータプログラム
  9. 前記仮想マシンのコンテナのプロセスは、ダルビック(Dalvik)プロセスの仮想マシンを含む、
    請求項8に記載のコンピュータプログラム
  10. 前記写真データは、ビデオデータを含む、
    請求項1に記載のコンピュータプログラム
  11. モバイルコンピューティング機器のカーネルに対する、写真データを含んでいるシステムコールをインターセプトするステップと、
    前記モバイルコンピューティング機器の検出されたロケーションに少なくとも部分的に基づいて、前記写真データの使用に適用可能なロケーションベースのデータ損失防止(DLP)ポリシを特定するステップと、
    前記ロケーションベースのDLPポリシおよび前記モバイルコンピューティング機器の前記ロケーションに少なくとも部分的に基づいて、インターセプトされた前記システムコール上のアクションを実行するステップと、
    を含む、方法。
  12. 前記ロケーションベースのDLPポリシを特定する前記ステップは、
    前記写真データに適用可能なDLPポリシを前記モバイルコンピューティング機器上のエージェントに問い合せるステップと、
    DLPポリシを前記写真データに適用するか否かを特定している結果を前記エージェントから受信するステップであり、前記結果は前記ロケーションベースのDLPポリシを特定しているステップと、
    を含む、請求項11に記載の方法。
  13. 前記ロケーションベースのDLPポリシは、所定の地理的領域の外部での前記写真データへのアクセスを制限する、
    請求項11に記載の方法。
  14. 前記所定の地理的領域は、ジオフェンスを使用して定められる、
    請求項13に記載の方法。
  15. 前記所定の地理的領域は、前記写真データが作成されたロケーションに対応している、
    請求項13に記載の方法。
  16. 前記システムコールは、前記写真データの入力を含み、かつ、
    前記写真データは、前記モバイルコンピューティング機器上のカメラから発生している、
    請求項11に記載の方法。
  17. 前記アクションは、前記写真データをロケーション情報とタグ付けすることを含み、
    前記タグ付けされたロケーション情報に基づいて、ロケーションベースのDLPポリシが、前記モバイルコンピューティング機器上で実施される、
    請求項16に記載の方法。
  18. 前記ロケーション情報は、前記写真データがキャプチャされたロケーションに対応している、
    請求項17に記載の方法。
  19. 前記ロケーション情報は、前記写真データのキャプチャにおいて前記モバイルコンピューティング機器を使用してキャプチャされた地理的データに対応している、
    請求項18に記載の方法。
  20. 前記方法は、さらに、
    前記写真データを含んでいる後続のシステムコールを受信するステップと、
    ケーションデータを特定するステップと、
    前記写真データに適用可能なDLPポリシに対するエージェントの問い合せに関して、前記ロケーションデータを通信するステップと、
    前記タグ付けに少なくとも部分的に基づいて、前記後続のシステムコール上のアクションを実行するステップと、
    を含む、請求項17に記載の方法。
  21. プロセッサデバイスと、
    メモリエレメントと、
    カーネルとインターフェイスで接続されたセキュリティマネージャと、を含み、
    前記セキュリティマネージャは、前記プロセッサデバイスによって実行されると、
    モバイルコンピューティング機器のカーネルに対する、写真データを含んでいるシステムコールをインターセプトし、
    前記モバイルコンピューティング機器の検出されたロケーションに少なくとも部分的に基づいて、前記写真データの使用に適用可能なロケーションベースのデータ損失防止(DLP)ポリシを特定し、かつ、
    前記ロケーションベースのDLPポリシおよび前記モバイルコンピューティング機器の前記ロケーションに少なくとも部分的に基づいて、インターセプトされた前記システムコール上のアクションを実行する、
    ように適合されている、システム。
  22. 前記システムは、さらに、
    前記写真データを生成するためのデジタルカメラを含んでいる、
    請求項21に記載のシステム。
  23. 前記ロケーションベースのDLPポリシを特定することは、
    前記写真データに適用可能なDLPポリシを前記モバイルコンピューティング機器上のDLPエージェントに問い合せること、および、
    DLPポリシを前記写真データに適用するか否かを特定している結果を前記エージェントから受信することであり、前記結果は前記ロケーションベースのDLPポリシを特定していること、
    を含む、請求項21に記載のシステム。
  24. 前記システムは、さらに、
    前記DLPエージェントを含んでいる、
    請求項23に記載のシステム。
  25. 前記システムは、さらに、
    前記モバイルコンピューティング機器を含んでいる、
    請求項21に記載のシステム。
  26. 請求項1乃至10のうちいずれか一項に記載のコンピュータプログラムを記憶した、
    コンピュータで読取り可能なストレージ媒体。
JP2015533323A 2012-10-19 2013-10-18 モバイルコンピューティング機器のためのデータ損失防止 Active JP5985756B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IN1216/KOL/2012 2012-10-19
IN1216KO2012 2012-10-19
PCT/US2013/065801 WO2014063126A1 (en) 2012-10-19 2013-10-18 Data loss prevention for mobile computing devices

Publications (2)

Publication Number Publication Date
JP2015529374A JP2015529374A (ja) 2015-10-05
JP5985756B2 true JP5985756B2 (ja) 2016-09-06

Family

ID=54256402

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015533323A Active JP5985756B2 (ja) 2012-10-19 2013-10-18 モバイルコンピューティング機器のためのデータ損失防止

Country Status (5)

Country Link
US (3) US9326134B2 (ja)
EP (2) EP3327606A1 (ja)
JP (1) JP5985756B2 (ja)
CN (2) CN104641377B (ja)
WO (1) WO2014063126A1 (ja)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9253154B2 (en) 2008-08-12 2016-02-02 Mcafee, Inc. Configuration management for a capture/registration system
US8473442B1 (en) * 2009-02-25 2013-06-25 Mcafee, Inc. System and method for intelligent state management
US8806615B2 (en) 2010-11-04 2014-08-12 Mcafee, Inc. System and method for protecting specified data combinations
US9779260B1 (en) 2012-06-11 2017-10-03 Dell Software Inc. Aggregation and classification of secure data
US9230096B2 (en) * 2012-07-02 2016-01-05 Symantec Corporation System and method for data loss prevention in a virtualized environment
EP3327606A1 (en) 2012-10-19 2018-05-30 McAfee, LLC Data loss prevention for mobile computing devices
US9300720B1 (en) * 2013-05-21 2016-03-29 Trend Micro Incorporated Systems and methods for providing user inputs to remote mobile operating systems
US10277717B2 (en) 2013-12-15 2019-04-30 Nicira, Inc. Network introspection in an operating system
US9792458B2 (en) * 2014-05-05 2017-10-17 Ims Health Incorporated Platform to build secure mobile collaborative applications using dynamic presentation and data configurations
US9787527B1 (en) * 2014-05-29 2017-10-10 Amdocs Development Limited System, method, and computer program for network connectivity policy exchange based on a location of a mobile device
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
US9697349B2 (en) 2014-10-26 2017-07-04 Microsoft Technology Licensing, Llc Access blocking for data loss prevention in collaborative environments
WO2016105399A1 (en) * 2014-12-23 2016-06-30 Hewlett Packard Enterprise Development Lp Prevention of a predetermined action regarding data
SG10201500698YA (en) * 2015-01-29 2016-08-30 Huawei Internat Pte Ltd Method for data protection using isolated environment in mobile device
US10326748B1 (en) 2015-02-25 2019-06-18 Quest Software Inc. Systems and methods for event-based authentication
US10417613B1 (en) 2015-03-17 2019-09-17 Quest Software Inc. Systems and methods of patternizing logged user-initiated events for scheduling functions
US9990506B1 (en) 2015-03-30 2018-06-05 Quest Software Inc. Systems and methods of securing network-accessible peripheral devices
US10091222B1 (en) * 2015-03-31 2018-10-02 Juniper Networks, Inc. Detecting data exfiltration as the data exfiltration occurs or after the data exfiltration occurs
US9842220B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
CN104933356A (zh) * 2015-06-02 2015-09-23 山东中孚信息产业股份有限公司 linux系统的程序自我防护及防数据泄露方法
US10536352B1 (en) 2015-08-05 2020-01-14 Quest Software Inc. Systems and methods for tuning cross-platform data collection
US10079835B1 (en) * 2015-09-28 2018-09-18 Symantec Corporation Systems and methods for data loss prevention of unidentifiable and unsupported object types
CN106559399A (zh) * 2015-09-30 2017-04-05 北京军地联合网络技术中心 一种互联网移动终端综合管控系统
US10148694B1 (en) * 2015-10-01 2018-12-04 Symantec Corporation Preventing data loss over network channels by dynamically monitoring file system operations of a process
US10157358B1 (en) 2015-10-05 2018-12-18 Quest Software Inc. Systems and methods for multi-stream performance patternization and interval-based prediction
US10218588B1 (en) 2015-10-05 2019-02-26 Quest Software Inc. Systems and methods for multi-stream performance patternization and optimization of virtual meetings
US10467421B2 (en) * 2015-10-23 2019-11-05 Oracle International Corporation Establishing trust between containers
CN105763530A (zh) * 2015-12-12 2016-07-13 哈尔滨安天科技股份有限公司 一种基于web的威胁情报采集系统及方法
US10142391B1 (en) 2016-03-25 2018-11-27 Quest Software Inc. Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization
US10594733B2 (en) * 2016-04-06 2020-03-17 Rapid7, Inc System and method for application software security and auditing
US10885206B2 (en) 2016-05-10 2021-01-05 International Business Machines Corporation Protecting enterprise data at each system layer
US10009336B2 (en) * 2016-05-18 2018-06-26 Cisco Technology, Inc. Network security system to validate a server certificate
CN107851032B (zh) * 2016-06-08 2021-04-02 慧与发展有限责任合伙企业 用于在容器中执行服务的计算装置、系统及方法
US10650621B1 (en) 2016-09-13 2020-05-12 Iocurrents, Inc. Interfacing with a vehicular controller area network
US9804952B1 (en) 2016-11-07 2017-10-31 Red Hat, Inc. Application debugging in a restricted container environment
US10447683B1 (en) * 2016-11-17 2019-10-15 Amazon Technologies, Inc. Zero-touch provisioning of IOT devices with multi-factor authentication
US11005890B2 (en) * 2017-03-30 2021-05-11 Mcafee, Llc Secure software defined storage
US10476913B2 (en) * 2017-09-08 2019-11-12 Salesforce.Com, Inc. Intercepting calls for encryption handling in persistent access multi-key systems
CN107786638B (zh) * 2017-09-27 2020-04-14 华为技术有限公司 一种数据处理方法、装置及系统
US11263342B2 (en) 2018-02-28 2022-03-01 Ohio State Innovation Foundation Context-based access control and revocation for data governance and loss mitigation
US11012309B2 (en) * 2018-06-04 2021-05-18 Vmware, Inc. Deploying data-loss-prevention policies to user devices
US11792216B2 (en) * 2018-06-26 2023-10-17 Suse Llc Application layer data protection for containers in a containerization environment
CN109409131A (zh) * 2018-11-01 2019-03-01 广东粤迪厚创科技发展有限公司 一种客户信息防泄密系统及方法
US11178541B2 (en) * 2019-06-25 2021-11-16 T-Mobile Usa, Inc. Address retrieval systems and methods

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6073142A (en) 1997-06-23 2000-06-06 Park City Group Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6460050B1 (en) 1999-12-22 2002-10-01 Mark Raymond Pace Distributed content identification system
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
JP4665406B2 (ja) * 2004-02-23 2011-04-06 日本電気株式会社 アクセス制御管理方法、アクセス制御管理システムおよびアクセス制御管理機能付き端末装置
US7698731B2 (en) * 2004-10-25 2010-04-13 Panasonic Corporation Security architecture and mechanism to access and use security components in operating system
WO2006093917A2 (en) * 2005-02-28 2006-09-08 Trust Digital Mobile data security system and methods
US8054482B2 (en) * 2005-06-28 2011-11-08 Samsung Electronics Co., Ltd. Locality permission based printing
US7716240B2 (en) * 2005-12-29 2010-05-11 Nextlabs, Inc. Techniques and system to deploy policies intelligently
JP4971024B2 (ja) * 2006-05-09 2012-07-11 パナソニック株式会社 機密データ保護装置、自律移動ロボット、機密データ保護方法、コンピュータプログラム及び集積回路
US8893224B2 (en) * 2006-08-29 2014-11-18 Microsoft Corporation Zone policy administration for entity tracking and privacy assurance
EP1895750B1 (en) * 2006-09-01 2010-06-16 Research In Motion Limited Method for disabling features on a mobile communication device based upon location, and device therefor
US8390636B1 (en) * 2007-11-12 2013-03-05 Google Inc. Graphics display coordination
CN101183414A (zh) * 2007-12-07 2008-05-21 白杰 一种程序检测的方法、装置及程序分析的方法
US9270950B2 (en) * 2008-01-03 2016-02-23 International Business Machines Corporation Identifying a locale for controlling capture of data by a digital life recorder based on location
US8613040B2 (en) * 2008-12-22 2013-12-17 Symantec Corporation Adaptive data loss prevention policies
US8286253B1 (en) 2009-11-23 2012-10-09 Trend Micro Incorporated Data leakage prevention for resource limited device
KR101660742B1 (ko) * 2010-05-31 2016-09-28 엘지전자 주식회사 이동 단말기 및 그 제어방법
US20120042385A1 (en) * 2010-08-10 2012-02-16 Hank Risan Protecting copyrighted media with monitoring logic
US8849857B2 (en) * 2010-12-17 2014-09-30 International Business Machines Corporation Techniques for performing data loss prevention
CN102073816A (zh) * 2010-12-31 2011-05-25 兰雨晴 基于行为的软件可信度量系统及方法
US8955142B2 (en) 2011-03-21 2015-02-10 Mocana Corporation Secure execution of unsecured apps on a device
US8752063B2 (en) * 2011-06-23 2014-06-10 Microsoft Corporation Programming interface for data communications
US8756461B1 (en) * 2011-07-22 2014-06-17 Juniper Networks, Inc. Dynamic tracing of thread execution within an operating system kernel
WO2013025785A1 (en) * 2011-08-15 2013-02-21 Arizona Board Of Regents, For And On Behalf Of, Arizona State University Systems methods, and media for policy-based monitoring and controlling of applications
CN102736944B (zh) * 2012-06-25 2016-01-20 腾讯科技(深圳)有限公司 一种应用程序样本检测的方法及装置
EP3327606A1 (en) 2012-10-19 2018-05-30 McAfee, LLC Data loss prevention for mobile computing devices

Also Published As

Publication number Publication date
JP2015529374A (ja) 2015-10-05
EP3327606A1 (en) 2018-05-30
US20160381037A1 (en) 2016-12-29
CN108038371A (zh) 2018-05-15
US9326134B2 (en) 2016-04-26
CN104641377A (zh) 2015-05-20
US20180139211A1 (en) 2018-05-17
EP2909777A1 (en) 2015-08-26
CN104641377B (zh) 2018-02-23
US20140194094A1 (en) 2014-07-10
US10097561B2 (en) 2018-10-09
EP2909777A4 (en) 2016-04-27
US9894079B2 (en) 2018-02-13
EP2909777B1 (en) 2018-03-07
WO2014063126A1 (en) 2014-04-24

Similar Documents

Publication Publication Date Title
JP5985756B2 (ja) モバイルコンピューティング機器のためのデータ損失防止
US10462188B2 (en) Computer network security system
Ali et al. Multi-access edge computing architecture, data security and privacy: A review
US10721210B2 (en) Secure labeling of network flows
Singh et al. A survey on cloud computing security: Issues, threats, and solutions
US10686758B2 (en) Elastic outbound gateway
Lee et al. On security and privacy issues of fog computing supported Internet of Things environment
US20220207143A1 (en) Cloud storage scanner
US11277416B2 (en) Labeling network flows according to source applications
CN108600251B (zh) 移动设备管理和安全
US9390263B2 (en) Use of an application controller to monitor and control software file and application environments
US20140020072A1 (en) Security access protection for user data stored in a cloud computing facility
US20160314299A1 (en) Mobile Device with Improved Security
Dye et al. A standard for developing secure mobile applications
EP2767058A1 (en) System and method for managing access for trusted and untrusted applications
US20210182440A1 (en) System for preventing access to sensitive information and related techniques
US11689551B2 (en) Automatic identification of applications that circumvent permissions and/or obfuscate data flows
US11683350B2 (en) System and method for providing and managing security rules and policies
US11924241B1 (en) Real-time mitigative security architecture
Ambrosio et al. Securing mHealth applications using IoTsecM security modelling: Dentify. Me mApp case study for urgent care management
Bente et al. ESUKOM: Smartphone Security for Enterprise Networks
Sharma et al. Fog computing: An overview of IoT applications with security issues and challenges
Krawczyk Service-oriented cyberspace for improving cybersecurity
Pérez Moldón Security in IoT ecosystems
Udayakumar Get Started with Azure Security

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150318

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160613

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160803

R150 Certificate of patent or registration of utility model

Ref document number: 5985756

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250