JP6450331B2 - 情報管理システム及び情報管理プログラム - Google Patents
情報管理システム及び情報管理プログラム Download PDFInfo
- Publication number
- JP6450331B2 JP6450331B2 JP2016023087A JP2016023087A JP6450331B2 JP 6450331 B2 JP6450331 B2 JP 6450331B2 JP 2016023087 A JP2016023087 A JP 2016023087A JP 2016023087 A JP2016023087 A JP 2016023087A JP 6450331 B2 JP6450331 B2 JP 6450331B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- protection
- request
- information management
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007689 inspection Methods 0.000 claims description 134
- 230000005540 biological transmission Effects 0.000 claims description 45
- 230000004044 response Effects 0.000 claims description 8
- 238000000034 method Methods 0.000 description 84
- 238000012545 processing Methods 0.000 description 44
- 230000006870 function Effects 0.000 description 42
- 238000012546 transfer Methods 0.000 description 30
- 238000001514 detection method Methods 0.000 description 28
- 230000001105 regulatory effect Effects 0.000 description 26
- 238000010586 diagram Methods 0.000 description 16
- 238000001914 filtration Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 239000000872 buffer Substances 0.000 description 4
- 230000001276 controlling effect Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、ネットワークを介して一のコンピュータから他のコンピュータに送信される情報を中継し管理する技術に関する。
近年、企業や団体による個人情報や機密情報の漏洩事件が後を絶たず、情報セキュリティに関する話題がしばしば報道で取り上げられている。情報の漏洩経路としては、主にインターネットやUSB等の可搬型記録媒体、電子メール、PCやスマートフォン等の小型デバイス等があげられるが、中でもインターネット経由での漏洩件数が圧倒的に多いのが特徴的である。また、情報の漏洩原因は、必ずしも過失によるものばかりではなく、特定の情報を故意に外部へ送信して漏洩させるケースや、サイバー攻撃により大量のデータが流出してしまうケースも存在する。
こうした事件を背景として、個人情報保護法や不正競争防止法が改正され、個人情報や営業秘密に対する法律面からの保護の強化が図られている。また、2016年より運用が開始されたマイナンバー(社会保障・税番号:以下同じ。)についても、番号法に則った厳重な管理が求められている。
こうした事件を背景として、個人情報保護法や不正競争防止法が改正され、個人情報や営業秘密に対する法律面からの保護の強化が図られている。また、2016年より運用が開始されたマイナンバー(社会保障・税番号:以下同じ。)についても、番号法に則った厳重な管理が求められている。
これに対し、企業や団体は、サイバー攻撃からガードするための設備を導入することにより外的要因による情報漏洩を防止しつつ、日々の業務における外部へのデータ送信やインターネットサイトの利用を監視し状況に応じて制御することにより内的要因による情報漏洩を防止する急務に迫られている。インターネット上には信頼できるサイトばかりではなく、例えばウィルス感染が確認された危険なサイトやネット詐欺に利用されている違法サイトも混在しており、仮にこのようなサイトに対して情報をアップロードした場合、その情報が利用者の想定外の用途に転用されてしまう懸念がある。また、掲載されているコンテンツの性質上、社内からのアクセスを控えさせたいサイトも存在する。
そこで、このようなサイトの利用を制限するために様々なフィルタリング技術が開発されている。例えば、予めデータベースに設定したアクセス許可サイト/アクセス禁止サイト及び有益語キーワード/禁止語キーワードの各情報に基づいてアクセスの許可又は禁止を決定する閲覧制御方法の発明が知られている(例えば、特許文献1参照。)。この方法では、利用者から閲覧要求されたサイト(以下、「要求サイト」と称する。)がアクセス許可サイトに該当する場合はアクセスを許可し、アクセス禁止サイトに該当する場合はアクセスを禁止する。また、何れにも該当しない場合には、プロキシサーバが要求サイトにアクセスしてそのサイトの内容をチェックする。具体的には、コンテンツに禁止語キーワードが含まれない場合は要求サイトへのアクセスを許可し、禁止語キーワードが含まれる場合には併せて有益語キーワードも含まれる場合にのみ要求サイトへのアクセスを許可する。
また、予めデータベースにカテゴリで分類したサイト情報を登録するとともに、各カテゴリ又はサイトに対し規制するリクエストメソッドを設定しておき、データ中継装置でHTTPリクエストを受信した際に、そのリクエストメソッドの使用が要求サイトに対して許可されているか否かを判定する技術が開示されている(例えば、特許文献2参照。)。例えば、サイトAに対してPOSTメソッドのみが規制対象として設定されているとき、データ中継装置が受信したリクエストがサイトAに対するGETメソッドによるリクエストである場合は、リクエストが許可され利用者がサイトAにアクセス可能となるが、リクエストがサイトAに対するPOSTメソッドによるリクエストである場合には、リクエストが規制され利用者はサイトAにアクセスすることができない。
前者の先行技術によれば、要求サイトがアクセスして問題のないサイトであるかについて、サイトのURLに加えそのサイトのコンテンツに含まれるキーワードも加味してアクセスの許可又は禁止を決定するため、予め設定されたURLベースのサイト/カテゴリ情報に基づいて行われるフィルタリングに比べ、サイトの実情に合わせたより細やかなアクセス制御が実現できると考えられる。また、後者の先行技術によれば、サイト/カテゴリ情報とリクエストメソッドとを掛け合わせた制御により、同一のサイトでも要求の種類に応じて許可/禁止を切り替えることができるため、例えば閲覧は許可するが掲示板への書き込みは禁止するといった制御が可能となる。
しかしながら、いずれの先行技術においても、利用者の端末から要求サイトに対して送信される内容の確認はなされないため、書き込まれた情報やアップロードしたファイルに個人情報や機密情報が含まれていたとしても、サイトへのアクセスが許可された場合にはその送信要求が実行されることとなる。結果として、個人情報や機密情報が外部サーバに送信されてしまい、情報漏洩の発生を未然に防止することができない。
そこで、本発明は、送信されつつあるデータの内容に応じて保護の必要性の度合いを判断し、その結果に応じてデータ送信を制御する技術の提供を目的とする。
すなわち、本発明の情報管理システムは、データベースに記憶されている保護情報を構成する要素を用いてデータに保護情報が含まれるか否かを検査し、検査結果を出力する検査手段と、検査手段により出力された前記検査結果を記録する記録手段と、検査結果に基づいて前記データが保護の必要性の度合いに応じて複数に分類されるうちの1つの分類である要保護データに該当するか否かを判定する一方、検査手段により検査結果が出力されなかった場合にはデータが要保護データとは異なる分類の判定不能データに該当すると判定する保護要否判定手段と、保護要否判定手段によりデータが要保護データに該当しないと判定された場合にはデータがさらに異なる分類の要規制データにしないと判定する一方、データが要保護データ又は判定不能データに該当すると判定された場合には、予め設定された判定条件に基づいてデータが要規制データに該当するか否かを判定する規制要否判定手段とを備えている。
データベースは、保護情報を構成する要素として例えば名簿を構成する苗字や都道府県市区町村名のキーワードや、メールアドレスや電話番号のような定型情報を形成する形式等、保護情報として識別するために必要となる情報を予め記憶している。したがって、このデータベースを用いることにより、データに含まれる保護情報を効率よく検出させることができる。
また、情報管理システムが対象とするデータは、検査結果に基づき判断される保護の必要性の度合いに応じ複数に分類される。具体的には、まず検査結果に応じてデータが「要保護データに該当する」、「要保護データに該当しない」、「判定不能データに該当する」の3分岐のいずれかに分類される。この分類を受けて、「要保護データに該当する」又は「判定不能データに該当する」データが「要規制データに該当する」、「要規制データに該当しない」の2分岐のいずれかに分類される。上述の態様によれば、後者の分類は予め設定された判定条件に基づいてなされるため、利用環境に応じた判定条件を設定しておくことにより「要規制データに該当する」か否かの判定を精度よく行うことが可能となる。
また、保護要否判定手段は、データに含まれる保護情報の件数がその保護情報に対し予め設定されている閾値以上である場合にはデータが要保護データに該当すると判定し、閾値以下である場合にはデータを要保護データに該当しないと判定する。
保護すべき情報の内容は、業種や職務内容等によって様々である。住所(所在地)情報が多数記載されるデータを検討してみると、顧客名簿や社員名簿のように個人情報の一部として住所が記載されたデータの場合には、含まれる住所の件数が少ないとしても保護の必要性が高いため要保護データに該当すると考えられる。これに対し、企業の事業所リストや弁護士、税理士等のいわゆる士業を営む者の所属先名簿のように、一般に公開されている情報の一部として所在地が記載されたデータの場合には、含まれる所在地の件数が多いとしても保護の必要性は低いことからこのデータは要保護データに該当しないと考えられる。このように、保護すべき情報の軽重は一律に定められるものではなく、仮に一律で定められた判定条件に基づいて要保護データに該当するか否かが判定された場合、その判定結果は利用場面によっては無用の長物になりかねない。
上述した態様によれば、どの保護情報がデータに何件以上含まれていた場合にそのデータが「要保護データに該当する」と判定するか、すなわち保護情報の種類毎の閾値を利用環境に応じて柔軟に設定でき、予め設定されたこの閾値が判定条件として用いられるため、「要保護データに該当する」か否かの判定を精度よく行うことが可能となる。
好ましくは、情報管理システムは、規制要否判定手段により判定されるデータが要規制データに該当するか否かの判定条件を予め設定するルール事前設定手段をさらに備えている。
規制要否判定手段が判定対象とするデータは、検査手段による検査の結果に基づき「要保護データに該当する」とされたデータと、データが参照できず検査できなかった「判定不能データに該当する」データであり、それぞれ性質が異なるものである。そのため、規制要否判定手段がこれらのデータを対象として保護要否判定手段とは異なる分類を行う上では、データ毎に異なる判断基準が適用されることが望ましい。
上述した態様によれば、判定対象とするデータ毎に異なる判定条件を予め設定しておき、規制要否判定手段がこれらのデータを「要規制データに該当する」、「要規制データに該当しない」の2分岐のいずれかに分類する際に、この判定条件を適用させることができる。したがって、より実情に即した形で「要規制データに該当する」か否かの判定を下すことが可能となる。
さらに好ましくは、ルール事前設定手段は、判定条件としてデータサイズの閾値を設定するほかに、保護要否判定手段によりデータが要保護データ又は判定不能データに該当すると判定された場合に、データを一律に要規制データに該当すると判定するか、データを一律に要規制データに該当しないと判定するか、もしくはそのデータサイズに応じてデータが要規制データに該当するか否かを判定するかを設定し、規制要否判定手段は、ルール事前設定手段により予め設定された判定条件に基づいてデータが要規制データに該当するか否かを判定する。
このような態様によれば、「要保護データに該当する」データが「要規制データに該当する」か否かを判定するための条件と、「判定不能データに該当する」データが「要規制データに該当する」か否かを判定するための条件とを、異なる内容で設定することができ、判定条件の一部をなすデータサイズの閾値についても、各々の場合で異なる値を設定することができる。したがって、性質の異なる2パターンのデータを対象として、より細やかな判定条件により「要規制データに該当する」か否かの判定を下すことが可能となる。
また、情報管理システムは、ユーザ端末から送信される外部サーバに対する要求を受信する受信手段をさらに備えており、検査手段は、受信手段により受信された要求に伴いアップロードされたユーザデータに保護情報が含まれるか否かを検査する。
このような態様によれば、ユーザ端末から外部サーバに対して送信されつつあるデータを対象として保護情報が含まれるかを検査し、この検査結果に基づいてデータが「要規制データに該当する」か否かを判定することができる。したがって、ユーザ端末から送信された要求を外部サーバに向けて転送すべきか否かを決定する際に、この判定結果を1つの判断材料とすることが可能となる。
本発明の情報管理プログラムは、外部サーバに対する要求を送信するコンピュータを、上述した各態様の情報管理システムが備える手段として機能させるためのプログラムであって、検査手段としての機能は、要求に伴い外部サーバに送信されつつあるデータに保護情報が含まれるか否かの検査の実行を含む。
外部サーバに対する要求を送信するコンピュータとは、ユーザが入力装置を介して行った操作に起因して外部サーバに対する要求を送信するコンピュータであり、ユーザ端末と言い換えることができる。
このような態様によれば、情報管理システムに設けられていた各手段をユーザ端末のみですべて実装することができるため、ネットワークの混雑状況や他のコンピュータの負荷状況等の影響を受けることなく、外部サーバに送信されつつあるデータの検査を行い、その結果に応じてデータ送信の制御を行うことが可能となる。
このような態様によれば、情報管理システムに設けられていた各手段をユーザ端末のみですべて実装することができるため、ネットワークの混雑状況や他のコンピュータの負荷状況等の影響を受けることなく、外部サーバに送信されつつあるデータの検査を行い、その結果に応じてデータ送信の制御を行うことが可能となる。
言い方を変えると、本発明の情報管理プログラムは、外部サーバに対する要求を送信するコンピュータに、データベースに記憶されている保護情報を構成する要素を用いて要求に伴い外部サーバに送信されつつあるデータに保護情報が含まれるか否かを検査し、検査結果を出力する検査ステップと、検査ステップにより出力された検査結果を記録する記録ステップと、検査結果に基づいてデータが保護の必要性の度合いに応じて複数に分類されるうちの1つの分類である要保護データに該当するか否かを判定する一方、検査ステップにより検査結果が出力されなかった場合にはデータが要保護データとは異なる分類の判定不能データに該当すると判定する保護要否判定ステップと、保護要否判定ステップによりデータが要保護データに該当しないと判定された場合にはデータがさらに異なる分類の要規制データに該当しないと判定する一方、データが要保護データ又は判定不能データに該当すると判定された場合には、予め設定された判定条件に基づいて前記データが要規制データに該当するか否かを判定する規制要否判定ステップとを実行させる。
また、保護要否判定ステップは、データに含まれる保護情報の件数がその保護情報に対し予め設定されている閾値以上である場合にはデータが要保護データに該当すると判定し、閾値以下である場合にはデータを要保護データに該当しないと判定する。
好ましくは、規制要否判定ステップにより判定されるデータが要規制データに該当するか否かの判定条件を予め設定するルール事前設定ステップをさらに含む。
さらに好ましくは、ルール事前設定ステップは、判定条件としてデータサイズの閾値を設定するほかに、保護要否判定ステップによりデータが要保護データ又は判定不能データに該当すると判定された場合に、データを一律に要規制データに該当すると判定するか、データを一律に要規制データに該当しないと判定するか、もしくはそのデータサイズに応じてデータが要規制データに該当するか否かを判定するかを設定し、規制要否判定ステップは、ルール事前設定ステップにより予め設定された判定条件に基づいてデータが要規制データに該当するか否かを判定する。
また、保護要否判定ステップは、データに含まれる保護情報の件数がその保護情報に対し予め設定されている閾値以上である場合にはデータが要保護データに該当すると判定し、閾値以下である場合にはデータを要保護データに該当しないと判定する。
好ましくは、規制要否判定ステップにより判定されるデータが要規制データに該当するか否かの判定条件を予め設定するルール事前設定ステップをさらに含む。
さらに好ましくは、ルール事前設定ステップは、判定条件としてデータサイズの閾値を設定するほかに、保護要否判定ステップによりデータが要保護データ又は判定不能データに該当すると判定された場合に、データを一律に要規制データに該当すると判定するか、データを一律に要規制データに該当しないと判定するか、もしくはそのデータサイズに応じてデータが要規制データに該当するか否かを判定するかを設定し、規制要否判定ステップは、ルール事前設定ステップにより予め設定された判定条件に基づいてデータが要規制データに該当するか否かを判定する。
本発明は、送信されつつあるデータの内容に応じた保護の必要性の度合いを判断し、その結果に応じたデータ送信の制御を実現することができる。
以下、本発明の実施形態について、図面を参照しながら説明する。なお、以下の実施形態は好ましい例示であり、本発明はこの例示に限定されるものではない。
図1は、一実施形態における情報管理システム100が動作する環境の構成図である。情報管理システム100は、例えば一般的な企業に想定されるような社内LANに接続されたコンピュータ環境に適用することができる。
図1は、一実施形態における情報管理システム100が動作する環境の構成図である。情報管理システム100は、例えば一般的な企業に想定されるような社内LANに接続されたコンピュータ環境に適用することができる。
この図に示されるように、社内LANに相当するネットワーク20は、ファイアウォール60の内側に架線されている。ネットワーク20には、ユーザが日々の業務で利用する端末10に加え、端末10が送信元となる通信を中継するプロキシサーバ30が接続されている。ユーザが端末10上で、例えばウェブブラウザを起動させて外部のウェブサイトを表示したり外部のメールアドレス宛のメールを送信したりする際に、端末10はこれらの操作に伴う要求をインターネット70上(ファイアウォール60の外側)に存在する外部サーバに向けて送信する。端末10から送信されるこれらの要求及びこれに伴いアップロードされるデータは、プロキシサーバ30により中継される。プロキシサーバ30はウェブプロキシであり、端末10と外部サーバとの間のHTTPによる接続を中継する。
ところで、ユーザが例えば社員名簿が掲載されているファイルを外部に向けて送信した場合、ユーザの操作が故意か過失かに関わらず、一旦そのファイルが社外に出ればその後の通信経路を辿る過程で情報漏洩する危険性が生じる。したがって、外部に向けたこのような情報の発信は必要最小限に抑制することが望ましい。
情報管理システム100は、このような場面で有効に機能するよう構成されている。情報管理システム100は、ネットワーク20を介して相互に接続可能なプロキシサーバ30と検査サーバ40とに跨って構成される。プロキシサーバ30には、インターネット70に接続されている外部サーバに対して端末10から送信される要求及びこの要求に伴うデータを中継し管理するための機能が実装される。また、検査サーバ40には、プロキシサーバ30により中継されたデータに含まれる機密情報や個人情報等の取扱いに注意を要する情報(以下、「保護情報」と称する。)を検出し、さらに検出された保護情報の種類及びその件数を加味してこのデータが保護を要するデータ(以下、「要保護データ」と称する。)であるか否かを検査するための機能が実装される。つまり、プロキシサーバ30は中継・管理装置として機能し、検査サーバ40は検査装置として機能する。
より具体的には、プロキシサーバ30は、端末10から外部サーバに向けて発せられた要求を受信すると、この要求に伴うアップロードデータの有無をまず確認する。そして、アップロードデータが存在する場合には、このデータを検査サーバ40に送信する。検査サーバ40は、アップロードデータを受信すると、辞書データベース50を用いてこのデータを対象とした保護情報の検査を行い、検査結果をプロキシサーバ30に送信する。プロキシサーバ30は、この検査結果にデータサイズ等の条件を併せて加味し、アップロードデータが送信の規制を要するデータ(以下、「要規制データ」と称する。)であるか否かを判定する。その上で、プロキシサーバ30は、要求の送信先URLに基づくフィルタリングを行うことにより端末10からの要求を外部サーバに向けて転送すべきか否かの判定(以下、「サイト判定」と称する)を行い、要求の転送又は破棄を行う。各判定に関する具体的な処理や保護情報の検査処理については、詳しく後述する。
なお、図1には1台のプロキシサーバ30が示されているが、プロキシサーバ30が複数台で構成され、情報管理システム100の中継・管理機能が各サーバに実装されてもよい。また、辞書データベース50は、検査サーバ40の内部記憶領域内に実装されてもよいし、USBやSCSI等の各種ポートを介して接続されるUSBメモリや外付けのハードディスクドライブ(HDD)等の外部記憶媒体、或いはネットワーク20を介して接続可能な他のコンピュータ上に実装されてもよい。さらに、情報管理システム100の全ての機能、すなわち中継・管理機能と検査機能とが同一のサーバ(プロキシサーバ30)上に実装されてもよい。
図2は、情報管理システム100が機能する場面を説明する図である。
図2中(A):外部のウェブページに書き込んだ内容を送信する場面が示されている。このウェブページにはお問合せフォームが用意されており、予め用意された複数の選択肢から1つを選択する欄、質問内容をテキスト形式で自由に入力する欄に加え、補足資料を最大3つまで添付可能とするアップロード欄とが組み合わされている。
図2中(A):外部のウェブページに書き込んだ内容を送信する場面が示されている。このウェブページにはお問合せフォームが用意されており、予め用意された複数の選択肢から1つを選択する欄、質問内容をテキスト形式で自由に入力する欄に加え、補足資料を最大3つまで添付可能とするアップロード欄とが組み合わされている。
ユーザが端末10上でこのウェブページを開き、各欄の入力を終えてから[送信]ボタンを押下すると、端末10は入力されたデータをこのウェブページで指定されたURLに対し送信するための要求を送信する。情報管理システム100はこの場面で機能し、要求を受信し入力データを検査した上で、このデータが要規制データであるか否かを判定する。このケースで入力データとして送信されるのは、お問合せフォーム上で入力した全ての内容、すなわち、「分類」で選択した選択肢と「質問詳細」で入力したテキストと「補足資料」としてアップロードしたファイルであり、これらが保護情報の検査対象となる。
図2中(B):ウェブメール画面を起動して外部のメールアドレス宛にメールを送信する場面が示されている。このメールには、テキスト入力された件名及びメール本文の他に、1つの添付ファイルがセットされている。ユーザがこの状態で[送信]ボタンを押下すると、端末10からメールが送信される。情報管理システム100はここで機能し、端末10から送信されたメールを受信し検査した上で、このメールにより送信されるデータが要規制データであるか否かを判定する。このケースでは、「件名」と「メール本文」と「添付ファイル」として添付されたファイルが、保護情報の検査対象となる。
図2中(C):クラウドサービスを利用した共有フォルダにファイルをアップロードする場面が示されている。この例では、「archive」というフォルダのファイル一覧が表示された画面の前面側に、このフォルダに新たなファイルをアップロードするためのメニューが表示された画面が出現しており、アップロード候補として既に2つのファイルが追加されている。ユーザがこの状態で[上記ファイルをアップロード]ボタンを押下すると、端末10はこれら2ファイルをクラウドサービスで指定された所定のURLに対し送信するための要求を送信する。情報管理システム100はこの場面で機能し、上述した例と同様の処理が実行される。このケースでは、クラウド上の共有フォルダにアップロードされつつある2つのファイルが、保護情報の検査対象となる。
図3は、情報管理システム100の機能ブロック図である。この図に示されるように、情報管理システム100は、ルール管理部110、リクエスト受信部120、データ送信部130、検査結果受信部140、データ判定部150、サイト判定部160、ログ記録部170、リクエスト処理部180、パターン記憶部200、ポリシー管理部210、データ受信部220、保護情報検出部230、要保護判定部240及び検査結果送信部250を有している。情報管理システム100は、プロキシサーバ30と検査サーバ40とに跨って構成されており、中継及び管理に関わる機能がプロキシサーバ30に実装され、データの検査に関わる機能が検査サーバ40に実装される。これにより、プロキシサーバ30は中継・管理装置として機能し、検査サーバ40は検査装置として機能する。
情報管理システム100が中継、検査及び管理の対象とするデータは、ユーザにより端末10から外部サーバに向けて送信されるデータである。端末10は、情報管理システム100の範疇には含まれないが、端末10から外部サーバに向けて送信される要求を中継し管理するプロキシサーバ30との関係性を説明するため図3中に併せて示されている。端末10は、ウェブブラウザやメールクライアント等の外部サーバとのHTTP通信に用いられるアプリケーションを有しており、このアプリケーションから送信される要求をプロキシサーバ30が受信する。また、この要求に対しプロキシサーバ30から何らかの通知が返された場合には、アプリケーション18がこれを表示する。
プロキシサーバ30には、ルール管理部110からリクエスト処理部180までの機能が実装され、検査サーバ40には、パターン記憶部200から検査結果送信部250までの機能が実装される。機能間の相互関係を説明する便宜のため、図3に対する以下の説明は各機能に付された符号の順序不同に記述される。
ルール管理部110は、情報管理システム100が端末10から送信された要求の中継及び管理を行う上で必要となる詳細事項を、例えば社内の情報管理者(以下、「管理者」と略称する。)によりルール設定画面を介してなされた指定に沿って事前に設定し、その設定内容をプロキシサーバ30の内部記憶領域36に記憶させる。要求の中継及び管理に関する詳細事項(以下、「ルール」と称する。)とは、例えば、要求の転送可否を判定する際に用いる外部サイトのURLフィルタリング情報や、要求に伴うアップロードデータを対象とした保護情報の検査結果の記録形態、また保護情報の検査結果に基づきアップロードデータの送信規制の要否を判定するための条件等である。
リクエスト受信部120は、端末10のアプリケーション18から送信される外部サーバに対する要求を受信して一時的にバッファさせ、この要求に伴うアップロードデータの有無を確認する。
データ送信部130は、リクエスト受信部120によりバッファされた要求にアップロードデータが存在する場合に、このデータを検査サーバ40のデータ受信部220に送信する。
データ受信部220は、プロキシサーバ30のデータ送信部130により送信されたアップロードデータを受信し、検査サーバ40の内部記憶領域46に一時保存する。
データ送信部130は、リクエスト受信部120によりバッファされた要求にアップロードデータが存在する場合に、このデータを検査サーバ40のデータ受信部220に送信する。
データ受信部220は、プロキシサーバ30のデータ送信部130により送信されたアップロードデータを受信し、検査サーバ40の内部記憶領域46に一時保存する。
パターン記憶部200は、検査サーバ40の辞書データベース50に相当し、保護情報を構成する要素、より具体的には苗字、都道府県名や市区町村名等を示すキーワードや定型保護情報を形成するパターン等を記憶している。ここで、「定型保護情報」とは、例えばクレジットカード番号、電話番号、生年月日やメールアドレス等のように定型フォーマットで形成される保護情報である。「定型保護情報を形成するパターン」とは、例えばクレジットカード番号の場合は、連続する16桁のアラビア数字、或いは16桁のアラビア数字が4桁ずつハイフン又はスペースで区切られた形式等を指す。
ポリシー管理部210は、情報管理システム100が端末10からアップロードされたデータに保護情報が含まれるか否かを検査する上で必要となる詳細事項を、例えば管理者によりポリシー設定画面を介してなされた指定に沿って事前に設定し、その設定内容を検査サーバ40の内部記憶領域46に記憶させる。保護情報の検査に関する詳細事項(以下、「ポリシー」と称する。)とは、検査対象データが要保護データであると判定するための条件等である。
保護情報検出部230は、データ受信部220により一時保存されたアップロードデータを対象として、このデータに含まれる保護情報を検出する。保護情報の検出は、パターン記憶部200に記憶されている情報とのマッチング等により実行される。保護情報検出部230は、検出された保護情報の種類と種類毎の検出件数を出力する。
要保護判定部240は、保護情報検出部230により出力された結果とポリシー管理部210に設定されているポリシーに基づいて、アップロードデータが要保護データであるか否かを判定する。例えば、ポリシー管理部210に「対象データ中に、メールアドレスが10件以上、又はクレジットカード番号が5件以上含まれる場合は、要保護データであると判定する」との判定条件が記憶されており、保護情報検出部230により「メールアドレス:12件、クレジットカード番号:2件」との検出結果が出力された場合、要保護判定部240はメールアドレスの検出件数がポリシーに設定された閾値以上であることから「アップロードデータは要保護データである」と判定することとなる。
検査結果送信部250は、アップロードデータを対象とした保護情報の検査結果、より具体的には保護情報検出部230による出力内容及び要保護判定部240による判定結果を、プロキシサーバ30の検査結果受信部140に送信すると共に、データ受信部220により一時保存されたデータを削除する。
検査結果受信部140は、検査サーバ40の検査結果送信部250により送信された検査結果を受信する。
検査結果受信部140は、検査サーバ40の検査結果送信部250により送信された検査結果を受信する。
データ判定部150は、検査結果受信部140により受信された検査結果とルール管理部110に設定されているルールに基づいて、アップロードデータが要規制データであるか否かを判定する。
サイト判定部160は、ルール管理部110に設定されているルールに基づいて、リクエスト受信部120によりバッファされた要求を外部サーバに向けて転送すべきか否かを判定する。バッファされた要求に伴うアップロードデータが存在する場合、サイト判定部160は、フィルタリング情報に加えデータ判定部150により下された判定結果を踏まえて要求の転送可否を判定する。
サイト判定部160は、ルール管理部110に設定されているルールに基づいて、リクエスト受信部120によりバッファされた要求を外部サーバに向けて転送すべきか否かを判定する。バッファされた要求に伴うアップロードデータが存在する場合、サイト判定部160は、フィルタリング情報に加えデータ判定部150により下された判定結果を踏まえて要求の転送可否を判定する。
ログ記録部170は、検査結果受信部140により受信された検査結果やデータ判定部150、サイト判定部160により下された判定結果等を、ルール管理部110に設定されているルールに従いプロキシサーバ30の内部記憶領域36に記録する。
リクエスト処理部180は、サイト判定部160の判定結果に基づいて、リクエスト受信部120によりバッファされた要求を処理する。リクエスト処理部180は、転送可と判定された場合にはこの要求を外部サーバに向けて転送し、転送不可と判定された場合にはこの要求を破棄する。要求を破棄する場合には、リクエスト処理部180はさらに端末10に対し要求が破棄された(データ送信がキャンセルされた)旨を示すアラートメッセージ(HTMLファイル)を送信する。端末10がこの通知を受信すると、要求の送信元であるアプリケーション18がプロキシサーバ30のリクエスト処理部180から送信されたアラートメッセ―ジ(HTMLファイル)を表示する。
図4は、ルール管理部110により提供されるルールの設定画面の例を表した図である。この図に示されるように、ルールの設定画面には情報管理システム100が要求の中継及び管理を行う上で必要となる事項が表示される。管理者は、この設定画面を通じて要求の中継及び管理に関するルールを事前に設定することができる。
ルール管理部110は、例えば、サイト判定対象URL、ログの記録形態、データ検査結果に基づく要求の転送可否等を設定するための画面を提供する。
「サイト判定対象URL」では、要求の送信先、すなわちユーザがアクセスしようとしたサイトが問題のないサイトか否かをサイト判定部160が判定する際に用いるURL、いわばURLに基づく外部サイトのフィルタリング情報を設定する。サイト判定対象URLは、「無条件許可サイト」、「規制サイト」及び「規制例外サイト」の3つに分類されており、いずれも該当するサイトのURLが指定される。
無条件許可サイトとは、信頼できるサイトであることが確認されており無条件にアクセスを許可するサイトを指す。情報管理システム100は、無条件許可サイトに対する要求の転送を全て許可する。要求にアップロードデータが伴う場合には、情報管理システム100は、このデータを対象とした保護情報の検査は行わずに要求の転送を許可する。
無条件許可サイトとは、信頼できるサイトであることが確認されており無条件にアクセスを許可するサイトを指す。情報管理システム100は、無条件許可サイトに対する要求の転送を全て許可する。要求にアップロードデータが伴う場合には、情報管理システム100は、このデータを対象とした保護情報の検査は行わずに要求の転送を許可する。
規制サイトとは、何らかの理由によりアクセスを許可すべきでないため無条件にアクセスを規制するサイトを指す。情報管理システム100は、規制サイトに対する要求の転送を全て破棄し、要求の送信元である端末10に対しその旨を通知する。要求にアップロードデータが伴う場合には、情報管理システム100は、このデータを対象とした保護情報の検査を行い、規制サイトに対しどのような情報が送信されつつあったかについてログを記録した上でその要求を破棄する。
規制例外サイトとは、文字通り「規制サイトの例外」であり、アクセスを許可しつつアップロードデータの監視も行うサイトを指す。情報管理システム100は、規制例外サイトに対する要求を許可するとともに、これに伴うアップロードデータを対象とした保護情報の検査及びログの記録を行う。
規制例外サイトとは、文字通り「規制サイトの例外」であり、アクセスを許可しつつアップロードデータの監視も行うサイトを指す。情報管理システム100は、規制例外サイトに対する要求を許可するとともに、これに伴うアップロードデータを対象とした保護情報の検査及びログの記録を行う。
なお、上述した3つの分類に設定されたURLのいずれにも該当しないサイトは、アクセスを規制すべき理由がサイト側には存在しないか、事前に把握されていない。したがって、このようなサイトに対する要求は、アップロードデータが伴わない場合には全て転送される。これに対し、アップロードデータが伴う場合には、そのデータに保護情報がどの程度含まれるかにより要求が転送されるか否かが決定される。より具体的には、アップロードデータが伴う場合の要求の転送可否は、図4に示されたルール設定画面の下部にある「データ検査結果に基づくリクエスト転送の可否」で設定する判定条件に沿って判定されることとなる。
「ログの記録形態」では、要求に伴うアップロードデータを対象に実施された保護情報の検査結果の記録形態を設定させる。「検査結果の出力のみ」が選択された場合、情報管理システム100は、アップロードデータに含まれた保護情報の種類及び種類毎の件数等を記録する。「検査結果の出力及び検査対象データの保存」が選択された場合、情報管理システム100は、検査結果を記録するとともに検査対象としたアップロードデータを保存する。
「データ検査結果に基づくリクエスト転送の可否」では、保護情報の検査結果に基づきアップロードデータが要規制データであるか否かを判定するための条件を設定させる。アップロードデータが問題なく参照可能な状態であれば、情報管理システム100は保護情報の検査を行い要保護データであるか否かの判定を下すことができる。ところが、アップロードデータが参照不可能な状態の場合、例えばデータがファイル形式であり、このファイルにパスワードが付いていたり、ファイルが暗号化されていたり、或いは破損していたりする場合には、情報管理システム100はその内容をチェックできないため保護情報の検査を行うことができない。
そこで、検査結果としてあらかじめ想定し得る3つのパターン、すなわち「データが要保護と判定された場合(問題なく検査できた場合)」、「データが検査不能ファイル(パスワード付きファイル)であった場合」及び「データが検査不能ファイル(その他の理由)であった場合」に、情報管理システム100がどのような判定基準でこのデータを要規制データであると判定するかを事前設定できるようにしている。
例えば、図4に示されるように、「データが要保護と判定された場合」において「一部規制(対象データサイズ:5MB以上)」と設定された場合には、閾値として指定されたファイルサイズ(5MB)を境に下される判定が変わり、データが5MB以上の場合は要規制データであると判定され規制対象として扱われる一方、5MB未満の場合には要規制データでないと判定され規制対象外として扱われる。また、「データが検査不能ファイルである場合」において「全て規制」が選択された場合には、一律で要規制データであると判定され、検査できなかったデータは全て規制対象として扱われることとなる。
なお、データが検査不能ファイルであった場合はデータの検査ができていないため、そのデータが保護情報を含むものであるか否かが一切分からない。しかしながら、参照不可能なデータであるということは、仮に外部サーバに送信されたとしても、そのデータがどのようなファイルであるかを知る者でなければ開くことができないため、むしろ保護された状態である(規制が不要である)、とみることもできる。例えば、送信されつつあるメールが検査対象となり、このメールに添付されていたデータがパスワード付きファイルであったために参照できず検査できなかった場合、メールの受信者がパスワードを知っていれば添付ファイルを開くことができるが、転送過程で何らかの事情によりこのメールが傍受されたとしても、パスワードが分からなければファイルが開かれる心配はない。そこで、検査不能ファイルについても、検査できた場合(データが要保護と判定された場合)と同様に、「全て許可」、「一部規制」及び「全て規制」の3つの選択肢を用意している。
図5は、ポリシー管理部210により提供される保護情報に関するポリシーの設定画面の例を表した図である。この図に示されるように、ポリシーの設定画面には、情報管理システム100が管理対象とする端末10からの要求に伴いアップロードされたデータを対象として保護情報の検査を行う上で必要となるポリシーが表示される。管理者は、この設定画面を通じてポリシーを事前に設定することができる。
ポリシー管理部210は、例えば、端末10からの要求に伴いアップロードされたデータが要保護データであるか否かを判定するための条件として、保護情報として検出する項目及び各項目に対する閾値を設定する。例えば、データ中にメールアドレスとして識別される記載が10箇所以上ある場合に要保護データとして扱いたい場合には、「メールアドレス」に対する閾値に「10」を設定する。検出する項目の機密度、ひいては保護の必要性が高いほど閾値には小さな値を設定するのが好ましい。例えば、図5では「マイナンバー」に対する閾値が「1」と設定されているが、これはデータ内にマイナンバーとして識別される記載が1箇所でも存在する場合には要保護データとして判定することを意味する。
また、個々の項目の検出条件をAND/ORのいずれで連結させるかを選択することができ、利用環境に合わせたより柔軟な判定条件の指定を可能としている。例えば、図5では、1行目から3行目(電話番号・住所・苗字)と4行目から5行目(苗字・生年月日)がANDで連結され、その他の行はORで連結されている。この場合は、「電話番号が2箇所以上、かつ、住所が2箇所以上、かつ、苗字が2箇所以上」又は「苗字が10箇所以上、かつ、生年月日が10箇所以上」又は「マイナンバーが1箇所以上」又は「メールアドレスが10箇所以上」又は‥‥(以下略)のような判定条件が設定されることとなる。このような判定条件を予め指定することにより、検査対象データが要保護データであるか否かを精度よく検査することが可能となる。
図6は、情報管理システム100による情報管理処理の手順例を示すフローチャートである。情報管理処理は、プロキシサーバ30のOS起動に伴いその動作を開始し、意図的に強制終了されない限りはプロキシサーバ30がシャットダウンするまで動作し続ける。なお、図6〜8のフローチャートに示された各処理を実行するのは情報管理システム100であり、より具体的には、情報管理システム100が有する各機能部110〜250であるが、情報管理システム100を動作させる主体は情報管理システム100が有する各機能が実装されるサーバ30,40のCPU32,42である。つまり、厳密にはCPU32,42がこれらのフローチャートに示された各処理をサーバ30,40に実装された各機能部に実行させることにより、情報管理システム100が機能する。
以下、手順例に沿って説明する。
ステップS100:CPU32は、リクエスト受信部120に端末10から送信された外部サーバに対する要求を受信させ、これを一時的にバッファさせる。
ステップS102:CPU32は、サイト判定部160に前ステップS100でバッファされた要求の送信先が無条件許可サイトでないか否かを確認させる。無条件許可サイトでない場合(Yes)、CPU32は次にステップS104を実行する。無条件許可サイトである場合(No)、CPU32は次にステップS112を実行する。
ステップS104:CPU32は、情報管理メイン処理を実行する。情報管理メイン処理の詳細は後述する。
ステップS100:CPU32は、リクエスト受信部120に端末10から送信された外部サーバに対する要求を受信させ、これを一時的にバッファさせる。
ステップS102:CPU32は、サイト判定部160に前ステップS100でバッファされた要求の送信先が無条件許可サイトでないか否かを確認させる。無条件許可サイトでない場合(Yes)、CPU32は次にステップS104を実行する。無条件許可サイトである場合(No)、CPU32は次にステップS112を実行する。
ステップS104:CPU32は、情報管理メイン処理を実行する。情報管理メイン処理の詳細は後述する。
ステップS106:CPU32は、前ステップS104で返された判定結果を確認する。(端末10から送信された要求に伴うアップロードデータが)要規制データであると判定された場合(Yes)、CPU32は次にステップS108を実行する。要規制データでないと判定された場合(No)、CPU32は次にステップS110を実行する。
ステップS108:CPU32は、サイト判定部160にステップS100でバッファされた要求の送信先が規制例外サイトであるか否かを確認させる。規制例外サイトである場合(Yes)、CPU32は次にステップS112を実行する。規制例外サイトでない場合(No)、CPU32は次にステップS114を実行する。
ステップS110:CPU32は、サイト判定部160にステップS100でバッファされた要求の送信先が規制サイトでないか否かを確認させる。規制サイトでない場合(Yes)、CPU32は次にステップS112を実行する。規制サイトである場合(No)、CPU32は次にステップS108を実行する。
ステップS108:CPU32は、サイト判定部160にステップS100でバッファされた要求の送信先が規制例外サイトであるか否かを確認させる。規制例外サイトである場合(Yes)、CPU32は次にステップS112を実行する。規制例外サイトでない場合(No)、CPU32は次にステップS114を実行する。
ステップS110:CPU32は、サイト判定部160にステップS100でバッファされた要求の送信先が規制サイトでないか否かを確認させる。規制サイトでない場合(Yes)、CPU32は次にステップS112を実行する。規制サイトである場合(No)、CPU32は次にステップS108を実行する。
ステップS112:CPU32は、リクエスト処理部180にステップS100でバッファされた要求を外部サーバに向けて転送させる。
ステップS114:CPU32は、リクエスト処理部180にステップS100でバッファされた要求を破棄させる。
ステップS116:CPU32は、リクエスト処理部180に要求が破棄された旨を要求の送信元である端末10へ通知させる。
以上の処理を終えると、端末10から送信された1つの要求に対しプロキシサーバ30(中継・管理装置)が実行する情報管理処理が終了する。
ステップS114:CPU32は、リクエスト処理部180にステップS100でバッファされた要求を破棄させる。
ステップS116:CPU32は、リクエスト処理部180に要求が破棄された旨を要求の送信元である端末10へ通知させる。
以上の処理を終えると、端末10から送信された1つの要求に対しプロキシサーバ30(中継・管理装置)が実行する情報管理処理が終了する。
図7は、情報管理システム100による情報管理メイン処理の手順例を示すフローチャートである。以下、手順例に沿って説明する。
ステップS150:CPU32は、リクエスト受信部120に端末10から送信された外部サーバに対する要求がアップロードデータを伴うか否かを確認させる。要求がアップロードデータを伴う場合(Yes)、CPU32は次にステップS152を実行する。要求がアップロードデータを伴わない場合(No)、CPU32は次にステップS168を実行する。
ステップS152:CPU32は、データ送信部130に要求に伴うアップロードデータを検査サーバ40へ送信させる。
ステップS154:検査サーバ40のCPU42は、保護情報検査処理を実行する。保護情報検査処理の詳細は後述する。
ステップS156:CPU32は、検査結果受信部140に前ステップS154で実行された保護情報検査処理の結果を検査サーバ40から受信させる。
ステップS152:CPU32は、データ送信部130に要求に伴うアップロードデータを検査サーバ40へ送信させる。
ステップS154:検査サーバ40のCPU42は、保護情報検査処理を実行する。保護情報検査処理の詳細は後述する。
ステップS156:CPU32は、検査結果受信部140に前ステップS154で実行された保護情報検査処理の結果を検査サーバ40から受信させる。
ステップS160:CPU32は、データ判定部150にルール管理部110に予め設定されたルールを参照させ、以降のステップで実行される処理に備える。
ステップS162:CPU32は、データ判定部150にステップS156で受信された検査結果を確認させる。(端末10から送信された要求に伴うアップロードデータが)要保護データであると判定された場合(Yes)、CPU32は次にステップS164を実行する。要保護データでないと判定された場合(No)、CPU32は次にステップS168を実行する。要保護データか否かが不明である場合(不明)、すなわちデータが検査不能ファイルである場合には、CPU32は次にステップS170を実行する。
ステップS162:CPU32は、データ判定部150にステップS156で受信された検査結果を確認させる。(端末10から送信された要求に伴うアップロードデータが)要保護データであると判定された場合(Yes)、CPU32は次にステップS164を実行する。要保護データでないと判定された場合(No)、CPU32は次にステップS168を実行する。要保護データか否かが不明である場合(不明)、すなわちデータが検査不能ファイルである場合には、CPU32は次にステップS170を実行する。
ステップS164:CPU32は、データ判定部150に要保護データに対する規制の要否に関するルール設定を確認させる。要保護データを伴う要求の転送を全て許可する設定である場合(全て許可)、CPU32は次にステップS168を実行する。要保護データのデータサイズに応じて要求の転送を規制するか否か決定する設定である場合(一部規制)、CPU32は次にステップS166を実行する。要保護データを伴う要求の転送を全て規制する設定である場合(全て規制)、CPU32は次にステップS174を実行する。
ステップS166:CPU32は、データ判定部150に要保護データ(アップロードデータ)のデータサイズがルールで設定されたサイズ未満であるか否かを確認させる。規定サイズ未満である場合(Yes)、CPU32は次にステップS168を実行する。規定サイズ以上である場合(No)、CPU32は次にステップS174を実行する。
ステップS166:CPU32は、データ判定部150に要保護データ(アップロードデータ)のデータサイズがルールで設定されたサイズ未満であるか否かを確認させる。規定サイズ未満である場合(Yes)、CPU32は次にステップS168を実行する。規定サイズ以上である場合(No)、CPU32は次にステップS174を実行する。
ステップS168:CPU32は、サイト判定部160にアップロードデータが要規制データではないと判定させる。
ステップS170:CPU32は、データ判定部150に検査不能ファイルに対する規制の要否に関するルール設定を確認させる。検査不能ファイルを伴う要求の転送を全て許可する設定である場合(全て許可)、CPU32は次にステップS168を実行する。検査不能ファイルのファイルサイズに応じて要求の転送を規制するか否か決定する設定である場合(一部規制)、CPU32は次にステップS172を実行する。検査不能ファイルを伴う要求の転送を全て規制する設定である場合(全て規制)、CPU32は次にステップS174を実行する。
ステップS170:CPU32は、データ判定部150に検査不能ファイルに対する規制の要否に関するルール設定を確認させる。検査不能ファイルを伴う要求の転送を全て許可する設定である場合(全て許可)、CPU32は次にステップS168を実行する。検査不能ファイルのファイルサイズに応じて要求の転送を規制するか否か決定する設定である場合(一部規制)、CPU32は次にステップS172を実行する。検査不能ファイルを伴う要求の転送を全て規制する設定である場合(全て規制)、CPU32は次にステップS174を実行する。
ステップS172:CPU32は、データ判定部150に検査不能ファイル(アップロードデータ)のデータサイズがルールで設定されたサイズ以上であるか否かを確認させる。規定サイズ以上である場合(Yes)、CPU32は次にステップS174を実行する。規定サイズ未満である場合(No)、CPU32は次にステップS168を実行する。
ステップS174:CPU32は、サイト判定部160にアップロードデータが要規制データであると判定させる。
ステップS174:CPU32は、サイト判定部160にアップロードデータが要規制データであると判定させる。
ステップS176:CPU32は、ログ記録部170にステップS156で受信された検査結果とステップS168又はステップS174で下された要規制データであるか否かの判定結果とを記録させる。なお、アップロードデータが無い場合(ステップS150:No)は、検査対象となるデータが存在していないためこの処理をスキップしてもよい。
以上の処理を終えると、CPU32は、ステップS168又はステップS174で下された要規制データであるか否かの判定結果を情報管理メイン処理の呼び出し元である図6中のステップS104に返し、情報管理処理(図6)に復帰する。
以上の処理を終えると、CPU32は、ステップS168又はステップS174で下された要規制データであるか否かの判定結果を情報管理メイン処理の呼び出し元である図6中のステップS104に返し、情報管理処理(図6)に復帰する。
図8は、情報管理システム100による保護情報検査処理の手順例を示すフローチャートである。保護情報検査処理では、ポリシー管理部210に予め設定されている内容に沿って、検査対象データが要保護データであるか否か(検査対象となるデータに保護情報が規定件数以上含まれるか否か)の検査がなされる。
以下、手順例に沿って説明する。
以下、手順例に沿って説明する。
ステップS200:CPU42は、データ受信部220にプロキシサーバ30から送信されたデータを受信させ一時保存させる。
ステップS202:CPU42は、保護情報検出部230にステップS200で一時保存されたデータに含まれる保護情報を検出させる。保護情報の検出は、パターン記憶部200に記憶されているキーワードやパターンとのマッチング等により行われる。
ステップS204:CPU42は、要保護判定部240に前ステップS202で検出された保護情報の種類毎の件数がポリシー管理部210に予め設定されている保護情報の種類毎の検出件数の閾値以上であるか否かを確認させる。検出件数が規定の閾値以上である場合(Yes)、CPU42は次にステップS206を実行する。検出件数が規定の閾値未満である場合(No)、CPU42は次にステップS208を実行する。
ステップS204:CPU42は、要保護判定部240に前ステップS202で検出された保護情報の種類毎の件数がポリシー管理部210に予め設定されている保護情報の種類毎の検出件数の閾値以上であるか否かを確認させる。検出件数が規定の閾値以上である場合(Yes)、CPU42は次にステップS206を実行する。検出件数が規定の閾値未満である場合(No)、CPU42は次にステップS208を実行する。
ステップS206:CPU42は、要保護判定部240に検査対象データが要保護データであると判定させる。
ステップS208:CPU42は、要保護判定部240に検査対象データが要保護データでないと判定させる。
ステップS210:CPU42は、検査結果送信部250にステップS200で一時保存されたデータを対象として以上のステップで実行された保護情報の検査結果をプロキシサーバ30に送信させてから一時保存されたデータを削除させる。
以上の処理を終えると、保護情報検査処理の呼び出し元である情報管理メイン処理(図7)中のステップS154に戻り、処理の制御が検査サーバ40のCPU42から中継サーバのCPU32に復帰する。
ステップS208:CPU42は、要保護判定部240に検査対象データが要保護データでないと判定させる。
ステップS210:CPU42は、検査結果送信部250にステップS200で一時保存されたデータを対象として以上のステップで実行された保護情報の検査結果をプロキシサーバ30に送信させてから一時保存されたデータを削除させる。
以上の処理を終えると、保護情報検査処理の呼び出し元である情報管理メイン処理(図7)中のステップS154に戻り、処理の制御が検査サーバ40のCPU42から中継サーバのCPU32に復帰する。
図9は、情報管理システム100が外部サーバに対し送信されるデータを管理する際の動作例を示すシーケンス図である。プロキシサーバ30が管理・中継装置として、検査サーバ40が検査装置としてそれぞれ機能する。コンピュータ間でパケットを送受信する際に事前に行われるプロトコルのネゴシエーションやセッション確立に相当するステップについては一般的事項であるため記載を省略している。以下、動作例に沿って説明する。
ユーザが端末10でウェブブラウザを起動して外部のウェブサイトにアクセスし、何らかの情報を入力して送信ボタンをクリックすると、このタイミングで端末10から外部サーバに対する要求が送信される(S11)。これをプロキシサーバ30が受信し、この要求に伴ってアップロードされたデータの有無を確認する(S12)。今回はユーザが入力した情報を送信しようとしておりアップロードデータが存在するため、プロキシサーバ30はこのデータを検査サーバ40に送信する(S13)。検査サーバ40は、受信したデータに保護情報が含まれるか否かを検査し(S14)、検査結果をプロキシサーバ30に送信する(S15)。プロキシサーバ30は、受信した検査結果に基づいて今回の要求に伴うアップロードデータが要規制データであるか否かを判定し(S16)、検査結果と判定結果をログに記録する(S17)。その上で、要求の送信先URLに対するサイト判定を行う(S18)。今回のアップロードデータは要規制データではあるが、要求の送信先が規制例外サイトに該当するため、プロキシサーバ30は外部サーバに向けて要求を転送する(S19)。要求の転送に伴いアップロードデータが外部サーバに送信される。このようにして、端末10から送信された1つ目の要求に対し実行される一連の処理が完了する。
しばらくして、ユーザが端末10で上記とは異なるウェブサイトにアクセスし、何らかの情報を入力して送信ボタンをクリックすると、このタイミングで端末10から外部サーバに対する要求が送信される(S21)。これをプロキシサーバ30が受信し、この要求に伴ってアップロードされたデータの有無を確認する(S22)。今回もアップロードデータが存在するため、プロキシサーバ30はこのデータを検査サーバ40に送信する(S23)。検査サーバ40は、受信したデータに保護情報が含まれるか否かを検査し(S24)、検査結果をプロキシサーバ30に送信する(S25)。プロキシサーバ30は、受信した検査結果に基づいて今回の要求に伴うアップロードデータが要規制データであるか否かを判定し(S26)、検査結果と判定結果をログに記録する(S27)。その上で、要求の送信先URLに対するサイト判定を行う(S28)。今回のアップロードデータは要規制データであり、要求の送信先が規制サイトに該当するため、プロキシサーバ30は要求を外部サーバには転送せずに破棄する(S29)。プロキシサーバ30は、要求が破棄された旨、すなわちアップロードデータが外部サーバに送信されなかった旨をこの要求の送信元である端末10に対して通知する(S30)。このようにして、端末10から送信された2つ目の要求に対し実行される一連の処理が完了する。
図10が、情報管理システム100が実行する制御により端末10のディスプレイ上に表示されるアラートメッセージの例を表した図である。
図10中(A):ユーザが外部サーバに対し送信しようとしたデータが要保護データであると判定され、且つルールにおいて「データが要保護と判定された場合」に要求の転送が規制されるよう設定されている場合には、データ送信がキャンセルされた(外部サーバに対する要求が破棄された)旨のアラートメッセージが表示される。このとき、どの保護情報に起因してデータが要保護データであると判定されたのかを併せてユーザに通知する。この図に示される例では、データ中にマイナンバーとして識別される情報が閾値以上の件数検出されたことが示されている。
図10中(B):ユーザが外部サーバに対し送信しようとしたデータがパスワード付きファイルであり、且つルールにおいて「データが検査不能ファイル(パスワード付きファイル)である場合」に要求の転送が規制されるように設定されている場合には、パスワード付きファイルを送信しようとしたためにデータ送信がキャンセルされた旨のアラートメッセージが表示される。
図10中(B):ユーザが外部サーバに対し送信しようとしたデータがパスワード付きファイルであり、且つルールにおいて「データが検査不能ファイル(パスワード付きファイル)である場合」に要求の転送が規制されるように設定されている場合には、パスワード付きファイルを送信しようとしたためにデータ送信がキャンセルされた旨のアラートメッセージが表示される。
〔情報管理プログラム〕
図11は、一実施形態における情報管理プログラム300が動作する環境の構成図である。情報管理プログラム300は、一般的なクライアント環境に適用することができる。ここでは、情報管理プログラム300が企業内で社内LANに接続されたクライアント環境に適用される場合を例に挙げて説明する。
図11は、一実施形態における情報管理プログラム300が動作する環境の構成図である。情報管理プログラム300は、一般的なクライアント環境に適用することができる。ここでは、情報管理プログラム300が企業内で社内LANに接続されたクライアント環境に適用される場合を例に挙げて説明する。
この図に示されるように、社内LANに相当するネットワーク20がファイアウォール60の内側に配架されている。ネットワーク20には、クライアント環境に相当する端末11に加え、端末11とインターネット70上(ファイアウォール60の外側)に存在する外部サーバとの間でやりとりされるHTTPによる通信を中継するプロキシサーバ31が接続されている。端末11から外部サーバに対し送信される要求及びこの要求に伴ってアップロードされるデータは、プロキシサーバ31により中継される。
情報管理プログラム300は端末11で動作する。端末11は、ウェブブラウザやメールクライアント等の外部サーバとのHTTP通信に用いられるアプリケーションを有しており、例えば、ユーザが端末11でウェブブラウザを起動させて外部のウェブサイトを表示したり外部のメールアドレス宛のメールを送信したりしようとすると、端末11はこれらの操作に伴う要求を外部サーバに対して送信する。このとき情報管理プログラム300は、外部サーバに対する要求が端末11から送信される前に、この要求に伴うデータに保護情報が含まれるか否かを検査するとともに要求先URLに対するサイト判定を実施し、これらの結果に応じて要求を制御する。情報管理プログラム300は、送信して問題ない要求であると判断した場合にはこの要求を送信する一方、送信を規制すべき要求であると判断した場合にはこの要求を破棄する。
なお、端末11から要求が送信されると、この要求はプロキシサーバ31により受信されたのち、外部サーバに向けて転送される。プロキシサーバ31は情報管理プログラム300の範疇には含まれないが、端末11との関係性を説明するために図12中に併せて示されている。
図12は、情報管理プログラム300の機能ブロック図である。この図に示されるように、情報管理プログラム300は、パターン記憶部310、ポリシー管理部320、ルール管理部330、リクエスト検出部340、データ取得部350、保護情報検出部360、要保護判定部370、データ判定部380、サイト判定部390、ログ記録部400、リクエスト処理部410及びアラート出力部420を有している。
図1〜10に沿って説明した先述の情報管理システム100においては、要求を中継・管理するための機能がプロキシサーバ30に実装される一方、要求に伴うデータを検査するための機能が検査サーバ40に実装され、これらのサーバ30,40が連携し合うことにより情報管理システム100が機能した。これに対し、情報管理プログラム300は、要求を中継・管理するための機能と要求に伴うデータを検査するための機能とを合わせた全ての機能が端末11に実装され、端末11のみで機能する。
パターン記憶部310は、保護情報を構成するさまざまな要素を記憶している。
ポリシー管理部320は、情報管理プログラム300が要求に伴うデータに保護情報が含まれるか否かを検査する上で必要となる詳細事項(ポリシー)を、例えば管理者によりポリシー設定画面を介してなされた指定に沿って事前に設定し、その設定内容を内部記憶領域16に記憶させる。ポリシー管理部320により提供されるポリシー設定画面は、図5に示された情報管理システム100におけるポリシー設定画面と同等のものである。
ポリシー管理部320は、情報管理プログラム300が要求に伴うデータに保護情報が含まれるか否かを検査する上で必要となる詳細事項(ポリシー)を、例えば管理者によりポリシー設定画面を介してなされた指定に沿って事前に設定し、その設定内容を内部記憶領域16に記憶させる。ポリシー管理部320により提供されるポリシー設定画面は、図5に示された情報管理システム100におけるポリシー設定画面と同等のものである。
ルール管理部330は、情報管理プログラム300が外部サーバに対する要求の中継及び管理を行う上で必要となる詳細事項(ルール)を、例えば管理者によりルール設定画面を介してなされた指定に沿って事前に設定し、その設定内容を内部記憶領域16に記憶させる。ルールが予め設定されている場合には、情報管理プログラム300は内部記憶領域16に記憶された設定内容に沿って要求の中継及び管理を行う。一方、ルールが設定されていない場合には、情報管理プログラム300はプログラム内で初期値として指定されている内容に沿って要求の中継及び管理を行う。
なお、ここでは、ルールやポリシーが設定画面を介して管理者により予め指定された内容で設定される形態を例示したが、これに限定されない。例えば、管理者により設定されたルールやポリシーを更新ファイルとして提供する形態とし、この更新ファイルを端末11のユーザによりメールやファイルサーバ等を介して取得させるか、或いは更新ファイルをネットワーク20経由で端末11に自動配信し、情報管理プログラム300の起動中に更新ファイルに設定された内容でルールやポリシーが自動的に更新されるような機能を実装してもよい。
リクエスト検出部340は、端末11と他のコンピュータとの間でネットワーク20を介してなされる通信を常時監視し、端末11から外部サーバに対し送信される要求を検出するとこれを一時的にバッファさせる。
データ取得部350は、リクエスト検出部340によりバッファされた要求にアップロードデータが伴うか否かを確認し、アップロードデータが存在する場合にこのデータを取得し内部記憶領域16に一時保存する。
保護情報検出部360は、データ取得部350により一時保存されたデータを対象として、このデータに含まれる保護情報を検出する。保護情報の検出は、パターン記憶部310に記憶されている情報とのマッチング等により実行される。保護情報検出部360は、検出された保護情報の種類と種類毎の検出件数を出力する。
データ取得部350は、リクエスト検出部340によりバッファされた要求にアップロードデータが伴うか否かを確認し、アップロードデータが存在する場合にこのデータを取得し内部記憶領域16に一時保存する。
保護情報検出部360は、データ取得部350により一時保存されたデータを対象として、このデータに含まれる保護情報を検出する。保護情報の検出は、パターン記憶部310に記憶されている情報とのマッチング等により実行される。保護情報検出部360は、検出された保護情報の種類と種類毎の検出件数を出力する。
要保護判定部370は、保護情報検出部360により出力された結果とポリシー管理部320に設定されているポリシーに基づいて、検査されたデータが要保護データであるか否かを判定する。
データ判定部380は、保護情報検出部360により出力された検出結果とルール管理部330に設定されているルールに基づいて、アップロードデータが要規制データであるか否かを判定する。
サイト判定部390は、ルール管理部330に設定されているルールに基づいて、リクエスト検出部340によりバッファされた要求を外部サーバに向けて送信すべきか否かを判定する。バッファされた要求に伴うアップロードデータが存在する場合、サイト判定部390はルールに加えデータ判定部380により下された判定結果を踏まえて要求の送信可否を判定する。
データ判定部380は、保護情報検出部360により出力された検出結果とルール管理部330に設定されているルールに基づいて、アップロードデータが要規制データであるか否かを判定する。
サイト判定部390は、ルール管理部330に設定されているルールに基づいて、リクエスト検出部340によりバッファされた要求を外部サーバに向けて送信すべきか否かを判定する。バッファされた要求に伴うアップロードデータが存在する場合、サイト判定部390はルールに加えデータ判定部380により下された判定結果を踏まえて要求の送信可否を判定する。
ログ記録部400は、保護情報検出部360により出力された検出結果やデータ判定部380、サイト判定部390により下された判定結果等を、ルール管理部330に設定されているルールに従い内部記憶領域16に記録する。
リクエスト処理部410は、サイト判定部390により下された判定結果に基づいて、リクエスト検出部340によりバッファされた要求を処理したのち、データ取得部350により一時保存されたデータを削除する。リクエスト処理部410は、転送可と判定された場合にはこの要求を外部サーバに向けて送信し、転送不可と判定された場合にはこの要求を破棄する。なお、転送可と判断された場合に送信される要求は、プロキシサーバ31が元来有する機能38により中継された後に外部サーバに向けて転送されることとなる。
アラート出力部420は、リクエスト処理部410により要求が破棄された場合に、端末11のディスプレイ上に要求が破棄された(データ送信がキャンセルされた)旨のアラートメッセージを出力する。
アラート出力部420は、リクエスト処理部410により要求が破棄された場合に、端末11のディスプレイ上に要求が破棄された(データ送信がキャンセルされた)旨のアラートメッセージを出力する。
図13は、情報管理プログラム300による情報管理処理の手順例を示すフローチャートである。情報管理処理は、端末11のOS起動に伴いその動作を開始し、意図的に強制終了されない限りは端末11がシャットダウンするまで動作し続ける。なお、図13〜15のフローチャートに示された各処理を実行するのは情報管理プログラム300であり、より具体的には、情報管理プログラム300が有する各機能部310〜420であるが、情報管理プログラム300を動作させる主体は端末11のCPU12である。つまり、厳密にはCPU12がこれらのフローチャートに示された処理を各機能部に実行させることにより、情報管理プログラム300が機能する。
以下、手順例に沿って説明する。
ステップS300:CPU12は、リクエスト検出部340に外部サーバに対する要求を検知させ、これを一時的にバッファさせる。
ステップS302:CPU12は、サイト判定部390に前ステップS300でバッファされた要求の送信先が無条件許可サイトでないか否かを確認させる。無条件許可サイトでない場合(Yes)、CPU12は次にステップS304を実行する。無条件許可サイトである場合(No)、CPU12は次にステップS312を実行する。
ステップS304:CPU12は、情報管理メイン処理を実行する。情報管理メイン処理の詳細は後述する。
ステップS300:CPU12は、リクエスト検出部340に外部サーバに対する要求を検知させ、これを一時的にバッファさせる。
ステップS302:CPU12は、サイト判定部390に前ステップS300でバッファされた要求の送信先が無条件許可サイトでないか否かを確認させる。無条件許可サイトでない場合(Yes)、CPU12は次にステップS304を実行する。無条件許可サイトである場合(No)、CPU12は次にステップS312を実行する。
ステップS304:CPU12は、情報管理メイン処理を実行する。情報管理メイン処理の詳細は後述する。
ステップS306:CPU12は、前ステップS304で返された判定結果を確認する。(要求に伴うアップロードデータが)要規制データであると判定された場合(Yes)、CPU12は次にステップS308を実行する。要規制データでないと判定された場合(No)、CPU12は次にステップS310を実行する。
ステップS308:CPU12は、サイト判定部390にステップS300でバッファされた要求の送信先が規制例外サイトであるか否かを確認させる。規制例外サイトである場合(Yes)、CPU12は次にステップS312を実行する。規制例外サイトでない場合(No)、CPU12は次にステップS314を実行する。
ステップS310:CPU12は、サイト判定部390にステップS300でバッファされた要求の送信先が規制サイトでないか否かを確認させる。規制サイトでない場合(Yes)、CPU12は次にステップS312を実行する。規制サイトである場合(No)、CPU12は次にステップS308を実行する。
ステップS308:CPU12は、サイト判定部390にステップS300でバッファされた要求の送信先が規制例外サイトであるか否かを確認させる。規制例外サイトである場合(Yes)、CPU12は次にステップS312を実行する。規制例外サイトでない場合(No)、CPU12は次にステップS314を実行する。
ステップS310:CPU12は、サイト判定部390にステップS300でバッファされた要求の送信先が規制サイトでないか否かを確認させる。規制サイトでない場合(Yes)、CPU12は次にステップS312を実行する。規制サイトである場合(No)、CPU12は次にステップS308を実行する。
ステップS312:CPU12は、リクエスト処理部410にステップS300でバッファされた要求を外部サーバに向けて転送させる。
ステップS314:CPU12は、リクエスト処理部410にステップS300でバッファされた要求を破棄させる。
ステップS316:CPU12は、アラート出力部420に外部サーバに対する要求が破棄された旨をアラートメッセージとして端末11のディスプレイ上に出力させる。
以上の処理を終えると、端末11から送信されつつある1つの要求に対し実行される情報管理処理が終了する。
ステップS314:CPU12は、リクエスト処理部410にステップS300でバッファされた要求を破棄させる。
ステップS316:CPU12は、アラート出力部420に外部サーバに対する要求が破棄された旨をアラートメッセージとして端末11のディスプレイ上に出力させる。
以上の処理を終えると、端末11から送信されつつある1つの要求に対し実行される情報管理処理が終了する。
図14は、情報管理プログラム300による情報管理メイン処理の手順例を示すフローチャートである。以下、手順例に沿って説明する。
ステップS350:CPU12は、データ取得部350に外部サーバに対する要求がアップロードデータを伴うか否かを確認させる。要求がアップロードデータを伴う場合(Yes)、CPU12は次にステップS352を実行する。要求がアップロードデータを伴わない場合(No)、CPU12は次にステップS364を実行する。
ステップS352:CPU12は、保護情報検査処理を実行する。保護情報検査処理の詳細は後述する。
ステップS352:CPU12は、保護情報検査処理を実行する。保護情報検査処理の詳細は後述する。
ステップS356:CPU12は、データ判定部380にルール管理部330に予め設定されたルールを参照させ、以降のステップで実行される処理に備える。
ステップS358:CPU12は、データ判定部380にステップS352で返された検査結果を確認させる。(要求に伴うアップロードデータが)要保護データであると判定された場合(Yes)、CPU12は次にステップS360を実行する。要保護データでないと判定された場合(No)、CPU12は次にステップS364を実行する。要保護データか否かが不明である場合(不明)、すなわちデータが検査不能ファイルである場合には、CPU12は次にステップS366を実行する。
ステップS358:CPU12は、データ判定部380にステップS352で返された検査結果を確認させる。(要求に伴うアップロードデータが)要保護データであると判定された場合(Yes)、CPU12は次にステップS360を実行する。要保護データでないと判定された場合(No)、CPU12は次にステップS364を実行する。要保護データか否かが不明である場合(不明)、すなわちデータが検査不能ファイルである場合には、CPU12は次にステップS366を実行する。
ステップS360:CPU12は、データ判定部380に要保護データに対する規制の要否に関するルール設定を確認させる。要保護データを伴う要求の転送を全て許可する設定である場合(全て許可)、CPU12は次にステップS364を実行する。要保護データのデータサイズに応じて要求の転送を規制するか否か決定する設定である場合(一部規制)、CPU12は次にステップS362を実行する。要保護データを伴う要求の転送を全て規制する設定である場合(全て規制)、CPU12は次にステップS370を実行する。
ステップS362:CPU12は、データ判定部380に要保護データ(アップロードデータ)のデータサイズがルールで設定されたサイズ未満であるか否かを確認させる。規定サイズ未満である場合(Yes)、CPU12は次にステップS364を実行する。規定サイズ以上である場合(No)、CPU12は次にステップS370を実行する。
ステップS362:CPU12は、データ判定部380に要保護データ(アップロードデータ)のデータサイズがルールで設定されたサイズ未満であるか否かを確認させる。規定サイズ未満である場合(Yes)、CPU12は次にステップS364を実行する。規定サイズ以上である場合(No)、CPU12は次にステップS370を実行する。
ステップS364:CPU12は、サイト判定部390にアップロードデータが要規制データではないと判定させる。
ステップS366:CPU12は、データ判定部380に検査不能ファイルに対する規制の要否に関するルール設定を確認させる。検査不能ファイルを伴う要求の転送を全て許可する設定である場合(全て許可)、CPU12は次にステップS364を実行する。検査不能ファイルのファイルサイズに応じて要求の転送を規制するか否か決定する設定である場合(一部規制)、CPU12は次にステップS368を実行する。検査不能ファイルを伴う要求の転送を全て規制する設定である場合(全て規制)、CPU12は次にステップS370を実行する。
ステップS366:CPU12は、データ判定部380に検査不能ファイルに対する規制の要否に関するルール設定を確認させる。検査不能ファイルを伴う要求の転送を全て許可する設定である場合(全て許可)、CPU12は次にステップS364を実行する。検査不能ファイルのファイルサイズに応じて要求の転送を規制するか否か決定する設定である場合(一部規制)、CPU12は次にステップS368を実行する。検査不能ファイルを伴う要求の転送を全て規制する設定である場合(全て規制)、CPU12は次にステップS370を実行する。
ステップS368:CPU12は、データ判定部380に検査不能ファイル(アップロードデータ)のデータサイズがルールで設定されたサイズ以上であるか否かを確認させる。規定サイズ以上である場合(Yes)、CPU12は次にステップS370を実行する。規定サイズ未満である場合(No)、CPU12は次にステップS364を実行する。
ステップS370:CPU12は、サイト判定部390にアップロードデータが要規制データであると判定させる。
ステップS370:CPU12は、サイト判定部390にアップロードデータが要規制データであると判定させる。
ステップS372:CPU12は、ログ記録部400にステップS352で返された
検査結果とステップS364又はステップS370で下された要規制データであるか否かの判定結果とを記録させる。なお、アップロードデータが無い場合(ステップS350:No)は、検査対象となるデータが存在していないためこの処理をスキップしてもよい。
以上の処理を終えると、CPU12は、ステップS364又はステップS374で下された要規制データであるか否かの判定結果を情報管理メイン処理の呼び出し元である図13中のステップS104に返し、情報管理処理に復帰する。
検査結果とステップS364又はステップS370で下された要規制データであるか否かの判定結果とを記録させる。なお、アップロードデータが無い場合(ステップS350:No)は、検査対象となるデータが存在していないためこの処理をスキップしてもよい。
以上の処理を終えると、CPU12は、ステップS364又はステップS374で下された要規制データであるか否かの判定結果を情報管理メイン処理の呼び出し元である図13中のステップS104に返し、情報管理処理に復帰する。
図15は、情報管理プログラム300による保護情報検査処理の手順例を示すフローチャートである。以下、手順例に沿って説明する。
ステップS400:CPU12は、データ取得部350に要求に伴うアップロードデータを取得させる。
ステップS402:CPU12は、保護情報検出部360にステップS400で取得されたデータに含まれる保護情報を検出させる。保護情報の検出は、パターン記憶部310に記憶されているキーワードやパターンとのマッチング等により行われる。
ステップS404:CPU12は、要保護判定部370に前ステップS402で検出された保護情報の種類毎の件数がポリシー管理部320に予め設定されている保護情報の種類毎の検出件数の閾値以上であるか否かを確認させる。検出件数が規定の閾値以上である場合(Yes)、CPU12は次にステップS406を実行する。検出件数が規定の閾値未満である場合(No)、CPU12は次にステップS408を実行する。
ステップS404:CPU12は、要保護判定部370に前ステップS402で検出された保護情報の種類毎の件数がポリシー管理部320に予め設定されている保護情報の種類毎の検出件数の閾値以上であるか否かを確認させる。検出件数が規定の閾値以上である場合(Yes)、CPU12は次にステップS406を実行する。検出件数が規定の閾値未満である場合(No)、CPU12は次にステップS408を実行する。
ステップS406:CPU12は、要保護判定部370に検査対象データが要保護データであると判定させる。
ステップS408:CPU12は、要保護判定部370に検査対象データが要保護データでないと判定させる。
以上の処理を終えると、CPU12は、以上のステップで実行された保護情報の検査結果を保護情報検査処理の呼び出し元である図14中のステップS352に返し、情報管理メイン処理に復帰する。
ステップS408:CPU12は、要保護判定部370に検査対象データが要保護データでないと判定させる。
以上の処理を終えると、CPU12は、以上のステップで実行された保護情報の検査結果を保護情報検査処理の呼び出し元である図14中のステップS352に返し、情報管理メイン処理に復帰する。
図16は、情報管理プログラム300が外部サーバに対し送信しようとするデータを管理する際の動作例を示すシーケンス図である。先述の情報管理システム100においてはプロキシサーバ30が管理・中継装置として、また検査サーバ40が検査装置としてそれぞれ機能していたのに対し、情報管理プログラム300においては端末11が管理・中継・検査装置として機能する。以下、動作例に沿って説明する。
ユーザが端末11でウェブブラウザを起動して外部のウェブサイトにアクセスし、何らかの情報を入力して送信ボタンをクリックすると、このタイミングで端末11は外部サーバに対する要求を検知し(S41)、この要求に伴ってアップロードされるデータの有無を確認する(S42)。今回はユーザが入力した情報が送信されつつありアップロードデータが存在するため、このデータに保護情報が含まれるか否かを検査し(S43)、この検査結果に基づいて今回の要求に伴うアップロードデータが要規制データであるか否かを判定して(S44)、検査結果と判定結果をログに記録する(S45)。その上で、要求の送信先URLに対するサイト判定を行う(S46)。今回のアップロードデータは要規制データではあるが、要求の送信先が規制例外サイトに該当するため、端末11は外部サーバに向けて要求を送信する(S47)。プロキシサーバ31がこの要求を受信し外部サーバに転送する。要求が転送されることにより、アップロードデータが外部サーバに送信される。このようにして、端末11から送信されつつあった1つ目の要求に対する一連の処理が完了する。
しばらくして、ユーザが端末11で上記とは異なるウェブサイトにアクセスし、何らかの情報を入力して送信ボタンをクリックすると、このタイミングで端末11は外部サーバに対する要求を検知し(S51)、この要求に伴ってアップロードされるデータの有無を確認する(S52)。今回もアップロードデータが存在するため、このデータに保護情報が含まれるか否かを検査し(S53)、この検査結果に基づいて今回の要求に伴うアップロードデータが要規制データであるか否かを判定して(S54)、検査結果と判定結果をログに記録する(S55)。その上で、要求の送信先URLに対するサイト判定を行う(S56)。今回のアップロードデータは要規制データであり、要求の送信先が規制サイトに該当するため、端末11は要求を外部サーバには送信せずに破棄するとともに(S57)、要求が破棄された旨、すなわちアップロードデータが外部サーバに送信されなかった旨を端末11のディスプレイ上にアラートメッセージとして表示しユーザに通知する(S58)。このようにして、端末11から送信されつつあった2つ目の要求に対する一連の処理が完了する。
図17は、情報管理システム100及び情報管理プログラム300による情報管理メイン処理の異なる手順例を示すフローチャートである。この手順例は、要求の送信先が規制サイトであるか否かの判定が要求に伴うデータの検査に先行して行われる点で、上述した情報管理システム100による情報管理処理(図6)及び情報管理プログラム300による情報管理処理(図13)と大きく異なっている。
なお、この手順例の実行主体や各ステップに関わる機能部は、情報管理システム100と情報管理プログラム300のいずれにより動作させるかにより異なる。ここでは説明の便宜のため、情報管理システム100により動作させる場合の手順例を説明する。
なお、この手順例の実行主体や各ステップに関わる機能部は、情報管理システム100と情報管理プログラム300のいずれにより動作させるかにより異なる。ここでは説明の便宜のため、情報管理システム100により動作させる場合の手順例を説明する。
ステップS500:CPU32は、リクエスト受信部120に端末10から送信された外部サーバに対する要求を受信させ、これを一時的にバッファさせる。
ステップS502:CPU32は、サイト判定部160に前ステップS500でバッファされた要求の送信先が無条件許可サイトでないか否かを確認させる。無条件許可サイトでない場合(Yes)、CPU32は次にステップS504を実行する。無条件許可サイトである場合(No)、CPU32は次にステップS512を実行する。
ステップS504:CPU32は、サイト判定部160にステップS500でバッファされた要求の送信先が規制サイトでないか否かを確認させる。規制サイトでない場合(Yes)、CPU32は次にステップS506を実行する。規制サイトである場合(No)、CPU32は次にステップS510を実行する。
ステップS502:CPU32は、サイト判定部160に前ステップS500でバッファされた要求の送信先が無条件許可サイトでないか否かを確認させる。無条件許可サイトでない場合(Yes)、CPU32は次にステップS504を実行する。無条件許可サイトである場合(No)、CPU32は次にステップS512を実行する。
ステップS504:CPU32は、サイト判定部160にステップS500でバッファされた要求の送信先が規制サイトでないか否かを確認させる。規制サイトでない場合(Yes)、CPU32は次にステップS506を実行する。規制サイトである場合(No)、CPU32は次にステップS510を実行する。
ステップS506:CPU32は、情報管理メイン処理を実行する。情報管理メイン処理の詳細は後述する。
ステップS508:CPU32は、前ステップS506で返された判定結果を確認する。(端末10から送信された要求に伴うアップロードデータが)要規制データであると判定された場合(Yes)、CPU32は次にステップS510を実行する。要規制データでないと判定された場合(No)、CPU32は次にステップS512を実行する。
ステップS510:CPU32は、サイト判定部160にステップS100でバッファされた要求の送信先が規制例外サイトであるか否かを確認させる。規制例外サイトである場合(Yes)、CPU32は次にステップS512を実行する。規制例外サイトでない場合(No)、CPU32は次にステップS514を実行する。
ステップS508:CPU32は、前ステップS506で返された判定結果を確認する。(端末10から送信された要求に伴うアップロードデータが)要規制データであると判定された場合(Yes)、CPU32は次にステップS510を実行する。要規制データでないと判定された場合(No)、CPU32は次にステップS512を実行する。
ステップS510:CPU32は、サイト判定部160にステップS100でバッファされた要求の送信先が規制例外サイトであるか否かを確認させる。規制例外サイトである場合(Yes)、CPU32は次にステップS512を実行する。規制例外サイトでない場合(No)、CPU32は次にステップS514を実行する。
ステップS512:CPU32は、リクエスト処理部180にステップS100でバッファされた要求を外部サーバに向けて転送させる。
ステップS514:CPU32は、リクエスト処理部180にステップS100でバッファされた要求を破棄させる。
ステップS516:CPU32は、リクエスト処理部180に要求が破棄された旨を要求の送信元である端末10へ通知させる。
以上の処理を終えると、端末10から送信された1つの要求に対しプロキシサーバ30(中継・管理装置)が実行する情報管理処理が終了する。
ステップS514:CPU32は、リクエスト処理部180にステップS100でバッファされた要求を破棄させる。
ステップS516:CPU32は、リクエスト処理部180に要求が破棄された旨を要求の送信元である端末10へ通知させる。
以上の処理を終えると、端末10から送信された1つの要求に対しプロキシサーバ30(中継・管理装置)が実行する情報管理処理が終了する。
このように、この手順例においては、要求の送信先が規制サイトであるか否かの判定が情報管理メイン処理(要求に伴うデータの検査、要規制データであるか否かの判定)に先行して実行される。要求の送信先が規制サイトである場合、これが規制例外サイトでなければ要求が転送されずに破棄され、規制例外サイトであれば要求が転送され要求に伴うデータが外部サーバに送信されることとなる。規制例外サイトは、予め例外としてルールに設定されているサイトで、ある程度は信頼できるサイトとも捉えられ、要規制データと判定され得るデータが送信されたとしても情報漏洩が発生する虞は低いと考えられる。
したがって、このような手順例を採用することにより、要求に伴うデータの検査を必要最小限に抑えて処理に要するコンピュータ上のリソースを節約でき、情報管理システム100及び情報管理プログラム300の処理効率を向上させることが可能となる。
したがって、このような手順例を採用することにより、要求に伴うデータの検査を必要最小限に抑えて処理に要するコンピュータ上のリソースを節約でき、情報管理システム100及び情報管理プログラム300の処理効率を向上させることが可能となる。
本発明は、上述した実施形態に制約されることなく、種々に変更して実施することが可能である。例えば、検査結果のログやルール/ポリシー設定の保存先を中継・管理装置として機能するコンピュータの内部記憶領域としたが、外部記憶媒体やネットワーク20を介して接続可能なデータベース等に保存させてもよい。
また、情報管理メイン処理の手順例を検査不能ファイルの種類に応じて細分化させてもよい。検査不能ファイルを一緒くたに扱わず、例えば、検査不能とされた理由に応じて、例えば「パスワード付きファイルの場合」「暗号化ファイルの場合」「その他の理由による場合」の3つに分岐させ、以降の手順はそれぞれの場合に対するルール設定に応じて構成することも可能である。その他の理由に該当する条件が予め把握できている場合は、さらに分岐を増やしてもよい。
ルール設定の「サイト判定対象URL」では、3つの分類の対象とするサイトがURLにより指定されているが、既存のウェブフィルタリングツールと連携させ、このツールで用意されたカテゴリにより対象サイトを指定してもよい。例えば、ウェブフィルタリングツールと連携させ、このツールで定義された「差別」「ドラッグ」というカテゴリを「規制サイト」の対象として指定し、このツールにより「差別」「ドラッグ」に該当すると認識されるサイトを一括して「規制サイト」として扱うよう実装することも可能である。
また、ルール設定の「データ検査結果に基づくリクエスト転送の可否」では、データを場合分けし、それぞれの場合に対し「全て許可」「一部規制」「全て規制」の3つの選択肢の中から1つを選択させる形態としているが、さらに「ユーザの判断に委ねる」という4つ目の選択肢を加え、この選択肢が選択された場合には、データを本当に外部サーバに送信してよいか(要求の転送を本当に実行してよいか)を問う意思確認のアラートメッセージを端末のディスプレイ上に表示させ、これに対しユーザから送信される回答に沿って実行するよう処理を構成してもよい。但し、情報管理システム100をこのように構成する場合、ユーザからの回答がプロキシサーバ30に送信されるまで終始、要求をバッファさせなければならず、プロキシサーバ30が各端末との通信を識別する上で必要となるセッション管理にサーバのリソースを大幅に消費する虞がある。したがって、こうした構成を採用するためには、プロキシサーバ30のリソースに十分な余裕があることが前提となる。
10,11 端末
20,20d ネットワーク
30,31 プロキシサーバ
40 検査サーバ
50 辞書データベース
60 ファイアウォール
70 インターネット
100 情報管理システム
300 情報管理プログラム
20,20d ネットワーク
30,31 プロキシサーバ
40 検査サーバ
50 辞書データベース
60 ファイアウォール
70 インターネット
100 情報管理システム
300 情報管理プログラム
Claims (6)
- データベースに記憶されている保護情報を構成する要素を用いて送信要求に伴うデータに保護情報が含まれるか否かを検査し、検査結果を出力する検査手段と、
前記検査手段により出力された前記検査結果を記録する記録手段と、
前記検査結果に基づいて前記データが保護の必要性の度合いに応じて複数に分類されるうちの1つの分類である要保護データに該当するか否かを判定する一方、前記検査手段により前記検査結果が出力されなかった場合には前記データが前記要保護データとは異なる分類の判定不能データに該当すると判定する保護要否判定手段と、
前記保護要否判定手段により前記データが要保護データに該当しないと判定された場合には、前記データがさらに異なる分類であり前記データに係る前記送信要求を破棄することを示す要規制データに該当しないと判定する一方、前記データが要保護データ又は判定不能データに該当すると判定された場合には、予め設定された一律の判定条件に基づいて前記データが要規制データに該当するか否かを判定する規制要否判定手段と
を備えた情報管理システム。 - 請求項1に記載の情報管理システムにおいて、
前記保護要否判定手段は、
前記データに含まれる保護情報の件数がその保護情報に対し予め設定されている閾値以上である場合には前記データが要保護データに該当すると判定し、前記閾値以下である場合には前記データを要保護データに該当しないと判定することを特徴とする情報管理システム。 - 請求項1又は2に記載の情報管理システムにおいて、
前記規制要否判定手段により判定される前記データが要規制データに該当するか否かの前記判定条件を予め設定するルール事前設定手段をさらに備えたことを特徴とする情報管理システム。 - 請求項3に記載の情報管理システムにおいて、
前記ルール事前設定手段は、
前記判定条件としてデータサイズの閾値を設定するほかに、前記保護要否判定手段により前記データが要保護データ又は判定不能データに該当すると判定された場合に、前記データを一律に要規制データに該当すると判定するか、前記データを一律に要規制データに該当しないと判定するか、もしくはそのデータサイズに応じて前記データが要規制データに該当するか否かを判定するかを設定し、
前記規制要否判定手段は、
前記ルール事前設定手段により予め設定された判定条件に基づいて前記データが要規制データに該当するか否かを判定することを特徴とする情報管理システム。 - 請求項1から4のいずれかに記載の情報管理システムにおいて、
ユーザ端末から送信される外部サーバに対する要求を受信する受信手段をさらに備え、
前記検査手段は、
前記受信手段により受信された前記要求に伴いアップロードされたユーザデータに保護情報が含まれるか否かを検査することを特徴とする情報管理システム。 - 外部サーバに対する要求を送信するコンピュータを、
請求項1から4のいずれかに記載の情報管理システムが備える前記各手段として機能させるための情報管理プログラムであって、
前記検査手段としての機能は、前記要求に伴い前記外部サーバに送信されつつあるデータに保護情報が含まれるか否かの検査の実行を含むことを特徴とする情報管理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016023087A JP6450331B2 (ja) | 2016-02-09 | 2016-02-09 | 情報管理システム及び情報管理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016023087A JP6450331B2 (ja) | 2016-02-09 | 2016-02-09 | 情報管理システム及び情報管理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017142626A JP2017142626A (ja) | 2017-08-17 |
| JP6450331B2 true JP6450331B2 (ja) | 2019-01-09 |
Family
ID=59628649
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016023087A Active JP6450331B2 (ja) | 2016-02-09 | 2016-02-09 | 情報管理システム及び情報管理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6450331B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7010118B2 (ja) * | 2018-04-05 | 2022-02-10 | 富士フイルムビジネスイノベーション株式会社 | 中継装置、情報処理システム、及び情報処理プログラム |
| JP7172324B2 (ja) * | 2018-09-13 | 2022-11-16 | 株式会社リコー | 中継装置、システム、および方法 |
| US11977648B2 (en) * | 2019-06-14 | 2024-05-07 | Nippon Telegraph And Telephone Corporation | Information protection apparatus, information protection method and program |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3886362B2 (ja) * | 2001-11-13 | 2007-02-28 | 富士通株式会社 | コンテンツフィルタリング方法、コンテンツフィルタリング装置およびコンテンツフィルタリングプログラム |
| JP2006178603A (ja) * | 2004-12-21 | 2006-07-06 | Fujitsu Social Science Laboratory Ltd | 個人情報検索プログラム、処理方法および処理装置、個人情報管理プログラム、ならびに個人情報管理システム |
| JP2007272607A (ja) * | 2006-03-31 | 2007-10-18 | Mitsubishi Electric Information Systems Corp | メールフィルタリングシステムおよびメールフィルタリングプログラム |
| JP4742010B2 (ja) * | 2006-10-20 | 2011-08-10 | 日立キャピタル株式会社 | 個人情報ファイルの監視システム |
| JP2009258852A (ja) * | 2008-04-14 | 2009-11-05 | Hitachi Ltd | 情報管理システム、情報管理方法、およびネットワーク装置 |
| JP5651516B2 (ja) * | 2011-03-29 | 2015-01-14 | 株式会社日立ソリューションズ | 電子メール保留システム及び方法 |
| CN105519037A (zh) * | 2013-08-27 | 2016-04-20 | 三菱电机株式会社 | 数据处理装置以及数据处理方法以及程序 |
-
2016
- 2016-02-09 JP JP2016023087A patent/JP6450331B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017142626A (ja) | 2017-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8286255B2 (en) | Computer file control through file tagging | |
| EP3128459B1 (en) | System and method of utilizing a dedicated computer security service | |
| US10515211B2 (en) | Use of an application controller to monitor and control software file and application environments | |
| US9690939B2 (en) | Safe file transmission and reputation lookup | |
| EP3987728B1 (en) | Dynamically controlling access to linked content in electronic communications | |
| JP2004227056A (ja) | 文字列検査装置、文字列検査方法、およびその方法をコンピュータに実行させるプログラム | |
| US8590002B1 (en) | System, method and computer program product for maintaining a confidentiality of data on a network | |
| JP2006229653A (ja) | 画像形成装置、情報処理装置、プログラム、記録媒体、及びデータ送信方法 | |
| JP6450331B2 (ja) | 情報管理システム及び情報管理プログラム | |
| US20170054789A1 (en) | System and method for sending electronic files in response to inbound file requests | |
| US20130247208A1 (en) | System, method, and computer program product for preventing data leakage utilizing a map of data | |
| EP4282129A1 (en) | Preventing phishing attacks via document sharing | |
| US11943257B2 (en) | URL rewriting | |
| JP2008515085A (ja) | ネットワークコンテンツファイルへのアクセス提供におけるアクセス制御レベルを割り当てる方法および装置 | |
| US20170078234A1 (en) | Systems and methods for detecting, reporting and cleaning metadata from inbound attachments | |
| JP2015195042A (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| US10594698B2 (en) | Methods and systems for controlling the exchange of files between an enterprise and a network | |
| JP2006268335A (ja) | 電子メールシステム、電子メールシステムにおけるリンク先のフィルタ方法およびプログラム | |
| Stallings | Data loss prevention as a privacy-enhancing technology | |
| CN115809474A (zh) | 公文处理方法、装置、公文服务器及可读存储介质 | |
| US20130246795A1 (en) | System, method, and computer program product for allowing content transfer based on a signature and a context thereof | |
| KR100817848B1 (ko) | 네트워크 기반의 게시물 검증방법 및 그 장치 | |
| JP2018152091A (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| JP2002358274A (ja) | イントラネットシステム | |
| US12126633B2 (en) | Administration of electronic mail unsubscribe links |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180330 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20180330 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20180423 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180712 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180731 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180910 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181207 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6450331 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |