以下に図面を参照して、本発明にかかる操作ログ出力プログラム、操作ログ出力方法、および情報処理装置の実施の形態を詳細に説明する。
(実施の形態)
図1は、実施の形態にかかる操作ログ出力方法の一実施例を示す説明図である。図1において、情報処理装置101は、操作ログの内容を出力するコンピュータである。ここで、操作ログは、操作の履歴を示す情報であり、例えば、いつ、誰が、どのような操作を行ったのかを示す。
操作ログを記録することで、情報漏洩等の事件が発生した際の犯人の特定や、予兆の検出などに役立てることができる。一方で、ユーザの操作を監視するために操作ログを記録していても、普段の運用時に、ユーザが監視されていることを意識できなければ、不正行為の抑止効果は低い。
また、ファイル持ち出しなどの特定の操作を禁止することで、不正行為を未然に防ぐことも考えられる。ところが、操作に制限をかけすぎると、業務に与える影響が大きくなる場合がある。例えば、医療機関の電子カルテシステムにおいて、医師が行う操作には、仕事の性質上制限を設けることが難しい。したがって、運用時に監視されていることをユーザに意識付けして、不正行為を抑止することは重要である。
そこで、本実施の形態では、ログオフ時に操作ログの内容を表示することで、不正行為の心理的抑止効果を高める操作ログ出力方法について説明する。以下、情報処理装置101の処理例について説明する。
(1)情報処理装置101は、ログオン操作に応じて操作ログの記憶部110への記録を開始する。ここで、ログオン操作とは、コンピュータ、コンピュータシステム、アプリケーション等を利用可能な状態にするための操作である。ログオン操作に応じてログオン処理が実行される。ログオン処理では、例えば、ユーザIDやパスワードを用いたユーザの認証が行われる。記憶部110は、情報処理装置101が有する記憶装置である。
図1の例では、ユーザ102によってアプリケーション103(図1中では、「アプリ103」)のログオン操作が行われた場合を想定する。この場合、情報処理装置101は、ユーザ102のユーザIDと対応付けて、情報処理装置101で行われた操作の履歴を示す操作ログを記憶部110に記録する。
(2)情報処理装置101は、ログオフ操作に応じて、記憶部110に記録した操作ログの一部又は全部を抽出する。ここで、ログオフ操作とは、コンピュータ、コンピュータシステム、アプリケーション等の利用を終了するための操作である。ログオフ操作に応じてログオフ処理が実行される。
図1の例では、情報処理装置101は、例えば、ユーザ102についてのアプリケーション103のログオフ処理を検知すると、ユーザ102についてのアプリケーション103のログオン処理後から、ログオフ処理までに検知された操作ログを記憶部110から抽出する。ログオフ処理の検知は、ログオフ操作に応じて検知される。
(3)情報処理装置101は、抽出した操作ログを表示部120に表示する。ここで、表示部120は、例えば、アプリケーション103の出力結果が表示される表示装置である。すなわち、抽出された操作ログは、アプリケーション103の利用に供する表示部120に表示される。
図1の例では、情報処理装置101は、ログオフ処理が実行された際に、抽出した操作ログについての内容を含む操作ログ画面130を表示部120に出力する。なお、「ログオフ処理が実行された際」とは、例えば、ログオフ処理が開始されてから完了するまでのいずれかのタイミングであってもよく、また、ログオフ処理が完了したタイミングであってもよい。
操作ログ画面130には、ユーザID131と、ログオン時間132と、操作ログ内容133と、が含まれる。ユーザID131は、ユーザ102を識別する識別子である。ログオン時間132は、ユーザ102がアプリケーション103にログオンしてからログオフするまでの時間である。操作ログ内容133は、ユーザ102によってアプリケーション103で行われた操作の情報である。ここでは、操作ログ内容133として、操作名が表示されている。
このように、情報処理装置101によれば、ログオフ処理が実行された際に、ログオン処理からログオフ処理までに検知された操作ログの内容を表示部120に表示することができる。これにより、自身の操作が記録されていることをユーザに認識させて、監視されていることをユーザに意識付けることができる。この結果、不正行為をしてはいけないというユーザの心理的な不正抑止効果を高めることができる。
図1の例では、ユーザ102に対して、アプリケーション103における操作を記録していることを認識させて、不正行為をしないように注意喚起することができる。例えば、ユーザ102が、今回のログオン中に不正な操作をした場合には、ログオフ時に監視されていることを意識することで、次回以降のログオン時は不正行為をしないように心がけることができる。また、ユーザ102が、今回のログオン中に不正な操作を行わなかった場合にも、ログオフ時に監視されていることを意識することで、次回以降のログオン時も引き続き不正行為を行わないように心がけることができる。
(情報管理システム200のシステム構成例)
つぎに、図1に示した情報処理装置101を、医療機関に導入される情報管理システム200に適用した場合を例に挙げて説明する。医療機関は、例えば、病院や診療所などである。
図2は、情報管理システム200のシステム構成例を示す説明図である。図2において、情報管理システム200は、管理サーバ201と、クライアント端末T1〜Tn(n:2以上の自然数)とを含む。情報管理システム200において、管理サーバ201およびクライアント端末T1〜Tnは、有線または無線のネットワーク210を介して接続される。ネットワーク210は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどである。
以下の説明では、クライアント端末T1〜Tnのうちの任意のクライアント端末を「クライアント端末Ti」と表記する場合がある(i=1,2,…,n)。
ここで、管理サーバ201は、操作記録管理DB(Database)220を有し、クライアント端末T1〜Tnにおいて記録された操作ログを管理するコンピュータである。操作記録管理DB220の記憶内容については、図4を用いて後述する。
クライアント端末Tiは、情報管理システム200のユーザが使用するコンピュータである。クライアント端末Tiは、例えば、PC、タブレット端末などである。ユーザは、例えば、医師、看護師などの医療従事者である。また、クライアント端末Tiは、ログ種別テーブル230および操作ログテーブル240を有する。ログ種別テーブル230および操作ログテーブル240の記憶内容については、図5および図6を用いて後述する。図1に示した情報処理装置101は、例えば、クライアント端末Tiに相当する。
クライアント端末Tiでは、例えば、電子カルテシステムが利用可能である。電子カルテシステムとは、カルテ(診療録)を、コンピュータを用いて電子的に記録、保存するアプリケーションである。クライアント端末Tiにおいて、ユーザは、電子カルテシステムを利用して、例えば、患者のカルテの編集、閲覧等の操作が可能である。なお、クライアント端末Tiは、スタンドアロンで動作させることにしてもよい。
(クライアント端末Tiのハードウェア構成例)
図3は、クライアント端末Tiのハードウェア構成例を示すブロック図である。図3において、クライアント端末Tiは、CPU(Central Processing Unit)301と、メモリ302と、ディスクドライブ303と、ディスク304と、I/F305と、ディスプレイ306と、入力装置307と、を有する。また、各構成部はバス300によってそれぞれ接続される。
ここで、CPU301は、クライアント端末Tiの全体の制御を司る。メモリ302は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)およびフラッシュROMなどを有する。具体的には、例えば、フラッシュROMやROMが各種プログラムを記憶し、RAMがCPU301のワークエリアとして使用される。メモリ302に記憶されるプログラムは、CPU301にロードされることで、コーディングされている処理をCPU301に実行させる。
ディスクドライブ303は、CPU301の制御にしたがってディスク304に対するデータのリード/ライトを制御する。ディスク304は、ディスクドライブ303の制御で書き込まれたデータを記憶する。ディスク304としては、例えば、磁気ディスク、光ディスクなどが挙げられる。
I/F305は、通信回線を通じてネットワーク210に接続され、ネットワーク210を介して他の装置(例えば、図2に示した管理サーバ201)に接続される。そして、I/F305は、ネットワーク210と自装置内部とのインターフェースを司り、他の装置からのデータの入出力を制御する。
ディスプレイ306は、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する。ディスプレイ306は、例えば、液晶ディスプレイ、CRT(Cathode Ray Tube)などを採用することができる。
入力装置307は、文字、数字、各種指示などの入力のためのキーを有し、データの入力を行う。入力装置307は、キーボードやマウスなどであってもよく、また、タッチパネル式の入力パッドやテンキーなどであってもよい。
なお、クライアント端末Tiは、上述した構成部のうち、例えば、ディスクドライブ303、ディスク304を有さないことにしてもよい。また、クライアント端末Tiは、SSD(Solid State Drive)を有することにしてもよい。また、図2に示した管理サーバ201については、例えば、CPU、メモリ、ディスクドライブ、ディスク、SSD、I/F等のハードウェア構成により実現することができる。
(操作記録管理DB220の記憶内容)
つぎに、管理サーバ201が有する操作記録管理DB220の記憶内容について説明する。操作記録管理DB220は、例えば、管理サーバ201の不図示のメモリ、ディスク等の記憶装置により実現される。
図4は、操作記録管理DB220の記憶内容の一例を示す説明図である。図4において、操作記録管理DB220は、ユーザID、コンピュータ名、ログオン時間および操作記録情報のフィールドを有し、各フィールドに情報を設定することで、操作記録管理情報(例えば、操作記録管理情報400−1,400−2)をレコードとして記憶する。
ここで、ユーザIDは、情報管理システム200のユーザを一意に識別する識別子である。コンピュータ名は、ユーザが使用したクライアント端末Tiを一意に識別する識別子である。ログオン時間は、アプリケーション(例えば、電子カルテシステム)にログオン(ログイン)してからログオフ(ログアウト)するまでの時間を示す。操作記録情報は、クライアント端末Tiにおいて行われた操作の履歴を示す操作ログの情報である。操作記録情報には、例えば、操作ログのログ種別、ログ発生日時、ログ内容などが含まれる。
例えば、操作記録管理情報400−1は、ユーザID「U1」、コンピュータ名「T3」、ログオン時間「2016/07/07 08:45〜2016/07/07 11:58」および操作記録情報D1を示す。
(ログ種別テーブル230の記憶内容)
つぎに、クライアント端末Tiが有するログ種別テーブル230の記憶内容について説明する。ログ種別テーブル230は、例えば、図3に示したクライアント端末Tiのメモリ302、ディスク304などの記憶装置に記憶される。
図5は、ログ種別テーブル230の記憶内容の一例を示す説明図である。図5において、ログ種別テーブル230は、ログ種別および優先度のフィールドを有し、各フィールドに情報を設定することで、ログ種別情報(例えば、ログ種別情報500−1,500−2)をレコードとして記憶する。
ここで、ログ種別は、操作ログを分類する種別である。優先度は、ログ種別の優先度合いを示す。ここでは、優先度として、「1」、「2」、「3」および「−」のいずれかが設定される。「1」が最も高い優先度を示し、「2」、「3」の順に優先度が低くなり、「−」が最も低い優先度を示す。
優先度「1」は、例えば、違反ログであるログ種別に設定される。違反ログとは、禁止されている操作を行おうとした場合に出力される操作ログである。優先度「2」は、例えば、正規ログのうち心理的抑止効果が高いものに設定される。心理的抑止効果とは、操作ログが記録されていることをユーザに認識させることによって得られる、不正行為の心理的な抑止効果である。正規ログとは、違反以外の操作ログである。
また、優先度「3」は、例えば、正規ログのうち心理的抑止効果が中程度のものに設定される。優先度「−」は、例えば、正規ログのうち心理的抑止効果が低いものや、情報管理システム200の管理者専用の操作に応じたものに設定される。例えば、ログ種別情報500−1は、ログ種別「アプリケーション起動ログ」の操作ログの優先度「2」を示す。
(操作ログテーブル240の記憶内容)
つぎに、クライアント端末Tiが有する操作ログテーブル240の記憶内容について説明する。操作ログテーブル240は、例えば、クライアント端末Tiのメモリ302、ディスク304などの記憶装置により実現される。
図6は、操作ログテーブル240の記憶内容の一例を示す説明図である。図6において、操作ログテーブル240は、ユーザID、コンピュータ名、ログ種別、ログ発生日時およびログ内容のフィールドを有し、各フィールドに情報を設定することで、操作ログ(例えば、操作ログ600−1〜600−3)をレコードとして記憶する。
ここで、ユーザIDは、情報管理システム200のユーザを一意に識別する識別子である。コンピュータ名は、ユーザが使用したクライアント端末Tiを一意に識別する識別子である。ログ種別は、操作ログを分類する種別である。ログ発生日時は、操作ログが出力された日時である。
ログ内容は、操作ログの内容を示す。例えば、ログ種別「アプリケーション起動ログ」の場合、起動したアプリケーション名がログ内容に含まれる。ログ種別「ウィンドウタイトル取得ログ」の場合、アプリケーションのウィンドウタイトルがログ内容に含まれる。ログ種別「メール送信ログ」の場合、メールのタイトルがログ内容に含まれる。ログ種別「デバイス構成変更ログ」の場合、ドライブの種類、ポータブルデバイスの種別、デバイス名などがログ内容に含まれる。ログ種別「ファイル持出しログ」の場合、持出し元のファイル名、持出し先のファイル名などがログ内容に含まれる。
例えば、操作ログ600−1は、ユーザID「U1」、コンピュータ名「T3」、ログ種別「ログオンログ」、ログ発生日時「2016/07/07 08:45」およびログ内容「・・・」を示す。
(クライアント端末Tiの機能的構成例)
図7は、クライアント端末Tiの機能的構成例を示すブロック図である。図7において、クライアント端末Tiは、検知部701と、記録部702と、抽出部703と、生成部704と、出力部705と、を含む構成である。検知部701〜出力部705は制御部となる機能であり、具体的には、例えば、図3に示したメモリ302、ディスク304などの記憶装置に記憶されたプログラムをCPU301に実行させることにより、または、I/F305により、その機能を実現する。各機能部の処理結果は、例えば、メモリ302、ディスク304などの記憶装置に記憶される。
検知部701は、特定のユーザについてのアプリケーションのログオン処理を検知する。ここで、アプリケーションは、クライアント端末Tiにおいて利用可能なアプリケーションであり、例えば、電子カルテシステムである。具体的には、例えば、検知部701は、アプリケーションからログオン操作に応じてログオン処理が実行されたことの通知を受け付けた場合に、ログオンしたユーザについてのアプリケーションのログオン処理を検知する。
また、例えば、検知部701は、アプリケーションにおけるログオン操作を検知することにより、ログオンしたユーザについてのアプリケーションのログオン処理を検知することにしてもよい。なお、クライアント端末Tiにおける各種操作は、例えば、図3に示した入力装置307を用いたユーザの操作入力により行われる。
以下の説明では、クライアント端末Tiにおいて利用可能なアプリケーションを「アプリAPL」と表記する場合がある。また、アプリAPLにログオンしたユーザを「ユーザU」と表記する場合がある。
記録部702は、操作ログを記録する。ここで、操作ログは、操作の履歴を示す情報である。操作ログには、例えば、ユーザID、コンピュータ名、ログ種別、ログ発生日時およびログ内容を示す情報が含まれる。ユーザIDは、ユーザUのユーザIDである。コンピュータ名は、ログオンしたクライアント端末Tiのコンピュータ名である。ログ種別は、操作ログを分類する種別である。ログ発生日時は、操作ログが出力された日時である。ログ内容は、操作ログの内容である。
具体的には、例えば、記録部702は、アプリAPLのログオン処理を検知すると、アプリAPLから出力される操作ログの記録を開始する。より詳細に説明すると、例えば、記録部702は、アプリAPLから操作ログを取得して、図6に示した操作ログテーブル240に記録する。なお、記録される操作ログには、例えば、ログオン操作に応じて出力されるログオンログも含まれる。
また、検知部701は、ユーザUについてのアプリAPLのログオフ処理を検知する。具体的には、例えば、検知部701は、アプリAPLからログオフ操作が行われたことの通知を受け付けたことに応じて、ユーザUについてのアプリAPLのログオフ処理を検知する。より具体的には、例えば、検知部701は、ログオフ操作が行われたことを示す情報が記憶されるメモリ302内の記憶領域に定期的にアクセスして、アプリAPLのログオフ処理を検知することにしてもよい。
抽出部703は、記録部702によって記録された操作ログの一部又は全部を抽出する。具体的には、例えば、抽出部703は、ユーザUについてのアプリAPLのログオフ処理が検知された場合に、ユーザUについてのアプリAPLのログオン処理後から、ログオフ処理までに検知された操作ログを抽出する。
より詳細に説明すると、例えば、抽出部703は、操作ログテーブル240から、ログ種別「ログオンログ」の操作ログのログ発生日時からログ種別「ログオフログ」の操作ログのログ発生日時までの期間に、ログ発生日時が含まれる操作ログを抽出する。なお、ログ種別「ログオンログ」の操作ログとログ種別「ログオフログ」の操作ログとが操作ログテーブル240に複数記録されている場合には、ログ発生日時が最新のものを対象とする。
また、記録部702は、違反ログであるログ種別に対応する操作ログの件数を記録することにしてもよい。具体的には、例えば、記録部702は、操作ログを取得したことに応じて、図5に示したログ種別テーブル230を参照して、取得した操作ログのログ種別に対応する優先度を特定する。そして、記録部702は、特定した優先度が「1」の場合に、違反ログの件数をインクリメントする。
これにより、禁止されている操作をユーザUが行おうとした回数をあらわす違反ログの件数を記録することができる。なお、記録部702は、例えば、抽出部703によって操作ログが抽出された際に、抽出された操作ログに基づいて、違反ログの件数を算出することにしてもよい。
生成部704は、抽出された操作ログについての内容を含む操作記録通知を生成する。ここで、操作記録通知は、ログオン中に行われたユーザUの操作を記録したことを通知する情報である。具体的には、例えば、生成部704は、抽出されたすべての操作ログについての内容を含む操作記録通知を生成することにしてもよい。操作ログについての内容は、例えば、ログ種別、ログ発生日時、ログ内容などを示す。
ここで、図8を用いて、各ログ種別の操作ログについての内容の具体例について説明する。
図8は、各ログ種別の操作ログについての内容の具体例を示す説明図である。例えば、符号801に示すように、ログ種別「アプリケーション起動ログ」の場合には、アプリケーションが起動された日時と、起動されたアプリケーション名とが含まれる。また、符号802に示すように、ログ種別「ウィンドウタイトル取得ログ」の場合、ウィンドウタイトルが取得された日時と、ウィンドウタイトル名と、起動アプリケーション名と、URL(Uniform Resource Locator)とが含まれる。
また、符号803に示すように、ログ種別「メール送信ログ」の場合には、メールが送信された日時と、件名とが含まれる。なお、添付ファイル有りの場合には、添付ファイルのファイル名が含まれる。また、符号804に示すように、ログ種別「ファイル操作ログ」の場合には、ファイルが操作された日時と、操作内容と、ファイル名とが含まれる。なお、操作内容が複写、移動等の場合には、操作元のフォルダや操作先のフォルダの情報が含まれる。
図7の説明に戻り、生成部704は、抽出された複数の操作ログのそれぞれに対応するログ種別の優先度に応じて、複数の操作ログのうち一部の操作ログのみについての内容を含む操作記録通知を生成することにしてもよい。
具体的には、例えば、生成部704は、抽出された複数の操作ログの数が上限数Nを超えている場合に、ログ種別テーブル230を参照して、優先度が高い上位N個の操作ログのみについての内容を含む操作記録通知を生成する。上限数Nは、任意に設定可能であり、例えば、数個〜数十個程度に設定される。
なお、電子カルテシステムなどのアプリAPLにおいて、禁止されている操作(違反操作)が行われた際に、既存の機能により、その都度アラートが出力される場合がある。この場合、ログオフ時等にあらためて違反ログの内容を表示する必要性は高くない。このため、生成部704は、抽出された操作ログから、違反ログである優先度「1」の操作ログは除外して、操作記録通知を生成することにしてもよい。
また、不正行為の心理的抑止効果が低い、あるいは、ユーザUとは無関係の操作ログである、優先度「−」の操作ログについても除外することにしてもよい。すなわち、抽出部703は、抽出された操作ログのうち、優先度が「2」または「3」の操作ログに基づいて、操作記録通知を生成することにしてもよい。
また、生成部704は、抽出された複数の操作ログのうち、同一のログ種別に対応する操作ログについては、同一のログ種別に対応する操作ログのうち1つの操作ログのみについての内容を含む操作記録通知を生成することにしてもよい。例えば、ログ種別「ウィンドウタイトル取得ログ」に対応する操作ログが複数存在する場合、生成部704は、ウィンドウタイトルにURLが含まれるいずれかの操作ログを選択することにしてもよい。
また、例えば、ログ種別「メール送信ログ」に対応する操作ログが複数存在する場合には、生成部704は、添付ファイル有りのメールについてのいずれかの操作ログを選択することにしてもよい。また、例えば、生成部704は、同一のログ種別に対応する操作ログのうち、ログ発生日時が最新あるいは最古の操作ログを選択することにしてもよい。
また、生成部704は、記録された違反ログの件数、すなわち、違反ログであるログ種別に対応する操作ログの件数を含む操作記録通知を生成することにしてもよい。また、生成部704は、操作ログの記録期間を示す情報を含む操作記録通知を生成することにしてもよい。記録期間は、例えば、ログ種別「ログオンログ」の操作ログのログ発生日時からログ種別「ログオフログ」の操作ログのログ発生日時までの期間である。
また、生成部704は、生成した操作記録通知に表示時間Tを設定することにしてもよい。表示時間Tは、操作記録通知を表示する際の最長表示時間を示す。表示時間Tは、任意に設定可能であり、例えば、数秒程度に設定される。
また、生成部704は、確認操作を求める表示を含む操作記録通知を生成することにしてもよい。ここで、確認操作とは、操作記録通知を確認したことを示す操作である。具体的には、例えば、生成部704は、ユーザにより操作可能な確認ボタンを含む操作記録通知を生成することにしてもよい。
出力部705は、抽出された操作ログを出力する。具体的には、例えば、出力部705は、アプリケーションのログオフ処理が実行された際に、抽出された操作ログの内容を、図3に示したディスプレイ306に出力する。ここで、ディスプレイ306は、アプリケーションの出力結果が表示された表示部である。
より具体的には、例えば、出力部705は、生成部704によって生成された操作記録通知をディスプレイ306に表示する。また、出力部705は、操作記録通知に表示時間Tが設定されている場合には、操作記録通知を表示してから表示時間Tが経過したことに応じて、操作記録通知を非表示とすることにしてもよい。
操作記録通知の表示は、例えば、ログオフ処理の完了前に行われる。具体的には、例えば、出力部705は、アプリAPLと連携して、ディスプレイ306に操作記録通知を表示するまでは、ログオフ処理を完了しないように制御することにしてもよい。
また、出力部705は、確認操作に応じて、ログオフ処理を進めてログオフ処理を完了させることにしてもよい。確認操作は、例えば、検知部701によって検知される。具体的には、例えば、出力部705は、アプリAPLと連携して、操作記録通知に含まれる確認ボタンが押下されたことに応じて、ログオフ処理を進めてログオフ処理を完了させる。
なお、操作記録通知の表示例については、図10を用いて後述する。
また、出力部705は、抽出された操作ログを管理サーバ201に送信する。具体的には、例えば、出力部705は、ログオフ処理が実行された際に、抽出された操作ログを管理サーバ201に送信する。これにより、管理サーバ201において、新たな操作記録管理情報がレコードとして操作記録管理DB220に記憶される。
また、検知部701は、タイムアウトによるログオフ処理を検知する。ここで、タイムアウトによるログオフ処理とは、例えば、何らかの処理を一定時間以内に終了できない、あるいは、一定時間(例えば、数十分〜1時間程度)継続して操作が行われないためにアプリAPLを強制終了する際のログオフ処理である。
具体的には、例えば、検知部701は、タイムアウトによりアプリAPLが強制終了したことを示す情報が記憶されるメモリ302内の記憶領域にアクセスして、タイムアウトによるログオフ処理を検知することにしてもよい。また、例えば、検知部701は、アプリAPLからタイムアウトの通知を受け付けたことに応じて、タイムアウトによるログオフ処理を検知することにしてもよい。
この場合、クライアント端末Tiは、操作ログの出力処理を実行しないことにしてもよい。具体的には、例えば、クライアント端末Tiは、タイムアウトによるログオフ処理が検知された場合には、抽出部703による抽出処理を実行させないことにしてもよい。これにより、操作ログの抽出が行われず、操作ログの出力も行われないことになる。
また、クライアント端末Tiは、タイムアウトによるログオフ処理が検知された場合には、出力部705による操作記録通知の出力処理を実行させないようにしてもよい。ただし、クライアント端末Tiは、タイムアウトによるログオフ処理が検知された場合であっても、抽出された操作ログの管理サーバ201への送信処理は実行してもよい。
また、出力部705は、操作ログの記録を開始する際に、開始する旨の表示をディスプレイ306に行うことにしてもよい。具体的には、例えば、出力部705は、アプリAPLのログオン処理が検知された場合に、操作記録開始通知をディスプレイ306に表示することにしてもよい。操作記録開始通知は、操作ログの記録を開始することを通知する情報である。
なお、操作記録開始通知の表示例については、図9を用いて後述する。
また、出力部705は、操作ログの記録を開始する際に、前回のログオフ操作に応じてディスプレイ306に表示された操作ログについての内容をディスプレイ306に表示することにしてもよい。前回のログオフ操作に応じてディスプレイ306に表示された操作ログの情報は、例えば、管理サーバ201から取得することができる。
具体的には、例えば、まず、クライアント端末Tiは、アプリAPLのログオン処理が検知された場合に、管理サーバ201にログ取得要求を送信する。ログ取得要求には、例えば、ユーザUのユーザIDが含まれる。管理サーバ201は、ログ取得要求を受信した場合、操作記録管理DB220からログ取得要求に含まれるユーザIDに対応する操作記録管理情報を検索する。
そして、管理サーバ201は、操作記録管理情報が検索された場合、検索された操作記録管理情報をクライアント端末Tiに送信する。なお、複数の操作記録管理情報が検索された場合は、管理サーバ201は、ログオン時間が最新の操作記録管理情報をクライアント端末Tiに送信することにしてもよい。
クライアント端末Tiは、管理サーバ201から操作記録管理情報を受信した場合、生成部704により、受信した操作記録管理情報に基づいて、第2の操作記録開始通知を生成する。ここで、第2の操作記録開始通知は、前回記録された操作ログについての内容を含む操作記録開始通知である。そして、出力部705は、生成された第2の操作記録開始通知をディスプレイ306に表示する。
なお、第2の操作記録開始通知の表示例については、図11を用いて後述する。
上述したクライアント端末Tiが有する機能部(検知部701〜出力部705)は、例えば、図2に示した管理サーバ201によって実現することにしてもよい。この場合、クライアント端末Tiは、管理サーバ201から操作記録開始通知、操作記録通知等の情報を受信して、ディスプレイ306に表示する。
(操作記録開始通知の表示例)
つぎに、図9〜図11を用いて、クライアント端末Tiのディスプレイ306(図3参照)に表示される各種情報の表示例について説明する。ここでは、アプリAPLとして、電子カルテシステムを例に挙げて説明する。まず、操作記録開始通知の表示例について説明する。
図9は、操作記録開始通知の表示例を示す説明図である。図9において、初期画面901は、電子カルテシステムの起動時にディスプレイ306に表示される操作画面である。初期画面901において、入力装置307(図3参照)を用いたユーザの操作入力により、ユーザIDおよびパスワードを入力ボックスB1,B2にそれぞれ入力して、ログオンボタンB3を押下すると、ログオン処理が実行される。
ログオン処理が実行された結果、ユーザの認証に成功すると、ディスプレイ306に電子カルテ画面902が表示されるとともに操作記録開始通知903が表示される。ここで、操作記録開始通知903は、操作ログの記録を開始することをユーザ(ユーザID:U1)に通知する情報である。
操作記録開始通知903によれば、ログオン時に、ユーザがこれから行う操作を記録することを通知して、不正行為をしないように注意喚起することができる。
つぎに、図10を用いて、操作記録通知の表示例について説明する。
図10は、操作記録通知の表示例を示す説明図である。図10において、電子カルテ画面1001は、患者の情報が表示された操作画面である。電子カルテ画面1001において、入力装置307を用いたユーザの操作入力により、ログオフボタンB4を押下すると、電子カルテシステムのログオフ処理の実行が開始され、ディスプレイ306に操作記録通知1002が表示される。
操作記録通知1002は、電子カルテシステムへのログオン中に行われたユーザ(ユーザID:U1)の操作を記録したことを通知する情報である。操作記録通知1002には、ユーザID「U1」およびログオン時間「2016/07/07 8:45〜2016/07/07 11:58」が示されている。
また、操作記録通知1002には、違反ログの件数、すなわち、ログオン中に違反操作が行われた回数「8回」が示されている。また、操作記録通知1002には、ログ種別の優先度が高い上位3個の操作ログについての内容が示されている。具体的には、ウィンドウタイトル取得ログ」、「デバイス構成変更ログ」および「ファイル持出しログ」の操作ログについての内容が示されている。
操作記録通知1002によれば、電子カルテシステムにおけるユーザの操作記録を表示して、自身の操作が監視されていることをユーザに意識付けることができる。例えば、違反操作が行われた回数を記録していることをユーザに認識させて、不正行為の心理的抑止効果を高めることができる。また、操作が行われた日時やその内容を記録していることをユーザに認識させて、不正行為の心理的抑止効果を高めることができる。
また、電子カルテ画面1001において、ユーザの操作入力により、操作記録通知1002の確認ボタン1003を押下すると、ログオフ処理を進めてログオフ処理を完了させることができる。これにより、ユーザが確認操作をするまでは、ログオフ処理を完了させないようにすることができる。
なお、電子カルテ画面1001において、利用者変更ボタンB5を押下すると、ユーザID「U1」についてのログオフ処理の実行が開始され、図9に示したような初期画面901がディスプレイ306に表示される。初期画面901では、新たなユーザについてのユーザIDおよびパスワードを入力することができる。ここで、新たなユーザについてのログオン処理が実行されると、クライアント端末Tiは、新たなユーザに対する操作記録開始通知とともに、図10に示した操作記録通知1002をディスプレイ306に表示することにしてもよい。
これにより、電子カルテシステムを利用するユーザを変更する際に、変更前のユーザに対して、操作記録通知1002を表示するとともに、変更後のユーザに対して、操作記録開始通知を表示することができる。
つぎに、図11を用いて、第2の操作記録開始通知の表示例について説明する。
図11は、第2の操作記録開始通知の表示例を示す説明図である。図11において、第2の操作記録開始通知1100は、前回記録された操作ログについての内容を含む操作記録開始通知である。第2の操作記録開始通知1100は、図9に示した操作記録開始通知903のように、電子カルテシステムのログオン処理が実行されると、ディスプレイ306に表示される。
第2の操作記録開始通知1100には、操作ログの記録を開始することを通知するメッセージ1110とともに、電子カルテシステムの前回の利用時に記録された操作記録1120が表示されている。なお、第2の操作記録開始通知1100は、確認ボタン1130を押下すると非表示となる。
第2の操作記録開始通知1100によれば、ログオン時に、これからユーザが行う操作を記録することを通知するとともに、前回のログオフ時に表示された操作ログの内容を再表示して、不正行為をしないように注意喚起することができる。
(クライアント端末Tiの操作ログ出力処理手順)
つぎに、図12および図13を用いて、クライアント端末Tiの操作ログ出力処理手順について説明する。
図12および図13は、クライアント端末Tiの操作ログ出力処理手順の一例を示すフローチャートである。図12のフローチャートにおいて、まず、クライアント端末Tiは、アプリAPLのログオン処理を検知したか否かを判断する(ステップS1201)。ここで、クライアント端末Tiは、アプリAPLのログオン処理を検知するのを待つ(ステップS1201:No)。
そして、クライアント端末Tiは、アプリAPLのログオン処理を検知した場合(ステップS1201:Yes)、アプリAPLにログオンしたユーザUについての操作記録開始通知をディスプレイ306に表示する(ステップS1202)。つぎに、クライアント端末Tiは、ユーザUについてのアプリAPLのログオフ処理を検知したか否かを判断する(ステップS1203)。
ここで、アプリAPLのログオフ処理を検知していない場合(ステップS1203:No)、クライアント端末Tiは、アプリAPLから出力される操作ログを取得したか否かを判断する(ステップS1204)。ここで、操作ログを取得していない場合(ステップS1204:No)、クライアント端末Tiは、ステップS1203に戻る。
一方、操作ログを取得した場合(ステップS1204:Yes)、クライアント端末Tiは、ログ種別テーブル230を参照して、取得した操作ログのログ種別が違反ログであるか否かを判断する(ステップS1205)。ここで、違反ログではない場合(ステップS1205:No)、クライアント端末Tiは、ステップS1207に移行する。
一方、違反ログの場合(ステップS1205:Yes)、クライアント端末Tiは、違反ログの件数をインクリメントする(ステップS1206)。なお、違反ログの件数の初期値は、「0」である。そして、クライアント端末Tiは、取得した操作ログを操作ログテーブル240に記録して(ステップS1207)、ステップS1203に戻る。
また、ステップS1203において、アプリAPLのログオフ処理を検知した場合(ステップS1203:Yes)、クライアント端末Tiは、タイムアウトによるログオフ処理であるか否かを判断する(ステップS1208)。
ここで、タイムアウトによるログオフ処理である場合には(ステップS1208:Yes)、クライアント端末Tiは、本フローチャートによる一連の処理を終了する。一方、タイムアウトによるログオフ処理ではない場合(ステップS1208:No)、クライアント端末Tiは、図13に示すステップS1301に移行する。
図13のフローチャートにおいて、まず、クライアント端末Tiは、操作ログテーブル240から、ユーザUについてのアプリAPLのログオン処理後から、ログオフ処理までに取得された操作ログを抽出する(ステップS1301)。つぎに、クライアント端末Tiは、抽出した操作ログについての内容を含む操作記録通知を生成する(ステップS1302)。
そして、クライアント端末Tiは、生成した操作記録通知をディスプレイ306に表示する(ステップS1303)。つぎに、クライアント端末Tiは、表示した操作記録通知の確認ボタンが押下されたか否かを判断する(ステップS1304)。ここで、確認ボタンが押下された場合(ステップS1304:Yes)、クライアント端末Tiは、操作記録通知を非表示にして(ステップS1305)、本フローチャートによる一連の処理を終了する。
一方、確認ボタンが押下されていない場合(ステップS1304:No)、クライアント端末Tiは、操作記録通知を表示してから表示時間Tが経過したか否かを判断する(ステップS1306)。ここで、表示時間Tが経過していない場合(ステップS1306:No)、クライアント端末Tiは、ステップS1304に戻る。一方、表示時間Tが経過した場合(ステップS1306:Yes)、クライアント端末Tiは、ステップS1305に移行する。
これにより、ログオン時に、これからユーザが行う操作を記録することを通知して、不正行為をしないように注意喚起することができる。また、ログオフ時に、操作ログについての内容を表示して、ユーザに対して操作が監視されていることを意識付けることができる。
以上説明したように、実施の形態にかかるクライアント端末Tiによれば、ユーザUについてのアプリAPLのログオフ処理を検知すると、ユーザUについてのアプリAPLのログオン処理後からログオフ処理までに検知された操作ログを抽出することができる。そして、クライアント端末Tiによれば、ログオフ処理が実行された際に、抽出した操作ログの内容を含む操作記録通知を、アプリAPLの出力結果が表示されたディスプレイ306に出力することができる。これにより、アプリAPLのログオフ時に、アプリAPLにおけるユーザの操作記録を表示して、ユーザに対して操作が監視されていることを意識付けることができ、不正行為の心理的抑止効果を高めることができる。
また、クライアント端末Tiによれば、抽出した複数の操作ログのそれぞれに対応するログ種別の優先度に応じて、複数の操作ログのうち一部の操作ログのみについての内容を含む操作記録通知を出力することができる。これにより、ユーザに提示しても、不正行為の心理的抑止効果が低い操作ログの内容を表示対象から除外して、ディスプレイ306の表示領域を有効に活用することができる。
また、クライアント端末Tiによれば、抽出した複数の操作ログのうち、違反ログであるログ種別に対応する操作ログの件数を含む操作記録通知を出力することができる。これにより、違反操作が行われた回数を記録していることをユーザに認識させて、不正行為の心理的抑止効果を高めることができる。
また、クライアント端末Tiによれば、抽出した複数の操作ログのうち、同一のログ種別に対応する操作ログについては、同一のログ種別に対応する操作ログのうち1つの操作ログのみについての内容を出力することができる。これにより、表示されるログ内容の重複を防いで、ディスプレイ306の表示領域を有効に活用することができる。また、ユーザに対する心理的抑止効果が高いものを選んで表示することができる。
例えば、ログ種別「ウィンドウタイトル取得ログ」に対応する操作ログが複数存在する場合には、クライアント端末Tiは、ウィンドウタイトルにURLが含まれる操作ログの内容を優先して表示することができる。これにより、外部サーバにアクセスして業務と関係のないウェブサイトを閲覧するなどの操作についての心理的抑止効果を高めることができる。また、ログ種別「メール送信ログ」に対応する操作ログが複数存在する場合には、クライアント端末Tiは、添付ファイル有りのメールについての操作ログの内容を優先して表示することができる。これにより、ファイルの不正送信などの操作についての心理的抑止効果を高めることができる。
また、クライアント端末Tiによれば、表示時間Tが経過したことに応じて、操作記録通知を非表示にすることができる。これにより、操作ログの内容を見ることができる時間を限定的にして、心理的抑止効果を高めることができる。例えば、操作記録通知を長い時間表示させないことで、ユーザが煩わしいと感じて、心理的抑止効果が低下するのを防ぐことができる。また、操作記録通知の詳細を確認できる十分な時間を与えないことで、他にもいろいろな情報が記録されているかもしれないといった含みを持たせて、心理的抑止効果を高めることができる。また、操作記録通知の表示が残って、他のユーザに見られることを防ぐことができる。
また、クライアント端末Tiによれば、タイムアウトによるログオフ処理を検知した場合には、操作ログの内容の出力処理を実行しないようにすることができる。これにより、ユーザUがディスプレイ306を見ていないタイミングで操作ログの内容が表示されて、他のユーザに見られることを防ぐことができる。
また、クライアント端末Tiによれば、操作記録通知の表示を、ログオフ処理の完了前に行うことができる。これにより、ユーザが操作記録通知を確認する前に、その場を立ち去ってしまうといったことを防ぐことができる。
また、クライアント端末Tiによれば、操作記録通知に含まれる確認ボタンが押下されたことに応じて、ログオフ処理を進めてログオフ処理を完了させることができる。これにより、ユーザが操作記録通知を確認するように仕向けることができる。
また、クライアント端末Tiによれば、操作ログの記録期間、ログオン期間中にアクセスしたデータの識別情報を含む操作記録通知を出力することができる。これにより、細かい情報まで記録していることをユーザに認識させて、不正行為の心理的抑止効果を高めることができる。
また、クライアント端末Tiによれば、操作ログの記録を開始する際に、開始する旨の表示をディスプレイ306に行うことができる。これにより、ログオン時に、これからユーザが行う操作を記録することを通知して、不正行為をしないように注意喚起することができる。
また、クライアント端末Tiによれば、操作ログの記録を開始する際に、前回のログオフ操作に応じて表示されたユーザUの操作ログについての内容をディスプレイ306に表示することができる。これにより、ログオン時に、前回のログオフ時に表示された操作ログの内容を再表示して、不正行為をしないように注意喚起することができる。
これらのことから、実施の形態にかかるクライアント端末Tiによれば、自身が行う操作が監視されていることをユーザに意識付けて、不正行為の心理的抑止効果を高めることで、情報漏洩等の事件の発生を防ぐことができる。
なお、本実施の形態で説明した操作ログ出力方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。本操作ログ出力プログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO(Magneto−Optical disk)、DVD(Digital Versatile Disk)、USB(Universal Serial Bus)メモリ等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また、本操作ログ出力プログラムは、インターネット等のネットワークを介して配布してもよい。
上述した実施の形態に関し、さらに以下の付記を開示する。
(付記1)特定のユーザについてのアプリケーションのログオフ処理を検知すると、前記特定のユーザについての前記アプリケーションのログオン処理後から、前記ログオフ処理までに検知された操作ログを抽出し、
前記ログオフ処理が実行された際に、抽出された前記操作ログの内容を前記アプリケーションの出力結果が表示されたディスプレイに出力する、
処理をコンピュータに実行させることを特徴とする操作ログ出力プログラム。
(付記2)操作ログを分類するログ種別は、種別毎に優先度が設定されており、
抽出された前記操作ログは、複数の操作ログを含み、
前記操作ログの内容の出力処理は、前記複数の操作ログのそれぞれに対応するログ種別の優先度に応じて、前記複数の操作ログのうち一部の操作ログのみについて出力させる、
ことを特徴とする付記1に記載の操作ログ出力プログラム。
(付記3)前記複数の操作ログのうち、違反ログであるログ種別に対応する操作ログの件数を出力させる、
ことを特徴とする付記2に記載の操作ログ出力プログラム。
(付記4)前記操作ログの内容の出力処理は、前記複数の操作ログのうち、同一のログ種別に対応する操作ログについては、前記同一のログ種別に対応する操作ログのうち1つの操作ログのみについて出力させる、
ことを特徴とする付記2に記載の操作ログ出力プログラム。
(付記5)出力された前記操作ログの内容は、所定の表示時間が設定されており、前記所定の表示時間に応じて、自動的に非表示となる、
ことを特徴とする付記1に記載の操作ログ出力プログラム。
(付記6)前記ログオフ処理が、タイムアウトによるログオフ処理であることを検知した場合、前記操作ログの内容の出力処理を実行させない、
ことを特徴とする付記1に記載の操作ログ出力プログラム。
(付記7)ログオン操作に応じて操作ログの記録部への記録を開始し、
ログオフ操作に応じて、前記記録部に記録した操作ログの一部又は全部を抽出し、
抽出した前記操作ログを表示部に表示する、
処理をコンピュータに実行させることを特徴とする操作ログ出力プログラム。
(付記8)前記操作ログの表示は、ログオフ処理の完了前に行われる、
ことを特徴とする付記7に記載の操作ログ出力プログラム。
(付記9)前記操作ログの表示は、確認操作を求める表示を含み、
前記確認操作に応じて、ログオフ処理を進めてログオフ処理を完了させる、
ことを特徴とする付記7に記載の操作ログ出力プログラム。
(付記10)前記操作ログの表示は、前記操作ログの記録期間、ログオン期間中にアクセスしたデータの識別情報の表示を含む、
ことを特徴とする付記7に記載の操作ログ出力プログラム。
(付記11)操作ログの前記記録部への記録を開始する際に、開始する旨の表示を前記表示部に行う、
ことを特徴とする付記7に記載の操作ログ出力プログラム。
(付記12)操作ログの前記記録部への記録を開始する際に、前回のログオフ操作に応じて表示された操作ログについての内容を前記表示部に表示する、
ことを特徴とする付記7に記載の操作ログ出力プログラム。
(付記13)特定のユーザについてのアプリケーションのログオフ処理を検知すると、前記特定のユーザについての前記アプリケーションのログオン処理後から、前記ログオフ処理までに検知された操作ログを抽出し、
前記ログオフ処理が実行された際に、抽出された前記操作ログの内容を前記アプリケーションの出力結果が表示されたディスプレイに出力する、
処理をコンピュータが実行することを特徴とする操作ログ出力方法。
(付記14)特定のユーザについてのアプリケーションのログオフ処理を検知すると、前記特定のユーザについての前記アプリケーションのログオン処理後から、前記ログオフ処理までに検知された操作ログを抽出し、
前記ログオフ処理が実行された際に、抽出された前記操作ログの内容を前記アプリケーションの出力結果が表示されたディスプレイに出力する、
制御部を有することを特徴とする情報処理装置。
(付記15)ログオン操作に応じて操作ログの記録部への記録を開始し、
ログオフ操作に応じて、前記記録部に記録した操作ログの一部又は全部を抽出し、
抽出した前記操作ログを表示部に表示する、
処理をコンピュータが実行することを特徴とする操作ログ出力方法。
(付記16)ログオン操作に応じて操作ログの記録部への記録を開始し、
ログオフ操作に応じて、前記記録部に記録した操作ログの一部又は全部を抽出し、
抽出した前記操作ログを表示部に表示する、
制御部を有することを特徴とする情報処理装置。