JPWO2013118280A1 - 機密データ漏えい防止装置および方法 - Google Patents
機密データ漏えい防止装置および方法 Download PDFInfo
- Publication number
- JPWO2013118280A1 JPWO2013118280A1 JP2013557322A JP2013557322A JPWO2013118280A1 JP WO2013118280 A1 JPWO2013118280 A1 JP WO2013118280A1 JP 2013557322 A JP2013557322 A JP 2013557322A JP 2013557322 A JP2013557322 A JP 2013557322A JP WO2013118280 A1 JPWO2013118280 A1 JP WO2013118280A1
- Authority
- JP
- Japan
- Prior art keywords
- data
- management server
- control target
- policy management
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 132
- 238000012545 processing Methods 0.000 claims description 41
- 238000003860 storage Methods 0.000 claims description 21
- 238000012795 verification Methods 0.000 claims description 20
- 230000002265 prevention Effects 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 5
- 238000000605 extraction Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 96
- 230000008569 process Effects 0.000 description 64
- 230000000903 blocking effect Effects 0.000 description 13
- 238000009826 distribution Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 5
- 238000007639 printing Methods 0.000 description 5
- 230000035945 sensitivity Effects 0.000 description 5
- 238000012806 monitoring device Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000877 morphologic effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
機密データの定義情報を暗号化などで適切に保護しつつ、リモート環境で定義情報とデータの照合を可能にする。機密情報を表す単語や部分文字列などの定義情報を個別に暗号化やハッシュ化などで秘匿するステップと、制御対象となるデータから単語や部分文字列などの要素を抽出し、個別に秘匿化するステップと、秘匿化した要素をサーバに送信するステップと、秘匿化した定義情報と秘匿化した要素を秘匿したまま照合して、制御対象のデータに定義情報と一致する情報が含まれているかを判定するステップとを有する。
Description
本発明は、コンピュータやネットワーク上に存在する機密データを検知し、暗号化や外部への出力中止など適切な制御を行うことで、情報漏えいを防止する技術に関する。
企業には、顧客情報など多くの機密データが存在する。電子データは複製や移動が簡単なため情報漏えいが起こりやすい。情報漏えい防止策として、ユーザごとにアクセス権限を設定して機密データの取り扱いを制限する方法が広く浸透している。
それに対し、データの内容に応じて機密データかどうかを判断し、外部への流出を防止する製品・技術が近年普及しつつある。これらの製品・技術は一般にデータ損失防止「Data Loss Prevention(略称DLP)」と呼ばれる。DLPでは、コンピュータやネットワーク上のデータ(制御対象データ)が機密データに該当するかを如何に判断するかが重要である。判断の方法として、予め指定したキーワードと判断対象のデータを照合する方法が広く使われている。また、予め指定したファイルと判断対象のデータの類似度をもとに機密データに該当するかを判断する方法も使われている。
上記の予め指定する内容(以下、定義情報と呼ぶ)は、それ自身が機密な情報を含むことがある(たとえば、顧客の氏名や、クレジット番号など)。外部からの攻撃者や内部の悪意のある管理者などがこれらの情報を取得できないよう、社内イントラネット内など安全な場所で定義情報を取り扱うことが求められる。一方で、複数拠点から定義情報を参照および更新するためには、インターネット上などアクセスが容易な場所で定義情報を取り扱えることが求められる。また、クラウドコンピューティングの普及に伴い、企業は、第三者が提供するデータセンタ上でデータを管理するようになってきている。そのため、定義情報をデータセンタ上で管理したいというニーズが今後高まると予想される。
リモート環境で定義情報を安全に保護しつつ、企業内の機密データを適切に検知・制御する技術に関して、以下の従来技術が知られている。
リモート環境で定義情報と制御対象データの照合を行う従来技術として、特許文献1が知られている。特許文献1では、エンドポイント内のローカル・マッチング・サービスとサーバ上のリモート・マッチング・サービスを併用して、あらかじめ設定したキーワードなどと制御対象のデータを照合する方法が開示されている。
また、照合に利用する定義情報の安全性に言及している従来技術として、特許文献2が知られている。特許文献2では、あらかじめ指定したソース・データから生成したインデックスと制御対象データを照合する方法が開示されている。攻撃者による情報取得を防ぐため、インデックスはソース・データそのものを含まず、ソース・データを暗号化あるいはハッシュ化したものを含む。
Dawn Xiaodong Song、 David Wagner、 Arian Perrig. "Practical Techniques for Searches on Encrypted Data". In Proceedings of the 2000 IEEE Symposium on Security and Privacy、 pages 44-55(2000).
D. Boneh、 G. D. Crescenzo、 and R. O. et al.、"Public key encyrption with keyword search、" in Advances in Cryptology-EUROCRYPT 2004、 ser. LNCS、 C. Cachin and J. Camenisch、 Eds.、 vol.3027. Springer-Verlag、 2004、 pp. 506-522.
B. Bloom: "Space/Time Tradeoffs in Hash Coding with Allowable Errors"、 Communications of the ACM 13:7、 pp.422-426、 1970.
上述した特許文献1によると、ネットワークにつながれたサーバ上で定義情報を一元管理でき、定義情報とエンドポイントから送信された制御対象データとをサーバ上で照合できる。しかし、特許文献1では、定義情報を暗号などで保護する仕組みについては言及されていない。そのため、悪意のあるデータベース管理者などが定義情報を取得して、悪用することを防ぐことはできない。また、サーバに送る制御対象データの保護については言及されていないので、サーバを第三者が提供するデータセンタで管理する場合には、制御対象データの情報の安全性が保障されない。
一方、上述した特許文献2によると、インデックスを暗号化あるいはハッシュ化することで、インデックスから機密情報が漏れることを防げる。しかし、暗号化あるいはハッシュ化したインデックスと制御対象データを照合する具体的方法については開示されていない。
仮にインデックス全体を暗号化して保存しておき、照合する前に復号する場合、ある一定時間は生のインデックスがメモリなどに存在してしまう。また、復号に必要な鍵を管理しなければならず、悪意を持ったDB管理者が鍵を手に入れ、暗号化した情報を復号してしまう危険性がある。
上記の生のインデックスが露呈する問題を解決するために、暗号した定義情報を復号せずに照合する方法が考えられる。しかし、従来の暗号化やハッシュ化の処理だけでは、処理結果がランダムな値になるため、制御対象データとの照合を行うことはできない。
本発明は、上記の問題点を考慮し、定義情報を暗号化などで適切に保護しつつ、リモート環境での照合を可能にすることを目的とする。
前記目的を達成するため、本発明では、秘匿化した定義情報をサーバ上で管理し、制御対象データが機密かどうかの判定をサーバ上で行う。定義情報の秘匿化は、管理者が定義情報を設定するタイミングで行うので、DB管理者などが定義情報の中身を推測することはできない。制御対象データが機密かどうかの判定は、制御対象データから生成した照合用のクエリと、サーバ上で管理する秘匿化した定義情報とを照合することで行われる。
照合用のクエリは、定義情報と照合するのに適した要素(例:単語、部分文字列など)を制御対象データから抽出した後、各要素に対して暗号化、ハッシュ化などの秘匿処理を行い生成される。このとき、各要素の秘匿化は、機密情報として設定された定義情報を秘匿化したリファレンスと比較可能な方法で行われる。二つの秘匿化した情報を秘匿化したまま比較可能な方法は複数考えられる。単純な方法としては、同一の共通鍵暗号化アルゴリズムで同一鍵を用いた暗号化や、同一のハッシュアルゴリズムでハッシュ化がある。より複雑な方法として、検索可能暗号と呼ばれる方法を用いてもよい。これらの方法を使うことで、秘匿前の情報が同一かどうかを秘匿化したままで判定できる。これらの方法については、実施例の中で詳細を説明する。
また、制御対象データそのものを秘匿するのではなく、秘匿対象データから抽出した単語や部分文字列などを個別に匿化することで、単語や部分文字列など細かい粒度での照合が可能になる。
サーバ上での機密データの判定処理の全体の流れは以下のようになる。
まず、サーバは、制御対象データに対する機密判定の要求を受けると、上記で述べた方法により定義情報とクエリを照合して、制御対象データに含まれる、定義情報に合致する要素を抽出する。次に、その結果と予め指定した機密データの分類ルール(カテゴリルール)に基づいて、制御対象データの機密度を判定する。最後に、サーバは、判定結果を機密判定の要求を送信した装置へ通知する。各装置は、その通知結果に従い、制御対象データを制御する。
上記の処理の間、サーバ上では、定義情報と制御対象データは秘匿化されているので、仮に不正な管理者などがサーバ上のデータを観察していても、機密情報を取得することはできない。
本発明により、定義情報を保護したままリモート環境で機密データを検知でき、情報漏えいの防止を実現できる。
以下、本発明を実施するための形態(以下、「実施形態」という。)について、適宜図面を参照しつつ、説明する。
(システム構成)
図1は、本発明の実施形態に係るシステム構成の例を示した図である。図1に示すように、本システムは、ポリシ管理サーバ110、管理者用端末120、及び制御対象装置を含み、更に、制御対象装置は、PC、モバイルデバイスなど企業の従業員が日々の業務で使う装置全般であるエンドポイント130、ストレージ140、及びネットワーク監視装置150を含み、これらの装置はネットワーク101を介して相互に接続されて構成される。
図1は、本発明の実施形態に係るシステム構成の例を示した図である。図1に示すように、本システムは、ポリシ管理サーバ110、管理者用端末120、及び制御対象装置を含み、更に、制御対象装置は、PC、モバイルデバイスなど企業の従業員が日々の業務で使う装置全般であるエンドポイント130、ストレージ140、及びネットワーク監視装置150を含み、これらの装置はネットワーク101を介して相互に接続されて構成される。
本実施例における「ポリシ」とは、機密情報と制御方法に関する情報である。
制御対象装置130−150は、機密判定の要求に基づいて、制御対象データから抽出した要素を秘匿化して照合用クエリを作成してポリシ管理サーバ110に送信する。一方、管理者用端末120は、機密情報として設定すべき定義情報を秘匿化したリファレンスをポリシ管理サーバ110に送信する。ポリシ管理サーバ110は、いずれも秘匿化された照合用クエリとリファレンスとを照合し、照合結果に対して機密度を判定する。制御対象装置130-150は、機密度判定の結果に基づいて、制御対象データの制御を行い、その結果をログとしてポリシ管理サーバ110に登録する。従って、ポリシ管理サーバ110では、制御対象データと定義情報(機密情報)とがそれぞれ秘匿されたままで照合され、さらに機密度が判定される。
ポリシ管理サーバ110は、ポリシ管理機能111、ポリシ判定機能112、ポリシ判定秘匿機能113を備える。
ポリシ管理機能111は、機密データの判定に必要な情報や機密データに対する制御方法を保持し、必要に応じて変更・更新をする機能などを提供する。ポリシ管理機能111の詳細は、図3で説明する。
ポリシ判定機能112は、あるデータが機密データかどうかの判定およびデータに対する制御方法の判定を行う機能などを提供する。なお、以下では、機密データの機密度の判定と制御方法の判定を合わせてポリシ判定と呼ぶ。ポリシ判定機能112の詳細は、図3で説明する。
ポリシ判定秘匿機能113は、ポリシ判定機能112が行う機密データの判定を、定義情報の内容を秘匿化したリファレンスのまま行う機能などを提供する。ポリシ判定秘匿機能113の詳細は、図3で説明する。
管理者用端末120は、設定機能121、定義情報秘匿機能122を備える。
設定機能121は、権限のある管理者が、ポリシ管理サーバ110がポリシ判定に利用する情報を、ポリシ管理サーバ110へ設定するための機能を提供する。設定機能121の詳細は図5で説明する。
定義情報秘匿機能122は、ポリシ管理サーバ110に登録する定義情報を秘匿したリファレンスを生成する機能を提供する。定義情報秘匿機能122の詳細は、図5で説明する。
エンドポイント130、ストレージ140、ネットワーク監視装置150は、データ制御機能131、ポリシ問合せ機能132、クエリ秘匿機能133を備える。
エンドポイント130、ストレージ140、ネットワーク監視装置150は、データ制御機能131、ポリシ問合せ機能132、クエリ秘匿機能133を備える。
エンドポイント130は、データを格納するとともに、電子メールの送信、プリンタを通しての印刷、外部記録媒体への出力など、データを他の場所へ複製あるいは移動する機能を備える。
また、ストレージ140とは、ファイルサーバや、文書管理サーバなど主にデータを保存することを目的とした装置全般を指す。ストレージ140は、ユーザからアクセス要求を受けデータを出力する機能を備える。
また、ネットワーク監視装置150とは、LAN(Local Area Network)などのネット−ワーク上を流れるデータを監視しログ315情報などを出力する装置を指す。ネットワーク装置は、取得したデータを遮断する機能、送信先を変える機能などを備える。ネットワーク監視装置150は、プロキシサーバや専用アプライアンスなどの装置として実現される。
上述したように、制御対象装置は、データを格納する機能および出力する機能を備える。データ制御機能131、ポリシ問合せ機能132、クエリ秘匿機能133は、互いに連携し、制御対象装置が格納する機密データが制御対象装置の外部へ出力されることを防止する。本実施例では、制御対象装置が備えるデータ制御機能131、ポリシ問合せ機能132、クエリ秘匿機能133の3つの機能を制御対象装置の種類(エンドポイント130、ストレージ140、ネットワーク)によらず統一的に説明する。制御対象装置の種類に応じて、処理などが異なる場合はその都度明記する。
データ制御機能131は、制御対象装置がデータの出力を行う前に、出力しようとするデータを取得し、そのデータのポリシ判定結果に応じて、処理を中止するなどの制御を行う機能を提供する。データ制御機能131の詳細は、図4で説明する。
ポリシ問合せ機能132は、データ制御機能131が取得したデータのポリシをポリシ管理サーバ110へ問い合わせる機能を提供する。ポリシ問合せ機能132の詳細は、図4で説明する。
クエリ秘匿機能133は、ポリシ問合せ機能132がポリシを問い合わせるために送信するクエリを秘匿化する機能を提供する。クエリ秘匿機能133の詳細は、図4で説明する。
次に図2を参照して、コンピュータの例について説明する。ネットワーク101に接続する各装置は、いずれも、少なくともCPU(Central Processing Unit)、記憶装置、および通信装置を備えたコンピュータである。図2に示すように、このコンピュータ201は、CPU202、主記憶装置203および補助記憶装置204(これらを記憶装置210とする)、ネットワーク101と接続されるネットワークインターフェース205(通信装置)、ディスプレイといった表示手段(出力装置)やキーボードやマウスといった入力装置と接続されるI(Input)/O(Output)インターフェース206、USBメモリなどの可搬媒体と接続するための可搬媒体接続部を含むハードウェア資源が内部バス207によって相互に接続されて構成される。
なお、ここでは、主記憶装置203と補助記憶装置204とを総称する場合には、単に、「記憶装置210」と称する。また、前記ネットワーク101に接続された各コンピュータ類には、本実施形態の情報処理に必要となるプログ315ラムを記憶したハードディスクドライブ(前記補助記憶装置204など)やROM(Read Only Memory)などが当然備えられている。
ここで、図17を用いて、本実施例における処理概要を説明する。図17は、制御対象装置130-150、ポリシ管理サーバ110、及び管理者用端末120のそれぞれに関連するデータ(実線の枠)と処理(破線の枠)の関係を示したものである。データ又は処理に付した( )内の数字は、後述するデータ、機能又はモジュールの符号である。実線の矢印は処理/データの流れを示し、破線の矢印は処理におけるデータ参照を示す。
ここで、図17を用いて、本実施例における処理概要を説明する。図17は、制御対象装置130-150、ポリシ管理サーバ110、及び管理者用端末120のそれぞれに関連するデータ(実線の枠)と処理(破線の枠)の関係を示したものである。データ又は処理に付した( )内の数字は、後述するデータ、機能又はモジュールの符号である。実線の矢印は処理/データの流れを示し、破線の矢印は処理におけるデータ参照を示す。
管理者用端末120では、機密情報として設定すべき定義情報が入力されると、定義情報が秘匿化されてリファレンスが生成され(521)、ポリシ管理サーバ110に送信される。
一方、制御対象装置130-150では、機密判定の要求を受け付けると、ポリシ管理サーバ110が保持しているローカルフィルタ314を参照しながら、判定の対象となる制御対象データから要素(単語、部分文字列など)を抽出して秘匿化し(421、431、432)、秘匿化した要素を含む照合用クエリを生成してポリシ管理サーバ110に送信する。
ポリシ管理サーバ110では、それぞれが秘匿化されている、制御対象装置130−150からの照合用クエリと、管理者用端末120からのリファレンス311とを照合する(321)。その照合の結果に対して、ポリシ管理サーバ110が保持しているカテゴリルール312に基づいて、機密判定331を行って、その結果を制御対象装置130-150に送信する。
制御対象装置130-150では、ポリシ管理サーバ110からの機密判定の結果に基づいて、ポリシ管理サーバが保持する制御ルール313を参照しながら、機密判定の結果得られる機密の度合いに応じた制御方法で、制御対象データの制御を行い(413)、制御の結果をログ315として、ポリシ管理サーバ110に登録する。
上記のように、本実施例では、管理者用端末120で機密情報として設定した定義情報、及び制御対象装置130−150で機密判定の要求として入力した制御対象データがそれぞれの端末側又は装置側で秘匿され、ポリシ管理サーバ110では、秘匿化された情報の照合と判定の処理が行われるので、ポリシ管理サーバ110に対して平文イメージの情報を隠ぺいしたまま、機密情報の設定や機密判定を依頼できる。
次に図3を参照して、ポリシ管理サーバ110が備える各機能の例について説明する。
ポリシ管理機能111は、リファレンステーブル311、カテゴリルール312、制御ルール313、ログ315、ローカルフィルタ314、などを備えて構成される。
リファレンステーブル311は、ポリシ判定モジュール331が、機密データの判定に利用するリファレンスを管理する。たとえば機密情報を表すキーワードなどがリファレンスとして使われる。背景技術で述べたように、一般にリファレンスは機密な情報を含む。そこで、本発明では、リファレンスから機密情報を取得できない形式でリファレンスを保存しつつ、機密データの判定を実現する方式をとる。リファレンスの詳細は、図7で説明する。
カテゴリルール312は、ポリシ判定モジュール331が、リファレンスと合わせて機密データの判定に利用する情報である。企業などでは、データを機密か非機密の2種類に分けるのではなく、機密度に応じて複数の種類に分け、種類ごとに制御の方法を変えるという運用が一般的である。本発明では、機密度に応じた種類を「カテゴリ」とよぶ。各カテゴリはたとえば、「公開」、「社外秘」、「極秘」といった名称で互いに区別される。カテゴリルール312は、あるデータがどのカテゴリに属するかを、リファレンスから決定する方法を定義する。カテゴリルール312の詳細は、図10で説明する。
制御ルール313は、ポリシ判定モジュール331がデータの制御方法を判定するために利用される。制御ルール313は、各カテゴリに属するデータに対して、どのような処理が可能かというルールを定義する。制御ルール313の詳細は、図6で説明する。
ログ315は、制御対象装置でデータ制御機能131がデータに対して制御を行った結果などを記録した情報である。ログ315の詳細は、図8で説明する。
ローカルフィルタ314は、ポリシ判定モジュール331がデータのポリシを判定する際に不要な情報を定義し、クエリ生成モジュール431がポリシ問合せのためのクエリを生成する際に利用される。即ち、制御対象データからローカルフィルタ314によって選択された要素(単語、部分文字列など)が秘匿化されて、照合用クエリが生成される。ローカルフィルタ314の詳細は、図9で説明する。
ポリシ判定機能112は、ポリシ判定モジュール331、ローカルフィルタ314配信モジュール、制御ルール配信モジュール332、などを備えて構成される。
ポリシ判定モジュール331は、制御対象装置から送信されたクエリから制御対象データのポリシを判定し、即ち、照合用クエリとリファレンスとを照合し、更に、カテゴリルール312に基づいて機密度を判定し、制御対象装置へポリシの判定結果を送信する機能を提供する。ポリシ判定モジュール331の詳細は、図11で説明する。
ローカルフィルタ配信モジュール333は、ポリシ管理機能111が保持するローカルフィルタ314を制御対象装置へ送信する機能を提供する。ローカルフィルタ314配信モジュールは、送信すべき制御対象装置のアドレス情報などを内部に保持しており、それらを参照して、各制御装置へローカルフィルタ314を送信する。各制御装置130-150では、ポリシ問合せ機能132によって、ローカルフィルタ314を用いて、制御対象データから秘匿化すべき要素が選択される。ローカルフィルタ314を送信するタイミングは、ローカルフィルタ314が変更された直後や、制御対象装置が新しく導入された直後などである。管理者が管理者端末を通してローカルフィルタ314配信モジュールに送信の要求を出してもよいし、ローカルフィルタ314の変更や、制御対象装置の追加などをローカル配信モジュールが検知してもよい。
制御ルール配信モジュール332は、ポリシ管理機能111が保持する制御ルール313を制御対象装置へ送信する機能を提供する。制御ルール313はローカルフィルタ314と同様に、内部の制御対象装置のアドレス情報などを参照して、各制御装置へ送信する。なお、制御ルール313の制御ルール配信モジュール332は制御方法の判定をポリシ管理サーバ110上で行う場合には不要である。サーバ上で制御方法の判定を行う場合は、ポリシ判定モジュール331がポリシ管理サーバ110内の制御ルール313を参照し、判定を行う。
ポリシ判定秘匿機能113は、秘匿照合モジュール321などを備えて構成される。
秘匿照合モジュール321は、リファレンステーブル311に格納されている秘匿されたリファレンスと制御対象装置から送信されたクエリとを照合して、制御対象データのカテゴリを判定する機能を提供する。秘匿照合モジュール321の処理の詳細は、図15で説明する。
次に図4を参照して、制御対象装置130−150の例について説明する。
データ制御機能131は、データ遮断モジュール411、イベント監視モジュール412、制御モジュール413などを備える。
データ遮断モジュール411は、制御対象装置340からデータが出力されるのを遮断する機能を提供する。一般に制御対象装置340は複数の出力方法を持つ。データ遮断モジュール411は、それらの出力方法のすべてを遮断してもよいし、あらかじめ指定した出力方法のみを遮断してもよい。例えば、印刷を遮断する場合は、印刷用のポートを利用禁止にしておけばよい。また、データ遮断モジュール411は、制御モジュール413から遮断解除の指示を受信すると、遮断を解除する。なお、データの制御を行わず、ログ315だけを取得したい場合は、データ遮断モジュール411は不要である。
イベント監視モジュール412は、制御対象装置340内で発生するイベントを監視し、データ出力に関するイベントが発生した場合に、制御モジュール413へ通知する機能を提供する。OSが提供するAPIなどを利用することでこの機能を実現できる。
制御モジュール413は、制御対象装置340内から出力されようとするデータ(制御対象データ)を取得し、ポリシ問合せモジュール421を介してポリシ管理サーバ110へ制御対象データのポリシを問合せ、その結果に従って、制御対象データを制御する機能を提供する。制御モジュール413の詳細は、図11で説明する。
ポリシ問合せ機能132は、ポリシ問合せモジュール421、制御ルール313などを備えて構成される。
ポリシ問合せモジュール421は、制御対象データのポリシをポリシ管理サーバ110へ問合せ、受信した結果を制御モジュール413へ送信する機能を提供する。ポリシ問合せモジュール421の詳細は、図12で説明する。
制御ルール313は、図3で説明した制御ルール313と同一の内容である。制御方法の判定をポリシ管理サーバ110上で行う場合は、制御装置内の制御ルール313は不要となる。
クエリ秘匿機能133は、クエリ生成モジュール431、秘匿化モジュール432などを備えて構成される。
クエリ生成モジュール431は、ポリシ問合せモジュール421がポリシ管理サーバ110に制御対象データのポリシを問い合わせるためのクエリを生成する。クエリは、クエリから制御対象データの内容が推測されないように、秘匿化処理が施される。
クエリ生成モジュール431は、ポリシ問合せモジュール421がポリシ管理サーバ110に制御対象データのポリシを問い合わせるためのクエリを生成する。クエリは、クエリから制御対象データの内容が推測されないように、秘匿化処理が施される。
秘匿化モジュール432は、クエリ生成モジュール431がクエリに秘匿化処理を行うための、暗号化、ハッシュ化などの機能を提供する。
ローカルフィルタ314は、図3で説明したローカルフィルタ314と同一である。ローカルフィルタ314はローカルフィルタ配信モジュール333により、各制御措置へ配信される。
次に図5を参照して、管理者用端末120の例について説明する。
設定機能121は、設定モジュール511、認証モジュール512、などを備えて構成される。
認証モジュール512は、管理者用端末120を利用するユーザを認証する機能を提供する。認証方法としては、パスワードや生体情報を利用したものなどがあげられる。また、認証モジュール521は、内部に保持するユーザ情報に基づいて、ユーザが利用できる管理者用端末120の機能を制限する機能なども提供する。
設定モジュール511は、管理者が各種の設定を行うためのGUIやCUIなどのインターフェースを提供する。また、管理者が入力したポリシなどをポリシ管理サーバ110へ送信し、ポリシ管理サーバ110内に登録する機能を提供する。このとき、カテゴリルール312、ローカルフィルタ314、制御ルール313など、秘匿する必要がない情報は、管理者が入力した情報をそのまま送信する。しかし、定義情報など、機密内容を含む情報は、管理者が入力した情報を定義情報秘匿機能122により秘匿化し、ポリシ管理サーバ110へ送信する。
定義情報秘匿機能122は、定義情報秘匿モジュール521、定義情報閲覧モジュール522、などを備えて構成される。
定義情報秘匿モジュール521は、管理者が入力した定義情報を、制御装置から送信された秘匿化したクエリと照合可能にし、かつ、定義情報の内容は推測できない状態に秘匿化する機能を提供する。定義情報秘匿モジュール521の詳細は、図16で説明する。
定義情報閲覧モジュール522は、入力した定義情報の確認又は修正のため、ポリシ管理サーバ110で管理する秘匿化されたリファレンスから秘匿前のリファレンスを復元する、即ち、リファレンスを元の定義情報に復元する機能を提供する。定義情報閲覧モジュール522は、管理者が入力した復元のための鍵を用いて、リファレンスを元の定義情報に復元する。
(テーブル)
次に図6を参照して、機密レベルとそのレベルに応じた処理との対応を示す制御ルール313の例について説明する。
次に図6を参照して、機密レベルとそのレベルに応じた処理との対応を示す制御ルール313の例について説明する。
制御ルール313は、カテゴリ601と制御内容602などを含む。
カテゴリ601は、データが属する機密レベルを表す名前である。図6の例では、公開、社外秘、極秘などのカテゴリが設定されている。
制御内容602は、制御装置で制御モジュール413が制御対象データに対して行う処理を表す。制御内容602は、複数の出力機能から構成され、各出力機能に対する制限内容を含む。「○」は制限されていないことを示し、「×」は制限内容であることを示し、「△」は条件付きの制限内容を示す。制限内容は、例えば「×出力を禁止する」、「△暗号化して出力」などを含む。図6の例では、カテゴリ「社外秘」に属するデータは、暗号化することで外部媒体書き出しとメール送信が行えるが、Webアップロードと印刷は禁止されていることを表す。
次に図7を参照して、リファレンステーブル311の例について説明する。リファレンステーブル311はID701、リファレンス702、重要度703などを含む。
ID701は、個別のリファレンス702を一意に識別するための識別子である。リファレンス702は、管理者が機密情報として設定した定義情報を秘匿化した情報である。秘匿照合モジュール321は、制御対象装置から送信された秘匿化されたクエリと定義情報を秘匿化したリファレンスを照合することで、制御対象データの属するカテゴリを判定する。
重要度703は、リファレンス702に対する機密の度合を表す。秘匿照合モジュール321が制御対象データに含まれる要素のカテゴリを判定する際に、この重要度を利用することで、重要度の高いリファレンスと一致した制御対象データは、より機密度が高いカテゴリに分類するなどの柔軟な判定ロジックを実現できる。重要度703の数値が大きい程、機密の度合が高いことを示す。
次に図8を参照して、ログ315の例について説明する。ログ315は、制御対象801、日時802、機器情報803、利用者ID804、カテゴリ805、リファレンスID806、制御結果807などを含む。
制御対象801は、制御対象データを識別する情報を表す。たとえばファイル名などが利用できる。日時802は、制御対象装置で制御が行われた時刻などを表す。機器情報803は、制御が行われた制御対象装置を識別する情報を表す。たとえば機器名や、IPアドレスなどが利用できる。利用者ID804は、制御対象データに対して出力処理を行ったユーザを識別する情報を表す。たとえば従業員IDなどが利用できる。
カテゴリ805は、制御対象データの属するカテゴリを表す。ポリシ判定モジュール331が判定したカテゴリがこの値に反映される。リファレンスID806は、制御対象データに含まれるリファレンスのID、即ち、ID701を表す。秘匿照合モジュール321が制御対象データのクエリとリファレンステーブル311を照合した結果、即ち、クエリと合致するレファレンス702のID701がこの値に反映される。制御結果807は、制御モジュール413が制御対象データに対して行った制御の内容を表す。
ポリシ問合せモジュール421は、制御モジュール413が制御を行った後に、ログ315を生成しポリシ管理サーバ110へ送信する。ポリシ管理サーバ110上のデータは悪意のあるサーバ管理者などが閲覧する可能性があるので、ポリシ問合せモジュール421は、ログ315の中で公開したくない情報を送信する前に暗号化して送ることができる。その際、ログ315のエントリ全体を暗号化してもよいし、制御対象だけなど一部を暗号化してもよい。
次に図9を参照して、制御対象データから秘匿化すべき要素を選択するためのローカルフィルタ314の例について説明する。ローカルフィルタ314は、ID901、フィルタ902などを含む。
ID901はフィルタを識別するための情報を表す。
フィルタ902は、制御対象データの中でポリシ判定に関係しない部分(単語、部分文字列など)を識別するための情報を表わす。たとえば、自明なキーワードなどを含む。フィルタ902には、秘匿化する必要がなく、更に、照合の必要がないデータが格納される。その結果、ローカルフィルタ314を保持しているポリシ管理サーバ110に対して、機密情報が隠ぺいされ、ローカルフィルタ314から機密情報が漏れることが防止される。
次に図10を参照して、カテゴリルール312の例について説明する。カテゴリルール312は、カテゴリ1001、判定ロジック1002などを含む。
次に図10を参照して、カテゴリルール312の例について説明する。カテゴリルール312は、カテゴリ1001、判定ロジック1002などを含む。
カテゴリ1001は、制御ルール313で定義されている情報と同一である。判定ロジック1002は、秘匿化された照合用クエリと秘匿化された定義情報であるレファレンスとの照合結果に対して、ポリシ判定モジュール331がカテゴリの機密度を判定するための基準を表す。たとえば、一致したリファレンスの重要度の合計値の上限と下限などを含む。
(処理手順)
次に図11を参照して、制御対象装置130−150の制御モジュール413の処理の例について説明する。
次に図11を参照して、制御対象装置130−150の制御モジュール413の処理の例について説明する。
制御モジュール413は、データ出力に関するイベント発生の通知をイベント監視モジュール412から受信したタイミングで処理を開始する。即ち、このイベント発生の通知が、制御対象データに対する機密判定の要求となる。
ステップ1101において、制御モジュール413は、各制御対象装置が保持している制御対象データを取得する。この時、ファイル名など制御対象データに関係する情報も一緒に取得する。取得した後、ステップ1102に進む。
ステップ1102において、制御モジュール413は、ステップ1101で取得した情報を用いて、制御対象データのポリシをポリシ管理サーバ110へ問い合わせる。即ち、制御対象データに含まれる要素(単語、部分文字列など)が機密情報であるかどうか、及び、その要素に関する制御方法を問い合わせる。問い合わせ処理は、ポリシ問合せモジュール421を介して行われる。問合せ処理の詳細は、図12で説明する。問い合わせた結果を取得した後、ステップ1103に進む。
ステップ1103において、制御モジュール413は、ステップ1102で取得したポリシに基づいて、出力処理を続行するか中断するかを判断する。処理を続行する場合は、ステップ1104へ、中止する場合は、ステップ1108へ進む。
ステップ1104において、制御モジュール413は、ステップ1102で取得したポリシに基づいて、制御対象データを加工する必要があるかを判断する。加工する必要がある場合は、ステップ1105へ、加工する必要がない場合は、ステップ1106へ進む。
ステップ1105において、制御モジュール413は、ステップ1102で取得したポリシに基づいて、制御対象データを加工する。また、暗号化などの加工処理を行う場合、ユーザに復号のためのパスワードを設定させるなどの処理を行う。データを加工した後、ステップ1106に進む。
ステップ1106において、制御モジュール413は、制御対象データの出力処理を続行する。この処理は、制御モジュール413がデータ遮断モジュール411に対してデータの遮断機能を解除する命令を行うことで実現される。これにより、制御対象データは、各制御対象装置が備える出力機能を通して出力される。ステップ1105においてデータを加工した場合は、加工済みのデータを出力する。出力した後、ステップ1107に進む。
ステップ1108において、制御モジュール413は、制御対象データの出力処理を中止する。ここで、制御モジュール413は、ポップアップ画面を表示し、処理の中止をユーザに通知するなどの補助的な処理を行ってもよい。出力処理を中止した後、ステップ1107に進む。
ステップ1107において、制御モジュール413は、制御対象データに対する処理の結果をポリシ問合せモジュール421へ送信する。ステップ1106で出力処理を続行した場合、出力処理が問題なく終了したか、あるいは何らかのエラーが発生して出力処理が中断されたかなどを処理の結果に含む。更に、処理の結果は、ポリシ管理サーバ110に送信され、ログ315に登録される。一方ステップ1106で出力処理を中断した場合は、出力処理が適切に中止されたかなどを処理の結果に含む。処理結果を送信した後、制御モジュール413は処理を終了する。
次に図12を参照して、制御対象装置130−150のポリシ問合せモジュール421の処理の例について説明する。
ポリシ問合せモジュール421は、制御モジュール413から制御対象データのポリシ問合せ命令を受信したタイミングで、処理を開始する。
ステップ1201において、ポリシ問合せモジュール421は、ポリシ管理サーバ110へポリシを問い合わせるためのクエリを制御対象データから生成する。クエリの生成処理は、クエリ生成モジュール431を使って行われる。クエリ生成処理の詳細は、図13で説明する。ポリシ問合せモジュール421は、クエリを生成した後、ステップ1202に進む。
ステップ1202において、ポリシ問合せモジュール421は、ステップ1201で生成したクエリをポリシ管理サーバ110へ送信する。送信する際に、ポリシ問合せモジュール421は、制御対象データの機密判定に必要な付加情報をクエリとともに送信する。付加情報には、制御対象装置を識別する情報(例:マシン名、IPアドレス)、出力処理の内容(例:印刷、USB書き出し)などが含まれる。クエリを送信した後、ステップ1203に進む。
ステップ1203において、ポリシ問合せモジュール421は、ポリシ管理サーバ110からポリシの判定結果を受信する。受信した後、ステップ1204に進む。
ステップ1204において、ポリシ問合せモジュール421は、ステップ1203で受信したポリシ判定結果を制御モジュール413へ通知する。制御モジュール413は、受信したポリシ判定結果に従って、出力処理の続行あるいは中止を行う。通知した後、ステップ1205に進む。
ステップ1205において、ポリシ問合せモジュール421は、制御モジュール413から制御対象データに対する処理の結果を受信する。受信した後、ステップ1206に進む。
ステップ1206において、ポリシ問合せモジュール421は、制御対象データに関する一連の処理のログ315を作成し、ポリシ管理サーバ110へ送信する。ログ315の内容は、例えば図8で示した内容を含む。ログ315を送信した後、ポリシ問合せモジュール421は処理を終了する。
次に図13を参照して、制御対象装置130−150のクエリ生成モジュール431の処理(図12のステップ1201)の例について説明する。クエリ生成モジュール431は、ポリシ問合せモジュール421からクエリ生成の命令を受信したタイミングで、処理を開始する。
ステップ1301において、クエリ生成モジュール431は、制御対象データを解析し照合対象要素を抽出する。ここで、照合対象要素は、単語や文などリファレンスと照合したい単位に制御対象データを分解したデータを表す。単語を照合対象要素にする場合は、形態素解析などの技術を用いることで実現できる。文を照合対象要素にする場合は、句読点や改行文字など特定のコードで分解することで実現できる。
また、隣り合って出現するn単語の集合(単語nグラムとよばれる)や、隣り合って出現するn文字の集合(文字nグラム)などを照合対象要素として用いてもよい。照合対象要素を抽出した後、ステップ1302に進む。
ステップ1302において、クエリ生成モジュール431は、ステップ1301で抽出した照合対象要素のうち、ポリシ判定に寄与しない要素を除外する。この処理は、ローカルフィルタ314を参照して、ローカルフィルタ314に含まれる条件に一致する照合対象要素を除外することで行われる。除外した後、ステップ1303に進む。
ステップ1303において、クエリ生成モジュール431は、ステップ1302で除外されずに残った照合対象要素を秘匿化する。
ここで、本発明で用いる秘匿化の方法について説明する。本発明では、次の2つの性質を満たす秘匿化を用いる。
(1)権限のない者が、秘匿化したデータから秘匿する前のデータを復元することは困難である。
(2)秘匿化した2つのデータを比較することで、秘匿化する前のデータが同一かどうかを判定できる。
(1)権限のない者が、秘匿化したデータから秘匿する前のデータを復元することは困難である。
(2)秘匿化した2つのデータを比較することで、秘匿化する前のデータが同一かどうかを判定できる。
上記の性質を満たす方法はいくつか考えられる。下記で代表的な方法を説明するが、本発明はそれらの方法に限定されない。
一番単純な方法として、MD5やSHA−1などのハッシュ関数を用いる方法がある。管理者は、キーワードや文字列をそのままリファレンスとして登録せずに、それらにハッシュ関数を適用した値を登録する。クエリ生成モジュール431は、制御対象データから抽出した各要素にハッシュ関数を適用した値の集合からクエリを生成する。ハッシュ関数の性質から、もとのデータが同一であればハッシュ関数を適用した値も同一なので、秘匿照合モジュール321は、リファレンスとクエリを照合できる。しかし、ハッシュ値を用いる場合は、管理者であっても、リファレンスから秘匿前の情報を復元することはできない。
別の方法として、暗号化を用いる方法がある。暗号化はDESやAESなど共通鍵暗号方式とRSAなどの公開鍵暗号方式に分けられる。
共通鍵暗号方式を用いる場合は、管理者は、管理者しか知らない共通鍵でリファレンスを秘匿化してポリシ管理サーバ110へ登録する。さらに、管理者は、その暗号化鍵を各制御対象装置内のクエリ生成モジュール431に格納する。クエリ生成モジュール431は、格納された暗号化鍵を用いて、制御対象データから抽出した各要素を暗号化する。ハッシュ値を用いる場合と違い、管理者は、ポリシ管理サーバ110に登録されたリファレンスを共通鍵で復号することで、秘匿化する前のリファレンスの情報を閲覧することができる。
一方、公開鍵暗号方式を用いる場合は、管理者は、公開鍵と秘密鍵のペアのうち、公開鍵でリファレンスを秘匿してポリシ管理サーバ110へ登録する。さらに、管理者は、公開鍵を各制御対象装置内のクエリ生成モジュール431に格納する。クエリ生成モジュール431は、格納された公開鍵を用いて、制御対象データから抽出した各要素を暗号化する。管理者は、ポリシ管理サーバ110に登録されたリファレンスを秘密鍵で復号することで、秘匿化する前のリファレンスの情報を閲覧することができる。
上記で述べた暗号化では、ある一つの鍵を使う限り、同一の平文は常に同一の暗号文になる。それに対し、ある一の鍵を用いても、同一の平文が暗号化するごとに異なる暗号文になり、かつ、もとの平文の同一性を暗号文から判定できる技術が知られている。この技術は、一般に「検索可能暗号」などと呼ばれる。本発明の秘匿化に検索可能暗号を利用してもよい。検索可能暗号の詳細は非特許文献1及び2を参照のこと。
クエリ生成モジュール431は、各要素を秘匿化した後、ステップ1304に進む。ステップ1304において、クエリ生成モジュール431は、ステップ1303で秘匿化した各照合対象要素を、ポリシ管理サーバ110へ送信する形式へ符号化する。
符号化の方法は、ポリシ管理サーバ110がリファレンスと照合可能な形式であれば任意の方法でよい。たとえば、XML形式で符号化する場合、ステップ1303で秘匿化した各照合対象要素を16進数文字列で表現し、各照合対象要素をタグの要素に代入すればよい。また、別の符号化の例として、各照合対象要素をブルームフィルタ(Bloom Filter)に格納する方法が考えられる。ブルームフィルタは空間効率の良い確率的データ構造であり、ある要素がある集合のメンバーであるかどうかのテストに使われる。テストにかかる時間が集合数に依存せず定数オーダーであることと、データサイズを非常に小さくできることが特徴である。その反面、集合に含まれていない要素を集合に属していると誤判定する可能性がある。しかし、誤判定の可能性は集合の数やデータサイズを調整することで、任意に小さくできる。ブルームフィルタの詳細については非特許文献3を参照のこと。
ブルームフィルタに各照合対象要素を格納することで、ポリシ管理サーバ110がリファレンスと照合する時間を短縮するとともに、ポリシ管理サーバ110へ送信するクエリのデータサイズを小さくすることができる。ブルームフィルタの特性から、実際にはリファレンスと一致しない場合に、誤って一致すると判定する可能性がある。そのような場合への対応策として、リファレンスと一致する照合対象要素を含むとポリシ管理サーバ110が判定したクエリに対しては、完全な形式の照合対象要素をポリシ問合せモジュール421に対して要求し直す、という方法が考えられる。ほとんどの制御対象データが非機密データであるような場合は、全体でみれば、この再送にかかるデメリットをブルームフィルタによるデータ削減のメリットで補うことができる。すべての照合対象要素を符号化した後、クエリ生成モジュール431は、処理を終了する。
次に図14を参照して、ポリシ管理サーバ110のポリシ判定モジュール331の処理の例について説明する。ポリシ判定モジュール331は、制御対象装置130−150から制御対象データのポリシ判定のためのクエリを受信したタイミングで処理を開始する。
ステップ1401において、ポリシ判定モジュール331は、クエリから制御対象データのカテゴリを判定する。この処理は、秘匿照合モジュール321を介して行われる。処理の詳細は、図15で説明する。制御対象データのカテゴリを判定した後、ステップ1402に進む。
ステップ1402において、ポリシ判定モジュール331は、制御ルール313を参照して、ステップ1401で判定したカテゴリ601に該当する制御内容602を判定する。このとき、ポリシ判定モジュール331は、制御対象装置から受信した出力内容に一致する制御内容602の項目のみを判定すればよい。たとえば、制御対象装置から送信されたクエリが「社外秘」であり、かつ出力内容が「メール送信」である場合は、「△暗号化」という判定を下す。制御内容を判定した後、ステップ1403に進む。
ステップ1403において、ポリシ判定モジュール331は、ステップ1401で判定したカテゴリおよびステップ1402で判定した制御内容を制御対象装置へ送信する。送信した後、ステップ1404に進む。
ステップ1404において、ポリシ判定モジュール331は、制御対象装置130−150から、制御対象データの制御結果であるログ315を受信する。ログを受信した後、ステップ1405に進む。
ステップ1405において、ポリシ判定モジュール331は、ステップ1404で受信したログ315を、ポリシ管理サーバ110内で管理するログ315に保存する。このとき、秘匿照合モジュール321が記録しているリファレンスIDなどの情報をログ315に追加する。ログ315を保存した後、ポリシ判定モジュール331は処理を終了する。
次に図15を参照して、ポリシ管理サーバ110の秘匿照合モジュール321の処理(図14のステップ1401)の例について説明する。秘匿照合モジュール321は、ポリシ判定モジュール331から、クエリのカテゴリ判定の命令を受信したタイミングで処理を開始する。
ステップ1501において、秘匿照合モジュール321は、リファレンステーブル311からひとつリファレンスを読み込む。読み込んだ後、ステップ1502に進む。
ステップ1502において、秘匿照合モジュール321は、ステップ1501で読み込んだリファレンスとクエリとを照合する。照合した結果、クエリがリファレンスを含む場合はステップ1503へ、含まない場合はステップ1504に進む。
ステップ1503において、秘匿照合モジュール321は、ステップ1502で照合したリファレンスを一致リストに加える。一致リストは秘匿照合モジュール321内部の記録領域に格納されたデータであり、リファレンスのID701、重要度703などを含む。ここで記録されたリファレンスID703は、ログ315のリファレンスID806として利用される。また、重要度は、ステップ1505でカテゴリを判定する際に利用される。リファレンスを一致リストに加えた後、ステップ1504に進む。
ステップ1504において、秘匿照合モジュール321は、リファレンステーブル311に含まれるすべてのリファレンスを照合し終えたかを判定する。判定した結果、すべてのリファレンスを照合した場合はステップ1505へ、まだ照合していないリファレンスが残っている場合は、ステップ1501に戻る。
ステップ1505において、秘匿照合モジュール321は、一致リストとカテゴリルール312を用いて、制御対象データのカテゴリを決定する。判定ロジック1102が図10の例の場合、一致リストに含まれる各リファレンスの重要度をリファレンス毎に合計し、各リファレンスに対して、その合計値により対応するカテゴリを決定する。例えば、制御対象データに含まれる定義情報「クレジット番号」に対応する秘匿化された情報であるリファレンスの重要度の合計値が「3」の場合、図10のカテゴリテーブル312の判定ロジック1002から、カテゴリ1001は「社外秘」と決定される。即ち、定義情報「クレジット番号」に対する機密度が決定される。カテゴリを決定した後、秘匿照合モジュール321は処理を終了する。
次に図16を参照して、管理者用端末120の定義情報秘匿モジュール521の処理の例について説明する。定義情報秘匿モジュール521は、設定モジュール511から定義情報を秘匿する命令を受信したタイミングで処理を開始する。即ち、制御対象データに対して機密情報とすべき定義情報が、管理者用端末120に入力されたタイミングで処理が開始される。
ステップ1601において、定義情報秘匿モジュール521は、管理者が秘匿化に利用する鍵を用意しているか判断する。設定モジュール511は、既存の鍵を使うか新たな鍵を生成するかを管理者が選択する機能を提供する。定義情報秘匿モジュール521は、設定モジュール511の入力インターフェース上に管理者が選択した結果に基づいて秘匿化に利用する鍵が用意されているかを判断する。判断した結果、鍵が用意されている場合は1602ステップへ、鍵が用意されていない場合は1604ステップへ進む。なお、単純なハッシュ化のように、鍵を必要としない秘匿化方法を利用する場合は、ステップ1605へ進む。
ステップ1602において、管理者は、設定モジュール511が提供する入力インターフェースを通して、鍵を入力する。定義情報秘匿モジュール521は、この入力された鍵を内部の記憶領域に格納する。管理者が鍵を入力した後、ステップ1603に進む。
ステップ1604において、定義情報秘匿モジュール521は、秘匿化に利用する鍵を生成する。このとき、定義情報秘匿モジュール521は、閲覧に必要な鍵を同時に生成する。用いる暗号アルゴリズムによって、秘匿化と閲覧に異なる鍵を利用する場合と同一の鍵を利用する場合がある。鍵を生成した後、ステップ1603に進む。
ステップ1603において、管理者は、設定モジュール511の入力インターフェースを通して、定義情報を入力する。定義情報秘匿モジュール521は、この入力された定義情報を内部の記録領域に格納する。管理者が定義情報を入力した後、ステップ1605に進む。
ステップ1605において、定義情報秘匿モジュール521は、定義情報を秘匿化してリファレンスを生成する。秘匿化した後、ステップ1606に進む。
ステップ1606において、定義情報秘匿モジュール521は、ポリシ管理サーバ110のリファレンステーブル311へリファレンスを登録する。登録した後、定義情報秘匿モジュール521は処理を終了する。
101:ネットワーク、110:ポリシ管理サーバ、111:ポリシ管理機能、112:ポリシ判定機能、113:ポリシ判定秘匿機能、120:管理者用端末、121:設定機能、122:定義情報秘匿機能、130:エンドポイント、131:データ制御機能、132:ポリシ問合せ機能、133:クエリ秘匿機能、140:ストレージ、150:ネットワーク管理装置、201:コンピュータ、202:CPU、203:主記憶装置、204:補助記憶装置、205:ネットワークインターフェース、206:I/Oインターフェース、207:内部バス、311:リファレンステーブル、312:カテゴリルール、313:制御ルール、314:ローカルフィルタ、315:ログ、321:秘匿照合モジュール、331: ポリシ判定モジュール、332:制御ルール配信モジュール、333:ローカルフィルタ配信モジュール、411:データ遮断モジュール、412:イベント監視モジュール、413:制御モジュール、421:ポリシ問合せモジュール、431:クエリ生成モジュール、432:秘匿化モジュール、511:設定モジュール、512:認証モジュール、521:定義情報秘匿モジュール、522:定義情報閲覧モジュール
Claims (13)
- コンピュータやネットワーク上のデータを監視し、予め設定した定義情報に基づいて前記データの機密性を判定し、前記機密性に応じて前記データの処理を変更する機密データの漏えい防止方法であって、
前記定義情報を秘匿化しネットワークにつながれたコンピュータ上に秘匿化した定義情報を格納するステップと、
前記データと前記秘匿化した定義情報を前記秘匿化した定義情報を秘匿したまま照合して機密性を判定するステップとを有する、機密データの漏えい防止方法。 - 請求項1に記載の機密データの漏えい防止方法であって、前記データから前記データを構成する部分データの集合を抽出し、前記部分データの集合の各要素を秘匿化して生成したデータ集合を前記秘匿化した定義情報を保持するコンピュータ上に送信し、前記データ集合と前記秘匿化した定義情報の一致度を測定することで、前記データと前記秘匿化した定義情報の照合を行うことを特徴とする、機密データの漏えい防止方法。
- 機密情報を設定するための管理者用端末と、
機密判定すべき制御対象データを制御する、少なくとも一つの制御対象装置と、
前記機密情報に基づいて、前記制御対象データの機密の度合を判定するポリシ管理サーバとが、
互いにネットワークを介して接続された機密データ漏えい防止システムであって、
前記管理者用端末は、
前記機密情報として設定すべき定義情報を受け付け、前記定義情報を秘匿化したリファレンスを生成して前記ポリシ管理サーバに送信する定義情報秘匿手段を有し、
前記制御対象装置は、
機密判定の要求を受けて、前記制御対象データから抽出した要素を秘匿化する秘匿化手段と、
前記秘匿化した要素を含む照合用クエリを生成して前記ポリシ管理サーバに送信するクエリ生成手段と、
前記制御対象データの制御を行って、前記制御の結果をログとして前記ポリシ管理サーバに登録する制御手段とを有し、
前記ポリシ管理サーバは、
前記照合用クエリと前記リファレンスとを照合する照合手段と、
前記照合の結果に対して機密の度合を判定し、前記判定の結果を前記制御対象装置に送信する機密判定手段とを有する、
ことを特徴とする機密データ漏えい防止システム。 - 前記制御対象装置の前記秘匿化手段は、前記ポリシ管理サーバが保持し、秘匿化及び照合の必要がないデータを識別するためのローカルフィルタに基づいて、前記要素の抽出を行うことを特徴とする請求項3記載の機密データ漏えい防止システム。
- 前記ポリシ管理サーバの前記機密判定手段は、前記ポリシ管理サーバが保持し、カテゴリの機密の度合を判定するための基準を定めたカテゴリルールに基づいて、前記照合の結果に対して機密の度合を判定することを特徴とする請求項3記載の機密データ漏えい防止システム。
- 前記制御対象装置の前記制御手段は、前記ポリシ管理サーバが保持し、前記機密判定の結果得られる機密の度合いに応じた制御方法を定めた制御ルールに基づいて、前記制御対象データを制御することを特徴とする請求項3記載の機密データ漏えい防止システム。
- ネットワークを介して、管理者用端末と、少なくとも一つの制御対象装置とに接続されたポリシ管理サーバは、
前記管理者用端末から入力した、機密情報として設定すべき定義情報を秘匿化したリファレンスと、前記制御対象装置から入力した、制御対象データから抽出した要素を秘匿化して生成した照合用クエリとを照合する照合手段と、
前記照合の結果に対して機密の度合を判定し、前記判定の結果を前記制御対象装置に送信する機密判定手段とを有する、
ことを特徴とするポリシ管理サーバ。 - ネットワークを介して、管理者用端末と、ポリシ管理サーバとに接続された少なくとも一つの制御対象装置は、
機密判定の要求を受けて、前記制御対象データから抽出した要素を秘匿化する秘匿化手段と、
前記秘匿化した要素を含む照合用クエリを生成して前記ポリシ管理サーバに送信するクエリ生成手段と、
前記制御対象データの制御を行って、前記制御の結果をログとして前記ポリシ管理サーバに登録する制御手段とを有し、
前記秘匿化手段は、前記ポリシ管理サーバが保持し、秘匿化及び照合の必要がないデータを識別するためのローカルフィルタに基づいて、前記要素の抽出を行い、
前記制御手段は、前記ポリシ管理サーバが保持し、前記機密判定の結果得られる機密の度合いに応じた制御方法を定めた制御ルールに基づいて、前記制御対象データを制御することを特徴とする制御対象装置。 - 機密情報を設定するための管理者用端末と、それぞれが機密判定すべき制御対象データを制御する、少なくとも一つの制御対象装置と、前記機密情報に基づいて、前記制御対象データの機密の度合を判定するポリシ管理サーバとが、互いにネットワークを介して接続されたシステムにおける、機密データ漏えい防止方法であって、
前記管理者用端末は、
前記機密情報として設定すべき定義情報を受け付け、前記定義情報を秘匿化したリファレンスを生成して前記ポリシ管理サーバに送信し、
前記制御対象装置は、
機密判定の要求を受けて、前記制御対象データから抽出した要素を秘匿化し、
前記秘匿化した要素を含む照合用クエリを生成して前記ポリシ管理サーバに送信し、
前記ポリシ管理サーバは、
前記照合用クエリと前記リファレンスとを照合し、
前記照合の結果に対して機密の度合を判定し、前記判定の結果を前記制御対象装置に送信し、
前記制御対象装置は、
前記制御対象データの制御を行って、前記制御の結果をログとして前記ポリシ管理サーバに登録する、
ことを特徴とする機密データ漏えい防止方法。 - ネットワークを介して、管理者用端末と、少なくとも一つの制御対象装置とに接続されたポリシ管理サーバにおける、機密データ漏えい防止方法であって、
前記管理者用端末から入力した、機密情報として設定すべき定義情報を秘匿化したリファレンスと、前記制御対象装置から入力した、制御対象データから抽出した要素を秘匿化して生成した照合用クエリとを照合し、
前記照合の結果に対して機密の度合を判定し、前記判定の結果を前記制御対象装置に送信する、
ことを特徴とする機密データ漏えい防止方法。 - ネットワークを介して、管理者用端末と、ポリシ管理サーバとに接続された少なくとも一つの制御対象装置における、機密データ漏えい防止方法であって、
機密判定の要求を受けて、前記制御対象データから抽出した要素を秘匿化する秘匿化ステップと、
前記秘匿化した要素を含む照合用クエリを生成して前記ポリシ管理サーバに送信するクエリ生成ステップと、
前記制御対象データの制御を行って、前記制御の結果をログとして前記ポリシ管理サーバに登録する制御ステップを有し、
前記秘匿化ステップは、前記ポリシ管理サーバが保持し、秘匿化及び照合の必要がないデータを識別するためのローカルフィルタに基づいて、前記要素の抽出を行い、
前記制御ステップは、前記ポリシ管理サーバが保持し、前記機密判定の結果得られる機密の度合いに応じた制御方法を定めた制御ルールに基づいて、前記制御対象データを制御することを特徴とする機密データ漏えい防止方法。 - ネットワークを介して、管理者用端末と、少なくとも一つの制御対象装置とに接続されたポリシ管理サーバにおける機密データ漏えい防止方法を実行するためのプログラムを格納した、計算機で読み取り可能な記憶媒体であって、前記方法は、
前記管理者用端末から入力した、機密情報として設定すべき定義情報を秘匿化したリファレンスと、前記制御対象装置から入力した、制御対象データから抽出した要素を秘匿化して生成した照合用クエリとを照合し、
前記照合の結果に対して機密の度合を判定し、前記判定の結果を前記制御対象装置に送信する、
ことを特徴とする記憶媒体。 - ネットワークを介して、管理者用端末と、ポリシ管理サーバとに接続された少なくとも一つの制御対象装置における機密データ漏えい防止方法を実行するためのプログラムを格納した、計算機で読み取り可能な記憶媒体であって、前記方法は、
機密判定の要求を受けて、前記制御対象データから抽出した要素を秘匿化する秘匿化ステップと、
前記秘匿化した要素を含む照合用クエリを生成して前記ポリシ管理サーバに送信するクエリ生成ステップと、
前記制御対象データの制御を行って、前記制御の結果をログとして前記ポリシ管理サーバに登録する制御ステップを有し、
前記秘匿化ステップは、前記ポリシ管理サーバが保持し、秘匿化及び照合の必要がないデータを識別するためのローカルフィルタに基づいて、前記要素の抽出を行い、
前記制御ステップは、前記ポリシ管理サーバが保持し、前記機密判定の結果得られる機密の度合いに応じた制御方法を定めた制御ルールに基づいて、前記制御対象データを制御する、
ことを特徴とする記憶媒体。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2012/052996 WO2013118280A1 (ja) | 2012-02-09 | 2012-02-09 | 機密データ漏えい防止装置および方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2013118280A1 true JPWO2013118280A1 (ja) | 2015-05-11 |
| JP5833146B2 JP5833146B2 (ja) | 2015-12-16 |
Family
ID=48947084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013557322A Expired - Fee Related JP5833146B2 (ja) | 2012-02-09 | 2012-02-09 | 機密データ漏えい防止装置および方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20140331338A1 (ja) |
| JP (1) | JP5833146B2 (ja) |
| WO (1) | WO2013118280A1 (ja) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6045533B2 (ja) * | 2014-05-26 | 2016-12-14 | 京セラドキュメントソリューションズ株式会社 | 文書管理装置及び文書管理プログラム |
| WO2016057791A1 (en) * | 2014-10-10 | 2016-04-14 | Sequitur Labs, Inc. | Policy-based control of online financial transactions |
| CN104363249B (zh) * | 2014-12-01 | 2018-07-24 | 网易有道信息技术(北京)有限公司 | 一种信息记录的方法和设备 |
| JP6321216B2 (ja) * | 2015-01-15 | 2018-05-09 | 日本電信電話株式会社 | 行列・キー生成装置、行列・キー生成システム、行列結合装置、行列・キー生成方法、プログラム |
| US10834289B2 (en) | 2015-03-27 | 2020-11-10 | International Business Machines Corporation | Detection of steganography on the perimeter |
| US9740877B2 (en) * | 2015-09-22 | 2017-08-22 | Google Inc. | Systems and methods for data loss prevention while preserving privacy |
| CN106713242B (zh) * | 2015-11-17 | 2020-04-07 | 阿里巴巴集团控股有限公司 | 数据请求的处理方法及处理装置 |
| CN105550350B (zh) * | 2015-12-25 | 2019-12-20 | 北京奇虎科技有限公司 | 提供服务器信息的查询服务的方法和装置 |
| EP3449312B1 (en) | 2016-04-25 | 2023-05-31 | ASML Netherlands B.V. | A membrane for euv lithography |
| US11314688B2 (en) * | 2016-10-31 | 2022-04-26 | Salesforce.Com, Inc. | Providing access to transformed user data to maintain user privacy |
| JP6926749B2 (ja) * | 2017-07-12 | 2021-08-25 | 富士フイルムビジネスイノベーション株式会社 | 文書管理装置、文書管理システム及びプログラム |
| JP7009802B2 (ja) * | 2017-07-12 | 2022-01-26 | 富士フイルムビジネスイノベーション株式会社 | 文書管理装置、文書管理システム及びプログラム |
| WO2019078343A1 (ja) * | 2017-10-20 | 2019-04-25 | 国立大学法人電気通信大学 | 暗号化制御システム、暗号化制御方法及び暗号化制御プログラム |
| KR101999130B1 (ko) * | 2017-11-28 | 2019-07-11 | (주)소만사 | 엔드포인트 dlp를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법 |
| CN108256340B (zh) * | 2017-12-22 | 2020-06-12 | 中国平安人寿保险股份有限公司 | 数据采集方法、装置、终端设备及存储介质 |
| US11641274B2 (en) * | 2019-03-22 | 2023-05-02 | Jpmorgan Chase Bank, N.A. | Systems and methods for manipulation of private information on untrusted environments |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003296331A (ja) * | 2002-04-04 | 2003-10-17 | Kddi Corp | データ検索方法、データ検索システム、検索キーワード生成装置、及びコンピュータプログラム |
| JP2006209649A (ja) * | 2005-01-31 | 2006-08-10 | Nec Corp | 機密文書検索システム、機密文書検索方法、および機密文書検索プログラム |
| JP2007052698A (ja) * | 2005-08-19 | 2007-03-01 | Kddi Corp | 暗号化された文書のためのインデックス生成および検索方法ならびに暗号化文書検索システム |
| JP2010015542A (ja) * | 2008-06-03 | 2010-01-21 | Hitachi Ltd | ファイル管理システム |
| US7885944B1 (en) * | 2008-03-28 | 2011-02-08 | Symantec Corporation | High-accuracy confidential data detection |
| US7975308B1 (en) * | 2007-09-28 | 2011-07-05 | Symantec Corporation | Method and apparatus to secure user confidential data from untrusted browser extensions |
| WO2011086668A1 (ja) * | 2010-01-13 | 2011-07-21 | 三菱電機株式会社 | 秘匿検索システム及び公開パラメータ生成装置及び暗号化装置及びユーザ秘密鍵生成装置及びクエリ発行装置及び検索装置及びコンピュータプログラム及び秘匿検索方法及び公開パラメータ生成方法及び暗号化方法及びユーザ秘密鍵生成方法及びクエリ発行方法及び検索方法 |
| WO2011086687A1 (ja) * | 2010-01-15 | 2011-07-21 | 三菱電機株式会社 | 秘匿検索システム及び暗号処理システム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101190061B1 (ko) * | 2008-12-01 | 2012-10-11 | 한국전자통신연구원 | 결합 키워드를 이용한 데이터 암호화 방법 및 데이터 검색방법 |
| US20120317410A1 (en) * | 2011-06-08 | 2012-12-13 | Cirque Corporation | Protecting data from data leakage or misuse while supporting multiple channels and physical interfaces |
-
2012
- 2012-02-09 JP JP2013557322A patent/JP5833146B2/ja not_active Expired - Fee Related
- 2012-02-09 US US14/365,503 patent/US20140331338A1/en not_active Abandoned
- 2012-02-09 WO PCT/JP2012/052996 patent/WO2013118280A1/ja active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003296331A (ja) * | 2002-04-04 | 2003-10-17 | Kddi Corp | データ検索方法、データ検索システム、検索キーワード生成装置、及びコンピュータプログラム |
| JP2006209649A (ja) * | 2005-01-31 | 2006-08-10 | Nec Corp | 機密文書検索システム、機密文書検索方法、および機密文書検索プログラム |
| JP2007052698A (ja) * | 2005-08-19 | 2007-03-01 | Kddi Corp | 暗号化された文書のためのインデックス生成および検索方法ならびに暗号化文書検索システム |
| US7975308B1 (en) * | 2007-09-28 | 2011-07-05 | Symantec Corporation | Method and apparatus to secure user confidential data from untrusted browser extensions |
| US7885944B1 (en) * | 2008-03-28 | 2011-02-08 | Symantec Corporation | High-accuracy confidential data detection |
| JP2010015542A (ja) * | 2008-06-03 | 2010-01-21 | Hitachi Ltd | ファイル管理システム |
| WO2011086668A1 (ja) * | 2010-01-13 | 2011-07-21 | 三菱電機株式会社 | 秘匿検索システム及び公開パラメータ生成装置及び暗号化装置及びユーザ秘密鍵生成装置及びクエリ発行装置及び検索装置及びコンピュータプログラム及び秘匿検索方法及び公開パラメータ生成方法及び暗号化方法及びユーザ秘密鍵生成方法及びクエリ発行方法及び検索方法 |
| WO2011086687A1 (ja) * | 2010-01-15 | 2011-07-21 | 三菱電機株式会社 | 秘匿検索システム及び暗号処理システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5833146B2 (ja) | 2015-12-16 |
| WO2013118280A1 (ja) | 2013-08-15 |
| US20140331338A1 (en) | 2014-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5833146B2 (ja) | 機密データ漏えい防止装置および方法 | |
| US8245042B2 (en) | Shielding a sensitive file | |
| US10666436B2 (en) | Federated key management | |
| CN101512490B (zh) | 在网络化环境中保护数据安全 | |
| CA2553648C (en) | Adaptive transparent encryption | |
| US20080052539A1 (en) | Inline storage protection and key devices | |
| US20090106561A1 (en) | Data management apparatus and data management method | |
| US20050066165A1 (en) | Method and system for protecting confidential information | |
| CN105740725B (zh) | 一种文件保护方法与系统 | |
| Scarfone et al. | Guide to enterprise password management (draft) | |
| US20190332792A1 (en) | Access management system, access management method and program | |
| JP2005192198A (ja) | 画像処理装置のネットワークシステムにおける安全なデータ伝送 | |
| CN104102595A (zh) | 一种高保密可移动存储设备 | |
| CN102841902A (zh) | 数据库资料管理方法及系统 | |
| CN105283832A (zh) | 打印复合文档 | |
| US7412603B2 (en) | Methods and systems for enabling secure storage of sensitive data | |
| JP5380063B2 (ja) | Drmシステム | |
| CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
| US10397193B2 (en) | Blind cloud data leak protection | |
| JP6729013B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
| Selvakumar et al. | Securing cloud data in transit using data masking technique in cloud enabled multi tenant software service | |
| US20050097347A1 (en) | Printer security key management | |
| CN1617487A (zh) | 一种协同工作环境下信息泄漏防范系统及其实现方法 | |
| Pal et al. | Enhancing file data security in linux operating system by integrating secure file system | |
| KR101387939B1 (ko) | 백업용 스토리지 제어 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150908 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150925 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20151020 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151028 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5833146 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |