WO2011086787A1 - 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム - Google Patents
機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム Download PDFInfo
- Publication number
- WO2011086787A1 WO2011086787A1 PCT/JP2010/071837 JP2010071837W WO2011086787A1 WO 2011086787 A1 WO2011086787 A1 WO 2011086787A1 JP 2010071837 W JP2010071837 W JP 2010071837W WO 2011086787 A1 WO2011086787 A1 WO 2011086787A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- network access
- application
- access control
- access request
- network
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
Description
を有する。
図1は、本実施形態に係る機密情報漏洩防止システムが適用されるクライアント・サーバシステムの概略構成を示すブロック図である。本システムは、クライアント100とサーバ200とを含み、クライアント100とサーバ200はネットワークNを介して相互に接続される。
図5を参照して、本実施形態に係る機密情報漏洩防止処理について説明する。なお、同図に示す各処理ステップは処理内容に矛盾を生じない範囲で任意に順番を変更して又は並列に実行することができる。また、各処理ステップ間に他のステップを追加してもよい。また、便宜上1ステップとして記載されているステップは、複数ステップに分けて実行することができる一方、便宜上複数ステップに分けて記載されているものは、1ステップとして把握することができる。
なお、本発明は、上記した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内において、他の様々な形で実施することができる。このため、上記実施形態はあらゆる点で単なる例示にすぎず、限定的に解釈されるものではない。例えば、上述の各処理ステップは処理内容に矛盾を生じない範囲で任意に順番を変更して又は並列に実行することができる。
Claims (6)
- アプリケーションプログラムによりネットワークアクセスサービス提供手段を介して送信されるネットワークアクセス要求と、アプリケーションプログラムにより直接送信されるネットワークアクセス要求とを、当該アプリケーションプログラムに割り当てられているセキュリティレベルに基づいて制御する機密情報漏洩防止システムであって、
前記ネットワークアクセスサービス提供手段が前記アプリケーションプログラムにより呼び出されたか否かを監視する第1監視手段と、
前記ネットワークアクセス要求がネットワークへ送信されるか否かを監視する第2監視手段と、
前記第1監視手段により前記ネットワークアクセスサービス提供手段の呼び出しが検出された場合、当該検出された呼び出しに係るネットワークアクセス要求を、当該サービス提供手段を呼び出したアプリケーションプログラムに割り当てられているセキュリティレベルに基づいて制御する第1アクセス制御手段と、
前記第2監視手段により前記ネットワークアクセス要求の送信が検出された場合、当該検出されたネットワークアクセス要求に対して前記第1アクセス制御手段が既にアクセス制御を行ったか否かを判断し、判断結果が否である場合は、当該ネットワークアクセス要求を、当該ネットワークアクセス要求を送信したアプリケーションプログラムに割り当てられているセキュリティレベルに基づいて制御する第2アクセス制御手段と、
を備えることを特徴とする機密情報漏洩防止システム。 - 前記第2アクセス制御手段は、
前記第2監視手段により前記ネットワークアクセス要求の送信が検出された場合、当該検出されたネットワークアクセス要求に対して前記第1アクセス制御手段が既にアクセス制御を行ったか否かの問い合わせを当該第1アクセス制御に問い合わせることを特徴とする請求項1に記載の機密情報漏洩防止システム。 - 前記第1アクセス制御手段又は前記第2アクセス制御手段の制御対象となるアプリケーションのアプリケーション情報、もしくは、前記第2アクセス制御手段の制御対象とならないネットワークアクセスサービス提供手段の情報を定義した参照情報を記憶する記憶手段を備え、
前記第2アクセス制御手段は、
前記第2監視手段により前記ネットワークアクセス要求の送信が検出された場合、前記記憶手段に記憶された参照情報を参照することにより、前記検出されたネットワークアクセス要求に対して前記第1アクセス制御手段が既にアクセス制御を行ったか否かを判断することを特徴とする請求項1に記載の機密情報漏洩防止システム。 - アプリケーションプログラムよりネットワークアクセスサービス提供プログラムを介して送信されるネットワークアクセス要求と、アプリケーションプログラムにより直接送信されるネットワークアクセス要求とを、当該アプリケーションプログラムに割り当てられているセキュリティレベルに基づいて制御する機密情報漏洩防止システムにおける機密情報漏洩防止方法であって、
前記ネットワークアクセスサービス提供プログラムが前記アプリケーションにより呼び出されたか否かを監視する第1監視ステップと、
前記ネットワークアクセス要求がネットワークへ送信されるか否かを監視する第2監視ステップと、
前記第1監視ステップにより前記ネットワークアクセスサービス提供プログラムの呼び出しが検出された場合、当該検出された呼び出しに係るネットワークアクセス要求を、当該サービス提供プログラムを呼び出したアプリケーションプログラムに割り当てられているセキュリティレベルに基づいて制御する第1アクセス制御ステップと、
前記第1監視ステップにより前記ネットワークアクセス要求の送信が検出された場合、当該検出されたネットワークアクセス要求に対して既にアクセス制御が行われたか否かを判断し、判断結果が否である場合は、当該ネットワークアクセス要求を、当該ネットワークアクセス要求を送信したアプリケーションプログラムに割り当てられているセキュリティレベルに基づいて制御する第2アクセス制御ステップと、
を備えることを特徴とする機密情報漏洩防止方法。 - 前記第1アクセス制御ステップ又は前記第2アクセス制御ステップの制御対象となるアプリケーションのアプリケーション情報、もしくは、前記第2アクセス制御ステップの制御対象とならないネットワークアクセスサービス提供プログラムの情報を定義した参照情報を記憶する記憶装置を備え、
前記第2アクセス制御ステップは、
前記第2監視ステップにより前記ネットワークアクセス要求の送信が検出された場合、前記記憶装置から前記参照情報を参照することにより、前記検出されたネットワークアクセス要求に対して既にアクセス制御が行われたか否かを判断することを特徴とする請求項4に記載の機密情報漏洩防止方法。 - アプリケーションプログラムによりネットワークアクセスサービス提供プログラムを介して送信されるネットワークアクセス要求と、アプリケーションプログラムにより直接送信されるネットワークアクセス要求とを、当該アプリケーションプログラムに割り当てられているセキュリティレベルに基づいてそれぞれ制御するコンピュータに、
前記ネットワークアクセスサービス提供プログラムが前記第1アプリケーションにより呼び出されたか否かを監視する第1監視ステップと、
前記ネットワークアクセス要求がネットワークへ送信されるか否かを監視する第2監視ステップと、
第1監視ステップにより前記サービス提供プログラムの呼び出しが検出された場合、当該検出された呼び出しに係るネットワークアクセス要求を、当該サービス提供プログラムを呼び出した第1アプリケーションプログラムに割り当てられているセキュリティレベルに基づいて制御する第1アクセス制御ステップと、
第2監視ステップにより前記ネットワークアクセス要求の送信が検出された場合、当該検出されたネットワークアクセス要求に対して既にアクセス制御が行われたか否かを判断し、判断結果が否である場合は、当該ネットワークアクセス要求を、当該ネットワークアクセス要求を送信した第2アプリケーションプログラムに割り当てられているセキュリティレベルに基づいて制御する第2アクセス制御ステップと、
を実行させるためのプログラム。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011549873A JP5704517B2 (ja) | 2010-01-13 | 2010-12-06 | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム |
US13/521,938 US8677508B2 (en) | 2010-01-13 | 2010-12-06 | Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program |
CN201080061281.1A CN102713925B (zh) | 2010-01-13 | 2010-12-06 | 机密信息泄露防止系统、机密信息泄露防止方法及机密信息泄露防止程序 |
HK13101277.7A HK1174123A1 (en) | 2010-01-13 | 2013-01-30 | Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010-005187 | 2010-01-13 | ||
JP2010005187 | 2010-01-13 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2011086787A1 true WO2011086787A1 (ja) | 2011-07-21 |
Family
ID=44304078
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2010/071837 WO2011086787A1 (ja) | 2010-01-13 | 2010-12-06 | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US8677508B2 (ja) |
JP (1) | JP5704517B2 (ja) |
CN (1) | CN102713925B (ja) |
HK (1) | HK1174123A1 (ja) |
WO (1) | WO2011086787A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018084866A (ja) * | 2016-11-21 | 2018-05-31 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8943551B2 (en) | 2008-08-14 | 2015-01-27 | Microsoft Corporation | Cloud-based device information storage |
US20120291106A1 (en) * | 2010-01-19 | 2012-11-15 | Nec Corporation | Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program |
US9405932B2 (en) | 2013-05-24 | 2016-08-02 | Microsoft Technology Licensing, Llc | User centric data maintenance |
US9032106B2 (en) | 2013-05-29 | 2015-05-12 | Microsoft Technology Licensing, Llc | Synchronizing device association data among computing devices |
CN103824015B (zh) * | 2014-02-26 | 2017-05-24 | 珠海市君天电子科技有限公司 | 应用程序的控制方法、装置和系统 |
US10019582B1 (en) * | 2016-02-24 | 2018-07-10 | Symantec Corporation | Detecting application leaks |
US11171959B2 (en) * | 2018-08-03 | 2021-11-09 | Dell Products L.P. | Selective blocking of network access for third party applications based on file content |
CN114175577A (zh) | 2019-05-30 | 2022-03-11 | 微软技术许可有限责任公司 | 敏感信息的信息屏障 |
US11196892B2 (en) | 2019-05-30 | 2021-12-07 | Microsoft Technology Licensing, Llc | Use of client compute for document processing |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11272616A (ja) * | 1998-03-20 | 1999-10-08 | Nri & Ncc Co Ltd | データアクセス制御を行うデータ通信システム |
JP2003044297A (ja) * | 2000-11-20 | 2003-02-14 | Humming Heads Inc | コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム |
JP2003173284A (ja) * | 2001-12-05 | 2003-06-20 | Hitachi Ltd | 送信制御可能なネットワークシステム |
JP2005209181A (ja) * | 2003-12-25 | 2005-08-04 | Sorun Corp | ファイル管理システム及び管理方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7290266B2 (en) * | 2001-06-14 | 2007-10-30 | Cisco Technology, Inc. | Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy |
US6850943B2 (en) * | 2002-10-18 | 2005-02-01 | Check Point Software Technologies, Inc. | Security system and methodology for providing indirect access control |
JP2004220120A (ja) | 2003-01-09 | 2004-08-05 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
JP4389622B2 (ja) | 2004-03-24 | 2009-12-24 | 日本電気株式会社 | データ監視方法、情報処理装置、プログラム及び記録媒体、並びに情報処理システム |
US8296450B2 (en) * | 2006-03-21 | 2012-10-23 | Fortinet, Inc. | Delegated network management system and method of using the same |
US7676673B2 (en) * | 2006-04-28 | 2010-03-09 | Bae Systems Information And Electronic Systems Integration Inc. | Multi-level secure (MLS) information network |
JP4765812B2 (ja) | 2006-07-28 | 2011-09-07 | 日本電気株式会社 | 情報処理システム、クライアント装置、プログラム、及びファイルアクセス制御方法 |
JP5011136B2 (ja) | 2008-01-21 | 2012-08-29 | 株式会社日立製作所 | 情報流出検知システム |
US8132004B2 (en) * | 2008-06-12 | 2012-03-06 | The Boeing Company | Multiple independent levels of security containing multi-level security interface |
US8479260B2 (en) * | 2009-12-21 | 2013-07-02 | The Boeing Company | Multi-level security controls system |
-
2010
- 2010-12-06 US US13/521,938 patent/US8677508B2/en active Active
- 2010-12-06 JP JP2011549873A patent/JP5704517B2/ja active Active
- 2010-12-06 CN CN201080061281.1A patent/CN102713925B/zh active Active
- 2010-12-06 WO PCT/JP2010/071837 patent/WO2011086787A1/ja active Application Filing
-
2013
- 2013-01-30 HK HK13101277.7A patent/HK1174123A1/xx not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11272616A (ja) * | 1998-03-20 | 1999-10-08 | Nri & Ncc Co Ltd | データアクセス制御を行うデータ通信システム |
JP2003044297A (ja) * | 2000-11-20 | 2003-02-14 | Humming Heads Inc | コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム |
JP2003173284A (ja) * | 2001-12-05 | 2003-06-20 | Hitachi Ltd | 送信制御可能なネットワークシステム |
JP2005209181A (ja) * | 2003-12-25 | 2005-08-04 | Sorun Corp | ファイル管理システム及び管理方法 |
Non-Patent Citations (1)
Title |
---|
SATOSHI HIEDA: "Resource Management in Linux for Mobile Terminals", IPSJ SIG TECHNICAL REPORTS, vol. 2004, no. 17, 27 February 2004 (2004-02-27), pages 9 - 16 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018084866A (ja) * | 2016-11-21 | 2018-05-31 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
HK1174123A1 (en) | 2013-05-31 |
JP5704517B2 (ja) | 2015-04-22 |
US20130024944A1 (en) | 2013-01-24 |
US8677508B2 (en) | 2014-03-18 |
CN102713925B (zh) | 2015-09-02 |
CN102713925A (zh) | 2012-10-03 |
JPWO2011086787A1 (ja) | 2013-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5704517B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
JP5704518B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
US9769266B2 (en) | Controlling access to resources on a network | |
US8024568B2 (en) | Method and system for verification of an endpoint security scan | |
US10135842B2 (en) | Content-based isolation for computing device security | |
RU2444783C2 (ru) | Архитектура виртуального модуля безопасности | |
KR101948049B1 (ko) | 강제적 접근 제어 컴퓨팅 환경에서 네트워크 제어의 개선 | |
US9438629B2 (en) | Sensitive information leakage prevention system, sensitive information leakage prevention method, and computer-readable recording medium | |
JPWO2011122138A1 (ja) | シンクライアントシステム、シンクライアントシステムにおけるアクセス制御方法およびアクセス制御プログラム | |
JP6096376B2 (ja) | アクセス制御方法、装置、プログラム、及び記録媒体 | |
US20140157436A1 (en) | Information processing apparatus and method of controlling same | |
EP4172818A1 (en) | Shared resource identification | |
JP5822078B2 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
JP4725955B2 (ja) | 情報処理装置、メッセージ管理方法、プログラムおよび記憶媒体 | |
CN112804222B (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
US10263992B2 (en) | Method for providing browser using browser processes separated for respective access privileges and apparatus using the same | |
US20090001161A1 (en) | Information processing system and remote access method | |
JP4853671B2 (ja) | アクセス権限判定システム、アクセス権限判定方法及びアクセス権限判定プログラム | |
US8631480B2 (en) | Systems and methods for implementing security services | |
US9652608B2 (en) | System and method for securing inter-component communications in an operating system | |
KR20050009945A (ko) | 이동식 저장장치를 이용한 가상 저장 공간의 관리 방법 및시스템 | |
JP7146124B1 (ja) | 端末装置、方法およびプログラム | |
EP3190762B1 (en) | Dynamic instruction processing method, dynamic instruction processing apparatus, and terminal | |
JP2005209068A (ja) | セキュリティサーバ | |
WO2009136628A1 (ja) | 情報処理システムと方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WWE | Wipo information: entry into national phase |
Ref document number: 201080061281.1 Country of ref document: CN |
|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 10843142 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2011549873 Country of ref document: JP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 13521938 Country of ref document: US |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 10843142 Country of ref document: EP Kind code of ref document: A1 |