WO2013118280A1 - 機密データ漏えい防止装置および方法 - Google Patents

機密データ漏えい防止装置および方法 Download PDF

Info

Publication number
WO2013118280A1
WO2013118280A1 PCT/JP2012/052996 JP2012052996W WO2013118280A1 WO 2013118280 A1 WO2013118280 A1 WO 2013118280A1 JP 2012052996 W JP2012052996 W JP 2012052996W WO 2013118280 A1 WO2013118280 A1 WO 2013118280A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
management server
control target
policy management
control
Prior art date
Application number
PCT/JP2012/052996
Other languages
English (en)
French (fr)
Inventor
進 芹田
康広 藤井
Original Assignee
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立製作所 filed Critical 株式会社日立製作所
Priority to PCT/JP2012/052996 priority Critical patent/WO2013118280A1/ja
Priority to US14/365,503 priority patent/US20140331338A1/en
Priority to JP2013557322A priority patent/JP5833146B2/ja
Publication of WO2013118280A1 publication Critical patent/WO2013118280A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Definitions

  • the present invention relates to a technology for preventing information leakage by detecting confidential data existing on a computer or a network and performing appropriate control such as encryption or output stoppage to the outside.
  • DLP Data Loss Prevention
  • definition information may contain confidential information (for example, customer name, credit number, etc.). It is required to handle the definition information in a safe place such as in the company intranet so that external attackers and internal malicious administrators cannot obtain such information. On the other hand, in order to refer to and update definition information from a plurality of bases, it is required to be able to handle the definition information at a place where access is easy such as on the Internet. Further, with the spread of cloud computing, companies are managing data on data centers provided by third parties. Therefore, the need to manage definition information on the data center is expected to increase in the future.
  • the following conventional technologies are known as technologies for appropriately detecting and controlling confidential data in a company while securely protecting definition information in a remote environment.
  • Patent Document 1 is known as a conventional technique for collating definition information and control target data in a remote environment.
  • Patent Document 1 discloses a method of collating a keyword set in advance with data to be controlled by using a local matching service in an endpoint and a remote matching service on a server together.
  • Patent Document 2 is known as a prior art that refers to the safety of definition information used for verification.
  • Patent Document 2 discloses a method for collating an index generated from previously specified source data with control target data. In order to prevent an attacker from obtaining information, the index does not include the source data itself, but includes an encrypted or hashed source data.
  • Patent Document 1 definition information can be centrally managed on a server connected to a network, and the definition information and control target data transmitted from an endpoint can be collated on the server.
  • Patent Document 1 does not mention a mechanism for protecting definition information with encryption or the like. Therefore, it cannot be prevented that a malicious database administrator obtains definition information and misuses it. Further, since protection of control target data sent to the server is not mentioned, when the server is managed by a data center provided by a third party, the safety of the information of the control target data is not guaranteed.
  • Patent Document 2 it is possible to prevent leakage of confidential information from the index by encrypting or hashing the index.
  • a specific method for collating the encrypted or hashed index with the control target data is not disclosed.
  • the raw index will exist in the memory for a certain period of time.
  • a key necessary for decryption must be managed, and there is a risk that a malicious DB administrator may obtain the key and decrypt the encrypted information.
  • the present invention has been made in consideration of the above-mentioned problems, and an object thereof is to enable collation in a remote environment while appropriately protecting definition information by encryption or the like.
  • the definition information concealed is managed on the server, and it is determined on the server whether or not the control target data is confidential. Since the definition information is concealed at a timing when the administrator sets the definition information, the DB administrator or the like cannot guess the contents of the definition information. Whether or not the control target data is confidential is determined by collating the verification query generated from the control target data with the confidential definition information managed on the server.
  • the matching query extracts the elements suitable for matching with the definition information (eg, words, partial character strings, etc.) from the control target data, and then performs confidential processing such as encryption and hashing on each element. Generated.
  • each element is concealed by a method that can be compared with a reference that conceals definition information set as confidential information.
  • Simple methods include encryption using the same common key encryption algorithm and the same key, and hashing using the same hash algorithm.
  • a method called searchable encryption may be used. By using these methods, it can be determined whether the information before concealment is the same or not. Details of these methods will be described in Examples.
  • control target data itself but to conceal the words and partial character strings extracted from the concealment target data individually, thereby enabling collation with fine granularity such as words and partial character strings.
  • the server when the server receives a request for confidentiality determination on the control target data, the server collates the definition information and the query by the method described above, and extracts elements that match the definition information included in the control target data. Next, the sensitivity of the data to be controlled is determined based on the result and a classification rule (category rule) of confidential data designated in advance. Finally, the server notifies the determination result to the device that has transmitted the confidentiality determination request. Each device controls the control target data according to the notification result.
  • a classification rule category rule
  • definition information and control target data are kept confidential on the server, so even if an unauthorized administrator observes the data on the server, confidential information cannot be obtained. .
  • confidential data can be detected in a remote environment while protecting definition information, and information leakage can be prevented.
  • FIG. 1 is a diagram illustrating an example of a system configuration according to an embodiment of the present invention.
  • the system includes a policy management server 110, an administrator terminal 120, and a control target device. Further, the control target device is used by a company employee such as a PC or a mobile device in daily work.
  • An endpoint 130, a storage 140, and a network monitoring device 150, which are general devices to be used, are included and are connected to each other via the network 101.
  • “Policies” in the present embodiment is information relating to confidential information and control methods.
  • the control target devices 130-150 conceal the elements extracted from the control target data based on the confidentiality determination request, create a collation query, and transmit it to the policy management server 110.
  • the manager terminal 120 transmits a reference in which definition information to be set as confidential information is concealed to the policy management server 110.
  • the policy management server 110 collates the concealed collation query with the reference, and determines the confidentiality of the collation result.
  • the control target devices 130-150 control the control target data based on the confidentiality determination result, and register the result as a log in the policy management server 110. Therefore, in the policy management server 110, the control target data and the definition information (confidential information) are collated while being kept secret, and the confidentiality is further determined.
  • the policy management server 110 includes a policy management function 111, a policy determination function 112, and a policy determination concealment function 113.
  • the policy management function 111 holds information necessary for determination of confidential data and a control method for the confidential data, and provides a function of changing / updating as necessary. Details of the policy management function 111 will be described with reference to FIG.
  • the policy determination function 112 provides a function of determining whether or not certain data is confidential data and determining a control method for the data. In the following, the determination of confidentiality of confidential data and the control method are collectively referred to as policy determination. Details of the policy determination function 112 will be described with reference to FIG.
  • the policy determination concealment function 113 provides a function for performing the determination of the confidential data performed by the policy determination function 112 with the reference in which the content of the definition information is concealed. Details of the policy determination concealment function 113 will be described with reference to FIG.
  • the administrator terminal 120 includes a setting function 121 and a definition information concealment function 122.
  • the setting function 121 provides a function for an authorized administrator to set information used by the policy management server 110 for policy determination in the policy management server 110. Details of the setting function 121 will be described with reference to FIG.
  • the definition information concealment function 122 provides a function of generating a reference concealing definition information registered in the policy management server 110. Details of the definition information concealment function 122 will be described with reference to FIG.
  • the endpoint 130, the storage 140, and the network monitoring device 150 include a data control function 131, a policy inquiry function 132, and a query concealment function 133.
  • the endpoint 130 has a function of copying or moving data to another location such as sending data, printing through a printer, and outputting to an external recording medium, as well as storing data.
  • the storage 140 refers to all devices mainly for storing data such as a file server and a document management server.
  • the storage 140 has a function of receiving an access request from a user and outputting data.
  • the network monitoring device 150 refers to a device that monitors data flowing on a network such as a LAN (Local Area Network) and outputs log 315 information and the like.
  • the network device has a function of blocking acquired data, a function of changing a transmission destination, and the like.
  • the network monitoring device 150 is realized as a device such as a proxy server or a dedicated appliance.
  • the control target device has a function of storing data and a function of outputting.
  • the data control function 131, the policy inquiry function 132, and the query concealment function 133 cooperate with each other to prevent confidential data stored in the control target device from being output to the outside of the control target device.
  • the three functions of the data control function 131, the policy inquiry function 132, and the query concealment function 133 provided in the control target device are unified regardless of the type of the control target device (end point 130, storage 140, network). explain. If processing differs depending on the type of control target device, specify it each time.
  • the data control function 131 provides a function of performing control such as acquiring data to be output before the control target apparatus outputs data, and stopping processing according to the policy determination result of the data. . Details of the data control function 131 will be described with reference to FIG.
  • the policy inquiry function 132 provides a function for inquiring the policy management server 110 about the policy of the data acquired by the data control function 131. Details of the policy inquiry function 132 will be described with reference to FIG.
  • the query concealment function 133 provides a function of concealing a query that the policy inquiry function 132 transmits to inquire about a policy. Details of the query concealment function 133 will be described with reference to FIG.
  • Each device connected to the network 101 is a computer including at least a CPU (Central Processing Unit), a storage device, and a communication device.
  • the computer 201 includes a display such as a CPU 202, a main storage device 203 and an auxiliary storage device 204 (these are referred to as a storage device 210), a network interface 205 (communication device) connected to the network 101, and a display.
  • a display such as a CPU 202, a main storage device 203 and an auxiliary storage device 204 (these are referred to as a storage device 210), a network interface 205 (communication device) connected to the network 101, and a display.
  • Hardware resources including an I (Input) / O (Output) interface 206 connected to means (output device), an input device such as a keyboard and a mouse, and a portable medium connection unit for connecting to a portable medium such as a USB memory are connected to each other via an internal bus 207.
  • Each computer connected to the network 101 includes a hard disk drive (such as the auxiliary storage device 204) storing a program 315 program necessary for information processing according to the present embodiment, a ROM (Read Only Memory), and the like.
  • a hard disk drive such as the auxiliary storage device 204
  • ROM Read Only Memory
  • FIG. 17 shows the relationship between data (solid line frame) and processing (broken line frame) related to each of the control target devices 130-150, the policy management server 110, and the administrator terminal 120.
  • Numbers in parentheses attached to data or processing are codes of data, functions or modules described later. Solid arrows indicate processing / data flow, and broken arrows indicate data reference in processing.
  • the definition information to be set as confidential information is input, the definition information is concealed, a reference is generated (521), and is transmitted to the policy management server 110.
  • control target device 130-150 when the control target device 130-150 accepts the confidentiality determination request, it refers to the element (word, partial character) from the control target data to be determined while referring to the local filter 314 held by the policy management server 110. Column etc.) is extracted and concealed (421, 431, 432), a collation query including the concealed element is generated and transmitted to the policy management server 110.
  • the policy management server 110 collates the verification query from the control target devices 130-150 and the reference 311 from the manager terminal 120, which are each concealed (321).
  • the confidentiality determination 331 is performed on the collation result based on the category rule 312 held by the policy management server 110, and the result is transmitted to the control target devices 130-150.
  • control target devices 130-150 referring to the control rule 313 held by the policy management server based on the result of the security determination from the policy management server 110, a control method according to the level of security obtained as a result of the security determination Then, the control target data is controlled (413), and the control result is registered in the policy management server 110 as a log 315.
  • the definition information set as the confidential information at the administrator terminal 120 and the control target data input as the confidentiality determination request at the control target device 130-150 are the respective terminal side or device side. Since the policy management server 110 performs the process of collating and determining the confidential information, the setting of confidential information and the determination of confidential information are performed while the plain text image information is concealed from the policy management server 110. Can be requested.
  • the policy management function 111 includes a reference table 311, a category rule 312, a control rule 313, a log 315, a local filter 314, and the like.
  • the reference table 311 manages references used by the policy determination module 331 for determination of confidential data.
  • a keyword representing confidential information is used as a reference.
  • a reference generally includes confidential information. Therefore, the present invention adopts a method for realizing determination of confidential data while storing the reference in a format in which confidential information cannot be acquired from the reference. Details of the reference will be described with reference to FIG.
  • the category rule 312 is information used by the policy determination module 331 to determine confidential data together with the reference. In a company or the like, it is common to divide data into two or more types according to confidentiality, and change the control method for each type, instead of dividing the data into two types, confidential or non-confidential. In the present invention, the type corresponding to the sensitivity is referred to as “category”. Each category is distinguished from each other by, for example, names such as “public”, “confidential”, and “top secret”. The category rule 312 defines a method for determining which category a certain data belongs to from a reference. Details of the category rule 312 will be described with reference to FIG.
  • the control rule 313 is used by the policy determination module 331 to determine the data control method.
  • the control rule 313 defines a rule as to what kind of processing is possible for data belonging to each category. Details of the control rule 313 will be described with reference to FIG.
  • the log 315 is information that records a result of the data control function 131 controlling the data in the control target device. Details of the log 315 will be described with reference to FIG.
  • the local filter 314 defines unnecessary information when the policy determination module 331 determines a data policy, and is used when the query generation module 431 generates a query for a policy query. That is, the element (word, partial character string, etc.) selected from the control target data by the local filter 314 is concealed, and a matching query is generated. Details of the local filter 314 will be described with reference to FIG.
  • the policy determination function 112 includes a policy determination module 331, a local filter 314 distribution module, a control rule distribution module 332, and the like.
  • the policy determination module 331 determines the policy of the control target data from the query transmitted from the control target device, that is, compares the query for matching with the reference, further determines the sensitivity based on the category rule 312, A function of transmitting a policy determination result to a device to be controlled is provided. Details of the policy determination module 331 will be described with reference to FIG.
  • the local filter distribution module 333 provides a function of transmitting the local filter 314 held by the policy management function 111 to the control target device.
  • the local filter 314 distribution module stores therein address information of a control target device to be transmitted, and transmits the local filter 314 to each control device with reference to them.
  • the policy inquiry function 132 uses the local filter 314 to select an element to be concealed from the control target data.
  • the timing for transmitting the local filter 314 is immediately after the local filter 314 is changed or immediately after the control target device is newly introduced.
  • the administrator may issue a transmission request to the local filter 314 distribution module through the administrator terminal, or the local distribution module may detect a change in the local filter 314 or addition of a control target device.
  • the control rule distribution module 332 provides a function of transmitting the control rule 313 held by the policy management function 111 to the control target device. As with the local filter 314, the control rule 313 is transmitted to each control device with reference to the address information of the internal control target device. Note that the control rule distribution module 332 of the control rule 313 is not necessary when the control method determination is performed on the policy management server 110. When determining the control method on the server, the policy determination module 331 refers to the control rule 313 in the policy management server 110 and performs the determination.
  • the policy determination concealment function 113 includes a concealment verification module 321 and the like.
  • the secret collation module 321 provides a function of collating a secret reference stored in the reference table 311 with a query transmitted from the control target device and determining a category of control target data. Details of the processing of the secret collation module 321 will be described with reference to FIG.
  • control target devices 130-150 Next, an example of the control target devices 130-150 will be described with reference to FIG.
  • the data control function 131 includes a data blocking module 411, an event monitoring module 412, a control module 413, and the like.
  • the data blocking module 411 provides a function of blocking data output from the control target device 340.
  • the control target device 340 has a plurality of output methods.
  • the data blocking module 411 may block all of the output methods, or may block only the output method designated in advance. For example, in order to block printing, the use of a printing port may be prohibited.
  • the data blocking module 411 receives a blocking cancellation instruction from the control module 413, the data blocking module 411 releases the blocking. Note that the data blocking module 411 is not necessary when it is desired to acquire only the log 315 without performing data control.
  • the event monitoring module 412 provides a function of monitoring an event occurring in the control target device 340 and notifying the control module 413 when an event related to data output occurs. This function can be realized by using API provided by OS.
  • the control module 413 acquires data (control target data) to be output from within the control target device 340, queries the policy management server 110 for the policy of the control target data via the policy query module 421, and according to the result, Provides a function to control the control target data. Details of the control module 413 will be described with reference to FIG.
  • the policy inquiry function 132 includes a policy inquiry module 421, a control rule 313, and the like.
  • the policy inquiry module 421 provides a function of inquiring the policy of the control target data to the policy management server 110 and transmitting the received result to the control module 413. Details of the policy inquiry module 421 will be described with reference to FIG.
  • the control rule 313 has the same contents as the control rule 313 described in FIG. When determining the control method on the policy management server 110, the control rule 313 in the control device is not necessary.
  • the query concealment function 133 includes a query generation module 431, a concealment module 432, and the like.
  • the query generation module 431 generates a query for the policy inquiry module 421 to inquire the policy management server 110 about the policy of the control target data.
  • the query is concealed so that the content of the control target data is not inferred from the query.
  • the concealment module 432 provides functions such as encryption and hashing for the query generation module 431 to conceal the query.
  • the local filter 314 is the same as the local filter 314 described in FIG.
  • the local filter 314 is distributed to each control measure by the local filter distribution module 333.
  • the setting function 121 includes a setting module 511, an authentication module 512, and the like.
  • the authentication module 512 provides a function for authenticating a user who uses the administrator terminal 120. Examples of the authentication method include those using passwords and biometric information.
  • the authentication module 521 also provides a function for limiting the functions of the administrator terminal 120 that can be used by the user, based on user information held therein.
  • the setting module 511 provides an interface such as GUI or CUI for the administrator to perform various settings.
  • a function of transmitting a policy or the like input by the administrator to the policy management server 110 and registering it in the policy management server 110 is provided.
  • the information input by the administrator is transmitted as it is.
  • information including confidential contents such as definition information is concealed by the definition information concealment function 122 and transmitted to the policy management server 110.
  • the definition information concealment function 122 includes a definition information concealment module 521, a definition information browsing module 522, and the like.
  • the definition information concealment module 521 provides a function that makes it possible to collate the definition information input by the administrator with the concealed query transmitted from the control device, and conceal the content of the definition information so that it cannot be guessed. Details of the definition information concealment module 521 will be described with reference to FIG.
  • the definition information browsing module 522 restores the reference before concealment from the concealed reference managed by the policy management server 110 in order to confirm or correct the input definition information, that is, restores the reference to the original definition information. Provide functionality. The definition information browsing module 522 restores the reference to the original definition information by using the restoration key input by the administrator.
  • the control rule 313 includes a category 601 and a control content 602.
  • the category 601 is a name indicating the confidential level to which the data belongs.
  • categories such as public, confidential, and top secret are set.
  • the control content 602 represents processing that the control module 413 performs on the control target data in the control device.
  • the control content 602 includes a plurality of output functions and includes restriction content for each output function. “ ⁇ ” indicates that the content is not restricted, “ ⁇ ” indicates that the content is restricted, and “ ⁇ ” indicates the content that is conditional.
  • the restriction content includes, for example, “X prohibits output”, “ ⁇ encrypted output”, and the like. In the example of FIG. 6, data belonging to the category “confidential” can be written to an external medium and mailed by encryption, but Web uploading and printing are prohibited.
  • the reference table 311 includes an ID 701, a reference 702, an importance 703, and the like.
  • ID 701 is an identifier for uniquely identifying an individual reference 702.
  • the reference 702 is information obtained by concealing definition information set as confidential information by an administrator.
  • the confidentiality verification module 321 determines the category to which the control target data belongs by verifying the concealed query transmitted from the control target device and the reference in which the definition information is concealed.
  • the importance 703 represents the degree of confidentiality with respect to the reference 702.
  • the confidentiality verification module 321 determines the category of an element included in the control target data, by using this importance, the control target data that matches the reference with higher importance is classified into a higher sensitivity category. It is possible to realize flexible judgment logic such as.
  • the log 315 includes a control target 801, date and time 802, device information 803, user ID 804, category 805, reference ID 806, control result 807, and the like.
  • Control target 801 represents information for identifying control target data.
  • file names can be used.
  • the date and time 802 represents the time when control is performed by the control target apparatus.
  • the device information 803 represents information for identifying a control target device for which control has been performed. For example, a device name or an IP address can be used.
  • the user ID 804 represents information for identifying a user who has performed output processing on the control target data. For example, an employee ID can be used.
  • the category 805 represents a category to which the control target data belongs.
  • the category determined by the policy determination module 331 is reflected in this value.
  • the reference ID 806 represents a reference ID included in the control target data, that is, an ID 701.
  • the result of collation of the query of the control target data and the reference table 311 by the secret collation module 321, that is, the ID 701 of the reference 702 that matches the query is reflected in this value.
  • the control result 807 represents the content of control performed by the control module 413 on the control target data.
  • the policy inquiry module 421 generates a log 315 and transmits it to the policy management server 110 after the control module 413 performs control. Since there is a possibility that data on the policy management server 110 may be viewed by a malicious server administrator or the like, the policy inquiry module 421 encrypts and sends information that is not desired to be disclosed in the log 315. Can do. At that time, the entire entry of the log 315 may be encrypted, or only a part of the control target may be encrypted.
  • the local filter 314 includes an ID 901, a filter 902, and the like.
  • ID 901 represents information for identifying the filter.
  • the filter 902 represents information for identifying a portion (word, partial character string, etc.) not related to policy determination in the control target data. For example, it includes obvious keywords.
  • the filter 902 stores data that does not need to be concealed and does not need to be verified. As a result, the confidential information is hidden from the policy management server 110 holding the local filter 314, and the confidential information is prevented from leaking from the local filter 314.
  • the category rule 312 includes a category 1001, a determination logic 1002, and the like.
  • the category 1001 is the same as the information defined in the control rule 313.
  • the determination logic 1002 represents a criterion for the policy determination module 331 to determine the confidentiality of the category with respect to the comparison result between the concealed query for comparison and the reference that is the definition information concealed. For example, the upper limit and lower limit of the total value of importance of matched references are included.
  • the control module 413 starts processing at the timing when the event generation notification regarding the data output is received from the event monitoring module 412. Immediate Chi, notification of the event occurrence, a request for confidential determination for the control target data.
  • step 1101 the control module 413 acquires control target data held by each control target device. At this time, information related to the control target data such as the file name is also acquired. After the acquisition, go to step 1102.
  • step 1102 the control module 413 uses the information acquired in step 1101 to inquire the policy management server 110 about the policy of the control target data. That is, an inquiry is made as to whether or not an element (word, partial character string, etc.) included in the control target data is confidential information and a control method related to the element .
  • the inquiry process is performed via the policy inquiry module 421. Details of the inquiry process will be described with reference to FIG. After obtaining the inquired result, the process proceeds to step 1103.
  • step 1103 the control module 413 determines whether to continue or interrupt the output process based on the policy acquired in step 1102. If the process is to be continued, the process proceeds to step 1104.
  • step 1104 the control module 413 determines whether or not the control target data needs to be processed based on the policy acquired in step 1102. If it is necessary to process, go to Step 1105, and if not, go to Step 1106.
  • step 1105 the control module 413 processes the control target data based on the policy acquired in step 1102. Further, when processing such as encryption is performed, processing such as allowing the user to set a password for decryption is performed. After processing the data, the process proceeds to step 1106.
  • step 1106 the control module 413 continues the output process of the control target data. This process is realized when the control module 413 issues a command to the data blocking module 411 to cancel the data blocking function. Thereby, control object data is output through the output function with which each control object apparatus is provided. If the data is processed in step 1105, the processed data is output. After the output, go to step 1107.
  • step 1108 the control module 413 stops the output process of the control target data.
  • the control module 413 may perform an auxiliary process such as displaying a pop-up screen and notifying the user of the suspension of the process. After stopping the output process, the process proceeds to step 1107.
  • step 1107 the control module 413 transmits the processing result for the control target data to the policy inquiry module 421.
  • the result of the process includes whether the output process has ended without any problem or whether an output process has been interrupted due to some error. Further, the processing result is transmitted to the policy management server 110 and registered in the log 315. On the other hand, when the output process is interrupted in step 1106, whether the output process is appropriately stopped is included in the process result. After transmitting the processing result, the control module 413 ends the processing.
  • the policy inquiry module 421 starts processing at the timing when the policy inquiry command for the control target data is received from the control module 413.
  • step 1201 the policy inquiry module 421 generates a query for inquiring the policy to the policy management server 110 from the control target data.
  • the query generation process is performed using the query generation module 431. Details of the query generation processing will be described with reference to FIG. After generating the query, the policy query module 421 proceeds to step 1202.
  • the policy inquiry module 421 transmits the query generated in step 1201 to the policy management server 110.
  • the policy inquiry module 421 transmits additional information necessary for determining the confidentiality of the control target data together with the query.
  • the additional information includes information for identifying the control target device (for example, machine name, IP address), contents of output processing (for example, printing, USB writing), and the like. After transmitting the query, the process proceeds to step 1203.
  • step 1203 the policy inquiry module 421 receives the policy determination result from the policy management server 110. After receiving, go to step 1204.
  • step 1204 the policy inquiry module 421 notifies the control module 413 of the policy determination result received in step 1203.
  • the control module 413 continues or cancels the output process according to the received policy determination result. After the notification, the process proceeds to step 1205.
  • step 1205 the policy inquiry module 421 receives the processing result for the control target data from the control module 413. After receiving, go to step 1206.
  • the policy inquiry module 421 creates a series of processing logs 315 related to the control target data and transmits them to the policy management server 110.
  • the contents of the log 315 include, for example, the contents shown in FIG. After sending the log 315, the policy inquiry module 421 ends the process.
  • the query generation module 431 starts processing at the timing when a query generation instruction is received from the policy inquiry module 421.
  • the query generation module 431 analyzes the control target data and extracts the verification target element.
  • the verification target element represents data obtained by decomposing the control target data into units such as words and sentences that are to be verified with a reference.
  • a word is used as a collation target element, it can be realized by using a technique such as morphological analysis.
  • a sentence is used as an element to be collated, it can be realized by decomposing with a specific code such as a punctuation mark or a line feed character.
  • n words that appear next to each other called a word n-gram
  • a set of n characters that appear next to each other a letter n-gram
  • the process proceeds to step 1302.
  • step 1302 the query generation module 431 excludes elements that do not contribute to policy determination from the verification target elements extracted in step 1301. This process is performed by referring to the local filter 314 and excluding matching target elements that match the conditions included in the local filter 314. After the exclusion, go to step 1303.
  • step 1303 the query generation module 431 conceals the remaining verification target elements that are not excluded in step 1302.
  • the concealment method used in the present invention will be described.
  • concealment that satisfies the following two properties is used. (1) It is difficult for an unauthorized person to restore data prior to concealment from concealed data. (2) By comparing the two concealed data, it is possible to determine whether the data before concealment is the same.
  • the simplest method is to use a hash function such as MD5 or SHA-1.
  • the administrator registers a value obtained by applying a hash function to a keyword or character string as it is without registering it as a reference.
  • the query generation module 431 generates a query from a set of values obtained by applying a hash function to each element extracted from the control target data. Since the value of the hash function is the same if the original data is the same because of the nature of the hash function, the secret collation module 321 can collate the reference with the query. However, when a hash value is used, even an administrator cannot restore the information before concealment from the reference.
  • Encryption is divided into a common key cryptosystem such as DES and AES and a public key cryptosystem such as RSA.
  • the administrator conceals the reference with a common key known only to the administrator and registers it in the policy management server 110. Further, the administrator stores the encryption key in the query generation module 431 in each control target device. The query generation module 431 encrypts each element extracted from the control target data using the stored encryption key. Unlike the case of using the hash value, the administrator can browse the reference information before concealment by decrypting the reference registered in the policy management server 110 with the common key.
  • the administrator conceals the reference with the public key out of the public key and private key pair and registers it in the policy management server 110. Further, the administrator stores the public key in the query generation module 431 in each control target device. The query generation module 431 encrypts each element extracted from the control target data using the stored public key. The administrator can browse the reference information before concealment by decrypting the reference registered in the policy management server 110 with the secret key.
  • searchable encryption In the encryption described above, the same plaintext is always the same ciphertext as long as a certain key is used. On the other hand, a technique is known in which even if a certain key is used, the same plaintext becomes a different ciphertext every time it is encrypted, and the identity of the original plaintext can be determined from the ciphertext. This technique is generally called “searchable encryption” or the like. Searchable encryption may be used for the concealment of the present invention. See Non-Patent Documents 1 and 2 for details of searchable encryption.
  • the query generation module 431 proceeds to step 1304 after concealing each element.
  • the query generation module 431 encodes each verification target element concealed in step 1303 into a format to be transmitted to the policy management server 110.
  • the encoding method may be any method as long as the policy management server 110 can collate with the reference.
  • each collation target element concealed in step 1303 may be expressed as a hexadecimal character string, and each collation target element may be substituted into a tag element.
  • a method of storing each verification target element in a Bloom filter is conceivable. Bloom filters are spatially efficient probabilistic data structures that are used to test whether an element is a member of a set. It is characterized in that the time taken for the test is a constant order without depending on the number of sets and the data size can be made very small.
  • the policy management server 110 By storing each verification target element in the Bloom filter, it is possible to reduce the time for the policy management server 110 to collate with the reference and to reduce the data size of the query transmitted to the policy management server 110. From the characteristic of the Bloom filter, there is a possibility that it will be determined that it matches by mistake when it does not actually match the reference. As a countermeasure against such a case, for a query that the policy management server 110 determines to include a matching target element that matches the reference, the policy query module 421 is requested for a matching target element in a complete format. The method of correcting is conceivable. If most of the data to be controlled is non-confidential data, the overall disadvantage of retransmission can be compensated by the advantage of data reduction by the Bloom filter. After encoding all the verification target elements, the query generation module 431 ends the process.
  • the policy determination module 331 starts processing at the timing of receiving a query for policy determination of control target data from the control target devices 130-150.
  • step 1401 the policy determination module 331 determines the category of the control target data from the query. This process is performed via the secret verification module 321. Details of the processing will be described with reference to FIG. After determining the category of the control target data, the process proceeds to step 1402.
  • the policy determination module 331 refers to the control rule 313 to determine the control content 602 corresponding to the category 601 determined in step 1401. At this time, the policy determination module 331 may determine only the item of the control content 602 that matches the output content received from the control target device. For example, if the query transmitted from the control target device is “confidential” and the output content is “mail transmission”, a determination of “ ⁇ encryption” is made. After determining the control content, the process proceeds to step 1403.
  • step 1403 the policy determination module 331 transmits the category determined in step 1401 and the control content determined in step 1402 to the control target device. After the transmission, go to step 1404.
  • step 1404 the policy determination module 331 receives the log 315 that is the control result of the control target data from the control target device 130-150. After receiving the log, the process proceeds to step 1405.
  • step 1405 the policy determination module 331 stores the log 315 received in step 1404 in the log 315 managed in the policy management server 110. At this time, information such as a reference ID recorded by the secret collation module 321 is added to the log 315. After saving the log 315, the policy determination module 331 ends the process.
  • the confidentiality verification module 321 starts processing at the timing of receiving a query category determination command from the policy determination module 331.
  • step 1501 the secret collation module 321 reads one reference from the reference table 311. After reading, the process proceeds to step 1502.
  • step 1502 the secret collation module 321 collates the reference read in step 1501 with the query. As a result of the collation, if the query includes a reference, the process proceeds to step 1503. Otherwise, the process proceeds to step 1504.
  • the secret collation module 321 adds the reference collated in step 1502 to the match list.
  • the match list is data stored in a recording area inside the secret collation module 321 and includes a reference ID 701, importance 703, and the like.
  • the reference ID 703 recorded here is used as the reference ID 806 of the log 315.
  • the importance level is used when determining a category in step 1505. After adding the reference to the match list, go to step 1504.
  • step 1504 the secret collation module 321 determines whether all the references included in the reference table 311 have been collated. As a result of the determination, if all references have been collated, the process returns to step 1505. If there are references that have not yet been collated, the process returns to step 1501.
  • the secret collation module 321 determines the category of the control target data using the match list and the category rule 312.
  • the determination logic 1102 is the example of FIG. 10
  • the importance of each reference included in the match list is summed for each reference, and the corresponding category is determined for each reference based on the total value. For example, when the total importance level of the reference, which is the confidential information corresponding to the definition information “credit number” included in the control target data, is “3”, the determination logic 1002 of the category table 312 in FIG.
  • the category 1001 is determined as “confidential”. That is, the sensitivity for the definition information “credit number” is determined.
  • the secret collation module 321 ends the process.
  • the definition information concealment module 521 starts processing at the timing of receiving a command for concealing definition information from the setting module 511. That is, the process is started at the timing when the definition information that should be classified as the control target data is input to the manager terminal 120.
  • step 1601 the definition information concealment module 521 determines whether the administrator has prepared a key to be used for concealment.
  • the setting module 511 provides a function for the administrator to select whether to use an existing key or generate a new key.
  • the definition information concealment module 521 determines whether a key used for concealment is prepared on the input interface of the setting module 511 based on a result selected by the administrator. As a result of the determination, if a key is prepared, the process proceeds to step 1602, and if no key is prepared, the process proceeds to step 1604. If a concealment method that does not require a key, such as simple hashing, is used, the process proceeds to step 1605.
  • step 1602 the administrator inputs the key through the input interface provided by the setting module 511.
  • the definition information concealment module 521 stores the input key in an internal storage area. After the administrator inputs the key, the process proceeds to step 1603.
  • step 1604 the definition information concealment module 521 generates a key used for concealment. At this time, the definition information concealment module 521 simultaneously generates a key necessary for browsing. Depending on the encryption algorithm used, the same key may be used when different keys are used for concealment and browsing. After generating the key, the process proceeds to step 1603.
  • step 1603 the administrator inputs definition information through the input interface of the setting module 511.
  • the definition information concealment module 521 stores the input definition information in an internal recording area. After the administrator inputs the definition information, the process proceeds to step 1605.
  • step 1605 the definition information concealment module 521 conceals the definition information and generates a reference. After concealing, the process proceeds to step 1606.
  • step 1606 the definition information concealment module 521 registers the reference in the reference table 311 of the policy management server 110. After registration, the definition information concealment module 521 ends the process.
  • 101 Policy management server, 111: Policy management function, 112: Policy judgment function, 113: Policy judgment secrecy function, 120: Administrator terminal, 121: Setting function, 122: Definition information secrecy function, 130: Endpoint: 131: Data control function, 132: Policy inquiry function, 133: Query concealment function, 140: Storage, 150: Network management device, 201: Computer, 202: CPU, 203: Main storage device, 204: Auxiliary storage device 205: Network interface, 206: I / O interface, 207: Internal bus, 311: Reference table, 312: Category rule, 313: Control rule, 314: Local filter, 315: Log, 321: Secret collation module, 331: Policy Module, 332: Control rule distribution module, 333: Local filter distribution module, 411: Data blocking module, 412: Event monitoring module, 413: Control module, 421: Policy inquiry module, 431: Query generation module, 432: Concealment module 511: Setting module 512: Authentication module 521:

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

 機密データの定義情報を暗号化などで適切に保護しつつ、リモート環境で定義情報とデータの照合を可能にする。機密情報を表す単語や部分文字列などの定義情報を個別に暗号化やハッシュ化などで秘匿するステップと、制御対象となるデータから単語や部分文字列などの要素を抽出し、個別に秘匿化するステップと、秘匿化した要素をサーバに送信するステップと、秘匿化した定義情報と秘匿化した要素を秘匿したまま照合して、制御対象のデータに定義情報と一致する情報が含まれているかを判定するステップとを有する。

Description

機密データ漏えい防止装置および方法
 本発明は、コンピュータやネットワーク上に存在する機密データを検知し、暗号化や外部への出力中止など適切な制御を行うことで、情報漏えいを防止する技術に関する。
 企業には、顧客情報など多くの機密データが存在する。電子データは複製や移動が簡単なため情報漏えいが起こりやすい。情報漏えい防止策として、ユーザごとにアクセス権限を設定して機密データの取り扱いを制限する方法が広く浸透している。
 それに対し、データの内容に応じて機密データかどうかを判断し、外部への流出を防止する製品・技術が近年普及しつつある。これらの製品・技術は一般にデータ損失防止「Data Loss Prevention(略称DLP)」と呼ばれる。DLPでは、コンピュータやネットワーク上のデータ(制御対象データ)が機密データに該当するかを如何に判断するかが重要である。判断の方法として、予め指定したキーワードと判断対象のデータを照合する方法が広く使われている。また、予め指定したファイルと判断対象のデータの類似度をもとに機密データに該当するかを判断する方法も使われている。
 上記の予め指定する内容(以下、定義情報と呼ぶ)は、それ自身が機密な情報を含むことがある(たとえば、顧客の氏名や、クレジット番号など)。外部からの攻撃者や内部の悪意のある管理者などがこれらの情報を取得できないよう、社内イントラネット内など安全な場所で定義情報を取り扱うことが求められる。一方で、複数拠点から定義情報を参照および更新するためには、インターネット上などアクセスが容易な場所で定義情報を取り扱えることが求められる。また、クラウドコンピューティングの普及に伴い、企業は、第三者が提供するデータセンタ上でデータを管理するようになってきている。そのため、定義情報をデータセンタ上で管理したいというニーズが今後高まると予想される。
 リモート環境で定義情報を安全に保護しつつ、企業内の機密データを適切に検知・制御する技術に関して、以下の従来技術が知られている。
 リモート環境で定義情報と制御対象データの照合を行う従来技術として、特許文献1が知られている。特許文献1では、エンドポイント内のローカル・マッチング・サービスとサーバ上のリモート・マッチング・サービスを併用して、あらかじめ設定したキーワードなどと制御対象のデータを照合する方法が開示されている。
 また、照合に利用する定義情報の安全性に言及している従来技術として、特許文献2が知られている。特許文献2では、あらかじめ指定したソース・データから生成したインデックスと制御対象データを照合する方法が開示されている。攻撃者による情報取得を防ぐため、インデックスはソース・データそのものを含まず、ソース・データを暗号化あるいはハッシュ化したものを含む。
米国公開公報2006/0253445 国際公開公報PCT/US2006/005317
Dawn Xiaodong Song、 David Wagner、 Arian Perrig. "Practical Techniques for Searches on Encrypted Data". In Proceedings of the 2000 IEEE Symposium on Security and Privacy、 pages 44-55(2000). D. Boneh、 G. D. Crescenzo、 and R. O. et al.、"Public key encyrption with keyword search、" in Advances in Cryptology-EUROCRYPT 2004、 ser. LNCS、 C. Cachin and J. Camenisch、 Eds.、 vol.3027. Springer-Verlag、 2004、 pp. 506-522. B. Bloom: "Space/Time Tradeoffs in Hash Coding with Allowable Errors"、 Communications of the ACM 13:7、 pp.422-426、 1970.
 上述した特許文献1によると、ネットワークにつながれたサーバ上で定義情報を一元管理でき、定義情報とエンドポイントから送信された制御対象データとをサーバ上で照合できる。しかし、特許文献1では、定義情報を暗号などで保護する仕組みについては言及されていない。そのため、悪意のあるデータベース管理者などが定義情報を取得して、悪用することを防ぐことはできない。また、サーバに送る制御対象データの保護については言及されていないので、サーバを第三者が提供するデータセンタで管理する場合には、制御対象データの情報の安全性が保障されない。
 一方、上述した特許文献2によると、インデックスを暗号化あるいはハッシュ化することで、インデックスから機密情報が漏れることを防げる。しかし、暗号化あるいはハッシュ化したインデックスと制御対象データを照合する具体的方法については開示されていない。
 仮にインデックス全体を暗号化して保存しておき、照合する前に復号する場合、ある一定時間は生のインデックスがメモリなどに存在してしまう。また、復号に必要な鍵を管理しなければならず、悪意を持ったDB管理者が鍵を手に入れ、暗号化した情報を復号してしまう危険性がある。
 上記の生のインデックスが露呈する問題を解決するために、暗号した定義情報を復号せずに照合する方法が考えられる。しかし、従来の暗号化やハッシュ化の処理だけでは、処理結果がランダムな値になるため、制御対象データとの照合を行うことはできない。
 本発明は、上記の問題点を考慮し、定義情報を暗号化などで適切に保護しつつ、リモート環境での照合を可能にすることを目的とする。
 前記目的を達成するため、本発明では、秘匿化した定義情報をサーバ上で管理し、制御対象データが機密かどうかの判定をサーバ上で行う。定義情報の秘匿化は、管理者が定義情報を設定するタイミングで行うので、DB管理者などが定義情報の中身を推測することはできない。制御対象データが機密かどうかの判定は、制御対象データから生成した照合用のクエリと、サーバ上で管理する秘匿化した定義情報とを照合することで行われる。
 照合用のクエリは、定義情報と照合するのに適した要素(例:単語、部分文字列など)を制御対象データから抽出した後、各要素に対して暗号化、ハッシュ化などの秘匿処理を行い生成される。このとき、各要素の秘匿化は、機密情報として設定された定義情報を秘匿化したリファレンスと比較可能な方法で行われる。二つの秘匿化した情報を秘匿化したまま比較可能な方法は複数考えられる。単純な方法としては、同一の共通鍵暗号化アルゴリズムで同一鍵を用いた暗号化や、同一のハッシュアルゴリズムでハッシュ化がある。より複雑な方法として、検索可能暗号と呼ばれる方法を用いてもよい。これらの方法を使うことで、秘匿前の情報が同一かどうかを秘匿化したままで判定できる。これらの方法については、実施例の中で詳細を説明する。
 また、制御対象データそのものを秘匿するのではなく、秘匿対象データから抽出した単語や部分文字列などを個別に匿化することで、単語や部分文字列など細かい粒度での照合が可能になる。
 サーバ上での機密データの判定処理の全体の流れは以下のようになる。
 まず、サーバは、制御対象データに対する機密判定の要求を受けると、上記で述べた方法により定義情報とクエリを照合して、制御対象データに含まれる、定義情報に合致する要素を抽出する。次に、その結果と予め指定した機密データの分類ルール(カテゴリルール)に基づいて、制御対象データの機密度を判定する。最後に、サーバは、判定結果を機密判定の要求を送信した装置へ通知する。各装置は、その通知結果に従い、制御対象データを制御する。
 上記の処理の間、サーバ上では、定義情報と制御対象データは秘匿化されているので、仮に不正な管理者などがサーバ上のデータを観察していても、機密情報を取得することはできない。
 本発明により、定義情報を保護したままリモート環境で機密データを検知でき、情報漏えいの防止を実現できる。
システム構成の例を示した図である。 コンピュータの例を示した図である。 ポリシ管理サーバの例を示した図である。 制御対象装置の例を示した図である。 管理者用端末の例を示した図である。 制御ルールの例を示した図である。 リファレンステーブルの例を示した図である。 ログ315の例を示した図である。 ローカルフィルタの例を示した図である。 カテゴリルールの例を示した図である。 制御モジュールの処理の流れの例を示した図である。 ポリシ問合せモジュールの処理の流れの例を示した図である。 クエリ生成モジュールの処理の流れの例を示した図である。 ポリシ判定モジュールの処理の流れの例を示した図である。 秘匿照合モジュールの処理の流れの例を示した図である。 リファレンス秘匿モジュールの処理の流れの例を示した図である。 処理概要を示す図である。
 以下、本発明を実施するための形態(以下、「実施形態」という。)について、適宜図面を参照しつつ、説明する。
 (システム構成)
 図1は、本発明の実施形態に係るシステム構成の例を示した図である。図1に示すように、本システムは、ポリシ管理サーバ110、管理者用端末120、及び制御対象装置を含み、更に、制御対象装置は、PC、モバイルデバイスなど企業の従業員が日々の業務で使う装置全般であるエンドポイント130、ストレージ140、及びネットワーク監視装置150を含み、これらの装置はネットワーク101を介して相互に接続されて構成される。
 本実施例における「ポリシ」とは、機密情報と制御方法に関する情報である。
 制御対象装置130-150は、機密判定の要求に基づいて、制御対象データから抽出した要素を秘匿化して照合用クエリを作成してポリシ管理サーバ110に送信する。一方、管理者用端末120は、機密情報として設定すべき定義情報を秘匿化したリファレンスをポリシ管理サーバ110に送信する。ポリシ管理サーバ110は、いずれも秘匿化された照合用クエリとリファレンスとを照合し、照合結果に対して機密度を判定する。制御対象装置130-150は、機密度判定の結果に基づいて、制御対象データの制御を行い、その結果をログとしてポリシ管理サーバ110に登録する。従って、ポリシ管理サーバ110では、制御対象データと定義情報(機密情報)とがそれぞれ秘匿されたままで照合され、さらに機密度が判定される。
 ポリシ管理サーバ110は、ポリシ管理機能111、ポリシ判定機能112、ポリシ判定秘匿機能113を備える。
 ポリシ管理機能111は、機密データの判定に必要な情報や機密データに対する制御方法を保持し、必要に応じて変更・更新をする機能などを提供する。ポリシ管理機能111の詳細は、図3で説明する。
 ポリシ判定機能112は、あるデータが機密データかどうかの判定およびデータに対する制御方法の判定を行う機能などを提供する。なお、以下では、機密データの機密度の判定と制御方法の判定を合わせてポリシ判定と呼ぶ。ポリシ判定機能112の詳細は、図3で説明する。
 ポリシ判定秘匿機能113は、ポリシ判定機能112が行う機密データの判定を、定義情報の内容を秘匿化したリファレンスのまま行う機能などを提供する。ポリシ判定秘匿機能113の詳細は、図3で説明する。
 管理者用端末120は、設定機能121、定義情報秘匿機能122を備える。
 設定機能121は、権限のある管理者が、ポリシ管理サーバ110がポリシ判定に利用する情報を、ポリシ管理サーバ110へ設定するための機能を提供する。設定機能121の詳細は図5で説明する。
 定義情報秘匿機能122は、ポリシ管理サーバ110に登録する定義情報を秘匿したリファレンスを生成する機能を提供する。定義情報秘匿機能122の詳細は、図5で説明する。  
 エンドポイント130、ストレージ140、ネットワーク監視装置150は、データ制御機能131、ポリシ問合せ機能132、クエリ秘匿機能133を備える。
 エンドポイント130は、データを格納するとともに、電子メールの送信、プリンタを通しての印刷、外部記録媒体への出力など、データを他の場所へ複製あるいは移動する機能を備える。
 また、ストレージ140とは、ファイルサーバや、文書管理サーバなど主にデータを保存することを目的とした装置全般を指す。ストレージ140は、ユーザからアクセス要求を受けデータを出力する機能を備える。
 また、ネットワーク監視装置150とは、LAN(Local Area Network)などのネット-ワーク上を流れるデータを監視しログ315情報などを出力する装置を指す。ネットワーク装置は、取得したデータを遮断する機能、送信先を変える機能などを備える。ネットワーク監視装置150は、プロキシサーバや専用アプライアンスなどの装置として実現される。
 上述したように、制御対象装置は、データを格納する機能および出力する機能を備える。データ制御機能131、ポリシ問合せ機能132、クエリ秘匿機能133は、互いに連携し、制御対象装置が格納する機密データが制御対象装置の外部へ出力されることを防止する。本実施例では、制御対象装置が備えるデータ制御機能131、ポリシ問合せ機能132、クエリ秘匿機能133の3つの機能を制御対象装置の種類(エンドポイント130、ストレージ140、ネットワーク)によらず統一的に説明する。制御対象装置の種類に応じて、処理などが異なる場合はその都度明記する。
 データ制御機能131は、制御対象装置がデータの出力を行う前に、出力しようとするデータを取得し、そのデータのポリシ判定結果に応じて、処理を中止するなどの制御を行う機能を提供する。データ制御機能131の詳細は、図4で説明する。
 ポリシ問合せ機能132は、データ制御機能131が取得したデータのポリシをポリシ管理サーバ110へ問い合わせる機能を提供する。ポリシ問合せ機能132の詳細は、図4で説明する。
 クエリ秘匿機能133は、ポリシ問合せ機能132がポリシを問い合わせるために送信するクエリを秘匿化する機能を提供する。クエリ秘匿機能133の詳細は、図4で説明する。
 次に図2を参照して、コンピュータの例について説明する。ネットワーク101に接続する各装置は、いずれも、少なくともCPU(Central Processing Unit)、記憶装置、および通信装置を備えたコンピュータである。図2に示すように、このコンピュータ201は、CPU202、主記憶装置203および補助記憶装置204(これらを記憶装置210とする)、ネットワーク101と接続されるネットワークインターフェース205(通信装置)、ディスプレイといった表示手段(出力装置)やキーボードやマウスといった入力装置と接続されるI(Input)/O(Output)インターフェース206、USBメモリなどの可搬媒体と接続するための可搬媒体接続部を含むハードウェア資源が内部バス207によって相互に接続されて構成される。
 なお、ここでは、主記憶装置203と補助記憶装置204とを総称する場合には、単に、「記憶装置210」と称する。また、前記ネットワーク101に接続された各コンピュータ類には、本実施形態の情報処理に必要となるプログ315ラムを記憶したハードディスクドライブ(前記補助記憶装置204など)やROM(Read Only Memory)などが当然備えられている。 
 ここで、図17を用いて、本実施例における処理概要を説明する。図17は、制御対象装置130-150、ポリシ管理サーバ110、及び管理者用端末120のそれぞれに関連するデータ(実線の枠)と処理(破線の枠)の関係を示したものである。データ又は処理に付した( )内の数字は、後述するデータ、機能又はモジュールの符号である。実線の矢印は処理/データの流れを示し、破線の矢印は処理におけるデータ参照を示す。
 管理者用端末120では、機密情報として設定すべき定義情報が入力されると、定義情報が秘匿化されてリファレンスが生成され(521)、ポリシ管理サーバ110に送信される。
 一方、制御対象装置130-150では、機密判定の要求を受け付けると、ポリシ管理サーバ110が保持しているローカルフィルタ314を参照しながら、判定の対象となる制御対象データから要素(単語、部分文字列など)を抽出して秘匿化し(421、431、432)、秘匿化した要素を含む照合用クエリを生成してポリシ管理サーバ110に送信する。
 ポリシ管理サーバ110では、それぞれが秘匿化されている、制御対象装置130-150からの照合用クエリと、管理者用端末120からのリファレンス311とを照合する(321)。その照合の結果に対して、ポリシ管理サーバ110が保持しているカテゴリルール312に基づいて、機密判定331を行って、その結果を制御対象装置130-150に送信する。
 制御対象装置130-150では、ポリシ管理サーバ110からの機密判定の結果に基づいて、ポリシ管理サーバが保持する制御ルール313を参照しながら、機密判定の結果得られる機密の度合いに応じた制御方法で、制御対象データの制御を行い(413)、制御の結果をログ315として、ポリシ管理サーバ110に登録する。
 上記のように、本実施例では、管理者用端末120で機密情報として設定した定義情報、及び制御対象装置130-150で機密判定の要求として入力した制御対象データがそれぞれの端末側又は装置側で秘匿され、ポリシ管理サーバ110では、秘匿化された情報の照合と判定の処理が行われるので、ポリシ管理サーバ110に対して平文イメージの情報を隠ぺいしたまま、機密情報の設定や機密判定を依頼できる。
 次に図3を参照して、ポリシ管理サーバ110が備える各機能の例について説明する。
 ポリシ管理機能111は、リファレンステーブル311、カテゴリルール312、制御ルール313、ログ315、ローカルフィルタ314、などを備えて構成される。
 リファレンステーブル311は、ポリシ判定モジュール331が、機密データの判定に利用するリファレンスを管理する。たとえば機密情報を表すキーワードなどがリファレンスとして使われる。背景技術で述べたように、一般にリファレンスは機密な情報を含む。そこで、本発明では、リファレンスから機密情報を取得できない形式でリファレンスを保存しつつ、機密データの判定を実現する方式をとる。リファレンスの詳細は、図7で説明する。
 カテゴリルール312は、ポリシ判定モジュール331が、リファレンスと合わせて機密データの判定に利用する情報である。企業などでは、データを機密か非機密の2種類に分けるのではなく、機密度に応じて複数の種類に分け、種類ごとに制御の方法を変えるという運用が一般的である。本発明では、機密度に応じた種類を「カテゴリ」とよぶ。各カテゴリはたとえば、「公開」、「社外秘」、「極秘」といった名称で互いに区別される。カテゴリルール312は、あるデータがどのカテゴリに属するかを、リファレンスから決定する方法を定義する。カテゴリルール312の詳細は、図10で説明する。
 制御ルール313は、ポリシ判定モジュール331がデータの制御方法を判定するために利用される。制御ルール313は、各カテゴリに属するデータに対して、どのような処理が可能かというルールを定義する。制御ルール313の詳細は、図6で説明する。
 ログ315は、制御対象装置でデータ制御機能131がデータに対して制御を行った結果などを記録した情報である。ログ315の詳細は、図8で説明する。
 ローカルフィルタ314は、ポリシ判定モジュール331がデータのポリシを判定する際に不要な情報を定義し、クエリ生成モジュール431がポリシ問合せのためのクエリを生成する際に利用される。即ち、制御対象データからローカルフィルタ314によって選択された要素(単語、部分文字列など)が秘匿化されて、照合用クエリが生成される。ローカルフィルタ314の詳細は、図9で説明する。
 ポリシ判定機能112は、ポリシ判定モジュール331、ローカルフィルタ314配信モジュール、制御ルール配信モジュール332、などを備えて構成される。
 ポリシ判定モジュール331は、制御対象装置から送信されたクエリから制御対象データのポリシを判定し、即ち、照合用クエリとリファレンスとを照合し、更に、カテゴリルール312に基づいて機密度を判定し、制御対象装置へポリシの判定結果を送信する機能を提供する。ポリシ判定モジュール331の詳細は、図11で説明する。
 ローカルフィルタ配信モジュール333は、ポリシ管理機能111が保持するローカルフィルタ314を制御対象装置へ送信する機能を提供する。ローカルフィルタ314配信モジュールは、送信すべき制御対象装置のアドレス情報などを内部に保持しており、それらを参照して、各制御装置へローカルフィルタ314を送信する。各制御装置130-150では、ポリシ問合せ機能132によって、ローカルフィルタ314を用いて、制御対象データから秘匿化すべき要素が選択される。ローカルフィルタ314を送信するタイミングは、ローカルフィルタ314が変更された直後や、制御対象装置が新しく導入された直後などである。管理者が管理者端末を通してローカルフィルタ314配信モジュールに送信の要求を出してもよいし、ローカルフィルタ314の変更や、制御対象装置の追加などをローカル配信モジュールが検知してもよい。
 制御ルール配信モジュール332は、ポリシ管理機能111が保持する制御ルール313を制御対象装置へ送信する機能を提供する。制御ルール313はローカルフィルタ314と同様に、内部の制御対象装置のアドレス情報などを参照して、各制御装置へ送信する。なお、制御ルール313の制御ルール配信モジュール332は制御方法の判定をポリシ管理サーバ110上で行う場合には不要である。サーバ上で制御方法の判定を行う場合は、ポリシ判定モジュール331がポリシ管理サーバ110内の制御ルール313を参照し、判定を行う。
 ポリシ判定秘匿機能113は、秘匿照合モジュール321などを備えて構成される。
 秘匿照合モジュール321は、リファレンステーブル311に格納されている秘匿されたリファレンスと制御対象装置から送信されたクエリとを照合して、制御対象データのカテゴリを判定する機能を提供する。秘匿照合モジュール321の処理の詳細は、図15で説明する。
 次に図4を参照して、制御対象装置130-150の例について説明する。
 データ制御機能131は、データ遮断モジュール411、イベント監視モジュール412、制御モジュール413などを備える。
 データ遮断モジュール411は、制御対象装置340からデータが出力されるのを遮断する機能を提供する。一般に制御対象装置340は複数の出力方法を持つ。データ遮断モジュール411は、それらの出力方法のすべてを遮断してもよいし、あらかじめ指定した出力方法のみを遮断してもよい。例えば、印刷を遮断する場合は、印刷用のポートを利用禁止にしておけばよい。また、データ遮断モジュール411は、制御モジュール413から遮断解除の指示を受信すると、遮断を解除する。なお、データの制御を行わず、ログ315だけを取得したい場合は、データ遮断モジュール411は不要である。
 イベント監視モジュール412は、制御対象装置340内で発生するイベントを監視し、データ出力に関するイベントが発生した場合に、制御モジュール413へ通知する機能を提供する。OSが提供するAPIなどを利用することでこの機能を実現できる。
 制御モジュール413は、制御対象装置340内から出力されようとするデータ(制御対象データ)を取得し、ポリシ問合せモジュール421を介してポリシ管理サーバ110へ制御対象データのポリシを問合せ、その結果に従って、制御対象データを制御する機能を提供する。制御モジュール413の詳細は、図11で説明する。
 ポリシ問合せ機能132は、ポリシ問合せモジュール421、制御ルール313などを備えて構成される。
 ポリシ問合せモジュール421は、制御対象データのポリシをポリシ管理サーバ110へ問合せ、受信した結果を制御モジュール413へ送信する機能を提供する。ポリシ問合せモジュール421の詳細は、図12で説明する。
 制御ルール313は、図3で説明した制御ルール313と同一の内容である。制御方法の判定をポリシ管理サーバ110上で行う場合は、制御装置内の制御ルール313は不要となる。
 クエリ秘匿機能133は、クエリ生成モジュール431、秘匿化モジュール432などを備えて構成される。 
 クエリ生成モジュール431は、ポリシ問合せモジュール421がポリシ管理サーバ110に制御対象データのポリシを問い合わせるためのクエリを生成する。クエリは、クエリから制御対象データの内容が推測されないように、秘匿化処理が施される。
 秘匿化モジュール432は、クエリ生成モジュール431がクエリに秘匿化処理を行うための、暗号化、ハッシュ化などの機能を提供する。
 ローカルフィルタ314は、図3で説明したローカルフィルタ314と同一である。ローカルフィルタ314はローカルフィルタ配信モジュール333により、各制御措置へ配信される。
 次に図5を参照して、管理者用端末120の例について説明する。
 設定機能121は、設定モジュール511、認証モジュール512、などを備えて構成される。
 認証モジュール512は、管理者用端末120を利用するユーザを認証する機能を提供する。認証方法としては、パスワードや生体情報を利用したものなどがあげられる。また、認証モジュール521は、内部に保持するユーザ情報に基づいて、ユーザが利用できる管理者用端末120の機能を制限する機能なども提供する。
 設定モジュール511は、管理者が各種の設定を行うためのGUIやCUIなどのインターフェースを提供する。また、管理者が入力したポリシなどをポリシ管理サーバ110へ送信し、ポリシ管理サーバ110内に登録する機能を提供する。このとき、カテゴリルール312、ローカルフィルタ314、制御ルール313など、秘匿する必要がない情報は、管理者が入力した情報をそのまま送信する。しかし、定義情報など、機密内容を含む情報は、管理者が入力した情報を定義情報秘匿機能122により秘匿化し、ポリシ管理サーバ110へ送信する。
 定義情報秘匿機能122は、定義情報秘匿モジュール521、定義情報閲覧モジュール522、などを備えて構成される。
 定義情報秘匿モジュール521は、管理者が入力した定義情報を、制御装置から送信された秘匿化したクエリと照合可能にし、かつ、定義情報の内容は推測できない状態に秘匿化する機能を提供する。定義情報秘匿モジュール521の詳細は、図16で説明する。
 定義情報閲覧モジュール522は、入力した定義情報の確認又は修正のため、ポリシ管理サーバ110で管理する秘匿化されたリファレンスから秘匿前のリファレンスを復元する、即ち、リファレンスを元の定義情報に復元する機能を提供する。定義情報閲覧モジュール522は、管理者が入力した復元のための鍵を用いて、リファレンスを元の定義情報に復元する。
 
 (テーブル)
 次に図6を参照して、機密レベルとそのレベルに応じた処理との対応を示す制御ルール313の例について説明する。
 制御ルール313は、カテゴリ601と制御内容602などを含む。
 カテゴリ601は、データが属する機密レベルを表す名前である。図6の例では、公開、社外秘、極秘などのカテゴリが設定されている。
 制御内容602は、制御装置で制御モジュール413が制御対象データに対して行う処理を表す。制御内容602は、複数の出力機能から構成され、各出力機能に対する制限内容を含む。「○」は制限されていないことを示し、「×」は制限内容であることを示し、「△」は条件付きの制限内容を示す。制限内容は、例えば「×出力を禁止する」、「△暗号化して出力」などを含む。図6の例では、カテゴリ「社外秘」に属するデータは、暗号化することで外部媒体書き出しとメール送信が行えるが、Webアップロードと印刷は禁止されていることを表す。
 次に図7を参照して、リファレンステーブル311の例について説明する。リファレンステーブル311はID701、リファレンス702、重要度703などを含む。
 ID701は、個別のリファレンス702を一意に識別するための識別子である。リファレンス702は、管理者が機密情報として設定した定義情報を秘匿化した情報である。秘匿照合モジュール321は、制御対象装置から送信された秘匿化されたクエリと定義情報を秘匿化したリファレンスを照合することで、制御対象データの属するカテゴリを判定する。
 重要度703は、リファレンス702に対する機密の度合を表す。秘匿照合モジュール321が制御対象データに含まれる要素のカテゴリを判定する際に、この重要度を利用することで、重要度の高いリファレンスと一致した制御対象データは、より機密度が高いカテゴリに分類するなどの柔軟な判定ロジックを実現できる。重要度703の数値が大きい程、機密の度合が高いことを示す。
 次に図8を参照して、ログ315の例について説明する。ログ315は、制御対象801、日時802、機器情報803、利用者ID804、カテゴリ805、リファレンスID806、制御結果807などを含む。
 制御対象801は、制御対象データを識別する情報を表す。たとえばファイル名などが利用できる。日時802は、制御対象装置で制御が行われた時刻などを表す。機器情報803は、制御が行われた制御対象装置を識別する情報を表す。たとえば機器名や、IPアドレスなどが利用できる。利用者ID804は、制御対象データに対して出力処理を行ったユーザを識別する情報を表す。たとえば従業員IDなどが利用できる。
 カテゴリ805は、制御対象データの属するカテゴリを表す。ポリシ判定モジュール331が判定したカテゴリがこの値に反映される。リファレンスID806は、制御対象データに含まれるリファレンスのID、即ち、ID701を表す。秘匿照合モジュール321が制御対象データのクエリとリファレンステーブル311を照合した結果、即ち、クエリと合致するレファレンス702のID701がこの値に反映される。制御結果807は、制御モジュール413が制御対象データに対して行った制御の内容を表す。
 ポリシ問合せモジュール421は、制御モジュール413が制御を行った後に、ログ315を生成しポリシ管理サーバ110へ送信する。ポリシ管理サーバ110上のデータは悪意のあるサーバ管理者などが閲覧する可能性があるので、ポリシ問合せモジュール421は、ログ315の中で公開したくない情報を送信する前に暗号化して送ることができる。その際、ログ315のエントリ全体を暗号化してもよいし、制御対象だけなど一部を暗号化してもよい。
 次に図9を参照して、制御対象データから秘匿化すべき要素を選択するためのローカルフィルタ314の例について説明する。ローカルフィルタ314は、ID901、フィルタ902などを含む。
 ID901はフィルタを識別するための情報を表す。
 フィルタ902は、制御対象データの中でポリシ判定に関係しない部分(単語、部分文字列など)を識別するための情報を表わす。たとえば、自明なキーワードなどを含む。フィルタ902には、秘匿化する必要がなく、更に、照合の必要がないデータが格納される。その結果、ローカルフィルタ314を保持しているポリシ管理サーバ110に対して、機密情報が隠ぺいされ、ローカルフィルタ314から機密情報が漏れることが防止される。 
 次に図10を参照して、カテゴリルール312の例について説明する。カテゴリルール312は、カテゴリ1001、判定ロジック1002などを含む。
 カテゴリ1001は、制御ルール313で定義されている情報と同一である。判定ロジック1002は、秘匿化された照合用クエリと秘匿化された定義情報であるレファレンスとの照合結果に対して、ポリシ判定モジュール331がカテゴリの機密度を判定するための基準を表す。たとえば、一致したリファレンスの重要度の合計値の上限と下限などを含む。
 (処理手順)
 次に図11を参照して、制御対象装置130-150の制御モジュール413の処理の例について説明する。
 制御モジュール413は、データ出力に関するイベント発生の通知をイベント監視モジュール412から受信したタイミングで処理を開始する。ち、このイベント発生の通知が、制御対象データに対する機密判定の要求となる。
 ステップ1101において、制御モジュール413は、各制御対象装置が保持している制御対象データを取得する。この時、ファイル名など制御対象データに関係する情報も一緒に取得する。取得した後、ステップ1102に進む。
 ステップ1102において、制御モジュール413は、ステップ1101で取得した情報を用いて、制御対象データのポリシをポリシ管理サーバ110へ問い合わせる。即ち、制御対象データに含まれる要素(単語、部分文字列など)が機密情報であるかどうか、及び、その要素に関する制御方法を問い合わせる問い合わせ処理は、ポリシ問合せモジュール421を介して行われる。問合せ処理の詳細は、図12で説明する。問い合わせた結果を取得した後、ステップ1103に進む。
 ステップ1103において、制御モジュール413は、ステップ1102で取得したポリシに基づいて、出力処理を続行するか中断するかを判断する。処理を続行する場合は、ステップ1104へ、中止する場合は、ステップ1108へ進む。
 ステップ1104において、制御モジュール413は、ステップ1102で取得したポリシに基づいて、制御対象データを加工する必要があるかを判断する。加工する必要がある場合は、ステップ1105へ、加工する必要がない場合は、ステップ1106へ進む。
 ステップ1105において、制御モジュール413は、ステップ1102で取得したポリシに基づいて、制御対象データを加工する。また、暗号化などの加工処理を行う場合、ユーザに復号のためのパスワードを設定させるなどの処理を行う。データを加工した後、ステップ1106に進む。
 ステップ1106において、制御モジュール413は、制御対象データの出力処理を続行する。この処理は、制御モジュール413がデータ遮断モジュール411に対してデータの遮断機能を解除する命令を行うことで実現される。これにより、制御対象データは、各制御対象装置が備える出力機能を通して出力される。ステップ1105においてデータを加工した場合は、加工済みのデータを出力する。出力した後、ステップ1107に進む。
 ステップ1108において、制御モジュール413は、制御対象データの出力処理を中止する。ここで、制御モジュール413は、ポップアップ画面を表示し、処理の中止をユーザに通知するなどの補助的な処理を行ってもよい。出力処理を中止した後、ステップ1107に進む。
 ステップ1107において、制御モジュール413は、制御対象データに対する処理の結果をポリシ問合せモジュール421へ送信する。ステップ1106で出力処理を続行した場合、出力処理が問題なく終了したか、あるいは何らかのエラーが発生して出力処理が中断されたかなどを処理の結果に含む。更に、処理の結果は、ポリシ管理サーバ110に送信され、ログ315に登録される。一方ステップ1106で出力処理を中断した場合は、出力処理が適切に中止されたかなどを処理の結果に含む。処理結果を送信した後、制御モジュール413は処理を終了する。
 次に図12を参照して、制御対象装置130-150のポリシ問合せモジュール421の処理の例について説明する。
 ポリシ問合せモジュール421は、制御モジュール413から制御対象データのポリシ問合せ命令を受信したタイミングで、処理を開始する。
 ステップ1201において、ポリシ問合せモジュール421は、ポリシ管理サーバ110へポリシを問い合わせるためのクエリを制御対象データから生成する。クエリの生成処理は、クエリ生成モジュール431を使って行われる。クエリ生成処理の詳細は、図13で説明する。ポリシ問合せモジュール421は、クエリを生成した後、ステップ1202に進む。
 ステップ1202において、ポリシ問合せモジュール421は、ステップ1201で生成したクエリをポリシ管理サーバ110へ送信する。送信する際に、ポリシ問合せモジュール421は、制御対象データの機密判定に必要な付加情報をクエリとともに送信する。付加情報には、制御対象装置を識別する情報(例:マシン名、IPアドレス)、出力処理の内容(例:印刷、USB書き出し)などが含まれる。クエリを送信した後、ステップ1203に進む。
 ステップ1203において、ポリシ問合せモジュール421は、ポリシ管理サーバ110からポリシの判定結果を受信する。受信した後、ステップ1204に進む。
 ステップ1204において、ポリシ問合せモジュール421は、ステップ1203で受信したポリシ判定結果を制御モジュール413へ通知する。制御モジュール413は、受信したポリシ判定結果に従って、出力処理の続行あるいは中止を行う。通知した後、ステップ1205に進む。
 ステップ1205において、ポリシ問合せモジュール421は、制御モジュール413から制御対象データに対する処理の結果を受信する。受信した後、ステップ1206に進む。
 ステップ1206において、ポリシ問合せモジュール421は、制御対象データに関する一連の処理のログ315を作成し、ポリシ管理サーバ110へ送信する。ログ315の内容は、例えば図8で示した内容を含む。ログ315を送信した後、ポリシ問合せモジュール421は処理を終了する。
 次に図13を参照して、制御対象装置130-150のクエリ生成モジュール431の処理(図12のステップ1201)の例について説明する。クエリ生成モジュール431は、ポリシ問合せモジュール421からクエリ生成の命令を受信したタイミングで、処理を開始する。
 ステップ1301において、クエリ生成モジュール431は、制御対象データを解析し照合対象要素を抽出する。ここで、照合対象要素は、単語や文などリファレンスと照合したい単位に制御対象データを分解したデータを表す。単語を照合対象要素にする場合は、形態素解析などの技術を用いることで実現できる。文を照合対象要素にする場合は、句読点や改行文字など特定のコードで分解することで実現できる。
 また、隣り合って出現するn単語の集合(単語nグラムとよばれる)や、隣り合って出現するn文字の集合(文字nグラム)などを照合対象要素として用いてもよい。照合対象要素を抽出した後、ステップ1302に進む。
 ステップ1302において、クエリ生成モジュール431は、ステップ1301で抽出した照合対象要素のうち、ポリシ判定に寄与しない要素を除外する。この処理は、ローカルフィルタ314を参照して、ローカルフィルタ314に含まれる条件に一致する照合対象要素を除外することで行われる。除外した後、ステップ1303に進む。
 ステップ1303において、クエリ生成モジュール431は、ステップ1302で除外されずに残った照合対象要素を秘匿化する。
 ここで、本発明で用いる秘匿化の方法について説明する。本発明では、次の2つの性質を満たす秘匿化を用いる。
(1)権限のない者が、秘匿化したデータから秘匿する前のデータを復元することは困難である。
(2)秘匿化した2つのデータを比較することで、秘匿化する前のデータが同一かどうかを判定できる。
 上記の性質を満たす方法はいくつか考えられる。下記で代表的な方法を説明するが、本発明はそれらの方法に限定されない。
 一番単純な方法として、MD5やSHA-1などのハッシュ関数を用いる方法がある。管理者は、キーワードや文字列をそのままリファレンスとして登録せずに、それらにハッシュ関数を適用した値を登録する。クエリ生成モジュール431は、制御対象データから抽出した各要素にハッシュ関数を適用した値の集合からクエリを生成する。ハッシュ関数の性質から、もとのデータが同一であればハッシュ関数を適用した値も同一なので、秘匿照合モジュール321は、リファレンスとクエリを照合できる。しかし、ハッシュ値を用いる場合は、管理者であっても、リファレンスから秘匿前の情報を復元することはできない。
 別の方法として、暗号化を用いる方法がある。暗号化はDESやAESなど共通鍵暗号方式とRSAなどの公開鍵暗号方式に分けられる。
 共通鍵暗号方式を用いる場合は、管理者は、管理者しか知らない共通鍵でリファレンスを秘匿化してポリシ管理サーバ110へ登録する。さらに、管理者は、その暗号化鍵を各制御対象装置内のクエリ生成モジュール431に格納する。クエリ生成モジュール431は、格納された暗号化鍵を用いて、制御対象データから抽出した各要素を暗号化する。ハッシュ値を用いる場合と違い、管理者は、ポリシ管理サーバ110に登録されたリファレンスを共通鍵で復号することで、秘匿化する前のリファレンスの情報を閲覧することができる。
 一方、公開鍵暗号方式を用いる場合は、管理者は、公開鍵と秘密鍵のペアのうち、公開鍵でリファレンスを秘匿してポリシ管理サーバ110へ登録する。さらに、管理者は、公開鍵を各制御対象装置内のクエリ生成モジュール431に格納する。クエリ生成モジュール431は、格納された公開鍵を用いて、制御対象データから抽出した各要素を暗号化する。管理者は、ポリシ管理サーバ110に登録されたリファレンスを秘密鍵で復号することで、秘匿化する前のリファレンスの情報を閲覧することができる。
 上記で述べた暗号化では、ある一つの鍵を使う限り、同一の平文は常に同一の暗号文になる。それに対し、ある一の鍵を用いても、同一の平文が暗号化するごとに異なる暗号文になり、かつ、もとの平文の同一性を暗号文から判定できる技術が知られている。この技術は、一般に「検索可能暗号」などと呼ばれる。本発明の秘匿化に検索可能暗号を利用してもよい。検索可能暗号の詳細は非特許文献1及び2を参照のこと。
 クエリ生成モジュール431は、各要素を秘匿化した後、ステップ1304に進む。ステップ1304において、クエリ生成モジュール431は、ステップ1303で秘匿化した各照合対象要素を、ポリシ管理サーバ110へ送信する形式へ符号化する。
 符号化の方法は、ポリシ管理サーバ110がリファレンスと照合可能な形式であれば任意の方法でよい。たとえば、XML形式で符号化する場合、ステップ1303で秘匿化した各照合対象要素を16進数文字列で表現し、各照合対象要素をタグの要素に代入すればよい。また、別の符号化の例として、各照合対象要素をブルームフィルタ(Bloom Filter)に格納する方法が考えられる。ブルームフィルタは空間効率の良い確率的データ構造であり、ある要素がある集合のメンバーであるかどうかのテストに使われる。テストにかかる時間が集合数に依存せず定数オーダーであることと、データサイズを非常に小さくできることが特徴である。その反面、集合に含まれていない要素を集合に属していると誤判定する可能性がある。しかし、誤判定の可能性は集合の数やデータサイズを調整することで、任意に小さくできる。ブルームフィルタの詳細については非特許文献3を参照のこと。
 ブルームフィルタに各照合対象要素を格納することで、ポリシ管理サーバ110がリファレンスと照合する時間を短縮するとともに、ポリシ管理サーバ110へ送信するクエリのデータサイズを小さくすることができる。ブルームフィルタの特性から、実際にはリファレンスと一致しない場合に、誤って一致すると判定する可能性がある。そのような場合への対応策として、リファレンスと一致する照合対象要素を含むとポリシ管理サーバ110が判定したクエリに対しては、完全な形式の照合対象要素をポリシ問合せモジュール421に対して要求し直す、という方法が考えられる。ほとんどの制御対象データが非機密データであるような場合は、全体でみれば、この再送にかかるデメリットをブルームフィルタによるデータ削減のメリットで補うことができる。すべての照合対象要素を符号化した後、クエリ生成モジュール431は、処理を終了する。
 次に図14を参照して、ポリシ管理サーバ110のポリシ判定モジュール331の処理の例について説明する。ポリシ判定モジュール331は、制御対象装置130-150から制御対象データのポリシ判定のためのクエリを受信したタイミングで処理を開始する。
 ステップ1401において、ポリシ判定モジュール331は、クエリから制御対象データのカテゴリを判定する。この処理は、秘匿照合モジュール321を介して行われる。処理の詳細は、図15で説明する。制御対象データのカテゴリを判定した後、ステップ1402に進む。
 ステップ1402において、ポリシ判定モジュール331は、制御ルール313を参照して、ステップ1401で判定したカテゴリ601に該当する制御内容602を判定する。このとき、ポリシ判定モジュール331は、制御対象装置から受信した出力内容に一致する制御内容602の項目のみを判定すればよい。たとえば、制御対象装置から送信されたクエリが「社外秘」であり、かつ出力内容が「メール送信」である場合は、「△暗号化」という判定を下す。制御内容を判定した後、ステップ1403に進む。
 ステップ1403において、ポリシ判定モジュール331は、ステップ1401で判定したカテゴリおよびステップ1402で判定した制御内容を制御対象装置へ送信する。送信した後、ステップ1404に進む。
 ステップ1404において、ポリシ判定モジュール331は、制御対象装置130-150から、制御対象データの制御結果であるログ315を受信する。ログを受信した後、ステップ1405に進む。
 ステップ1405において、ポリシ判定モジュール331は、ステップ1404で受信したログ315を、ポリシ管理サーバ110内で管理するログ315に保存する。このとき、秘匿照合モジュール321が記録しているリファレンスIDなどの情報をログ315に追加する。ログ315を保存した後、ポリシ判定モジュール331は処理を終了する。
 次に図15を参照して、ポリシ管理サーバ110の秘匿照合モジュール321の処理(図14のステップ1401)の例について説明する。秘匿照合モジュール321は、ポリシ判定モジュール331から、クエリのカテゴリ判定の命令を受信したタイミングで処理を開始する。
 ステップ1501において、秘匿照合モジュール321は、リファレンステーブル311からひとつリファレンスを読み込む。読み込んだ後、ステップ1502に進む。
 ステップ1502において、秘匿照合モジュール321は、ステップ1501で読み込んだリファレンスとクエリとを照合する。照合した結果、クエリがリファレンスを含む場合はステップ1503へ、含まない場合はステップ1504に進む。
 ステップ1503において、秘匿照合モジュール321は、ステップ1502で照合したリファレンスを一致リストに加える。一致リストは秘匿照合モジュール321内部の記録領域に格納されたデータであり、リファレンスのID701、重要度703などを含む。ここで記録されたリファレンスID703は、ログ315のリファレンスID806として利用される。また、重要度は、ステップ1505でカテゴリを判定する際に利用される。リファレンスを一致リストに加えた後、ステップ1504に進む。
 ステップ1504において、秘匿照合モジュール321は、リファレンステーブル311に含まれるすべてのリファレンスを照合し終えたかを判定する。判定した結果、すべてのリファレンスを照合した場合はステップ1505へ、まだ照合していないリファレンスが残っている場合は、ステップ1501に戻る。
 ステップ1505において、秘匿照合モジュール321は、一致リストとカテゴリルール312を用いて、制御対象データのカテゴリを決定する。判定ロジック1102が図10の例の場合、一致リストに含まれる各リファレンスの重要度をリファレンス毎に合計し、各リファレンスに対して、その合計値により対応するカテゴリを決定する。例えば、制御対象データに含まれる定義情報「クレジット番号」に対応する秘匿化された情報であるリファレンスの重要度の合計値が「3」の場合、図10のカテゴリテーブル312の判定ロジック1002から、カテゴリ1001は「社外秘」と決定される。即ち、定義情報「クレジット番号」に対する機密度が決定される。カテゴリを決定した後、秘匿照合モジュール321は処理を終了する。
 次に図16を参照して、管理者用端末120の定義情報秘匿モジュール521の処理の例について説明する。定義情報秘匿モジュール521は、設定モジュール511から定義情報を秘匿する命令を受信したタイミングで処理を開始する。即ち、制御対象データに対して機密情報とすべき定義情報が、管理者用端末120に入力されたタイミングで処理が開始される。
 ステップ1601において、定義情報秘匿モジュール521は、管理者が秘匿化に利用する鍵を用意しているか判断する。設定モジュール511は、既存の鍵を使うか新たな鍵を生成するかを管理者が選択する機能を提供する。定義情報秘匿モジュール521は、設定モジュール511の入力インターフェース上に管理者が選択した結果に基づいて秘匿化に利用する鍵が用意されているかを判断する。判断した結果、鍵が用意されている場合は1602ステップへ、鍵が用意されていない場合は1604ステップへ進む。なお、単純なハッシュ化のように、鍵を必要としない秘匿化方法を利用する場合は、ステップ1605へ進む。
 ステップ1602において、管理者は、設定モジュール511が提供する入力インターフェースを通して、鍵を入力する。定義情報秘匿モジュール521は、この入力された鍵を内部の記憶領域に格納する。管理者が鍵を入力した後、ステップ1603に進む。
 ステップ1604において、定義情報秘匿モジュール521は、秘匿化に利用する鍵を生成する。このとき、定義情報秘匿モジュール521は、閲覧に必要な鍵を同時に生成する。用いる暗号アルゴリズムによって、秘匿化と閲覧に異なる鍵を利用する場合と同一の鍵を利用する場合がある。鍵を生成した後、ステップ1603に進む。
 ステップ1603において、管理者は、設定モジュール511の入力インターフェースを通して、定義情報を入力する。定義情報秘匿モジュール521は、この入力された定義情報を内部の記録領域に格納する。管理者が定義情報を入力した後、ステップ1605に進む。
 ステップ1605において、定義情報秘匿モジュール521は、定義情報を秘匿化してリファレンスを生成する。秘匿化した後、ステップ1606に進む。
 ステップ1606において、定義情報秘匿モジュール521は、ポリシ管理サーバ110のリファレンステーブル311へリファレンスを登録する。登録した後、定義情報秘匿モジュール521は処理を終了する。
101:ネットワーク、110:ポリシ管理サーバ、111:ポリシ管理機能、112:ポリシ判定機能、113:ポリシ判定秘匿機能、120:管理者用端末、121:設定機能、122:定義情報秘匿機能、130:エンドポイント、131:データ制御機能、132:ポリシ問合せ機能、133:クエリ秘匿機能、140:ストレージ、150:ネットワーク管理装置、201:コンピュータ、202:CPU、203:主記憶装置、204:補助記憶装置、205:ネットワークインターフェース、206:I/Oインターフェース、207:内部バス、311:リファレンステーブル、312:カテゴリルール、313:制御ルール、314:ローカルフィルタ、315:ログ、321:秘匿照合モジュール、331: ポリシ判定モジュール、332:制御ルール配信モジュール、333:ローカルフィルタ配信モジュール、411:データ遮断モジュール、412:イベント監視モジュール、413:制御モジュール、421:ポリシ問合せモジュール、431:クエリ生成モジュール、432:秘匿化モジュール、511:設定モジュール、512:認証モジュール、521:定義情報秘匿モジュール、522:定義情報閲覧モジュール

Claims (13)

  1.  コンピュータやネットワーク上のデータを監視し、予め設定した定義情報に基づいて前記データの機密性を判定し、前記機密性に応じて前記データの処理を変更する機密データの漏えい防止方法であって、
    前記定義情報を秘匿化しネットワークにつながれたコンピュータ上に秘匿化した定義情報を格納するステップと、
    前記データと前記秘匿化した定義情報を前記秘匿化した定義情報を秘匿したまま照合して機密性を判定するステップとを有する、機密データの漏えい防止方法。
  2.  請求項1に記載の機密データの漏えい防止方法であって、前記データから前記データを構成する部分データの集合を抽出し、前記部分データの集合の各要素を秘匿化して生成したデータ集合を前記秘匿化した定義情報を保持するコンピュータ上に送信し、前記データ集合と前記秘匿化した定義情報の一致度を測定することで、前記データと前記秘匿化した定義情報の照合を行うことを特徴とする、機密データの漏えい防止方法。
  3.  機密情報を設定するための管理者用端末と、
     機密判定すべき制御対象データを制御する、少なくとも一つの制御対象装置と、
     前記機密情報に基づいて、前記制御対象データの機密の度合を判定するポリシ管理サーバとが、
     互いにネットワークを介して接続された機密データ漏えい防止システムであって、
     前記管理者用端末は、
      前記機密情報として設定すべき定義情報を受け付け、前記定義情報を秘匿化したリファレンスを生成して前記ポリシ管理サーバに送信する定義情報秘匿手段を有し、
     前記制御対象装置は、
      機密判定の要求を受けて、前記制御対象データから抽出した要素を秘匿化する秘匿化手段と、
      前記秘匿化した要素を含む照合用クエリを生成して前記ポリシ管理サーバに送信するクエリ生成手段と、
      前記制御対象データの制御を行って、前記制御の結果をログとして前記ポリシ管理サーバに登録する制御手段とを有し、
     前記ポリシ管理サーバは、
      前記照合用クエリと前記リファレンスとを照合する照合手段と、
      前記照合の結果に対して機密の度合を判定し、前記判定の結果を前記制御対象装置に送信する機密判定手段とを有する、
     ことを特徴とする機密データ漏えい防止システム。
  4.  前記制御対象装置の前記秘匿化手段は、前記ポリシ管理サーバが保持し、秘匿化及び照合の必要がないデータを識別するためのローカルフィルタに基づいて、前記要素の抽出を行うことを特徴とする請求項3記載の機密データ漏えい防止システム。
  5.  前記ポリシ管理サーバの前記機密判定手段は、前記ポリシ管理サーバが保持し、カテゴリの機密の度合を判定するための基準を定めたカテゴリルールに基づいて、前記照合の結果に対して機密の度合を判定することを特徴とする請求項3記載の機密データ漏えい防止システム。
  6.  前記制御対象装置の前記制御手段は、前記ポリシ管理サーバが保持し、前記機密判定の結果得られる機密の度合いに応じた制御方法を定めた制御ルールに基づいて、前記制御対象データを制御することを特徴とする請求項3記載の機密データ漏えい防止システム。
  7.  ネットワークを介して、管理者用端末と、少なくとも一つの制御対象装置とに接続されたポリシ管理サーバは、
     前記管理者用端末から入力した、機密情報として設定すべき定義情報を秘匿化したリファレンスと、前記制御対象装置から入力した、制御対象データから抽出した要素を秘匿化して生成した照合用クエリとを照合する照合手段と、
     前記照合の結果に対して機密の度合を判定し、前記判定の結果を前記制御対象装置に送信する機密判定手段とを有する、
     ことを特徴とするポリシ管理サーバ。
  8.  ネットワークを介して、管理者用端末と、ポリシ管理サーバとに接続された少なくとも一つの制御対象装置は、
     機密判定の要求を受けて、前記制御対象データから抽出した要素を秘匿化する秘匿化手段と、
      前記秘匿化した要素を含む照合用クエリを生成して前記ポリシ管理サーバに送信するクエリ生成手段と、
      前記制御対象データの制御を行って、前記制御の結果をログとして前記ポリシ管理サーバに登録する制御手段とを有し、
     前記秘匿化手段は、前記ポリシ管理サーバが保持し、秘匿化及び照合の必要がないデータを識別するためのローカルフィルタに基づいて、前記要素の抽出を行い、
     前記制御手段は、前記ポリシ管理サーバが保持し、前記機密判定の結果得られる機密の度合いに応じた制御方法を定めた制御ルールに基づいて、前記制御対象データを制御することを特徴とする制御対象装置。
  9.  機密情報を設定するための管理者用端末と、それぞれが機密判定すべき制御対象データを制御する、少なくとも一つの制御対象装置と、前記機密情報に基づいて、前記制御対象データの機密の度合を判定するポリシ管理サーバとが、互いにネットワークを介して接続されたシステムにおける、機密データ漏えい防止方法であって、
     前記管理者用端末は、
     前記機密情報として設定すべき定義情報を受け付け、前記定義情報を秘匿化したリファレンスを生成して前記ポリシ管理サーバに送信し、
     前記制御対象装置は、
      機密判定の要求を受けて、前記制御対象データから抽出した要素を秘匿化し、
      前記秘匿化した要素を含む照合用クエリを生成して前記ポリシ管理サーバに送信し、
     前記ポリシ管理サーバは、
      前記照合用クエリと前記リファレンスとを照合し、
      前記照合の結果に対して機密の度合を判定し、前記判定の結果を前記制御対象装置に送信し、
     前記制御対象装置は、
      前記制御対象データの制御を行って、前記制御の結果をログとして前記ポリシ管理サーバに登録する、
     ことを特徴とする機密データ漏えい防止方法。
  10.  ネットワークを介して、管理者用端末と、少なくとも一つの制御対象装置とに接続されたポリシ管理サーバにおける、機密データ漏えい防止方法であって、
     前記管理者用端末から入力した、機密情報として設定すべき定義情報を秘匿化したリファレンスと、前記制御対象装置から入力した、制御対象データから抽出した要素を秘匿化して生成した照合用クエリとを照合し、
     前記照合の結果に対して機密の度合を判定し、前記判定の結果を前記制御対象装置に送信する、
     ことを特徴とする機密データ漏えい防止方法。
  11.  ネットワークを介して、管理者用端末と、ポリシ管理サーバとに接続された少なくとも一つの制御対象装置における、機密データ漏えい防止方法であって、
    機密判定の要求を受けて、前記制御対象データから抽出した要素を秘匿化する秘匿化ステップと、
     前記秘匿化した要素を含む照合用クエリを生成して前記ポリシ管理サーバに送信するクエリ生成ステップと、
     前記制御対象データの制御を行って、前記制御の結果をログとして前記ポリシ管理サーバに登録する制御ステップを有し、
     前記秘匿化ステップは、前記ポリシ管理サーバが保持し、秘匿化及び照合の必要がないデータを識別するためのローカルフィルタに基づいて、前記要素の抽出を行い、
     前記制御ステップは、前記ポリシ管理サーバが保持し、前記機密判定の結果得られる機密の度合いに応じた制御方法を定めた制御ルールに基づいて、前記制御対象データを制御することを特徴とする機密データ漏えい防止方法。
  12.  ネットワークを介して、管理者用端末と、少なくとも一つの制御対象装置とに接続されたポリシ管理サーバにおける機密データ漏えい防止方法を実行するためのプログラムを格納した、計算機で読み取り可能な記憶媒体であって、前記方法は、
     前記管理者用端末から入力した、機密情報として設定すべき定義情報を秘匿化したリファレンスと、前記制御対象装置から入力した、制御対象データから抽出した要素を秘匿化して生成した照合用クエリとを照合し、
     前記照合の結果に対して機密の度合を判定し、前記判定の結果を前記制御対象装置に送信する、
     ことを特徴とする記憶媒体。
  13.  ネットワークを介して、管理者用端末と、ポリシ管理サーバとに接続された少なくとも一つの制御対象装置における機密データ漏えい防止方法を実行するためのプログラムを格納した、計算機で読み取り可能な記憶媒体であって、前記方法は、
    機密判定の要求を受けて、前記制御対象データから抽出した要素を秘匿化する秘匿化ステップと、
     前記秘匿化した要素を含む照合用クエリを生成して前記ポリシ管理サーバに送信するクエリ生成ステップと、
     前記制御対象データの制御を行って、前記制御の結果をログとして前記ポリシ管理サーバに登録する制御ステップを有し、
     前記秘匿化ステップは、前記ポリシ管理サーバが保持し、秘匿化及び照合の必要がないデータを識別するためのローカルフィルタに基づいて、前記要素の抽出を行い、
     前記制御ステップは、前記ポリシ管理サーバが保持し、前記機密判定の結果得られる機密の度合いに応じた制御方法を定めた制御ルールに基づいて、前記制御対象データを制御する、
    ことを特徴とする記憶媒体。
PCT/JP2012/052996 2012-02-09 2012-02-09 機密データ漏えい防止装置および方法 WO2013118280A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
PCT/JP2012/052996 WO2013118280A1 (ja) 2012-02-09 2012-02-09 機密データ漏えい防止装置および方法
US14/365,503 US20140331338A1 (en) 2012-02-09 2012-02-09 Device and method for preventing confidential data leaks
JP2013557322A JP5833146B2 (ja) 2012-02-09 2012-02-09 機密データ漏えい防止装置および方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2012/052996 WO2013118280A1 (ja) 2012-02-09 2012-02-09 機密データ漏えい防止装置および方法

Publications (1)

Publication Number Publication Date
WO2013118280A1 true WO2013118280A1 (ja) 2013-08-15

Family

ID=48947084

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2012/052996 WO2013118280A1 (ja) 2012-02-09 2012-02-09 機密データ漏えい防止装置および方法

Country Status (3)

Country Link
US (1) US20140331338A1 (ja)
JP (1) JP5833146B2 (ja)
WO (1) WO2013118280A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015225378A (ja) * 2014-05-26 2015-12-14 京セラドキュメントソリューションズ株式会社 文書管理装置及び文書管理プログラム
JP2018533054A (ja) * 2015-09-22 2018-11-08 グーグル エルエルシー 機密性を保持しつつデータ損失を防止するためのシステムおよび方法

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016057791A1 (en) * 2014-10-10 2016-04-14 Sequitur Labs, Inc. Policy-based control of online financial transactions
CN104363249B (zh) * 2014-12-01 2018-07-24 网易有道信息技术(北京)有限公司 一种信息记录的方法和设备
JP6321216B2 (ja) * 2015-01-15 2018-05-09 日本電信電話株式会社 行列・キー生成装置、行列・キー生成システム、行列結合装置、行列・キー生成方法、プログラム
US10834289B2 (en) 2015-03-27 2020-11-10 International Business Machines Corporation Detection of steganography on the perimeter
CN106713242B (zh) * 2015-11-17 2020-04-07 阿里巴巴集团控股有限公司 数据请求的处理方法及处理装置
CN105550350B (zh) * 2015-12-25 2019-12-20 北京奇虎科技有限公司 提供服务器信息的查询服务的方法和装置
EP3449312B1 (en) 2016-04-25 2023-05-31 ASML Netherlands B.V. A membrane for euv lithography
US11314688B2 (en) * 2016-10-31 2022-04-26 Salesforce.Com, Inc. Providing access to transformed user data to maintain user privacy
JP6926749B2 (ja) * 2017-07-12 2021-08-25 富士フイルムビジネスイノベーション株式会社 文書管理装置、文書管理システム及びプログラム
JP7009802B2 (ja) * 2017-07-12 2022-01-26 富士フイルムビジネスイノベーション株式会社 文書管理装置、文書管理システム及びプログラム
WO2019078343A1 (ja) * 2017-10-20 2019-04-25 国立大学法人電気通信大学 暗号化制御システム、暗号化制御方法及び暗号化制御プログラム
KR101999130B1 (ko) * 2017-11-28 2019-07-11 (주)소만사 엔드포인트 dlp를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법
CN108256340B (zh) * 2017-12-22 2020-06-12 中国平安人寿保险股份有限公司 数据采集方法、装置、终端设备及存储介质
US11641274B2 (en) * 2019-03-22 2023-05-02 Jpmorgan Chase Bank, N.A. Systems and methods for manipulation of private information on untrusted environments

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003296331A (ja) * 2002-04-04 2003-10-17 Kddi Corp データ検索方法、データ検索システム、検索キーワード生成装置、及びコンピュータプログラム
JP2006209649A (ja) * 2005-01-31 2006-08-10 Nec Corp 機密文書検索システム、機密文書検索方法、および機密文書検索プログラム
JP2007052698A (ja) * 2005-08-19 2007-03-01 Kddi Corp 暗号化された文書のためのインデックス生成および検索方法ならびに暗号化文書検索システム
JP2010015542A (ja) * 2008-06-03 2010-01-21 Hitachi Ltd ファイル管理システム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7975308B1 (en) * 2007-09-28 2011-07-05 Symantec Corporation Method and apparatus to secure user confidential data from untrusted browser extensions
US7885944B1 (en) * 2008-03-28 2011-02-08 Symantec Corporation High-accuracy confidential data detection
KR101190061B1 (ko) * 2008-12-01 2012-10-11 한국전자통신연구원 결합 키워드를 이용한 데이터 암호화 방법 및 데이터 검색방법
CN102713996A (zh) * 2010-01-13 2012-10-03 三菱电机株式会社 隐匿检索系统以及公开参数生成装置以及加密装置以及用户秘密密钥生成装置以及查询发布装置以及检索装置以及计算机程序以及隐匿检索方法以及公开参数生成方法以及加密方法以及用户秘密密钥生成方法以及查询发布方法以及检索方法
WO2011086687A1 (ja) * 2010-01-15 2011-07-21 三菱電機株式会社 秘匿検索システム及び暗号処理システム
US20120317410A1 (en) * 2011-06-08 2012-12-13 Cirque Corporation Protecting data from data leakage or misuse while supporting multiple channels and physical interfaces

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003296331A (ja) * 2002-04-04 2003-10-17 Kddi Corp データ検索方法、データ検索システム、検索キーワード生成装置、及びコンピュータプログラム
JP2006209649A (ja) * 2005-01-31 2006-08-10 Nec Corp 機密文書検索システム、機密文書検索方法、および機密文書検索プログラム
JP2007052698A (ja) * 2005-08-19 2007-03-01 Kddi Corp 暗号化された文書のためのインデックス生成および検索方法ならびに暗号化文書検索システム
JP2010015542A (ja) * 2008-06-03 2010-01-21 Hitachi Ltd ファイル管理システム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015225378A (ja) * 2014-05-26 2015-12-14 京セラドキュメントソリューションズ株式会社 文書管理装置及び文書管理プログラム
JP2018533054A (ja) * 2015-09-22 2018-11-08 グーグル エルエルシー 機密性を保持しつつデータ損失を防止するためのシステムおよび方法

Also Published As

Publication number Publication date
JP5833146B2 (ja) 2015-12-16
JPWO2013118280A1 (ja) 2015-05-11
US20140331338A1 (en) 2014-11-06

Similar Documents

Publication Publication Date Title
JP5833146B2 (ja) 機密データ漏えい防止装置および方法
US8245042B2 (en) Shielding a sensitive file
JP2023113889A (ja) フェデレーテッドキー管理
CN101512490B (zh) 在网络化环境中保护数据安全
CA2553648C (en) Adaptive transparent encryption
US20080052539A1 (en) Inline storage protection and key devices
US20090106561A1 (en) Data management apparatus and data management method
CN105740725B (zh) 一种文件保护方法与系统
Scarfone et al. Guide to enterprise password management (draft)
US20190332792A1 (en) Access management system, access management method and program
JP2005192198A (ja) 画像処理装置のネットワークシステムにおける安全なデータ伝送
KR20110079660A (ko) 태그 데이터 요소의 암호화와 동작 제어 프로세스-1
JP2003218851A (ja) ディジタル資産を安全化する方法及び装置
WO2007102457A1 (ja) 機器監視装置
CN105283832A (zh) 打印复合文档
US7412603B2 (en) Methods and systems for enabling secure storage of sensitive data
JP5380063B2 (ja) Drmシステム
CN110708156B (zh) 一种通信方法、客户端及服务器
US10397193B2 (en) Blind cloud data leak protection
JP6729013B2 (ja) 情報処理システム、情報処理装置及びプログラム
Selvakumar et al. Securing cloud data in transit using data masking technique in cloud enabled multi tenant software service
Kent Evaluating certification authority security
JP2005309846A (ja) データベース保護システム
CN100525176C (zh) 一种协同工作环境下信息泄漏防范系统及其实现方法
US20050097347A1 (en) Printer security key management

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12868285

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2013557322

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12868285

Country of ref document: EP

Kind code of ref document: A1