WO2015159926A1

WO2015159926A1 - 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム

Info

Publication number: WO2015159926A1
Application number: PCT/JP2015/061637
Authority: WO
Inventors: 守本　正宏; 喜勝白井; 秀樹武田; 周作野崎; 彰晃花谷; 健作信櫻; 拓一小野里
Original assignee: 株式会社Ｕｂｉｃ
Priority date: 2014-04-15
Filing date: 2015-04-15
Publication date: 2015-10-22
Also published as: JPWO2015159926A1; JP6247749B2; TW201606558A

Abstract

　記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第１系列と、直近の期間に含まれるビヘイビアの第２系列とを比較することによって、当該第１系列と第２系列との差異を抽出する抽出部と、抽出された差異が、機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する判定部と、達したと判定された場合、コンピュータの管理者に危険性を報知する報知部とを備えている。

Description

情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム

　本発明は、コンピュータの使用に関するユーザのビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知装置等に関するものである。

　アクセス制御を管理することによって、ネットワークの内部から機密情報が漏洩することを防止するシステムは、従来から提案されていた。例えば、下記の特許文献１には、システム全体に一貫したセキュリティポリシーを共有させて、ポリシー変更などに伴うアクセス制御を変更できるセキュリティポリシー管理システムが開示されている。また、下記の特許文献２には、ユーザに対する各データへのアクセス権限を動的に設定・変更することができるアクセス権限管理システムが開示されている。

　一方、コンピュータ利用に関するビヘイビア（どのファイルにアクセスしたかなど）を記録する技術も、従来から提案されていた。例えば、下記の特許文献３には、情報ネットワークの利用者の行動を把握して、情報漏洩の予防対策に役立つ情報ファイル漏洩を検知するための表示方法が開示されている。

特開２０１２－１９４８０１号公報（２０１２年１０月１１日公開）特開２０１３－２１４２１９号公報（２０１３年１０月１７日公開）特開２００７－３０４９４３号公報（２００７年１１月２２日公開）

　ネットワークの内部ユーザによる情報漏洩を防止するために、セキュリティポリシーを厳格に適用することによって情報が漏洩し得る経路を制限すれば、業務の効率が落ち、管理コストが高くつくという弊害が生じる。上記の特許文献１および２に記載の従来技術は、この弊害を克服可能な技術ではない。

　一方、上記の特許文献３に記載の表示方法のように、上記内部ユーザのビヘイビアを記録し、問題視される所定のビヘイビアが発見された場合、管理者に警告を出すシステムでは、（ａ）上記所定のビヘイビアが発見された時点では、すでに機密情報が漏洩した後であることが多い、および（ｂ）漏洩を事前に検知するために警告の要件を緩めるほど警告が頻発し、十分に監視が及ばないという問題が生じる。

　本発明は、上記の問題点に鑑みてなされたものであり、その目的は、ビヘイビアの履歴を解析することによって、管理コストを増大させることなく、機密情報が漏洩する予兆を検知可能な情報漏洩検知等を提供することである。

　上記課題を解決するために、本発明の一態様に係る情報漏洩検知装置は、コンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知装置であって、前記所定の記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第１系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第２系列とを比較することによって、当該第１系列と第２系列との差異を抽出する抽出部と、前記抽出部によって抽出された差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する判定部と、前記判定部によって達したと判定された場合、前記コンピュータの管理者に前記危険性を報知する報知部とを備えている。

　ここで、上記「機密情報」は、事業活動に有用な技術上または営業上の情報であり、例えば、個人情報、技術情報（設計図、実験データ、研究レポート、製造ノウハウ）、営業情報（顧客名簿、販売マニュアル、仕入先リスト、財務データ）などが含まれる。また、上記「ビヘイビア」は、ユーザがコンピュータを使用した事実に関連する任意の情報であり、例えば、所定のディレクトリまたはデータにアクセスした事実、および／または当該アクセスの日時を含む。

　上記構成によれば、上記情報漏洩検知装置は、上記第１系列と第２系列との差異が、上記所定の基準を超える程度の大きな差異である場合、上記機密情報が漏洩する危険性が高まったことを上記管理者に報知する。すなわち、上記情報漏洩検知装置は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができる。

　また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、前記機密情報にアクセスする時間帯の変化を、前記第１系列と第２系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された時間帯の変化が、所定の時間幅を超過しているか否かを、前記所定の基準の１つとして用いてよい。

　また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、前記機密情報にアクセスする回数の変化を、前記第１系列と第２系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された回数の変化が、第１のしきい値を超過しているか否かを、前記所定の基準の１つとして用いてよい。

　また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、前記機密情報にアクセスする頻度の変化を、前記第１系列と第２系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された頻度の変化が、第２のしきい値を超過しているか否かを、前記所定の基準の１つとして用いてよい。

　また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、アクセスする前記機密情報の種類の変化を、前記第１系列と第２系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された種類の変化が、第３のしきい値を超過しているか否かを、前記所定の基準の１つとして用いてよい。

　また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、前記機密情報を移動させた回数の変化を、前記第１系列と第２系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された回数の変化が、第４のしきい値を超過しているか否かを、前記所定の基準の１つとして用いてよい。

　また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、送受信した電子メールの数の変化を、前記第１系列と第２系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された数の変化が、第５のしきい値を超過しているか否かを、前記所定の基準の１つとして用いてよい。

　また、本発明の一態様に係る情報漏洩検知装置において、前記判定部は、前記抽出部によって抽出された差異が、前記危険性が高まっていることを示しているか否かを表す分別符号であって、当該差異にあらかじめ対応付けられた分別符号に基づいて、新たに抽出された差異が、前記危険性が高まっていることを示すか否かを判定してよい。

　また、本発明の一態様に係る情報漏洩検知装置において、前記報知部は、前記コンピュータを一意に識別可能な識別情報をさらに報知してよい。

　上記課題を解決するために、本発明の一態様に係る情報漏洩検知方法は、コンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知方法であって、前記所定の記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第１系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第２系列とを比較することによって、当該第１系列と第２系列との差異を抽出する抽出ステップと、前記抽出ステップにおいて抽出した差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する判定ステップと、前記判定ステップにおいて達したと判定した場合、前記コンピュータの管理者に前記危険性を報知する報知ステップとを含んでいる。

　したがって、上記情報漏洩検知方法は、上記情報漏洩検知装置と同じ効果を奏する。

　上記課題を解決するために、本発明の一態様に係る情報漏洩検知プログラムは、第１のコンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知プログラムであって、第２のコンピュータに、前記所定の記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第１系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第２系列とを比較することによって、当該第１系列と第２系列との差異を抽出する抽出機能と、前記抽出機能によって抽出された差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する判定機能と、前記判定機能によって達したと判定された場合、前記第１のコンピュータの管理者に前記危険性を報知する報知機能とを実現させる。

　すなわち、本発明の各態様に係る情報漏洩検知装置は、コンピュータによって実現されてもよい。この場合、コンピュータを上記情報漏洩検知装置が備えた各部として動作させることによって、上記情報漏洩検知装置をコンピュータにおいて実現させる情報漏洩検知プログラム、および当該情報漏洩検知プログラムを記録したコンピュータ読み取り可能な記録媒体も、本発明の範疇に入る。

　したがって、上記情報漏洩検知プログラムは、上記情報漏洩検知装置と同じ効果を奏する。

　本発明の一態様に係る情報漏洩検知装置、情報漏洩検知方法、および、情報漏洩検知プログラムは、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができるという効果を奏する。

本発明の実施の形態に係るサーバの要部構成を示すブロック図である。上記サーバが実行する処理の一例を示すフローチャートである。実施の形態２に係るサーバの要部構成を示すブロック図である。上記サーバが実行する処理の一例を示すフローチャートである。（ａ）、（ｂ）は、ユーザのビヘイビアの変化の例を示すグラフである。

　〔実施の形態１〕
　図１～図２に基づいて、本発明の実施の形態を説明する。

　〔サーバ１００の構成〕
　図１は、サーバ１００の要部構成を示すブロック図である。サーバ（情報漏洩検知装置）１００は、コンピュータの使用に関するユーザのビヘイビアを、記憶部３０に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知装置である。図１に示されるように、サーバ１００は、制御部１０（取得部１１、抽出部１２、判定部１３、報知部１４、出力部１５）、表示部５０、記憶部３０、および、通信部２０（受信部２１、送信部２２）、を備えている。

　制御部１０は、サーバ１００が有する各種機能を統括的に制御する。制御部１０は、取得部１１、抽出部１２、判定部１３、報知部１４、および、出力部１５を含む。

　取得部１１は、受信部２１によって受信されたデータ１を当該受信部２１から取得し、当該データ１を抽出部１２および出力部１５に出力する。また、取得部１１は、上記データ１に含まれる、コンピュータの使用に関するユーザのビヘイビアを記憶部３０に逐次格納する。ここで、上記ビヘイビアは、ユーザがコンピュータを使用した事実に関連する任意の情報であり、例えば、所定のディレクトリまたはデータにアクセスした事実、および／または当該アクセスの日時を含む。

　抽出部１２は、記憶部３０に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第１系列と、上記所定の期間とは異なる直近の期間に含まれるビヘイビアの第２系列とを比較することによって、当該第１系列と第２系列との差異を抽出する。

　具体的には、抽出部１２は、（１）機密情報にアクセスする時間帯の変化、（２）機密情報にアクセスする回数の変化、（３）機密情報にアクセスする頻度の変化、（４）アクセスする機密情報の種類の変化、（５）機密情報を移動させた回数の変化、または（６）送受信した電子メールの数の変化を、上記第１系列と第２系列との差異として抽出することができる。抽出部１２は、抽出した上記第１系列と第２系列との差異を、差異情報２として判定部１３に出力する。

　上記（１）の場合、抽出部１２は、取得部１１によって記憶部３０に蓄積されたビヘイビアの履歴を参照し、上記所定の期間（例えば、現在より１年前から現在より１１ヶ月前までの１月間）においてユーザが機密情報にアクセスした時間帯と、上記直近の期間（例えば、現在より１ヶ月前から現在までの１月間）において当該機密情報にアクセスした時間とを比較する。そして、ユーザが機密情報にアクセスする時間帯が、例えば、通常の業務時間帯（例えば、９時～１８時）からオフィスに他のユーザが少ない時間帯（例えば、夜中・週末など）に変化したことを、抽出部１２は上記差異として抽出できる。

　上記（２）の場合、抽出部１２は、上記所定の期間においてユーザが機密情報にアクセスした回数と、上記直近の期間において当該機密情報にアクセスした回数とを比較する。そして、ユーザが機密情報にアクセスする回数が、例えば、当該ユーザが業務を遂行する上で必要と認められ得る常識的な回数から、認められ得ない回数まで増加していることを、抽出部１２は上記差異として抽出できる。なお、抽出部１２は、ユーザが機密情報にアクセスする回数に関する移動平均を連続的に計算し、任意の時点（例えば、１年前）における移動平均値と、直近における移動平均値との差異を抽出してもよい。

　上記（３）の場合、抽出部１２は、上記所定の期間において機密情報にアクセスした頻度（単位時間あたりのアクセス回数）と、上記直近の期間において当該機密情報にアクセスした頻度とを比較する。そして、ユーザが機密情報にアクセスする頻度が、例えば、当該ユーザが業務を遂行する上で必要と認められ得る常識的な頻度から、認められ得ない頻度まで増加していること（短い時間で多くの機密情報にアクセスしていること）を、抽出部１２は上記差異として抽出できる。

　上記（４）の場合、抽出部１２は、上記所定の期間においてアクセスした機密情報の種類と、上記直近の期間においてアクセスした当該機密情報の種類とを比較する。そして、ユーザがアクセスした機密情報の種類が、例えば、当該ユーザが業務を遂行する上で想定される種類を超えて、多くの種類の機密情報にアクセスしていること（すなわち、外部に持ち出すに足る機密情報を物色していること）を、抽出部１２は上記差異として抽出できる。

　上記（５）の場合、抽出部１２は、上記所定の期間においてユーザが機密情報を移動させた回数（例えば、所定のサーバに格納されているデータを、当該ユーザが使用するコンピュータにコピーした回数など）と、上記直近の期間において移動させた回数とを比較する。そして、上記移動させた回数が、例えば、当該ユーザが業務を遂行する上で必要と認められ得る常識的な回数から、認められ得ない回数まで増加していることを、抽出部１２は上記差異として抽出できる。

　上記（６）の場合、抽出部１２は、上記所定の期間においてユーザが送受信した電子メールの数と、上記直近の期間において送受信した電子メールの数とを比較する。そして、例えば、外部の人物とのメールのやりとりが増加していることを、抽出部１２は上記差異として抽出できる。あるいは、内部の人物（例えば、ユーザの上司）とのメールのやりとりが減少していることを、抽出部１２は上記差異として抽出できる。

　上記（１）～（６）に例示したように、サーバ１００は、機密情報が漏洩する予兆として観察される上記変化を抽出することができる。したがって、サーバ１００は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができる。

　判定部１３は、抽出部１２によって抽出された差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する。具体的には、判定部１３は、（１）機密情報にアクセスする時間帯の変化が所定の時間幅を超過しているか否かを、上記所定の基準の１つとして判定する。また、判定部１３は、（２）機密情報にアクセスする回数の変化、（３）機密情報にアクセスする頻度の変化、（４）アクセスする機密情報の種類の変化、（５）機密情報を移動させた回数の変化、または（６）送受信した電子メールの数の変化が、それぞれ所定のしきい値（第１～５のしきい値）を超過しているか否かを、上記所定の基準の１つとして判定することができる。判定部１３は、判定した結果（判定結果３）を報知部１４に出力する。

　ここで、上記（１）の場合における所定の時間幅、および上記（２）～（６）の場合における所定のしきい値は、抽出部１２によって抽出された差異を「異常な変化」として検出可能となるように、それぞれ設定される。したがって、サーバ１００は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができる。

　また、判定部１３は、抽出部１２によって抽出された差異（差異情報２）が、上記危険性が高まっていることを示しているか否かを表す分別符号であって、当該差異にあらかじめ対応付けられた分別符号に基づいて、新たに抽出された差異が、上記危険性が高まっていることを示すか否かを判定してよい。

　すなわち、上記（１）～（６）に例示される基準のみでは、情報漏洩に関するすべての予兆を検知できないおそれが考えられる。そこで、サーバ１００は、「危険性が高まっている」または「危険性が高まっていない」を表す分別符号を、外部から受け付けることによって、上記差異を分類する（例えば、管理者が所定の入力機器を介して上記分別符号を入力することによって、当該分別符号をサーバ１００に与えることができる）。そして、抽出部１２によって新たに差異が抽出された場合、上記差異にあらかじめ対応付けられた分類符号に基づいて、当該新たに抽出された差異を分類できる（すなわち、当該差異が、危険性が高まっていることを示すか否かを判定できる）。

　これにより、サーバ１００は、未知の差異（例えば、上記（１）～（６）に例示される基準だけでは情報漏洩の危険性が高まっていることを検知できない変化）が抽出された場合であっても、汎化能力を発揮して確実に上記危険性を検知することができる。

　報知部１４は、判定部１３によって達したと判定された場合、コンピュータの管理者に危険性を報知する。この場合、報知部１４は、上記コンピュータを一意に識別可能な識別情報（例えば、ホスト名、ＩＰアドレス、メールアドレス、ユーザ名など）をさらに報知することができる。これにより、サーバ１００は、機密情報を漏洩しようとする主体を上記管理者に特定させることができる。報知部１４は、上記危険性および／または上記識別情報を含む報知情報４を表示部５０に出力する。

　出力部１５は、取得部１１から入力されたデータ１を送信部２２に出力することによって、当該データ１を外部のコンピュータに送信する。

　表示部５０は、報知部１４から入力された報知情報４にしたがって、上記危険性に関する情報を表示可能な表示装置（例えば、液晶ディスプレイ）である。なお、図１は、サーバ１００が表示部５０を含む構成例を示すが、表示部５０は、上記危険性に関する情報をユーザに提示可能でありさえすればよく、例えば、サーバ１００に通信可能に接続された外部の表示装置であってもよい。

　記憶部３０は、例えば、ハードディスク、ＳＳＤ（solid state drive）、半導体メモリ、ＤＶＤなど、任意の記録媒体によって構成される記憶機器であり、サーバ１００を制御可能な各種プログラム（情報漏洩検知プログラム）およびデータと、取得部１１によって逐次格納されたユーザのビヘイビアとを記憶する。

　通信部２０は、所定の通信方式にしたがう通信網を介して外部と通信する。外部の機器との通信を実現する本質的な機能が備わってさえいればよく、通信回線、通信方式、または通信媒体などは限定されない。通信部２０は、例えばイーサネット（登録商標）アダプタなどの機器で構成できる。また、通信部２０は、例えばIEEE802.11無線通信、Bluetooth（登録商標）などの通信方式や通信媒体を利用できる。通信部２０は、受信部２１と送信部２２とを含む。

　受信部２１は、通信網を介した通信によって、イントラネットに含まれる任意のコンピュータからデータ１を受信する。

　送信部２２は、通信網を介した通信によって、インターネットに通信可能に接続された任意のコンピュータに、出力部１５から入力されたデータ１を送信する。

　〔サーバ１００が実行する処理〕
　図２は、サーバ１００が実行する処理の一例を示すフローチャートである。なお、以下の説明において、カッコ書きの「～ステップ」は、情報漏洩検知方法に含まれる各ステップを表す。

　取得部１１は、受信部２１が受信したデータ１を当該受信部２１から取得する（ステップ１、以下「ステップ」を「Ｓ」と略記する）。抽出部１２は、記憶部３０に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第１系列と、当該所定の期間とは異なる直近の期間に含まれるビヘイビアの第２系列とを比較することによって、当該第１系列と第２系列との差異を抽出する（Ｓ２、抽出ステップ）。

　判定部１３は、機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する（Ｓ３、判定ステップ）。上記所定の基準に達したと判定された場合（Ｓ３においてＹＥＳ）、報知部１４は、コンピュータの管理者に上記危険性を報知する（Ｓ４、報知ステップ）。

　〔サーバ１００が奏する効果〕
　サーバ１００は、ユーザのダイナミクス変化（例えば、機密情報にアクセスする回数が増加したことなど）の有無に焦点を当て、事前に情報漏洩のリスクを察知することができる。すなわち、サーバ１００は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができるという効果を奏する。

　〔ソフトウェアによる実現例〕
　サーバ１００の制御ブロック（特に、制御部１０）は、集積回路（ＩＣチップ）等に形成された論理回路（ハードウェア）によって実現してもよいし、ＣＰＵ（Central Processing Unit）を用いてソフトウェアによって実現してもよい。後者の場合、サーバ１００は、各機能を実現するソフトウェアであるプログラム（情報漏洩検知プログラム）の命令を実行するＣＰＵ、上記プログラムおよび各種データがコンピュータ（またはＣＰＵ）で読み取り可能に記録されたＲＯＭ（Read Only Memory）または記憶装置（これらを「記録媒体」と称する）、上記プログラムを展開するＲＡＭ（Random Access Memory）などを備えている。そして、コンピュータ（またはＣＰＵ）が上記プログラムを上記記録媒体から読み取って実行することにより、本発明の目的が達成される。上記記録媒体としては、「一時的でない有形の媒体」、例えば、テープ、ディスク、カード、半導体メモリ、プログラマブルな論理回路などを用いることができる。また、上記プログラムは、当該プログラムを伝送可能な任意の伝送媒体（通信ネットワークや放送波等）を介して上記コンピュータに供給されてもよい。本発明は、上記プログラムが電子的な伝送によって具現化された、搬送波に埋め込まれたデータ信号の形態でも実現され得る。

　具体的には、本発明の実施の形態に係るサーバ１００は、第１のコンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知装置であって、第２のコンピュータに、抽出機能、判定機能、および報知機能を実現させる。

　上記抽出機能、判定機能、および報知機能は、上述した抽出部１２、判定部１３、および報知部１４よってそれぞれ実現されることができる。詳細については上述した通りである。

　〔実施の形態２〕
　上記実施の形態１では、ユーザのビヘイビアに基づいて機密情報が漏洩する危険性を検知する例を示したが、本実施の形態２においては、その確度を向上させる手法を開示する。すなわち、ユーザのビヘイビアに加えて、当該ユーザの送信メールの内容を解析することで、機密情報の漏洩の危険性を検知する。なお、本実施の形態２においては、実施の形態１と共通する内容については説明を割愛し、異なる点を中心に説明する。

　図３は、実施の形態２に係るサーバ３００の要部構成を示すブロック図である。図３に示すようにサーバ３００は、記憶部３０、制御部４０、表示部５０および通信部６０を備える。

　記憶部３０は、上記実施の形態１に示すようにサーバ３００が動作上必要とするプログラムやデータとして、さらに、ユーザが送信した送信メールを評価するためのキーワードの重み値を記憶する。当該キーワードは、管理者の指定によるものであってもよいし、機密情報の漏洩の危険性があると判定されたメールおよび当該危険性がないと判定されたメールそれぞれ複数から頻出する形態素あるいは表現、センテンスを自動的に抽出したものであってもよい。

　また、当該キーワードの重み値は、当該キーワードの重み値に基づいて、送信メールを評価した場合に、機密情報の漏洩の危険性があると管理者が判断した送信メールの評価値（スコア）が、機密情報の漏洩の危険性がないと判断した送信メールのスコアよりも高くなるように設定する。そのために、当該重み値は、繰り返し学習により、例えば、以下の数式を用いて算出することとしてもよい。

　上記式（１）において、ｗｇｔ_ｉ，０は、学習前のｉ番目のキーワードの重み値（初期値）であり、ｗｇｔ_ｉ，Ｌは、Ｌ回目の学習後のｉ番目のキーワードの重み値である。そして、γ_ＬはＬ回目学習における学習パラメータであり、θは学習効果の閾値である。

　記憶部３０が、キーワードと重み値を対応付けて記憶していることにより、サーバ３００は、ユーザの送信メールが機密情報の漏洩に関連するか否かを判定することができる。

　制御部４０は、取得部４１、出力部１５、抽出部４２、判定部４３、報知部１４及び分類部４５を備える。

　取得部４１は、取得部１１が有する機能に加え、ユーザの送信メールを受信部２１を介して取得する機能を有する。取得部４１は、取得した送信メールを抽出部４２に伝達する機能を有する。

　抽出部４２は、抽出部１２が有する機能に加え、取得部４１から伝達された送信メールからキーワードを抽出する機能を有する。抽出するキーワードは、記憶部３０に記憶されているキーワードである。抽出部４２は、抽出したキーワードと、抽出した送信メールとを分類部４５に伝達する。

　判定部４３は、判定部１３が有する機能に加え、分類部４５から伝達された機密情報の漏洩に関連すると分類された送信メールの、分類に用いた全送信メールに対する割合を算出する機能を有する。そして、判定部４３は、算出した割合が所定のしきい値（例えば、５割）を超えるか否かを判定する。判定部４３は、第１系列と第２系列とのビヘイビアの差分が所定のしきい値を超えており、かつ、算出した割合が所定のしきい値を超えていると判定した場合に、報知部１４に機密情報の漏洩の危険性がある旨を通知する。なお、ここでは、機密情報の漏洩に関すると分類された送信メールの全送信メールに対する割合を用いて判定することとしているが、機密情報の漏洩に関すると分類された送信メールが一定数以上あるか否かで判定することとしてもよい。

　分類部４５は、抽出部４２から伝達されたキーワードを用いて、抽出部４２がキーワードを抽出した送信メールを、機密情報の漏洩に関連するか否かを分類する機能を有する。具体的には、分類部４５は、抽出部４２が抽出したキーワードに対応付けられている重み値を用いて、当該キーワードを抽出した送信メールのスコアＳを算出する。当該スコアＳは、例えば、以下の式（２）により算出することができる。

　上記式（２）において、ｗ_ｉは、ｉ番目のキーワードの重み値であり、ｓ（ｉ）は、ｉ番目のキーワードが存在するか否かの存在関数であり、送信メール中にｉ番目のキーワードが存在する場合に１、存在しない場合に０となる。

　そして、分類部４５は、算出したスコアＳが所定のしきい値を超えるか否かを判定する。所定のしきい値を超えている場合に、分類部４５は、当該スコアＳに対応する送信メールが機密情報の漏洩に関連すると分類し、超えていない場合に、当該スコアＳに対応する送信メールが機密情報の漏洩に関連しないと分類する。分類部４５は、複数の送信メールを分類し、その分類結果５を判定部４３に伝達する。

　報知部１４は、判定部４３から機密情報の漏洩の危険性がある旨を通知されると、機密情報の漏洩の危険性があることを示す表示情報を生成し、表示部５０は、当該表示情報を表示することで、管理者に機密情報の漏洩の危険性があることを通知する。

　通信部６０は、送信部２２及び受信部６１を備える。

　受信部６１は、受信部２１が有する機能に加え、さらに、ユーザの送信メールを複数受信する機能を有し、受信した複数の送信メールを取得部４１に伝達する。
　以上が、実施の形態２に係るサーバ３００の構成である。

　図４は、本実施の形態２におけるサーバ３００の判定動作を示すフローチャートである。図４に示すフローチャートは、図２に示すフローチャートに、送信メールを分析する処理を加えたものである。

　したがって、図２に示すフローチャートと同じ処理には同じステップ番号を付し、説明を省略する。

　図４のフローチャートが図２のフローチャートと異なるのは、ステップＳ３以降の処理であるので、ステップＳ５以降のサーバ３００の動作を説明する。

　図４に示すように、差異が所定の基準に達していると判定部４３が判定した場合には（ステップＳ３のＹＥＳ）、サーバ３００の取得部４１は、判定部４３が差異が所定の基準に達していると判定したビヘイビアをとっていたユーザの送信メールを取得する（ステップＳ５）。

　サーバ３００は、取得したメールに対して、記憶部３０に記憶されているキーワードの重み値を用いて、取得したユーザの複数送信メールを、機密情報の漏洩に関連するか否かに分類する（ステップＳ６）。

　そして、機密情報の漏洩に関連すると判定された送信メールの全送信メールに対する割合が所定のしきい値を超えているか否かを判定する（ステップＳ７）。

　機密情報の漏洩に関連すると判定された送信メールの割合が所定のしきい値を超えていると判定した場合には（ステップＳ７のＹＥＳ）、報知部１４は、コンピュータの管理者に、機密情報の漏洩の危険性があることを示す情報を生成し、表示部５０に表示させる（ステップＳ８）。機密情報の漏洩に関連すると判定された送信メールの割合が所定のしきい値以下である場合には（ステップＳ７のＮＯ）、機密情報の漏洩の危険性は低いものとして、処理を終了する。この場合には、当該ユーザについて機密情報の漏洩の危険性が低いことを示す情報を報知することとしてもよい。

　図５は、ユーザのビヘイビアの一日における時間的変化の一例を示すグラフである。

　図５（ａ）は、過去のユーザのビヘイビアの一日における時間的変化の一例を示すグラフであり、図５（ｂ）は、最近の当該ユーザのビヘイビアの一日に置ける時間的変化の一例を示すグラフである。ここでは、一日としているが、これは過去の一定期間（例えば、一年前の一週間分）や最近の一定期間（例えば、現在から一か月以内の一週間分）の平均値であってもよい。また、分析対象は一日に限らず、週単位や月単位など別の単位であってもよい。ここでは、ユーザのビヘイビアの一例として、ユーザが機密情報にアクセスしたアクセス量の変化と、メールを送信した送信本数の変化を示す。

　図５（ａ）は、過去において、ユーザがまだ属している組織などに不平や不満を持っておらず機密情報が漏洩する危険性が低いころのユーザのビヘイビアの一例を示している。一方で、図５（ｂ）は、組織に不平や不満を持ち出しており機密情報が漏洩する危険性が高まってきている最近のユーザのビヘイビアの一例を示している。図５（ａ）、図５（ｂ）の縮尺は同じであるとする。図５（ａ）及び図５（ｂ）は共に、縦軸に、メールの送信件数または機密情報へのアクセス件数を、横軸に時間をとったグラフである。

　図５（ａ）に示されるように、機密情報の漏洩の危険性が低いうちは、ユーザのメールの送信時間に異常は見られず、機密情報へのアクセスの頻度も低い。一方で、ユーザが組織に対して何等かの理由で不平や不満を抱くようになると、機密情報を漏洩する危険性が高まる。そのような場合には、図５（ｂ）に示されるように、従来メールを送信していなかった時間帯でのメールその送信や、機密情報へのアクセス頻度が向上することが一般的に考えられる。例えば、図５（ｂ）の場合であれば、図５（ａ）と比較すればわかるように、夜の２３時や２４時におけるメール送信件数及び機密情報へのアクセス件数が増加している。このような時間にメールを送信したり機密情報にアクセスしたりするのは、何らかの怪しい行動をとっている可能性があるといえる。

　そのような行動の変化が見受けられる状態で、当該ユーザの送信する複数のメールについて、サーバ３００が分析を行い、それぞれの送信メールについて「機密情報の漏洩」に関する送信メールとそうでない送信メールとに分類して、その割合が一定割合を超えているかを判定することで、機密情報の漏洩の危険性があることを検知することができる。そして、「機密情報の漏洩」に関連すると分類された送信メールの内容をサーバ３００の管理者が読むことでより機密情報の漏洩の危険性を低減することができる。

　また、ここでは、「機密情報の漏洩」に関連すると分類された送信メールが、送信メール全体に占める割合が所定のしきい値を超えると判定部４３により判定された場合に、当該ユーザが機密情報を漏洩する危険性があると判定することとしているが、これは、サーバ３００の管理者がユーザの送信メールを確認して判定することとしてもよい。なお、本実施の形態においては、サーバ３００は、機密情報の漏洩に関するか否かで分類しているが、これは、「不平・不満」に関するか否かに応じて分類することとしてもよい。不平や不満は往々にして組織に対する忠義心を薄れさせ、機密情報の漏洩に走る原因となりやすいからである。また、あるいは、特定の話題に関するか否かで分類することとしてもよい。ある時期から急に特定の話題（例えば、属している組織における新商品開発の話題）が出るようになった場合であって、ユーザのビヘイビアが常とは異なってきたとき（例えば夜中に機密情報にアクセスしているなど）には、機密情報の漏洩の危険性がある。今まで新商品についての話題がなかったのに、急に新商品について興味が湧くのはそのユーザの行動としては異常があると言え、そのビヘイビアと相まって、高確率で機密情報の漏洩の危険性があるといえ、サーバ３００はその検知を行うことができる。

　また、上記では、予め「機密情報の漏洩」に関連するキーワードとその重み値を記憶しておくこととしたが、ユーザの送信メールを分類する段階で、その一部に対して、機密情報の漏洩に関連するか否かを管理者が判断して分類し、分類した送信メールから頻出する単語をキーワードとして登録し、その重み値を算出することとしてもよい。

　また、図４に示すフローチャートでは、ユーザの過去と現在のビヘイビアにおいて差異が所定の基準に達していると判定してから、ユーザの送信メールが機密情報の漏洩に関するか否かを判定することとしているが、この判定はいずれが先であってもよい。

　また、サーバ３００は、ユーザがアクセスした情報の内容に応じた機密度、あるいは、ユーザがとった行動に対する機密情報の漏洩度を設定し、その機密度及び漏洩度の少なくとも一方が、所定のしきい値を超えたことを条件に、機密情報の漏洩の危険性があることを報知することとしてもよい。

　すなわち、記憶部３０は、組織内においてアクセスできる各種のデータについて機密度を記憶する。当該機密度は、そのデータの機密性の高低を示す情報であり、管理者が設定した数値や「高」「中」「低」というような表現で示されてよい。また、記憶部３０は、ユーザがとった所定の行動に対して機密度と同様に数値や表現で示される漏洩度を記憶する。なお、「高」「中」「低」などというように表現する場合には、数値に変換するためのアルゴリズムを備えていればよく、例えば、「高」の場合に「８０」、「中」の場合に「５０」、「低」の場合に「２０」、というように変換して、判定部４３が機密情報の漏洩の危険性があるか否かを判定できるようにするとよい。

　例えば、機密度としては、一例として、機密性の高い情報（例えば、新商品の企画情報、顧客情報、取引の費用情報など）に対しては、高い数値（例えば、０～１００の間で評価するのであれば、９０など）を対応付けて記憶する。また、機密性の低い情報（例えば、既に販売されている商品の情報など）は低い数値（例えば、２０など）を対応付けて記憶する。そして、組織内のユーザについて、情報にアクセスした際の機密度を記憶部３０を参照して特定し、その数値を当該ユーザに対応付けて記憶する。そして、判定部４３は、対応付けられた機密度（１以上）の合算値が予め定められた所定のしきい値（基準）を超えた場合に機密情報の漏洩の危険性があると判定する。

　また、漏洩度としても、ユーザの特定の行動、例えば、「電子メールに何らかのデータを添付して外部に送信する」、「ユーザが特定のウェブサイト（機密情報の漏洩につながる可能性のあるサイトであり、そのサイト情報を管理者が記憶部３０に予め記憶しておく。当該ウェブサイトとしては、例えば、就職斡旋サイトや同業他社のホームページなど）にアクセスする」といった行動に対して漏洩度として、それぞれ例えば、「３０」、「２０」というように対応付けて記憶する。そして、サーバ３００は、組織内のユーザが上述の特定の行動をとるか否かを監視する。監視手法としては、メールについては、メールサーバから情報を取得することができ、アクセスしたウェブサイトについてはウェブサーバから情報を取得することができる。

　制御部４０は、各ユーザ毎に上記特定の行動をとるごとに、当該ユーザを示すユーザ情報に対応付けて、ユーザがとった行動に対応して漏洩度を記憶部３０に記憶する。そして、判定部４３は、ユーザに対応付けられた漏洩度の合算値が所定のしきい値（基準）を超えた場合に、機密情報の漏洩の危険性があると判定する。

　そして、サーバ３００は、更に、機密情報を漏洩する危険性のあるユーザを特定する特定部を備えて、当該特定部が特定したユーザを示す情報を、機密情報が漏洩する危険性があることを示す情報ととともに、報知することとしてもよい。

　特定部は、例えば、機密情報を添付したメールを取得し、その送信元に対応するユーザを特定してもよいし、あるいは、特定のサイト（例えば、転職情報サイトなどの所属する組織に対する忠誠心が低下している状態が推測可能なサイト）にアクセスしたユーザを特定してもよいし、外部の特定組織（例えば、同業他社など）とコンタクトをとった（例えば、メールを送信した）ユーザを特定することとしてもよい。

　また、上述の条件には、例示していないが、その他にも機密情報の漏洩の危険性を検知するビヘイビアの変化としては、例えば、アクセス権のないデータへのアクセス頻度が高くなっている、機密情報へのアクセスが夜中に集中している、機密情報へのアクセスが網羅的になっている（機密情報をまとめてサーバからローカルにファイルをコピーしている可能性がある）、休日出勤が多くなったといった事例が考えられ、サーバ１００、３００は、これらのユーザのビヘイビアについての第１系列と第２系列のデータを取得して、比較を行い、機密情報の漏洩の危険性を検知することとしてもよい。

　また、上述では、記憶部３０は予めキーワードとその重み値を記憶しておくこととしていたが、サーバ３００は、そのキーワードと重み値を決定する機能を備えていてもよい。すなわち、サーバ３００は、メールについて機密情報の漏洩に関するものであるか否かの分別符号を受け付ける受付部と、受け付けたメールからキーワードになり得るデータ要素を抽出するデータ要素抽出部と、抽出したデータ要素の中からキーワードを決定する決定部と、決定されたキーワードの重み値を算出する重み付け部と、算出した重み値をキーワードに対応付けて記憶部３０に記憶する格納部とをさらに備えることとしてもよい。重み付け部は例えば、上述の式（１）を用いて算出すればよい。また、決定部は、ユーザの指定、あるいは、送信メールから抽出されたデータ要素のうち登場する頻度が高いものをキーワードとして決定することとしてもよい。サーバ３００が、キーワードとその重み値を決定する機能を有することで、例えば、特定のユーザに特化したメールの解析を行うことができるので、そのユーザについての機密情報の漏洩の危険性の検知の確度を向上させることができる。

　また、上記ビヘイビア解析においては、特定の条件下において、第１系列と第２系列との差分に対して、一定の係数（重み付け値）を乗じた上で、機密情報の漏洩の危険性があるか否かを判断するためのしきい値との比較を行ってもよい。そのために、サーバ１００やサーバ３００は、差分値を補正するための補正部を備えるとよい。例えば、あるユーザについてのビヘイビア解析を行う場合に、当該ユーザの所得の増減に基づく係数を乗じてもよい。すなわち、ユーザの給料が増加していた場合には組織に対する忠誠心が向上しやすいことから、差分値が減少する係数を乗じ、給料が減額されていた場合には組織に対する忠誠心が薄れやすくなることから、差分値が増加する係数を乗じてもよい。なお、ここでは係数を乗じることとしたが、一定値を加算または減算することとしてもよい。そして、判定部１３（４３）は、補正後の差分値に基づく判断を行ってもよい。また、給料の増減に換えて、メールに対するレスポンス時間（メールを受信してから当該メールに返信するまでの時間）に基づく補正を行ってもよい。すなわち、メールに対するレスポンス時間が短い場合には、機密情報の漏洩の危険性は低いと考えられることから、差分値を低減してからしきい値との比較を行い、メールに対するレスポンス時間が長い場合には、機密情報の漏洩の危険性が高まっていると考えられることから、差分値を増加させてからしきい値との比較を行って、機密情報の漏洩の危険性が高まっているかを判断することとしてもよい。

　また、さらには、重み付け値としては、機密情報に関連するファイルあるいはフォルダに対して、設定することとしてもよい。そして、ユーザが実際にアクセスしたファイルあるいはフォルダに対して設定されている重み付け値を、算出したビヘイビアの第１系列と第２系列との差分に対して、加味することとしてもよい。

　また、あるいは、ユーザが組織に属した年数に応じて重み付け値を設定することとしてもよい。例えば、ユーザが組織に属して、ｘ年未満である場合には、差分値が増加する重み付けを行い、組織に属した年数がｙ年以上である場合には、差分値が減少する重み付けを行ってもよい。組織に属した年数が短いうちは、組織に対する忠誠心は低く、組織に属した年数が長くなると、忠誠心が高まると言えるためである。

　上記においては、サーバ３００は、ユーザの送信メールを対象に解析・分類することとしているが、これは、ユーザの受信メールも対象としてもよいことは言うまでもない。

　このように、ユーザのビヘイビア（行動）に併せて、当該ユーザの送信メールをサーバ３００が分析することで、より確度の高い機密情報の漏洩の危険性を検知することができる。したがって、例えば、ユーザが夜中のメールが増え、その内容が仕事以外の内容に分類されないものである場合には、仕事と関係しない作業をしているので、組織に対する忠誠心が薄れていると言え、転じて、機密情報の漏洩の危険性が高まっているといえ、サーバ３００はそのような事態を検知することができる。なお、本実施の形態２において、上述のソフトウェアによる実現例を適用できることは言うまでもない。

　〔付記事項〕
　本発明は上述したそれぞれの実施の形態に限定されるものではなく、請求項に示した範囲で種々の変更が可能であり、異なる実施の形態にそれぞれ開示された技術的手段を適宜組み合わせて得られる実施の形態についても、本発明の技術的範囲に含まれる。さらに、各実施の形態にそれぞれ開示された技術的手段を組み合わせることにより、新しい技術的特徴を形成できる。

　本発明は、パーソナルコンピュータ、ワークステーション、メインフレームなど、任意のコンピュータに広く適用することができる。

　２：差異情報（差異）、１２：抽出部、１３：判定部、１４：報知部、３０：記憶部、１００：サーバ（情報漏洩検知装置）

Claims

　コンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知装置であって、
　前記所定の記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第１系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第２系列とを比較することによって、当該第１系列と第２系列との差異を抽出する抽出部と、
　前記抽出部によって抽出された差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する判定部と、
　前記判定部によって達したと判定された場合、前記コンピュータの管理者に前記危険性を報知する報知部とを備えたことを特徴とする情報漏洩検知装置。
　前記抽出部は、前記機密情報にアクセスする時間帯の変化を、前記第１系列と第２系列との差異として抽出し、
　前記判定部は、前記抽出部によって抽出された時間帯の変化が、所定の時間幅を超過しているか否かを、前記所定の基準の１つとして用いることを特徴とする請求項１に記載の情報漏洩検知装置。
　前記抽出部は、前記機密情報にアクセスする回数の変化を、前記第１系列と第２系列との差異として抽出し、
　前記判定部は、前記抽出部によって抽出された回数の変化が、第１のしきい値を超過しているか否かを、前記所定の基準の１つとして用いることを特徴とする請求項１または２に記載の情報漏洩検知装置。
　前記抽出部は、前記機密情報にアクセスする頻度の変化を、前記第１系列と第２系列との差異として抽出し、
　前記判定部は、前記抽出部によって抽出された頻度の変化が、第２のしきい値を超過しているか否かを、前記所定の基準の１つとして用いることを特徴とする請求項１から３のいずれか１項に記載の情報漏洩検知装置。
　前記抽出部は、アクセスする前記機密情報の種類の変化を、前記第１系列と第２系列との差異として抽出し、
　前記判定部は、前記抽出部によって抽出された種類の変化が、第３のしきい値を超過しているか否かを、前記所定の基準の１つとして用いることを特徴とする請求項１から４のいずれか１項に記載の情報漏洩検知装置。
　前記抽出部は、前記機密情報を移動させた回数の変化を、前記第１系列と第２系列との差異として抽出し、
　前記判定部は、前記抽出部によって抽出された回数の変化が、第４のしきい値を超過しているか否かを、前記所定の基準の１つとして用いることを特徴とする請求項１から５のいずれか１項に記載の情報漏洩検知装置。
　前記抽出部は、送受信した電子メールの数の変化を、前記第１系列と第２系列との差異として抽出し、
　前記判定部は、前記抽出部によって抽出された数の変化が、第５のしきい値を超過しているか否かを、前記所定の基準の１つとして用いることを特徴とする請求項１から６のいずれか１項に記載の情報漏洩検知装置。
　前記判定部は、前記抽出部によって抽出された差異が、前記危険性が高まっていることを示しているか否かを表す分別符号であって、当該差異にあらかじめ対応付けられた分別符号に基づいて、新たに抽出された差異が、前記危険性が高まっていることを示すか否かを判定することを特徴とする請求項１から７のいずれか１項に記載の情報漏洩検知装置。
　前記報知部は、前記コンピュータを一意に識別可能な識別情報をさらに報知することを特徴とする請求項１から８のいずれか１項に記載の情報漏洩検知装置。
　前記所定の記憶部は、キーワードと当該キーワードに対応する重み値との組み合わせをさらに記憶し、
　前記情報漏洩検知装置は、
　ユーザの送受信した電子メールを取得する取得部と、
　前記電子メールに含まれるキーワードに対応する重み値に基づいて当該電子メールが情報漏洩に関するものであるか否かを示すスコアを算出する分類部とをさらに備え、
　前記判定部は、前記分類部によって算出されたスコアに応じて、前記危険性が高まったか否かをさらに判定することを特徴とする請求項１から９のいずれか１項に記載の情報漏洩検知装置。
　前記所定の記憶部は、ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶し、
　前記情報漏洩検知装置は、
　前記所定の記憶部に記憶された機密度に基づいて、前記ネットワークの外部に対するアクセスによって前記機密情報が漏洩する危険性を示す漏洩度を算出する算出部をさらに備え、
　前記判定部は、前記機密度および前記漏洩度のうちの少なくとも一方が、前記機密情報が漏洩する基準を示す所定の条件を満たすか否かをさらに判定し、
　前記情報漏洩検知装置は、
　前記判定部によって前記所定の条件を満たすと判定された場合、前記漏洩の主体を特定する特定部をさらに備えることを特徴とする請求項１から１０のいずれか１項に記載の情報漏洩検知装置。
　コンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知方法であって、
　前記所定の記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第１系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第２系列とを比較することによって、当該第１系列と第２系列との差異を抽出する抽出ステップと、
　前記抽出ステップにおいて抽出した差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する判定ステップと、
　前記判定ステップにおいて達したと判定した場合、前記コンピュータの管理者に前記危険性を報知する報知ステップとを含むことを特徴とする情報漏洩検知方法。
　第１のコンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知プログラムであって、第２のコンピュータに、
　前記所定の記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第１系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第２系列とを比較することによって、当該第１系列と第２系列との差異を抽出する抽出機能と、
　前記抽出機能によって抽出された差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する判定機能と、
　前記判定機能によって達したと判定された場合、前記第１のコンピュータの管理者に前記危険性を報知する報知機能とを実現させることを特徴とする情報漏洩検知プログラム。