WO2016185922A1

WO2016185922A1 - アクセス管理装置、アクセス管理方法およびコンピュータプログラム

Info

Publication number: WO2016185922A1
Application number: PCT/JP2016/063711
Authority: WO
Inventors: 小出祐輔; 橋本淳; 岸謙介
Original assignee: 株式会社野村総合研究所
Priority date: 2015-05-15
Filing date: 2016-05-09
Publication date: 2016-11-24
Also published as: JP2018109795A

Abstract

ログ保持部３２は、所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを保持する。重要情報検出部４２は、ユーザの端末がサーバから取得したファイルである特定ファイルに重要情報が記録されている場合、そのことを検出する。アラート通知部４４は、特定ファイルに重要情報が記録されていることが検出された場合に、特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知する。

Description

アクセス管理装置、アクセス管理方法およびコンピュータプログラム

　この発明は、データ処理技術に関し、特にアクセス管理装置、アクセス管理方法およびコンピュータプログラムに関する。

　本出願人は、情報処理装置のセキュリティ上のリスクを低減するための技術を提案している（例えば特許文献１参照）。特許文献１の情報処理システムでは、作業対象装置へのログインを運用者や開発者に代わってアクセス管理装置が行う。これにより、作業対象装置のアカウントを運用者や開発者から秘匿でき、作業対象装置のセキュリティ上のリスクを低減する。

特開２０１３－４５２７８号公報

　ところで、自社や委託先の社員といった内部関係者の不正行為による企業・組織の情報漏洩事件が発生することがあり、その防止対策が社会的に重要になっている。しかし、正規の情報アクセス権限を与えられた社員が行った操作に関する記録（ログ等）は膨大な量にのぼり、膨大な操作記録の中から、不正な情報持ち出しを見つけ出すことは容易ではなかった。

　本発明は、上記課題を鑑みてなされたものであり、主たる目的は、膨大な操作記録の中から不正な操作を発見することを支援することである。

　上記課題を解決するために、本発明のある態様のアクセス管理装置は、所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを保持するログ保持部と、ユーザの端末がサーバから取得したファイルである特定ファイルに重要情報が記録されている場合、そのことを検出する検出部と、特定ファイルに重要情報が記録されていることが検出部により検出された場合に、特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知する通知部と、を備える。

　本発明の別の態様もアクセス管理装置である。この装置は、所定のサーバに対してユーザの端末からなされた操作に関する複数のログを保持するログ保持部と、前記ログ保持部に保持された複数のログの少なくとも１つに、前記サーバのファイルまたはフォルダに対して所定の操作がなされたことが記録されている場合、そのことを検出する検出部と、前記サーバのファイルまたはフォルダに対して前記所定の操作がなされたことが記録されたログを示す情報を予め定められた監査者へ通知する通知部と、を備える。

　本発明の別の態様は、アクセス管理方法である。この方法は、所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを所定の記憶領域へ格納するステップと、ユーザの端末がサーバから取得したファイルである特定ファイルに重要情報が記録されている場合、そのことを検出するステップと、特定ファイルに重要情報が記録されていることを検出するステップで検出した場合に、特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知するステップと、をコンピュータが実行する。

　なお、以上の構成要素の任意の組合せ、本発明の表現を、システム、コンピュータプログラム、コンピュータプログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。

　本発明によれば、膨大な操作記録の中から不正な操作を発見することを支援できる。

実施の形態のエンタープライズシステムの構成を示す図である。図１のアクセス管理装置の構成を示すブロック図である。ログ保持部に蓄積されるログの構成を示す図である。実施の形態のアクセス管理装置の動作を示すフローチャートである。図４のＳ２４の重要情報検出処理を詳細に示すフローチャートである。

　本出願人は、情報処理装置のセキュリティ上のリスクを低減するための以下の技術を提案している。特開２００４－２１３４７６号公報、特開平１１－２７２６１６号公報、特開２００４－２１３４７５号公報、特開平０８－０４４６３０号公報、特開２００６－０５３７８０号公報、特開２００６－２７７５１８号公報、特開２００７－０４８２４１号公報、特開２００８－２２６０５７号公報、特開２００８－２０３９３９号公報、特開２００８－１１７００７号公報、特開２００８－２２６０５８号公報、特開２００９－０４３０１９号公報、特開２００９－０４３０１８号公報、特開２００９－０４３０２０号公報、特開２０１１－０７０４２７号公報、特開２０１２－１２４７８７号公報、特開２０１２－２０３６２４号公報、特開２０１２－２２６４６１号公報、特開２０１３－０４５２７８号公報、特開２０１３－２１４２１９号公報、特開２００６－００４３３３号公報、特開２００６－２２１３２２号公報、特開２００６－２７６９８７号公報、特開２００７－２２６８２７号公報、特開２００８－１１７３１６号公報、特開２００８－１１７３１７号公報、特開２０１０－２６７２８３号公報、国際公開第２０１４／０９１５７６号、国際公開第２０１４／１０９０２２号、国際公開第２０１５／００４７４３号、国際公開第２０１５／００４７４４号。これらの文献の内容全体がここで参照により引用される。

　（第１の実施の形態）
　実施の形態のアクセス管理装置は、情報システムに対するユーザ端末のアクセスを管理し、情報システムに対するユーザ端末による操作記録を蓄積する。このアクセス管理装置は、蓄積した操作記録を自動分析し、企業や組織が保有する重要情報の持ち出し検知および通知機能を実現する。これにより、企業や組織における操作記録のモニタリングおよびその分析に関わる負荷を軽減し、また不正行為の早期発見を支援する。

　実施の形態の重要情報は、持ち出し監視対象として予め定められた項目の情報であり、いわゆる個人情報を含む。実施の形態の重要情報は、具体的には人名、メールアドレス、電話番号、郵便番号、住所、クレジットカード番号を含む。また操作記録は監査証跡とも言え、実施の形態ではログと呼ぶ。

　図１は、実施の形態のエンタープライズシステムの構成を示す。エンタープライズシステム１０は、企業に構築された情報システムであり、図１の各装置はＬＡＮ・ＷＡＮ・インターネットを含む通信網を介して接続される。エンタープライズシステム１０は、ユーザ端末１２で総称されるユーザ端末１２ａ、ユーザ端末１２ｂ、ユーザ端末１２ｃ、情報提供サーバ１４で総称される情報提供サーバ１４ａ、情報提供サーバ１４ｂ、情報提供サーバ１４ｃ、アクセス管理装置１６、監査者端末１８を備える。

　複数の情報提供サーバ１４のそれぞれは、重要情報を記憶し、管理する情報処理装置である。具体的には情報提供サーバ１４はファイルサーバとも言え、重要情報を含むファイルがストレージやメモリ等の記憶装置に格納されうる装置である。ファイルは、情報処理装置がデータを扱うときの基本単位となるデータのまとまりであり、任意の電子媒体のコンテンツと言え、データセットとも言える。

　複数のユーザ端末１２のそれぞれは、企業の社員や組織のメンバー等、エンタープライズシステム１０の利用者（以下「ユーザ」と呼ぶ。）により操作される情報端末であり、例えばＰＣ、スマートフォン、タブレット端末である。ユーザ端末１２は、ＴＥＬＮＥＴ、ＳＳＨ、ＦＴＰ、ＳＣＰ、ＳＦＴＰ、ＣＩＦＳ等の公知の手段により情報提供サーバ１４へアクセスする。

　アクセス管理装置１６は、複数のユーザ端末１２のそれぞれが、複数の情報提供サーバ１４のいずれかへアクセスする場合に、ユーザ端末１２～情報提供サーバ１４間で送受される要求やレスポンスを中継する情報処理装置である。アクセス管理装置１６は、複数の情報提供サーバ１４のリバースプロキシとも言え、踏み台装置とも言える。アクセス管理装置１６は、複数のユーザ端末１２から複数の情報提供サーバ１４へのアクセスに関する複数のログを、エンタープライズシステム１０の中で集中的に一括して蓄積する。

　監査者端末１８は、企業や組織において予め定められた監査者により操作される情報端末である。監査者は、企業や組織における情報セキュリティの担当者、責任者とも言える。監査者は、アクセス管理装置１６に蓄積されたログを参照して重要情報の不正な持ち出しがあったかを確認する。監査者は、重要情報の不正な持ち出しがあった場合、企業や組織のセキュリティポリシに則して適切な対応、例えば重要情報を持ち出したユーザへの問い合わせ等を実施する責任を負う。

　図２は、図１のアクセス管理装置１６の構成を示すブロック図である。アクセス管理装置１６は、制御部２０、記憶部２２、通信部２４を備える。制御部２０は、各種データ処理を実行する。記憶部２２は、制御部２０により参照され、また更新されるデータを記憶する記憶領域である。通信部２４は、種々の通信プロトコルにしたがって外部装置と通信する。制御部２０は、通信部２４を介して、ユーザ端末１２、情報提供サーバ１４、監査者端末１８とデータを送受する。

　本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのＣＰＵをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。

　例えば、制御部２０内の各ブロックに対応するモジュールを含むアクセス管理プログラムがＤＶＤ等の記録媒体に格納され、アクセス管理装置１６にインストールされてもよい。そして、アクセス管理装置１６のストレージに格納されたアクセス管理プログラムをアクセス管理装置１６のプロセッサ（ＣＰＵ等）が実行することで、アクセス管理装置１６は制御部２０内の各ブロックの機能を発揮してもよい。記憶部２２は、アクセス管理装置１６のストレージやメモリがデータを記憶することで実現されてよい。

　記憶部２２は、辞書保持部３０、ログ保持部３２、申請情報保持部３４を含む。辞書保持部３０は、ユーザが持ち出したファイルに記録された文字列と照合すべき文字列であり、重要情報を示す文字列を定めた辞書データを保持する。辞書保持部３０は、都道府県名市町村名、人名、メールアドレス用ローマ字人名、電話番号、郵便番号、クレジットカード番号それぞれの辞書データを保持する。辞書データで定義される重要情報を示す文字列は正規表現の文字列を含んでもよい。例えば郵便番号は、ハイフン区切りの３桁・４桁の数列パターンとして定義されてもよい。またクレジットカード番号は、ハイフン区切りの４桁・６桁・４桁の数列パターン、４桁・６桁・５桁の数列パターン、４桁・４桁・４桁・４桁の数列パターンとして定義されてもよい。

　ログ保持部３２は、複数のユーザ端末１２から複数の情報提供サーバ１４へのアクセスに関する複数のログであり、複数のタイミングでなされた複数の操作に関する複数のログを蓄積する記憶領域である。図３は、ログ保持部３２に蓄積されるログの構成を示す。ログ保持部３２はアクセスログテーブルを含む。アクセスログテーブルの１レコードは、特定のユーザが特定のタイミングで行った情報提供サーバ１４に対する一連の操作に対応する。例えば、ユーザ端末１２ａのユーザが、情報提供サーバ１４ａに対してＦＴＰでログインし、ファイルを取得し、ログアウトするまでの、１つのＦＴＰセッションでなされた１つ以上の操作に対応する。

　アクセスログテーブルのユーザ名は、ユーザ端末１２のユーザ名であり、情報提供サーバ１４に対して操作を入力したユーザ名、言い換えれば操作者名を示す。操作開始時刻と操作終了時刻は、情報提供サーバ１４に対する一連の操作の開始タイミングと終了タイミングを示し、例えばＦＴＰによるログイン日時とログアウト日時を示す。重要情報フラグは、監査者へのアラート通知トリガとなるフラグである。重要情報フラグの初期値はオフであり、ユーザが持ち出したファイルが重要情報を含む場合、またはそれに準ずる場合にオンに切り替えられる。

　ＺＩＰファイル名は、後述のＺＩＰファイルの名称（フルパス名）であり、言い換えれば、ＺＩＰファイルへのポインタである。申請外ファイル名は、ユーザが情報提供サーバ１４から取得したファイルのうち、予め取得することを申請したファイル以外のファイル名である。重要情報検出ファイル名は、重要情報を含むことが検出されたファイル名である。重要情報不明ファイル名は、重要情報の検索ができなかったファイル名であり、言い換えれば、重要情報を含むか否か不明のファイル名である。典型的には暗号化されたファイルであり、例えばパスワード付きＺＩＰファイルが該当する。

　ＺＩＰファイルは、アクセスログテーブルの１レコードに対応し、すなわち特定のユーザが特定のタイミングで行った情報提供サーバ１４に対する一連の操作に対応する。コマンドデータファイルには、ユーザの一連の操作に対応する１つ以上のコマンドの情報が記録される。またＺＩＰファイルは、ユーザが情報提供サーバ１４から取得した１つ以上のファイル（取得ファイル＃１、取得ファイル＃２）の実データを含む。言い換えれば、ユーザの操作に応じて、情報提供サーバ１４がユーザ端末１２へ提供したファイルそのものを含む。

　図２に戻り、申請情報保持部３４は、ユーザ端末１２のユーザがアクセス管理装置１６に対して事前に申請した取得予定のファイル名を保持する。なお、ユーザは、ファイルの取得予定日時や、情報提供サーバ１４へログインして操作を行う時間帯をさらに申請してもよく、これらの情報も申請情報保持部３４に保持されてよい。

　制御部２０は、アクセス中継部３６、ログ記録部３８、申請情報受付部４０、重要情報検出部４２、アラート通知部４４、ログ検索部４６を含む。アクセス中継部３６は、ユーザ端末１２から情報提供サーバ１４へのアクセスを中継する。例えば、ＴＥＬＮＥＴ、ＳＳＨ、ＦＴＰ、ＳＣＰ、ＳＦＴＰ、ＣＩＦＳ等のプロトコルに基づいて、ユーザ端末１２から送信された要求を情報提供サーバ１４へ転送し、その要求に対する情報提供サーバ１４のレスポンスをユーザ端末１２へ転送する。

　例えば、ユーザ端末１２が特定のファイル名を指定したファイル取得要求を送信した場合、アクセス中継部３６はそのファイル取得要求を受け付け、情報提供サーバ１４へ転送する。また、当該ファイル取得要求に対して情報提供サーバ１４が送信したレスポンス（ファイルデータを含む）を受け付け、そのレスポンスをユーザ端末１２へ転送する。

　ログ記録部３８は、複数のユーザ端末１２から複数の情報提供サーバ１４へのアクセスに関する複数のログであり、複数のタイミングでなされた複数の操作に関する複数のログをログ保持部３２へ記録する。ログ記録部３８は、ユーザ端末１２から情報提供サーバ１４へのアクセスをアクセス中継部３６が中継する場合に、アクセス中継部３６が中継したコマンドやファイルをアクセス中継部３６から取得する。図３で示したように、ログ記録部３８は、アクセス元のユーザ情報や、操作日時、コマンド、ファイル等のデータをログ保持部３２へ格納する。

　なお、ユーザ端末１２から情報提供サーバ１４へのアクセスに係るログは、ユーザ端末１２および／または情報提供サーバ１４が記録してもよい。この場合、ユーザ端末１２および／または情報提供サーバ１４にはアクセス管理装置１６のエージェントアプリケーションがインストールされてもよく、このエージェントはローカルで記録されたログデータをアクセス管理装置１６へ送信してもよい。ログ記録部３８は、アクセス中継部３６が中継したコマンドやファイル等データに代えて、もしくはこれらのデータとともに、エージェントから送信されたログデータをログ保持部３２へ格納してもよい。

　申請情報受付部４０は、ユーザ端末１２から送信された申請情報であり、将来取得予定のファイル名を含む申請情報を受け付ける。申請情報受付部４０は、申請元のユーザ端末１２のユーザ名と対応付けて申請情報を申請情報保持部３４へ格納する。なお申請情報受付部４０は、ユーザ端末１２から送信された申請情報を、ユーザの上司や監査者、システム管理者等、所定の権限を有する他のユーザの端末へ転送してもよい。そして、上記の他のユーザが承認したことを条件として、申請情報を申請情報保持部３４へ格納してもよい。すなわち、所定の権限を有するユーザにより承認された申請情報を申請情報保持部３４へ格納してもよい。

　重要情報検出部４２は、監査者へアラートを通知すべき条件（以下「アラート通知条件」とも呼ぶ。）を保持し、ユーザ端末１２が情報提供サーバ１４からファイルを取得した場合に、アラート通知条件が満たされたか否かを判定する。アラート通知条件は、以下の３つのケースにおいて充足される。
　（ケースＡ）事前に申請されたファイル以外が取得された。言い換えれば、未申請のファイルが取得された。
　（ケースＢ）重要情報を含むファイルが取得された。
　（ケースＣ）重要情報の検索ができないように構成されたファイルが取得された。

　重要情報検出部４２は、アクセス中継部３６が中継したファイルの名称であり、ユーザ端末１２が情報提供サーバ１４から取得したファイルの名称（「取得ファイル名称」と呼ぶ。）をアクセス中継部３６から取得する。または、ログ記録部３８がログ保持部３２に格納した取得ファイルの名称を取得、参照してもよい。重要情報検出部４２は、申請情報保持部３４を参照して、ユーザ端末１２のユーザが事前に申請した取得予定のファイルの名称であり、ユーザ端末１２のユーザ名に対応付けて保持されたファイル名称（「申請ファイル名称」と呼ぶ。）を識別する。重要情報検出部４２は、取得ファイル名称と申請ファイル名称を照合し、両者が異なる場合、その事実を検出する。

　重要情報検出部４２は、取得ファイル名称と申請ファイル名称が異なる場合、アラート通知条件が充足されたと判定する（上記のケースＡ）。このとき重要情報検出部４２は、ログ保持部３２のアクセスログテーブルにおける重要情報フラグをオンに設定する。それとともに、アクセスログテーブルにおける申請外ファイル名に、取得ファイル名称を記録する。

　また重要情報検出部４２は、アクセス中継部３６が中継したファイルであり、ユーザ端末１２が情報提供サーバ１４から取得したファイルの実データ（「取得ファイルデータ」と呼ぶ。）をアクセス中継部３６から取得する。または、ログ記録部３８がログ保持部３２に格納した取得ファイルの実データを取得、参照してもよい。重要情報検出部４２は、辞書保持部３０に保持された複数種類の辞書のそれぞれで定められた重要情報を取得ファイルデータから検索する。言い換えれば、取得ファイルデータの中に重要情報が記録されているか否かを判定する。

　重要情報検出部４２は、事前申請の有無に関わらず、取得ファイルデータの中に重要情報が記録されている場合、その事実を検出し、アラート通知条件が充足したと判定する（上記のケースＢ）。このとき重要情報検出部４２は、ログ保持部３２のアクセスログテーブルにおける重要情報フラグをオンに設定する。それとともに、アクセスログテーブルにおける重要情報検出ファイル名に、取得ファイルの名称（すなわちファイル名）を記録する。実施の形態では、辞書が定める重要情報と完全一致する文字列を含む場合にアラート通知条件が充足したと判定するが、変形例として、辞書が定める重要情報と部分一致する文字列があればアラート通知条件が充足したと判定してもよい。

　また重要情報検出部４２は、取得ファイルデータが重要情報の検索ができないように構成されている場合、その事実を検出し、アラート通知条件が充足したと判定する（上記のケースＣ）。言い換えれば、取得ファイルデータが重要情報の検索ができないように加工されたものである場合にアラート通知条件が充足したと判定する。このとき重要情報検出部４２は、ログ保持部３２のアクセスログテーブルにおける重要情報フラグをオンに設定する。それとともに、アクセスログテーブルにおける重要情報不明ファイル名に、取得ファイルの名称を記録する。

　重要情報検出部４２は、取得ファイルデータのメタデータを参照して、予め定められた暗号化フラグがオンであることを検出した場合、すなわち取得ファイルデータが暗号化されていることを検出した場合に、アラート通知条件が充足したと判定してもよい。また、取得ファイルデータに対する重要情報の検索が異常終了した場合、例えばファイルデータが暗号化されている結果、検索処理の中でエラーが発生した場合に、アラート通知条件が充足したと判定してもよい。

　アラート通知部４４は、重要情報検出部４２によりアラート通知条件が充足したと判定された場合に、または、ログ保持部３２のアクセスログテーブルにおける重要情報フラグがオンに設定されたことを検出した場合に、監査者へアラートを通知する。具体的には、アラート通知部４４は、重要情報検出部４２によりアラート通知条件が充足したと判定されたファイル取得操作に関するログであり、重要情報フラグがオンに設定されたアクセスログテーブルのレコード（すなわちログ）を特定ログとして識別する。そして、ログ保持部３２に格納された複数のログの中から特定ログを識別するための情報を含む電子メール（以下「アラートメール」とも呼ぶ。）を監査者端末１８へ送信する。

　アラート通知部４４は、監査者宛のアラートメールの本文に、アラート文章（重要情報が検出された、申請外ファイルが取得された等）とともに、特定ログの識別情報を設定する。特定ログの識別情報は、特定ログを検索するためのキーワードとも言え、具体的には特定ログに記録されたユーザ名、操作開始時刻、操作終了時刻を含む。ログに操作の識別情報（操作ＩＤ等）が設定される場合は、その操作ＩＤを特定ログの識別情報に含めてもよい。なお、アラート通知部４４は、アラートメールの送信に代えて、アラートメッセージを監査者端末１８へプッシュ通知する等、他の手段によりアラートを通知してもよい。

　ログ検索部４６は、監査者端末１８からログを識別するための情報が入力された場合に、ログ保持部３２に保持された複数のログのうち入力情報に合致するログに関する情報を監査者端末１８へ提供する。具体的には、ログ検索部４６は、監査者端末１８の要求に応じて、ログを検索するための検索画面（ウェブページ等）を監査者端末１８へ送信し、表示させる。ログ検索部４６は、検索画面に対して監査者が入力した検索条件を監査者端末１８から受信し、ログ保持部３２に格納された複数のログの中からその検索条件に整合するログを検索する。そして、検索条件に整合するログがあれば、そのログの情報を設定した検索結果画面（ウェブページ等）を監査者端末１８へ送信し、表示させる。

　例えば監査者は、アラートメールで通知された、ユーザ名、操作開始時刻、操作終了時刻を検索条件として検索画面に入力し、さらに重要情報フラグがオンであることを条件に設定した上で検索画面の検索実行ボタンを押下する。ログ検索部４６は、検索画面で指定されたユーザ名、操作開始時刻、操作終了時刻、重要情報フラグがオンに合致するアクセスログテーブルのレコードを識別し、そのレコードのデータを設定した検索結果画面を監査者端末１８へ送信し、表示させる。

　検索結果画面は、図３のアクセスログテーブルの情報項目を含み、すなわちＺＩＰファイル名、申請外ファイル名、重要情報検出ファイル名、重要情報不明ファイル名を含む。監査者が検索結果画面でＺＩＰファイルを選択すると、アクセス管理装置１６のログ提供部（不図示）は、選択されたＺＩＰファイルをログ保持部３２から取得し、監査者端末１８へ送信する。監査者は、コマンドデータファイルや取得ファイルを参照して、ユーザによる不正なファイル取得の有無や、重要情報の漏洩有無を判断することができる。

　なお、図２に示した各機能ブロックの機能は、複数の情報処理装置で分散して実行されてもよい。例えば、ログ保持部３２、申請情報保持部３４は、他の機能ブロックを含む装置から独立した装置（データベースサーバ等）により実現されてもよい。また、ユーザ端末１２～情報提供サーバ１４間のアクセス中継処理と、ログの保存、分析、通知の処理は別の情報処理装置により実現されてもよい。すなわち、複数の情報処理装置が連携して、実施の形態のアクセス管理装置１６を実現してもよいことはもちろんである。

　以上の構成によるエンタープライズシステム１０の動作を説明する。
　図４は、図１のアクセス管理装置１６の動作を示すフローチャートである。ここでは、ユーザ端末１２ａのユーザが、情報提供サーバ１４ａにログインし、情報提供サーバ１４ａからファイルを取得（例えばＦＴＰ－ＧＥＴ）することとする。

　ユーザ端末１２ａは、ユーザの操作に応じて、取得予定のファイル名の申請画面（ウェブページ等）をアクセス管理装置１６から取得し、ディスプレイに表示させる。申請画面に対してユーザが取得予定のファイルの名称（例えば「hoge.doc」「hoge.xls」）を入力し、申請ボタンを選択すると、ユーザ端末１２ａは申請画面に入力されたファイル名を含む申請情報をアクセス管理装置１６へ送信する。アクセス管理装置１６の申請情報受付部４０は、申請情報を受信すると（Ｓ１０のＹ）、その申請情報を申請者名（ユーザ名）に対応付けて申請情報保持部３４へ格納する（Ｓ１２）。申請情報を未受信であれば（Ｓ１０のＮ）、Ｓ１２をスキップする。

　ユーザ端末１２ａは、ユーザの操作に応じて、情報提供サーバ１４ａへの要求電文、例えばログインやファイル取得を要求する電文を情報提供サーバ１４ａへ送信する。アクセス管理装置１６のアクセス中継部３６は、ユーザ端末１２ａから送信された情報提供サーバ１４ａへの要求電文を受信すると（Ｓ１４のＹ）、その要求電文を情報提供サーバ１４ａへ転送する（Ｓ１６）。アクセス中継部３６は、情報提供サーバ１４ａから送信されたユーザ端末１２ａへの応答電文をユーザ端末１２ａへ転送する（Ｓ１８）。ログ記録部３８は、ユーザの１回のログインセッション中に、ユーザ端末１２ａから情報提供サーバ１４ａへ送信された一連の操作に関する複数の操作を示すログをログ保持部３２に格納する（Ｓ２０）。ユーザ端末１２ａが情報提供サーバ１４ａからファイルを取得した場合、ログ記録部３８は、当該ファイルの実データもログとして保存する。

　ユーザ端末１２ａが情報提供サーバ１４ａからファイルを取得した場合、言い換えれば、情報提供サーバ１４ａに対する一連の操作の中にファイル取得操作が含まれる場合（Ｓ２２のＹ）、重要情報検出部４２は重要情報検出処理を実行する（Ｓ２４）。重要情報検出処理でアラート条件が充足され、重要情報フラグがオンに設定されると（Ｓ２６のＹ）、アラート通知部４４は、アラート条件を充足したファイル取得操作に関するログを識別する情報を含むアラートメールを監査者端末１８へ送信する（Ｓ２８）。重要情報検出処理でアラート条件が満たされず、重要情報フラグがオフであれば（Ｓ２６のＮ）、Ｓ２８をスキップする。また、情報提供サーバ１４ａに対する一連の操作の中にファイル取得操作がなければ（Ｓ２２のＮ）、Ｓ２４以降をスキップする。また、ユーザ端末１２ａから送信された情報提供サーバ１４ａへの要求電文を未受信であれば（Ｓ１４のＮ）、Ｓ１６以降をスキップする。

　図５は、図４のＳ２４の重要情報検出処理を詳細に示すフローチャートである。ユーザ端末１２ａが実際に取得したファイルの名称が、ユーザ端末１２ａのユーザが事前に申請したファイルの名称と異なる場合（Ｓ３０のＮ）、アラート通知条件が充足されたと判定し、重要情報フラグをオンに切り替える（Ｓ３２）。ユーザ端末１２ａが実際に取得したファイルの名称が、ユーザ端末１２ａのユーザが事前に申請したファイルの名称と一致すれば（Ｓ３０のＹ）、Ｓ３２をスキップする。さらに重要情報検出部４２は、ユーザ端末１２ａが実際に取得したファイルのデータから重要情報を検索する（Ｓ３４）。重要情報の検索が可能なようにファイルが構成されており（Ｓ３６のＮ）、ファイルに重要情報が記録されていることを検出すると（Ｓ３８のＹ）、アラート通知条件が充足されたと判定し、重要情報フラグをオンに切り替える（Ｓ４０）。

　重要情報を検索した結果、ユーザ端末１２ａが実際に取得したファイルに重要情報が含まれていなければ（Ｓ３８のＮ）、Ｓ４０をスキップする。ユーザ端末１２ａが取得したファイルが暗号化されている場合等、重要情報の検索ができないように構成されている場合（Ｓ３６のＹ）、重要情報を検索できないものの、アラート通知条件が充足されたと判定し、重要情報フラグをオンに切り替える（Ｓ４０）。図４、図５のフローチャートには不図示だが、アクセス管理装置１６はログ検索のためのユーザインタフェースを提供する。監査者は、アラートメールに設定されたログ識別情報をキーとしてアクセス管理装置１６が保持するログを検索する。そして検索結果に基づいて、企業・組織におけるセキュリティポリシに則り適切なアクションを実施する。

　これまでも監査者は各情報提供サーバ１４へのアクセスログを定期的に監査することがあったが、膨大なアクセスログの中から不正なファイル取得操作を見つける必要があり、作業に多大な時間を要していた。実施の形態のアクセス管理装置１６によると、ユーザのファイル取得操作に情報セキュリティ上のリスクが存在しうるか否かを自動で判定し、リスクが存在するファイル取得操作に係るログの情報を監査者へ自動通知する。これにより、情報セキュリティ上のリスクが存在しうるファイル取得操作を示すログを監査者が早期かつ効率的に確認できるよう支援し、早期かつ効率的に適切なアクションを実施できるよう支援できる。

　またアクセス管理装置１６によると、ユーザが取得したファイルの名称が、そのユーザが事前申請したファイルの名称に一致するかをチェックすることで、情報セキュリティ上のリスクを低減する。ただしファイル名は変更可能であり、偽装される可能性もある。そこでアクセス管理装置１６は、申請の有無にかかわらず、ユーザが取得したファイルを全て重要情報検索の対象とし、重要情報が含まれれば監査者へアラートを通知する。重要情報の検索精度は辞書に依存し、重要情報の完璧な検出は難しい可能性があるが、形式的なファイル名チェックと実質的な重要情報検索の両方を並行して実行することで、情報セキュリティ上のリスクを効果的に低減することができる。

　さらにまたアクセス管理装置１６によると、ユーザが取得したファイルに対して重要情報の検索ができない場合に監査者へアラートを通知する。いわば、重要情報が含まれるか否かが不明の場合も、安全の観点から監査者へアラートを通知することで、情報セキュリティ上のリスクを一層低減することができる。

　以上、本発明を第１の実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。

　第１変形例を説明する。第１変形例はアラート通知条件に関する。実施の形態の重要情報検出部４２は、申請の有無にかかわらず、ユーザが取得したファイルを全て重要情報検索の対象とした。変形例として、ユーザにより事前申請され、かつ、所定の権限を有する他のユーザにより承認されたファイル名に合致するファイルであれば、重要情報検索の対象外としてもよい。承認されたファイル名に合致するため、情報セキュリティ上のリスクは低いと想定されるためである。また、この態様によると、アクセス管理装置１６の処理負荷を低減することができる。

　第２変形例を説明する。重要情報検出部４２は、ユーザの一連の操作の中で、ファイル名の変更や、パスワード付きまたはパスワードなしのＺＩＰファイルの作成等、ファイルの属性を変更する所定操作が未実行であることを、アクセス中継部３６が中継したコマンドやログ保持部３２のログに基づいて判定してもよい。ファイルの属性を変更する所定操作が未実行とは、ファイル名の偽装や、重要情報検索を妨害するための加工が未実施であることと言える。重要情報検出部４２は、このような所定操作が未実行である場合に、事前申請されたファイル名に合致するファイルであれば重要情報検索の対象外としてもよい。この態様によると、情報セキュリティの低下を一層抑制できる。なお重要情報検索の対象外にすることは、取得ファイルに重要情報が含まれる場合のアラート通知のスキップ、重要情報検索が不可の場合のアラート通知のスキップを含む。

　第３変形例を説明する。実施の形態ではファイル取得の例としてファイル転送（ＦＴＰ）を例示した。しかし、アクセス管理装置１６による重要情報検索はこの例に限定されない。例えばリモートデスクトップによってファイルを表示させる場合等、様々なプロトコルに基づき実質的にファイルデータが情報提供サーバ１４からユーザ端末１２へ提供される場合全般に適用可能であることはもちろんである。

　第４変形例を説明する。アクセス管理装置１６は、比較的短い間隔でログを出力し、各ログに重要情報が含まれるか否かをリアルタイムに検知してもよい。またアクセス管理装置１６は、ログ保存時に、保存対象のログに重要情報が含まれるか否かをリアルタイムに検知してもよい。ログに重要情報がログに含まれる場合、アクセス管理装置１６は、ユーザ端末１２から情報提供サーバ１４へのアクセスを制限してもよい。この態様によると、情報提供サーバ１４の操作権限を有する内部関係者が情報提供サーバ１４に対して不正な操作を行う場合も、情報提供サーバ１４から重要情報を不正に取得すること、すなわち情報提供サーバ１４が保持する重要情報の漏洩を水際で防止しやすくなる。

　第４変形例のアクセス中継部３６は、ユーザ端末１２と情報提供サーバ１４の間で操作に関する情報を中継し、その操作に関するログ（以下「中継ログ」と呼ぶ。）を出力する。アクセス中継部３６は、ユーザ端末１２から送信された操作情報（コマンド等）を情報提供サーバ１４へ転送する場合に、その操作に関する中継ログを所定間隔で出力してもよい。中継ログは、ログ記録部３８とともに重要情報検出部４２へ出力される。中継ログは、操作内容を示す情報（コマンド情報）や操作結果を示す情報を含んでもよい。中継ログの出力間隔は、１つのコマンドを転送する都度、操作結果を転送する都度、または予め定められた時間（数秒～１０秒程度）が経過する都度でもよい。

　辞書保持部３０は、中継ログから検索すべきキーワードやキーフレーズを重要情報として定めた辞書を保持する。この辞書には、個人情報に該当する単語やフレーズが記録されてよく、また不正な操作や危険な操作に該当するコマンドの情報が記録されてもよい。重要情報検出部４２は、アクセス中継部３６が中継ログを出力する都度、中継ログの中から辞書保持部３０の辞書で示される重要情報を検索する。そして、中継ログに重要情報が記録されている場合、その事実を検出する。

　アクセス中継部３６は、中継ログに重要情報が記録されていることが重要情報検出部４２により検出された場合、ユーザ端末１２と情報提供サーバ１４の間での情報の中継を停止する。例えば、情報中継を停止するために、不図示のセッション管理部に、ユーザ端末１２と情報提供サーバ１４間のセッションを強制的に切断させてもよく、また、ユーザ端末１２とアクセス管理装置１６とのセッションを強制的に切断させてもよい。なお、中継ログから重要情報が検出された場合、実施の形態と同様に、アラート通知部４４はその事実を示すアラートを監査者端末１８へ通知してもよい。

　重要情報検出部４２による重要情報検知の例を説明する。ここではアクセス中継部３６は「１２３４５６７８９０１２３４５６７８９ＡＢＣＤ４５６７８９０１２３４５６７８９０１２」というログを出力する。重要情報検出部４２は２０バイトの間隔でログを検知し、重要情報を示すキーワードは「ＡＢＣＤ」とする。重要情報検出部４２は、キーワードの長さに応じてログを一部重複させて重要情報を検索する。

　例えば、１回目の重要情報検索では、先頭から２０バイトの「１２３４５６７８９０１２３４５６７８９Ａ」を対象として重要情報を検索する。２回目の重要情報検索では、直前のログの末尾３バイト＋２０バイトの「８９ＡＢＣＤ４５６７８９０１２３４５６７８９０」を対象として重要情報を検索する。この例では２回目の検索で「ＡＢＣＤ」が検出される。この態様によると、重要情報検出部４２は、アクセス中継部３６から刻々と出力されたログを逐次検索し、重要情報の存在を迅速に検出できる。なお重要情報の長さが数文字～数十文字程度の場合、例えば１００文字程度のログを１回の検索対象とし、最長の重要情報（数十文字程度）の長さにあわせて重複させたログを検索してもよい。

　（第２の実施の形態）
　第２の実施の形態のアクセス管理装置１６は、情報提供サーバ１４のファイルまたはフォルダ（ディレクトリとも言える）に対する予め定められた操作を契機として監査者へアラートを通知する。検知対象となるファイルまたはフォルダに対する操作は、不正行為に関連する操作であってもよく、セキュリティ上のリスクを低減するために特定された操作であってもよく、以下「特定操作」と呼ぶ。例えば、ファイルに対する特定操作は、オープン操作や削除操作、移動操作、変更操作であってもよい。また、フォルダに対する特定操作は、オープン操作や削除操作、移動操作、ファイル追加操作であってもよい。

　第２の実施の形態のエンタープライズシステム１０およびアクセス管理装置１６の構成は第１の実施の形態（図１、図２）と同様である。ログ保持部３２は、第１の実施の形態と同様に、情報提供サーバ１４に対してユーザの端末からなされた複数の操作に関する複数のログを蓄積する。ログ保持部３２に保持されるログは、第１の実施の形態で説明したアクセスログテーブルのレコードであってもよい。また、アクセス管理装置１６のシステムログ、Ｗｉｎｄｏｗｓ（登録商標）ＯＳにおけるイベントログ、Ｓｙｓｌｏｇメッセージであってもよい。

　ログ記録部３８は、第１の実施の形態と同様に、複数のユーザ端末１２から複数の情報提供サーバ１４へのアクセスに関する複数のログであり、複数のタイミングでなされた複数の操作に関する複数のログをログ保持部３２へ記録する。第２の実施の形態のログ記録部３８は、情報提供サーバ１４のファイルやフォルダに対してユーザ端末１２からなされた各種操作を示すログ（操作名称や操作対象）をログ保持部３２へ記録する。

　第２の実施の形態のアクセス管理装置１６は、第１の実施の形態の重要情報検出部４２に代えて、または重要情報検出部４２とともに操作検出部（不図示）をさらに備える。操作検出部は、ログ保持部３２に保持された複数のログの少なくとも１つに、情報提供サーバ１４のファイルまたはフォルダに対して特定操作がなされたことが記録されている場合、そのことを検出する。例えば、あるログが示す操作名称が特定操作の名称に合致し、そのログが示す操作対象がファイルやフォルダに合致する場合に、そのログに特定操作がなされたことが記録されていると判定してもよい。

　特定操作の内容は監査者により予め指定されてよい。アクセス管理装置１６は、監査者端末１８から入力された特定操作を指定する情報を予め保持し、その情報で指定された特定操作の実行有無を検出してもよい。同様に、監視対象とすべきファイルやフォルダは、監査者により予め指定されてよい。アクセス管理装置１６は、監査者端末１８から入力された監視対象ファイルおよび監視対象フォルダを示す情報を予め保持し、その情報で指定されたファイルおよびフォルダに対する特定操作の実行有無を、ログ保持部３２に保持された複数のログを参照して検出してもよい。

　また、操作検出部は、情報提供サーバ１４のファイルまたはフォルダに対して特定操作がなされたことが記録されているログ（以下「特定ログ」と呼ぶ。）を他のログから区別するための識別情報を検出する。この識別情報は、各ログに固有のＩＤであってもよく、各ログに固有のキーワードが含まれる場合、そのキーワードであってもよい。また、Ｗｉｎｄｏｗｓ（登録商標）ＯＳにおけるイベントログの場合、イベントＩＤを識別情報として検出してもよく、Ｓｙｓｌｏｇメッセージの場合、メッセージＩＤを識別情報として検出してもよい。

　アラート通知部４４は、情報提供サーバ１４のファイルまたはフォルダに対して特定操作がなされたことが操作検出部により検出された場合、特定ログを示すアラート情報を監査者端末１８へ通知する。アラート情報は、アラート文章（ファイルやフォルダに対する特定操作がなされた旨の文章）と、操作検出部により検出された特定ログの識別情報を含む。なお、第１の実施の形態と同様に、特定ログの識別情報として、特定ログに記録されたユーザ名、操作開始時刻、操作終了時刻を設定してもよい。

　第２の実施の形態のアクセス管理装置１６によると、ファイルやフォルダに対するユーザ操作に情報セキュリティ上のリスクが存在しうるか否かを自動で判定し、リスクが存在するユーザ操作に係るログの情報を監査者へ自動通知する。これにより、第１の実施の形態と同様に、情報セキュリティ上のリスクが存在しうるファイル操作またはフォルダ操作を示すログを監査者が早期かつ効率的に確認できるよう支援し、早期かつ効率的に適切なアクションを実施できるよう支援できる。

　以上、本発明を第２の実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。

　請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。

　１０　エンタープライズシステム、　１２　ユーザ端末、　１４　情報提供サーバ、　１６　アクセス管理装置、　１８　監査者端末、　３０　辞書保持部、　３２　ログ保持部、　３４　申請情報保持部、　３６　アクセス中継部、　３８　ログ記録部、　４０　申請情報受付部、　４２　重要情報検出部、　４４　アラート通知部。

　この発明は、サーバに対するユーザのアクセスを管理する装置に利用できる。

Claims

　所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを保持するログ保持部と、
　前記ユーザの端末が前記サーバから取得したファイルである特定ファイルに前記重要情報が記録されている場合、そのことを検出する検出部と、
　前記特定ファイルに前記重要情報が記録されていることが前記検出部により検出された場合に、前記特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知する通知部と、
　を備えることを特徴とするアクセス管理装置。
　ユーザから予め申請された取得予定のファイルの名称を保持する申請情報保持部をさらに備え、
　前記検出部は、前記特定ファイルの名称が前記取得予定のファイルの名称と異なる場合、そのことをさらに検出し、
　前記通知部は、前記特定ファイルの名称が前記取得予定のファイルの名称と異なることが検出された場合も、前記特定ファイルの取得操作に関するログを識別するための情報を監査者へ通知することを特徴とする請求項１に記載のアクセス管理装置。
　前記検出部は、前記特定ファイルが前記重要情報の検索ができないように構成されている場合、そのことをさらに検出し、
　前記通知部は、前記特定ファイルが前記重要情報の検索ができないように構成されていることが検出された場合も、前記特定ファイルの取得操作に関するログを識別するための情報を監査者へ通知することを特徴とする請求項１または２に記載のアクセス管理装置。
　前記ユーザの端末と前記サーバの間で操作に関する情報を中継し、その操作に関するログを出力する中継部をさらに備え、
　前記検出部は、前記中継部から出力されたログに所定の重要情報が記録されている場合、そのことを検出し、
　前記中継部は、前記ログに所定の重要情報が記録されていることが検出された場合に、前記ユーザの端末と前記サーバの間での情報の中継を停止することを特徴とする請求項１から３のいずれかに記載のアクセス管理装置。
　所定のサーバに対してユーザの端末からなされた操作に関する複数のログを保持するログ保持部と、
　前記ログ保持部に保持された複数のログの少なくとも１つに、前記サーバのファイルまたはフォルダに対して所定の操作がなされたことが記録されている場合、そのことを検出する検出部と、
　前記サーバのファイルまたはフォルダに対して前記所定の操作がなされたことが記録されたログを示す情報を予め定められた監査者へ通知する通知部と、
　を備えることを特徴とするアクセス管理装置。
　所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを所定の記憶領域へ格納するステップと、
　前記ユーザの端末が前記サーバから取得したファイルである特定ファイルに前記重要情報が記録されている場合、そのことを検出するステップと、
　前記特定ファイルに前記重要情報が記録されていることが前記検出するステップで検出された場合に、前記特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知するステップと、
　をコンピュータが実行することを特徴とするアクセス管理方法。
　所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを所定の記憶領域へ格納する機能と、
　前記ユーザの端末が前記サーバから取得したファイルである特定ファイルに前記重要情報が記録されている場合、そのことを検出する機能と、
　前記特定ファイルに前記重要情報が記録されていることが前記検出する機能により検出された場合に、前記特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知する機能と、
　をコンピュータに実現させるためのコンピュータプログラム。