WO2017216906A1

WO2017216906A1 - セキュリティ監視装置、通信システム、セキュリティ監視方法及びセキュリティ監視プログラム

Info

Publication number: WO2017216906A1
Application number: PCT/JP2016/067802
Authority: WO
Inventors: 北澤　繁樹; 泉　幸雄; 知孝祢宜; 河内　清人
Original assignee: 三菱電機株式会社
Priority date: 2016-06-15
Filing date: 2016-06-15
Publication date: 2017-12-21
Also published as: CN109313691A; JP6395985B2; JPWO2017216906A1; US20190149569A1

Abstract

電子ファイル複製通知受信部（１００２）は、ファイルサーバ装置（１２０１）が接続している第１のネットワークスイッチ（１３０１）に接続している端末装置（１１０１）がファイルサーバ装置（１２０１）から電子ファイルの複製を取得した場合に、端末装置（１１０１）の識別情報を第１の識別情報として取得する。判定指示部（１００３）は、第１のネットワークスイッチ（１３０１）とは異なる第２のネットワークスイッチ（３００１）に新たに装置が接続した場合に、当該装置の識別情報を第２の識別情報として取得する。また、判定指示部（１００３）は、第１の識別情報と第２の識別情報とを照合し、第１の識別情報と第２の識別情報とが一致する場合に、第２のネットワークスイッチ（３００１）を介した端末装置（１１０１）の通信を制限するよう第２のネットワークスイッチ（３００１）に指示する。

Description

セキュリティ監視装置、通信システム、セキュリティ監視方法及びセキュリティ監視プログラム

　本発明は、セキュリティ監視装置等に関する。

　特許文献１では、ファイルサーバ装置で保管されている電子ファイルへのアクセス要求が端末装置からあった場合に、セキュリティポリシー管理サーバ装置が電子ファイルへのアクセス可否を決定する技術が開示されている。
　より具体的には、特許文献１では、セキュリティポリシー管理サーバ装置が、アクセス可否を電子ファイルの重要度ごとに定義した動作定義データとアクセス要求のあった電子ファイルの重要度とに基づいて、アクセス要求のあった電子ファイルへのアクセス可否を決定する技術が開示されている。

特許５７４０２６０号

　特許文献１の技術では、端末装置がファイルサーバ装置から電子ファイルの複製を取得した後に、端末装置がセキュリティポリシー管理装置の管轄外のネットワークに接続した場合には、セキュリティポリシー管理装置は当該電子ファイルへのアクセス制御を行うことができない。従って、特許文献１の技術では、電子ファイルの複製を取得した端末装置がセキュリティポリシー管理装置の管轄外のネットワークに接続した場合には、電子ファイルが外部に漏洩することを防止できないという課題がある。

　本発明は、このような課題を解決することを主な目的とする。つまり、本発明は、端末装置から電子ファイルが外部に漏洩する事態を回避することを主な目的とする。

　本発明に係るセキュリティ監視装置は、
　ファイルサーバ装置が接続している第１のネットワークスイッチに接続している端末装置が前記ファイルサーバ装置から電子ファイルの複製を取得した場合に、前記端末装置の識別情報を第１の識別情報として取得する第１の識別情報取得部と、
　前記第１のネットワークスイッチとは異なる第２のネットワークスイッチに新たに装置が接続した場合に、前記装置の識別情報を第２の識別情報として取得する第２の識別情報取得部と、
　前記第１の識別情報と前記第２の識別情報とを照合し、前記第１の識別情報と前記第２の識別情報とが一致する場合に、前記第２のネットワークスイッチを介した前記端末装置の通信を制限するよう前記第２のネットワークスイッチに指示する制限指示部とを有する。

　本発明では、ファイルサーバ装置から電子ファイルの複製を取得した端末装置が第２のネットワークスイッチに接続した場合に、第２のネットワークスイッチを介した端末装置の通信を制限することができる。このため、本発明によれば、端末装置から電子ファイルが外部に漏洩する事態を回避することができる。

実施の形態１に係るシステム構成例を示す図。実施の形態１に係るファイルサーバ装置での電子ファイルの管理例を示す図。実施の形態１に係る端末装置の移動例を示す図。実施の形態１に係る機密保持端末記録テーブルの例を示す図。実施の形態１に係るファイルサーバ装置の動作例を示すフローチャート図。実施の形態１に係るセキュリティ監視装置の動作例を示すフローチャート図。実施の形態１に係る第２のネットワークスイッチの動作例を示すフローチャート図。実施の形態１に係るセキュリティ監視装置の動作例を示すフローチャート図。実施の形態１に係るセキュリティ監視装置の動作例を示すフローチャート図。実施の形態２に係るシステム構成例を示す図。実施の形態３に係るシステム構成例を示す図。実施の形態１～３に係るセキュリティ監視装置のハードウェア構成例を示す図。

　以下、本発明の実施の形態について、図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分または相当する部分を示す。

実施の形態１．
＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係るシステム構成例を示す。
　図１に示すように、セキュリティ監視装置１００１、端末装置１１０１、ファイルサーバ装置１２０１が第１のネットワークスイッチ１３０１に接続されている。換言すると、セキュリティ監視装置１００１、端末装置１１０１、ファイルサーバ装置１２０１は、第１のネットワークスイッチ１３０１により構成される第１のネットワークに属する。

　ファイルサーバ装置１２０１は、電子ファイル１２０５を保持している。
　ファイルサーバ装置１２０１は、端末装置１１０１からの要求に対して電子ファイル１２０５の複製を端末装置１１０１に送信する。電子ファイル１２０５には、機密情報が含まれる電子ファイル（機密電子ファイルという）と、機密情報が含まれない電子ファイルがある。

　端末装置１１０１は、ファイルサーバ装置１２０１に電子ファイル１２０５の複製を要求し、ファイルサーバ装置１２０１から電子ファイル１２０５の複製を受信する。そして、端末装置１１０１は、受信した電子ファイル１２０５を電子ファイル１１０５として保持する。
　図１では、端末装置１１０１は第１のネットワークスイッチ１３０１に接続されているが、図３に示すように、端末装置１１０１は第１のネットワークスイッチ１３０１との接続を解除して端末装置１１０１と異なる第２のネットワークスイッチ３００１に接続する場合がある。端末装置１１０１が第２のネットワークスイッチ３００１に接続された場合は、端末装置１１０１は第２のネットワークに属することになる。

　セキュリティ監視装置１００１は、ファイルサーバ装置１２０１から端末装置１１０１に機密電子ファイルの複製が送信される際に、端末装置１１０１の識別情報を取得し、取得した端末装置１１０１の識別情報を記憶する。
　また、セキュリティ監視装置１００１は、第２のネットワークスイッチ３００１から、第２のネットワークスイッチ３００１に新たに接続した装置の識別情報を受信する。
　そして、セキュリティ監視装置１００１は、第２のネットワークスイッチ３００１から受信した識別情報と記憶している端末装置１１０１の識別情報とを照合する。第２のネットワークスイッチ３００１から受信した識別情報と端末装置１１０１の識別情報が一致している場合は、端末装置１１０１から機密情報が含まれる電子ファイル１１０５が漏洩する可能性がある。このため、セキュリティ監視装置１００１は、第２のネットワークスイッチ３００１に、端末装置１１０１の通信を制御するよう指示する。
　なお、セキュリティ監視装置１００１により行われる動作は、セキュリティ監視方法に相当する。

　また、セキュリティ監視装置１００１及び端末装置１１０１の組み合わせは、通信システムに相当する。

　次に、端末装置１１０１、ファイルサーバ装置１２０１、セキュリティ監視装置１００１、第１のネットワークスイッチ１３０１、第２のネットワークスイッチ３００１の構成要素を説明する。

　端末装置１１０１において、電子ファイル取得部１１０２は、ファイルサーバ装置１２０１に電子ファイル１２０５の複製の送信を要求する複製要求を送信する。
　また、電子ファイル取得部１１０２は、ファイルサーバ装置１２０１から、複製要求に対して送信された電子ファイル１２０５の複製を受信し、受信した電子ファイル１２０５の複製を電子ファイル１１０５として記憶部１１０４に格納する。

　接続要求部１１０３は、端末装置１１０１が図３に示すように第２のネットワークスイッチ３００１に接続された場合に、第２のネットワーク内の他の装置又は第２のネットワーク外の装置との通信を可能にするよう要求するネットワーク接続要求を第２のネットワークスイッチ３００１に送信する。

　記憶部１１０４は、電子ファイル１２０５の複製である電子ファイル１１０５を記憶する。

　ファイルサーバ装置１２０１において、電子ファイル送信部１２０２は、端末装置１１０１から送信された複製要求を受信する。また、電子ファイル送信部１２０２は、複製要求で複製が要求されている電子ファイル１２０５の識別情報を電子ファイル複製検知部１２０３に通知する。
　また、電子ファイル送信部１２０２は、複製要求に従って電子ファイル１２０５の複製を生成し、電子ファイル１２０５の複製を端末装置１１０１に送信する。

　電子ファイル複製検知部１２０３は、電子ファイル送信部１２０２から通知された識別情報に基づき、複製対象の電子ファイル１２０５が機密電子ファイルであるか否かを判定する。
　複製対象の電子ファイル１２０５が機密電子ファイルである場合は、電子ファイル複製検知部１２０３は、電子ファイル複製通知をセキュリティ監視装置１００１に送信する。電子ファイル複製通知には、端末装置１１０１の識別情報が含まれる。

　記憶部１２０４は、電子ファイル１２０５を記憶する。図１では、１つの電子ファイル１２０５しか示されていないが、記憶部１２０４は複数の電子ファイル１２０５を記憶している。
　記憶部１２０４で記憶されている電子ファイル１２０５は、図２のようなツリー状の構成で管理されている。
　図２において、ルートフォルダ２００１の下には、「機密」フォルダ２００２と「非機密」フォルダ２００６がある。
　「機密」フォルダ２００２は、機密情報が記録された電子ファイル２００３、機密情報が記録された電子ファイル２００５を含むサブフォルダ２００４等で構成される。つまり、「機密」フォルダ２００２には、機密情報を含む電子ファイル２００３、２００５等が保管されている。機密情報を含む電子ファイル２００３、２００５等は、機密電子ファイルに相当する。
　「非機密」フォルダ２００６も、電子ファイル２００３、２００９等やサブフォルダ２００８等で構成される。「非機密」フォルダ２００６に保管されている電子ファイル２００３、２００９等には、機密情報は含まれていない。
　記憶部１２０４に電子ファイル１２０５を保存する際に、ファイルサーバ装置１２０１のユーザが電子ファイル１２０５を「機密」フォルダ２００２及び「非機密」フォルダ２００６のどちらに保存するのかを決定する。または、ファイルサーバ装置１２０１が、電子ファイル１２０５を「機密」フォルダ２００２及び「非機密」フォルダ２００６のどちらに保存するのかを決定してもよい。ファイルサーバ装置１２０１が決定する場合は、ファイルサーバ装置１２０１は、保存する電子ファイル１２０５内に機密に関する文字列が含まれているかどうか検査する。機密に関する文字列が含まれる電子ファイル１２０５は、「機密」フォルダ２００２に保存される。また、機密に関する文字列が含まれない電子ファイル１２０５は、「非機密」フォルダ２００６に保存される。

　セキュリティ監視装置１００１において、電子ファイル複製通知受信部１００２は、ファイルサーバ装置１２０１から送信された電子ファイル複製通知を受信する。そして、電子ファイル複製通知受信部１００２は、電子ファイル複製通知に含まれる端末装置１１０１の識別情報を機密保持端末記録テーブル１００５に登録する。すなわち、電子ファイル複製通知受信部１００２は、端末装置１１０１の識別情報を記憶部１００４に格納する。
　電子ファイル複製通知受信部１００２は、第１の識別情報取得部に相当する。また、電子ファイル複製通知に含まれる端末装置１１０１の識別情報は第１の識別情報に相当する。更に、電子ファイル複製通知受信部１００２により行われる動作は、第１の識別情報取得処理に相当する。

　判定指示部１００３は、図３に示す第２のネットワークスイッチ３００１から送信されるネットワーク接続問合せを受信する。ネットワーク接続問合せには、第２のネットワークスイッチ３００１に新たに接続した装置の識別情報が含まれる。
　判定指示部１００３は、ネットワーク接続問合せに含まれる識別情報と、機密保持端末記録テーブル１００５に登録されている端末装置１１０１の識別情報とを照合する。ネットワーク接続問合せに含まれる識別情報と、機密保持端末記録テーブル１００５に登録されている端末装置１１０１の識別情報とが一致する場合は、判定指示部１００３は、第２のネットワークスイッチ３００１に、端末装置１１０１の通信を制限するよう指示する。
　判定指示部１００３は、第２の識別情報取得部及び制限指示部に相当する。ネットワーク接続問合せに含まれる識別情報は第２の識別情報に相当する。更に、判定指示部１００３により行われる動作は、第２の識別情報取得処理及び制限指示処理に相当する。

　記憶部１００４は、機密保持端末記録テーブル１００５を記憶する。
　図４は、機密保持端末記録テーブル１００５の例を示す。図４の機密保持端末記録テーブル１００５では、端末装置の識別情報として、端末装置のＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレスを登録している。
　また、判定指示部１００３がネットワーク接続問合せを受信した場合には、ネットワーク接続問合せで通知された端末装置のＭＡＣアドレスに対応付けて、ネットワーク接続問合せの送信元のネットワークスイッチのＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスが登録される。

　第１のネットワークスイッチ１３０１において、接続制限部１３０２は、第１のネットワークに含まれる装置の通信を制御する。
　同様に、図３の第２のネットワークスイッチ３００１において、接続制限部３００２は、第２のネットワークに含まれる装置の通信を制御する。具体的には、接続制限部３００２は、セキュリティ監視装置１００１から端末装置１１０１の通信を制限するよう指示があった場合に、端末装置１１０１の第２のネットワーク内の他の装置との通信又は他のネットワーク内の装置との通信を制限する。つまり、接続制限部３００２は、端末装置１１０１と他の装置との間の通信を中継しない。また、接続制限部３００２は、セキュリティ監視装置１００１から端末装置１１０１の通信の制限を解除するよう指示があった場合は、端末装置１１０１の通信の制限を解除する。つまり、接続制限部３００２は、端末装置１１０１と他の装置との間の通信を中継する。

　図１２は、セキュリティ監視装置１００１のハードウェア構成例を示す。
　セキュリティ監視装置１００１は、プロセッサ７００１、記憶装置７００２、通信装置７００３を備えるコンピュータである。
　記憶装置７００２には、図１に示した電子ファイル複製通知受信部１００２及び判定指示部１００３の機能を実現するプログラムが記憶されている。
　そして、プロセッサ７００１がこれらプログラムを実行して、電子ファイル複製通知受信部１００２及び判定指示部１００３の動作を行う。なお、電子ファイル複製通知受信部１００２及び判定指示部１００３の機能を実現するプログラムは、セキュリティ監視プログラムに相当する。
　図１２では、プロセッサ７００１が電子ファイル複製通知受信部１００２及び判定指示部１００３の機能を実現するプログラムを実行している状態、すなわち、プロセッサ７００１が電子ファイル複製通知受信部１００２及び判定指示部１００３として動作している状態を模式的に表している。
　また、記憶装置７００２は、図１に示した記憶部１００４を実現する。
　通信装置７００３は、第１のネットワークスイッチ１３０１と通信を行う回路である。

＊＊＊動作の説明＊＊＊
　次に、本実施の形態に係るセキュリティ監視装置１００１、端末装置１１０１、ファイルサーバ装置１２０１及び第２のネットワークスイッチ３００１の動作例を説明する。

　先ず、図５を参照して、ファイルサーバ装置１２０１の動作例を説明する。

　ファイルサーバ装置１２０１では、電子ファイル送信部１２０２が端末装置１１０１から複製要求を受信する（ステップＳ１０１でＹＥＳ）。複製要求には、送信元の端末装置１１０１のＭＡＣアドレスと複製対象の電子ファイル１２０５の識別情報が含まれている。電子ファイル１２０５の識別情報は、例えばファイル名である。
　電子ファイル送信部１２０２は、複製要求に含まれている電子ファイル１２０５の識別情報を電子ファイル複製検知部１２０３に出力する。

　電子ファイル複製検知部１２０３は、電子ファイル送信部１２０２から電子ファイル１２０５の識別情報を取得し、取得した識別情報に基づき、端末装置１１０１から複製を要求された電子ファイル１２０５が機密電子ファイルであるか否かを判定する（ステップＳ１０２）。
　電子ファイル１２０５の識別情報は例えばファイル名であるため、電子ファイル複製検知部１２０３は、図２に示すファイル構造を解析して、複製を要求された電子ファイル１２０５が「機密」フォルダ２００２及び「非機密」フォルダ２００６のいずれに含まれているかを判定する。

　複製対象の電子ファイル１２０５が機密電子ファイルである場合（ステップＳ１０２でＹＥＳ）は、電子ファイル複製検知部１２０３は、ファイル複製通知を送信する（ステップＳ１０４）。ファイル複製通知には、複製要求の送信元の端末装置１１０１のＭＡＣアドレスが含まれる。

　次に、電子ファイル送信部１２０２が、端末装置１１０１により複製を要求された機密電子ファイルである電子ファイル１２０５の複製を生成し、生成した電子ファイル１２０５の複製を端末装置１１０１に送信する（ステップＳ１０４）。

　一方、ステップＳ１０２でＮＯである場合、すなわち端末装置１１０１により複製を要求された電子ファイル１２０５が機密電子ファイルでない場合は、電子ファイル送信部１２０２が、端末装置１１０１により複製を要求された電子ファイル１２０５の複製を生成し、生成した電子ファイル１２０５の複製を端末装置１１０１に送信する（ステップＳ１０５）。

　以上の手順を経て、端末装置１１０１の電子ファイル取得部１１０２が電子ファイル１２０５の複製を受信し、受信した電子ファイル１２０５の複製を電子ファイル１１０５として記憶部１１０４に格納する。

　なお、図５では、ファイル複製通知を送信した後に電子ファイル１２０５の複製を送信することになっているが、これらの順序が逆でもよいし、ファイル複製通知の送信と電子ファイル１２０５の複製の送信が並行して行われてもよい。

　次に、図６を参照して、ファイルサーバ装置１２０１からファイル複製通知が送信された場合のセキュリティ監視装置１００１の動作例を示す。

　セキュリティ監視装置１００１では、電子ファイル複製通知受信部１００２が、ファイルサーバ装置１２０１から送信されたファイル複製通知を受信する（ステップＳ２０１）。
　そして、電子ファイル複製通知受信部１００２は、ファイル複製通知に含まれる端末装置１１０１のＭＡＣアドレスを、機密保持端末記録テーブル１００５（図４）に登録する。

　次に、図７を参照して、端末装置１１０１が第２のネットワークスイッチ３００１に接続された場合の第２のネットワークスイッチ３００１の動作例を説明する。

　第２のネットワークスイッチ３００１では、接続制限部３００２が、端末装置１１０１の接続要求部１１０３からネットワーク接続要求を受信する（ステップＳ３０１でＹＥＳ）。ネットワーク接続要求には、端末装置１１０１のＭＡＣアドレスが含まれる。

　次に、接続制限部３００２は、ネットワーク接続問合せをセキュリティ監視装置１００１に送信する（ステップＳ３０２）。
　ネットワーク接続問合せには、第２のネットワークスイッチ３００１に新たに接続した装置の識別情報として、端末装置１１０１のＭＡＣアドレスが含まれる。また、ネットワーク接続問合せには、第２のネットワークスイッチ３００１のＩＰアドレスも含まれる。
　ネットワーク接続問合せは、第１のネットワークスイッチ１３０１を経由してセキュリティ監視装置１００１に届く。

　次に、接続制限部３００２は、ネットワーク接続問合せに対するセキュリティ監視装置１００１からの応答を受信した場合に、受信した応答が接続禁止指示であるか接続許可指示であるかを判定する（ステップＳ３０３）。

　セキュリティ監視装置１００１から受信した応答が、接続禁止指示である場合（ステップＳ３０３でＹＥＳ）は、接続制限部３００２は、端末装置１１０１のネットワーク接続を禁止する（ステップＳ３０４）。接続禁止指示には、端末装置１１０１のＭＡＣアドレスが含まれる。接続制限部３００２は、例えば、接続禁止指示に含まれるＭＡＣアドレスを用いて、パケットフィルタリングポリシーを操作することにより、端末装置１１０１のネットワーク接続を禁止する。
　この結果、端末装置１１０１は、セキュリティ監視装置１００１との通信のみが許可され、第２のネットワーク内の他の装置とも、第２のネットワーク以外の他のネットワーク内の装置とも通信を行うことができない。

　一方、セキュリティ監視装置１００１から受信した応答が、接続許可指示である場合（ステップＳ３０３でＮＯ）は、接続制限部３００２は、端末装置１１０１のネットワーク接続を許可する（ステップＳ３０５）。接続許可指示には、端末装置１１０１のＭＡＣアドレスが含まれる。接続制限部３００２は、例えば、接続許可指示に含まれるＭＡＣアドレスを用いて、パケットフィルタリングポリシーを操作することにより、端末装置１１０１のネットワーク接続を許可する。
　この結果、端末装置１１０１は、第２のネットワーク内のいずれの装置とも、第２のネットワーク以外の他のネットワーク内のいずれの装置とも通信を行うことができる。

　次に、図８を参照して、第２のネットワークスイッチ３００１からのネットワーク接続問合せを受信した場合のセキュリティ監視装置１００１の動作例を説明する。

　セキュリティ監視装置１００１では、判定指示部１００３が第２のネットワークスイッチ３００１からのネットワーク接続問合せを受信する（ステップＳ４０１でＹＥＳ）。
　判定指示部１００３は、第２のネットワークスイッチ３００１で通知されたＭＡＣアドレスと、機密保持端末記録テーブル１００５で管理されているＭＡＣアドレスとを照合する（ステップＳ４０２）

　機密保持端末記録テーブル１００５で管理されているＭＡＣアドレスの中に、第２のネットワークスイッチ３００１から通知されたＭＡＣアドレスに一致するＭＡＣアドレスが存在する場合（ステップＳ４０２でＹＥＳ）は、端末装置１１０１が機密電子ファイルを保持している可能性が高いので、判定指示部１００３は、接続禁止指示を第２のネットワークスイッチ３００１に送信する（ステップＳ４０３）。接続禁止指示は、端末装置１１０１の通信の禁止を指示するコマンドである。接続禁止指示は、第１のネットワークスイッチ１３０１を介して第２のネットワークスイッチ３００１に到達する。

　一方、機密保持端末記録テーブル１００５で管理されているＭＡＣアドレスの中に、第２のネットワークスイッチ３００１から通知されたＭＡＣアドレスに一致するＭＡＣアドレスが存在しない場合（ステップＳ４０２でＹＥＳ）は、端末装置１１０１は機密電子ファイルを保持していないので、判定指示部１００３は、接続許可指示を第２のネットワークスイッチ３００１に送信する（ステップＳ４０４）。接続許可指示は端末装置１１０１の通信の許可を指示するコマンドである。接続許可指示は、第１のネットワークスイッチ１３０１を介して第２のネットワークスイッチ３００１に到達する。
　また、判定指示部１００３は、ネットワーク接続問合せの送信元である第２のネットワークスイッチ３００１のＩＰアドレスを、該当するＭＡＣアドレスと対応付けて機密保持端末記録テーブル１００５に登録する。なお、第２のネットワークスイッチ３００１のＩＰアドレスは、ネットワーク接続問合せに含まれている。

　端末装置１１０１の通信が禁止されている場合に、端末装置１１０１のユーザは、第２のネットワーク内の装置又は他のネットワークの装置と通信する必要があれば、機密電子ファイルを記憶部１１０４から削除する。そして、端末装置１１０１のユーザは、手動で端末装置１１０１からファイル削除通知を送信する。
　ファイル削除通知には、端末装置１１０１のＭＡＣアドレスが含まれる。
　ファイル削除通知は第２のネットワークスイッチ３００１に届く。第２のネットワークスイッチ３００１はファイル削除通知に第２のネットワークスイッチ３００１のＩＰアドレスを付加し、第２のネットワークスイッチ３００１のＩＰアドレスが付加されたファイル削除通知をセキュリティ監視装置１００１に送信する。
　ファイル削除通知は第１のネットワークスイッチ１３０１を介してセキュリティ監視装置１００１に届く。

　次に、図９を参照して、ファイル削除通知を受信した場合のセキュリティ監視装置１００１の動作例を説明する。

　セキュリティ監視装置１００１では、判定指示部１００３がファイル削除通知を受信する（ステップＳ５０１でＹＥＳ）。

　次に、判定指示部１００３は、機密保持端末記録テーブル１００５から、ファイル削除通知に含まれる端末装置１１０１のＭＡＣアドレスと第２のネットワークスイッチ３００１のＩＰアドレスの組が記述されているレコードを抽出し、抽出したレコードを削除する（ステップＳ５０２）。

　最後に、判定指示部１００３は、端末装置１１０１の通信の許可を指示する接続許可指示を第２のネットワークスイッチ３００１に送信する。接続許可指示は、第１のネットワークスイッチ１３０１を介して第２のネットワークスイッチ３００１に到達する。
　第２のネットワークスイッチ３００１は、接続許可指示に基づき、端末装置１１０１の通信の制限を解除する。第２のネットワークスイッチ３００１は、例えば、パケットフィルタリングポリシーを操作することにより、端末装置１１０１のネットワーク接続の禁止を解除する。

＊＊＊実施の形態の効果の説明＊＊＊
　以上のように、本実施の形態では、セキュリティ監視装置が、機密電子ファイルを保持する端末装置のネットワーク接続を制限する。このため、ファイルサーバ装置から端末装置へ複製された機密電子ファイルが漏洩する事態を回避することができる。

実施の形態２．
　実施の形態１では、ネットワーク接続の制限の解除が必要なときに、ユーザが、手動でファイル削除通知をセキュリティ監視装置１００１に送信する必要がある。
　本実施の形態では、端末装置１１０１が機密電子ファイルの削除を検知してファイル削除通知をセキュリティ監視装置１００１に送信する。

＊＊＊構成の説明＊＊＊
　図１０は、本実施の形態に係るシステム構成例を示す。

　図１０では、図３と比較して、端末装置１１０１に検査部５００１が追加されている。その他の構成要素は、図３と同じである。また、セキュリティ監視装置１００１のハードウェア構成例も図１２に示す通りである。
　検査部５００１は、記憶部１１０４から機密電子ファイルが削除されているか否かを検査する。そして、記憶部１１０４から機密電子ファイルが削除されている場合に、端末装置１１０１から機密電子ファイルが削除されていることをセキュリティ監視装置１００１に通知する。

　なお、以下では、主に実施の形態１との差異を説明する。以下で説明していない事項は、実施の形態１と同じである。

＊＊＊動作の説明＊＊＊
　検査部５００１には、あらかじめ機密情報に関連した文字列、例えば「社外秘」や「機密」が登録されている。検査部５００１は、記憶部１１０４に保存されている電子ファイル１１０５を走査し、電子ファイル１１０５内に機密情報に関連した文字列が含まれているかどうか検査する。検査の結果、記憶部１１０４に保存されている電子ファイル１１０５に機密情報に関連した文字列が含まれていない場合に、検査部５００１は、機密電子ファイルは削除されていると判定する。そして、検査部５００１は、セキュリティ監視装置１００１に、機密情報に関連した文字列が含まれる電子ファイル（機密電子ファイル）が削除されていることを通知するファイル削除通知を送信する。
　また、検査部５００１は、機密電子ファイルのファイル名をセキュリティ監視装置１００１又はファイルサーバ装置１２０１から取得し、取得した機密電子ファイルのファイル名と同じファイル名の電子ファイル１１０５が記憶部１１０４に存在するかどうかを検査するようにしてもよい。そして、検査の結果、機密電子ファイルのファイル名と同じファイル名の電子ファイル１１０５が記憶部１１０４に存在しない場合に、検査部５００１は、機密電子ファイルは削除されたものと判定する。そして、検査部５００１は、セキュリティ監視装置１００１に、機密電子ファイルのファイル名と同じファイル名の電子ファイル（機密電子ファイル）が削除されていることを通知するファイル削除通知を送信する。
　ファイル削除通知は、実施の形態１で説明したものと同じである。セキュリティ監視装置１００１がファイル削除通知を受信した後の動作は実施の形態１に示したものと同じであるため、説明を省略する。

＊＊＊実施の形態の効果の説明＊＊＊
　以上のように、本実施の形態では、機密電子ファイルが端末装置から削除された場合に、端末装置から自動的にファイル削除通知が送信される。このため、機密電子ファイルが削除されると直ちに端末装置は第２のネットワーク内の他の装置又は他のネットワーク内の装置との通信が可能となる。

実施の形態３．
　本実施の形態では、端末装置１１０１が、電子ファイルに埋め込まれた電子透かしを用いて機密電子ファイルが削除されたかどうかを検査する。

＊＊＊構成の説明＊＊＊
　図１１は、本実施の形態に係るシステム構成例を示す。
　図１１では、図１０と比較して、ファイルサーバ装置１２０１に、電子透かし埋め込み部６００１が追加されている。
　電子透かし埋め込み部６００１は、機密電子ファイルに電子透かしを埋め込む。電子透かしとは、電子データに対して施される「透かし」であり、様々な研究が現在、盛んになされている技術である。なお、電子透かし埋め込み部６００１が機密電子ファイルに埋め込む電子透かしの種別は問わない。
　本実施の形態では、検査部５００１は、電子透かしが埋め込まれていう電子ファイルが記憶部１１０４から検出できない場合に、記憶部１１０４から機密電子ファイルが削除されていると判定する。そして、検査部５００１は、記憶部１１０４から機密電子ファイルが削除されていることをセキュリティ監視装置１００１に通知する。
　その他の構成要素は、図１０と同じである。また、セキュリティ監視装置１００１のハードウェア構成例も図１２に示す通りである。

　なお、以下では、主に実施の形態１及び実施の形態２との差異を説明する。以下で説明していない事項は、実施の形態１及び実施の形態２と同じである。

＊＊＊動作の説明＊＊＊
　ファイルサーバ装置１２０１では、端末装置１１０１により複製が要求された電子ファイルが機密電子ファイルであると電子ファイル複製検知部１２０３が判定した場合に、電子ファイル送信部１２０２が生成した電子ファイル１２０５の複製に、電子透かし埋め込み部６００１が電子透かしを埋め込む。そして、電子ファイル送信部１２０２は電子透かしが埋め込まれた電子ファイル１２０５の複製を端末装置１１０１に送信する。
　端末装置１１０１では、電子ファイル取得部１１０２が、電子透かしが埋め込まれた電子ファイル１２０５の複製を、電子ファイル１１０５として記憶部１１０４に格納する。つまり、端末装置１１０１で保持される機密情報が含まれる電子ファイル１１０５には電子透かしが埋め込まれている。換言すれば、電子透かしが埋め込まれている電子ファイル１１０５は、機密電子ファイルである。

　本実施の形態では、検査部５００１は、電子透かしが含まれる電子ファイル１１０５が記憶部１１０４から削除されているか否かを検査する。そして、電子透かしが含まれる電子ファイル１１０５が記憶部１１０４に存在しない場合に、検査部５００１は、機密電子ファイルが記憶部１１０４から削除されていると判定する。そして、検査部５００１は、セキュリティ監視装置１００１に、電子透かしが含まれる電子ファイル１１０５（機密電子ファイル）が削除されていることを通知するファイル削除通知を送信する。
　ファイル削除通知は、実施の形態１で説明したものと同じである。セキュリティ監視装置１００１がファイル削除通知を受信した後の動作は実施の形態１に示したものと同じであるため、説明を省略する。

＊＊＊実施の形態の効果の説明＊＊＊
　以上のように、本実施の形態では、機密電子ファイルが端末装置から削除された場合に、端末装置から自動的にファイル削除通知が送信される。このため、機密電子ファイルが削除されると直ちに端末装置は第２のネットワーク内の他の装置又は他のネットワーク内の装置との通信が可能となる。また、本実施の形態では、機密電子ファイルに電子透かしが埋め込まれているので、端末装置では確実に機密電子ファイルの削除を検出することができる。

　以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、２つ以上を組み合わせて実施しても構わない。
　あるいは、これらの実施の形態のうち、１つを部分的に実施しても構わない。
　あるいは、これらの実施の形態のうち、２つ以上を部分的に組み合わせて実施しても構わない。
　なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。

＊＊＊ハードウェア構成の説明＊＊＊
　最後に、セキュリティ監視装置１００１のハードウェア構成の補足説明を行う。
　図１２に示すプロセッサ７００１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。
　プロセッサ７００１は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）等である。
　図１２に示す記憶装置７００２は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、フラッシュメモリ、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）等である。
　図１２に示す通信装置７００３は、データを受信するレシーバー及びデータを送信するトランスミッターを含む。
　通信装置７００３は、例えば、通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。

　また、記憶装置７００２には、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）も記憶されている。
　そして、ＯＳの少なくとも一部がプロセッサ７００１により実行される。
　プロセッサ７００１はＯＳの少なくとも一部を実行しながら、電子ファイル複製通知受信部１００２及び判定指示部１００３の機能を実現するプログラムを実行する。
　図１２では、１つのプロセッサが図示されているが、セキュリティ監視装置１００１が複数のプロセッサを備えていてもよい。
　また、電子ファイル複製通知受信部１００２及び判定指示部１００３の処理の結果を示す情報やデータや信号値や変数値が、記憶装置７００２、又は、プロセッサ７００１内のレジスタ又はキャッシュメモリに記憶される。
　また、電子ファイル複製通知受信部１００２及び判定指示部１００３の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ（登録商標）ディスク、ＤＶＤ等の可搬記憶媒体に記憶されてもよい。

　また、電子ファイル複製通知受信部１００２及び判定指示部１００３の「部」を、「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。
　また、セキュリティ監視装置１００１は、ロジックＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＧＡ（Ｇａｔｅ　Ａｒｒａｙ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）といった電子回路により実現されてもよい。
　この場合は、電子ファイル複製通知受信部１００２及び判定指示部１００３は、それぞれ電子回路の一部として実現される。
　なお、プロセッサ及び上記の電子回路を総称してプロセッシングサーキットリーともいう。

　１００１　セキュリティ監視装置、１００２　電子ファイル複製通知受信部、１００３　判定指示部、１００４　記憶部、１００５　機密保持端末記録テーブル、１１０１　端末装置、１１０２　電子ファイル取得部、１１０３　接続要求部、１１０４　記憶部、１１０５　電子ファイル、１２０１　ファイルサーバ装置、１２０２　電子ファイル送信部、１２０３　電子ファイル複製検知部、１２０４　記憶部、１２０５　電子ファイル、１３０１　第１のネットワークスイッチ、１３０２　接続制限部、３００１　第２のネットワークスイッチ、３００２　接続制限部、５００１　検査部、６００１　電子透かし埋め込み部、７００１　プロセッサ、７００２　記憶装置、７００３　通信装置。

Claims

　ファイルサーバ装置が接続している第１のネットワークスイッチに接続している端末装置が前記ファイルサーバ装置から電子ファイルの複製を取得した場合に、前記端末装置の識別情報を第１の識別情報として取得する第１の識別情報取得部と、
　前記第１のネットワークスイッチとは異なる第２のネットワークスイッチに新たに装置が接続した場合に、前記装置の識別情報を第２の識別情報として取得する第２の識別情報取得部と、
　前記第１の識別情報と前記第２の識別情報とを照合し、前記第１の識別情報と前記第２の識別情報とが一致する場合に、前記第２のネットワークスイッチを介した前記端末装置の通信を制限するよう前記第２のネットワークスイッチに指示する制限指示部とを有するセキュリティ監視装置。
　前記制限指示部は、
　前記電子ファイルの複製が前記端末装置から削除されていることを前記端末装置から通知された場合に、前記端末装置の通信に対する制限を解除するよう前記第２のネットワークスイッチに指示する請求項１に記載のセキュリティ監視装置。
　前記第１の識別情報取得部は、
　前記端末装置が前記ファイルサーバ装置から機密電子ファイルを取得した場合に、前記端末装置の識別情報を前記第１の識別情報として取得する請求項１に記載のセキュリティ監視装置。
　第１のネットワークスイッチに接続している際に、前記第１のネットワークスイッチに接続しているファイルサーバ装置から電子ファイルの複製を取得する電子ファイル取得部を有する端末装置と、
　前記端末装置が前記ファイルサーバ装置から前記電子ファイルの複製を取得した場合に、前記端末装置の識別情報を第１の識別情報として取得する第１の識別情報取得部と、
　前記第１のネットワークスイッチとは異なる第２のネットワークスイッチに新たに装置が接続した場合に、前記装置の識別情報を第２の識別情報として取得する第２の識別情報取得部と、
　前記第１の識別情報と前記第２の識別情報とを照合し、前記第１の識別情報と前記第２の識別情報とが一致する場合に、前記第２のネットワークスイッチを介した前記端末装置の通信を制限するよう前記第２のネットワークスイッチに指示する制限指示部とを有するセキュリティ監視装置とを有する通信システム。
　前記端末装置は、更に、
　前記端末装置から前記電子ファイルが削除されているか否かを検査し、前記端末装置から前記電子ファイルが削除されている場合に、前記端末装置から前記電子ファイルが削除されていることを前記セキュリティ監視装置に通知する検査部を有し、
　前記セキュリティ監視装置の前記制限指示部は、
　前記電子ファイルの複製が前記端末装置から削除されていることを前記端末装置から通知された場合に、前記端末装置の通信に対する制限を解除するよう前記第２のネットワークスイッチに指示する請求項４に記載の通信システム。
　前記端末装置の前記検査部は、
　前記電子ファイル取得部により特定の文字列が含まれる電子ファイルの複製が取得された場合に、前記特定の文字列が含まれる電子ファイルの複製が前記端末装置から削除されているか否かを検査し、前記特定の文字列が含まれる電子ファイルの複製が前記端末装置から削除されている場合に、前記特定の文字列が含まれる電子ファイルの複製が前記端末装置から削除されていることを前記第２のネットワークスイッチに通知し、
　前記電子ファイル取得部により特定のファイル名の電子ファイルの複製が取得された場合に、前記特定のファイル名の電子ファイルの複製が前記端末装置から削除されているか否かを検査し、前記特定のファイル名の電子ファイルの複製が前記端末装置から削除されている場合に、前記特定のファイル名の電子ファイルの複製が前記端末装置から削除されていることを前記セキュリティ監視装置に通知する請求項５に記載の通信システム。
　前記端末装置の前記検査部は、
　前記電子ファイル取得部により電子透かしが含まれる電子ファイルの複製が取得された場合に、前記電子透かしが含まれる電子ファイルの複製が前記端末装置から削除されているか否かを検査し、前記電子透かしが含まれる電子ファイルの複製が前記端末装置から削除されている場合に、前記電子透かしが含まれる電子ファイルの複製が前記端末装置から削除されていることを前記セキュリティ監視装置に通知する請求項５に記載の通信システム。
　ファイルサーバ装置が接続している第１のネットワークスイッチに接続している端末装置が前記ファイルサーバ装置から電子ファイルの複製を取得した場合に、コンピュータが、前記端末装置の識別情報を第１の識別情報として取得し、
　前記第１のネットワークスイッチとは異なる第２のネットワークスイッチに新たに装置が接続した場合に、前記コンピュータが、前記装置の識別情報を第２の識別情報として取得し、
　前記コンピュータが、前記第１の識別情報と前記第２の識別情報とを照合し、前記第１の識別情報と前記第２の識別情報とが一致する場合に、前記第２のネットワークスイッチを介した前記端末装置の通信を制限するよう前記第２のネットワークスイッチに指示するセキュリティ監視方法。
　ファイルサーバ装置が接続している第１のネットワークスイッチに接続している端末装置が前記ファイルサーバ装置から電子ファイルの複製を取得した場合に、前記端末装置の識別情報を第１の識別情報として取得する第１の識別情報取得処理と、
　前記第１のネットワークスイッチとは異なる第２のネットワークスイッチに新たに装置が接続した場合に、前記装置の識別情報を第２の識別情報として取得する第２の識別情報取得処理と、
　前記第１の識別情報と前記第２の識別情報とを照合し、前記第１の識別情報と前記第２の識別情報とが一致する場合に、前記第２のネットワークスイッチを介した前記端末装置の通信を制限するよう前記第２のネットワークスイッチに指示する制限指示処理とをコンピュータに実行させるセキュリティ監視プログラム。