WO2020250444A1

WO2020250444A1 - 情報保護装置、情報保護方法及びプログラム

Info

Publication number: WO2020250444A1
Application number: PCT/JP2019/023747
Authority: WO
Inventors: 勝真田
Original assignee: 日本電信電話株式会社
Priority date: 2019-06-14
Filing date: 2019-06-14
Publication date: 2020-12-17
Also published as: US11977648B2; JPWO2020250444A1; JP7306456B2; US20220215105A1

Abstract

情報保護装置は、或るネットワークに接続された端末において表示されている画面の画像を受信する受信部と、前記画像から、前記画面に対する入力情報を抽出する抽出部と、前記入力情報が所定の情報に合致するか否かを判定する判定部と、前記入力情報が前記所定の情報に合致すると判定された場合に、前記入力情報について、前記ネットワークからの送出を抑止するための制御を行う制御部と、を有することで、保護されるべき情報が外部に流出する可能性を低下させる。

Description

情報保護装置、情報保護方法及びプログラム

　本発明は、情報保護装置、情報保護方法及びプログラムに関する。

　従来、企業内のＰＣ等と社外のサーバとの通信内容は、ファイアウォール、ＩＤＳ（Intrusion Detection System）、ＩＰＳ（Intrusion Prevention System）、ＷＡＦ（Web Application Firewall）等によって監視、遮断等がなされている。

特開２０１７－１３００３７号公報

　しかしながら、ＩＤＳ及びＩＰＳは一つ一つのパケットを監視対象とし、ＷＡＦはＨＴＴＰプロトコルのメッセージを監視対象としているため、どのような情報が社外に送信されているかは把握できない。したがって、これらの技術では、社内において保護されるべき情報について社外への送出を監視及び防止することは困難である。

　本発明は、上記の点に鑑みてなされたものであって、保護されるべき情報が外部に流出する可能性を低下させることを目的とする。

　そこで上記課題を解決するため、情報保護装置は、或るネットワークに接続された端末において表示されている画面の画像を受信する受信部と、前記画像から、前記画面に対する入力情報を抽出する抽出部と、前記入力情報が所定の情報に合致するか否かを判定する判定部と、前記入力情報が前記所定の情報に合致すると判定された場合に、前記入力情報について、前記ネットワークからの送出を抑止するための制御を行う制御部と、を有する。

　保護されるべき情報が外部に流出する可能性を低下させることができる。

本発明の実施の形態における情報保護システムの構成例を示す図である。本発明の実施の形態における情報保護装置１０のハードウェア構成例を示す図である。本発明の実施の形態における情報保護システムの機能構成例を示す図である。入力情報に対する逐次処理の処理手順の一例を説明するためのシーケンス図である。集計分析部１３が実行する処理手順の一例を説明するためのフローチャートである。集計分析部１３による過去の監視情報群の分析を説明するための図である。

　以下、図面に基づいて本発明の実施の形態を説明する。図１は、本発明の実施の形態における情報保護システムの構成例を示す図である。図１において、企業内ネットワークＮ１は、或る企業（以下、「企業Ａ」という。）内のネットワーク（例えば、ＬＡＮ（Local Area Network）又はイントラネット等）である。１以上のユーザ端末３０、情報保護装置１０及び通信監視装置２０は、企業内ネットワークＮ１を構成するネットワークによって接続される。すなわち、各ユーザ端末３０、情報保護装置１０及び通信監視装置２０は、企業Ａの区域内に設置されている。

　ユーザ端末３０は、企業Ａの従業員等によって利用されるＰＣ（Personal Computer）等の端末である。例えば、従業員ごとにユーザ端末３０が割り当てられてもよい。

　通信監視装置２０は、企業内ネットワークＮ１をインターネット等の外部ネットワークＮ２に接続する１以上のコンピュータである。企業内ネットワークＮ１と外部ネットワークＮ２との間の全ての通信は、通信監視装置２０を通過（経由）する。例えば、プロキシサーバ等が通信監視装置２０として利用されてよい。また、通信監視装置２０は、ファイアウォールとして機能してもよい。本実施の形態において、通信監視装置２０は、ユーザ端末３０から外部ネットワークＮ２に接続される外部サーバへ通信を監視し、外部への送信が不適切である（外部への漏洩から保護されるべきである）情報（以下、「保護情報」という。）の送信を抑止する。

　情報保護装置１０は、ユーザ端末３０において表示されているＷｅｂページに対する情報の入力に応じ、当該情報が保護情報に該当するか否かを分析する１以上のコンピュータである。情報保護装置１０は、当該情報が保護情報に該当すると判定すると、当該情報の通信（送信）に対する対処（例えば、外部への送出の抑止等）を通信監視装置２０へ指示する。

　図２は、本発明の実施の形態における情報保護装置１０のハードウェア構成例を示す図である。図２の情報保護装置１０は、それぞれバスＢで相互に接続されているドライブ装置１００、補助記憶装置１０２、メモリ装置１０３、ＣＰＵ１０４、及びインタフェース装置１０５等を有する。

　情報保護装置１０での処理を実現するプログラムは、ＣＤ－ＲＯＭ等の記録媒体１０１によって提供される。プログラムを記憶した記録媒体１０１がドライブ装置１００にセットされると、プログラムが記録媒体１０１からドライブ装置１００を介して補助記憶装置１０２にインストールされる。但し、プログラムのインストールは必ずしも記録媒体１０１より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置１０２は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。

　メモリ装置１０３は、プログラムの起動指示があった場合に、補助記憶装置１０２からプログラムを読み出して格納する。ＣＰＵ１０４は、メモリ装置１０３に格納されたプログラムに従って情報保護装置１０に係る機能を実行する。インタフェース装置１０５は、ネットワークに接続するためのインタフェースとして用いられる。

　図３は、本発明の実施の形態における情報保護システムの機能構成例を示す図である。図３において、ユーザ端末３０は、Ｗｅｂブラウザ３１及び操作監視部３２を有する。Ｗｅｂブラウザ３１は、一般的なＷｅｂブラウザであり、外部ネットワークＮ２に接続されている外部サーバへアクセスして、Ｗｅｂページを取得する。Ｗｅｂブラウザ３１は、取得したＷｅｂページを表示する。操作監視部３２は、ユーザ端末３０にインストールされた１以上のプログラムが、ユーザ端末３０のＣＰＵに実行させる処理により実現される。

　操作監視部３２は、Ｗｅｂブラウザ３１によって表示されているＷｅｂページに対するユーザによる操作（文字列等の情報の入力）を監視する。操作監視部３２は、情報が入力された可能性が高いと推定される所定の操作を検知すると、当該操作を検知したタイミングにおけるＷｅｂページのキャプチャ画像（以下、「画面画像」という。）を取得すると共に、当該ＷｅｂページのＵＲＬ、及び当該ユーザ端末３０のＩＰアドレス等を含む情報（以下、「監視情報」という。）を情報保護装置１０へ送信する。例えば、特定のキーが押下されたことが、情報入力の操作として検知されてもよい。特定のキーの一例として、リターンキーや「コントロールキー＋Ｖ」等が挙げられる。

　情報保護装置１０は、監視情報受信部１１、逐次分析部１２及び集計分析部１３を有する。これら各部は、情報保護装置１０にインストールされた１以上のプログラムが、ＣＰＵ１０４に実行させる処理により実現される。情報保護装置１０は、また、監視情報記憶部１４を利用する。監視情報記憶部１４は、例えば、補助記憶装置１０２、又は情報保護装置１０にネットワークを介して接続可能な記憶装置等を用いて実現可能である。

　監視情報受信部１１は、操作監視部３２から送信される監視情報を受信する。監視情報受信部１１は、受信した監視情報を監視情報記憶部１４に記憶すると共に、逐次分析部１２に通知する。

　逐次分析部１２は、監視情報受信部１１から通知される監視情報に含まれている画面画像から、Ｗｅｂページに対して入力された情報（入力情報）を抽出し、当該入力情報が保護情報に該当するか否かを判定する。上記より明らかなように、監視情報は、ユーザによる入力が行われるたびに監視情報受信部１１から通知される。したがって、逐次分析部１２は、ユーザによる入力に応じて逐次的に入力情報が保護情報に該当するか否かを判定する。逐次分析部１２は、入力情報が保護情報に該当すると判定すると、当該入力情報について、企業内ネットワークＮ１からの送出を抑止するための制御を行う。具体的には、逐次分析部１２は、当該入力情報と、当該入力情報に関する通信（送信）に対する対処（例えば、送信の抑止等）の指示（以下、「対処指示」という。）を通信監視装置２０へ送信する。

　集計分析部１３は、例えば、定期的なタイミング等、Ｗｅｂページに対する入力のタイミングとは非同期なタイミングで、当該タイミングまでに監視情報記憶部１４に記憶（蓄積）された監視情報を分析することで、過去の外部へのアクセスの中から、セキュリティ上問題の有る可能性が高い所定のアクセス（以下、「不適切なアクセス」という。）を特定する。分析部は、不適切なアクセスを特定するための情報を、判断情報として通信監視装置２０へ送信（通知）する。

　通信監視装置２０は、通信監視部２１及び判断部２２を有する。これら各部は、通信監視装置２０にインストールされた１以上のプログラムが、通信監視装置２０のＣＰＵに実行させる処理により実現される。通信監視装置２０は、また、判断情報記憶部２３を利用する。判断情報記憶部２３は、例えば、補助記憶装置１０２、又は通信監視装置２０にネットワークを介して接続可能な記憶装置等を用いて実現可能である。

　通信監視部２１は、企業内ネットワークＮ１と外部ネットワークＮ２との間の通信を監視し、当該通信の可否（抑止の要否）を判断部２２に照会する。通信監視部２１は、判断部２２によって抑止が指示された通信については遮断する。

　判断部２２は、逐次分析部１２から通知される入力情報や、判断情報記憶部２３に記憶されている判断情報に基づいて、通信の可否（抑止の要否）を判断する。例えば、判断部２２は、当該通信によって外部へ送信される情報が、当該入力情報や当該判断情報に合致する場合に、当該通信を抑止すべきことを判断する。なお、判断情報とは、抑止対象とする通信を示す情報として、予め登録された情報をいう。例えば、公開されている脅威情報に基づいて判断情報が登録されてもよい。また、逐次分析部１２又は集計分析部１３から保護情報に該当するとして通知される入力情報も、判断情報として登録される。したがって、一度でも逐次分析部１２又は集計分析部１３によって保護情報であると判定された情報は、判断部２２によって外部への送信が抑止される。

　以下、情報保護システムにおいて実行される処理手順について説明する。図４は、入力情報に対する逐次処理の処理手順の一例を説明するためのシーケンス図である。図４の初期状態において、ユーザ端末３０のＷｅｂブラウザ３１には、外部サーバから取得されたＷｅｂページ（以下、「対象ページ」という。）が表示されていることとする。

　ユーザ端末３０の操作監視部３２は、ユーザによってＷｅｂページに対して所定の操作が行われたことを検知すると（Ｓ１０１）、当該操作に関する監視情報を情報保護装置１０へ送信する（Ｓ１０２）。当該監視情報には、当該操作の検知に応じて操作監視部３２が取得したＷｅｂページのキャプチャ画像（画面画像）、当該ＷｅｂページのＵＲＬ、当該ユーザ端末３０のＩＰアドレス等が含まれる。

　情報保護装置１０の監視情報受信部１１は、当該監視情報を受信すると、当該監視情報を監視情報記憶部１４に記憶すると共に（Ｓ１０３）、当該監視情報を逐次分析部１２に通知する。

　続いて、逐次分析部１２は、監視情報受信部１１から通知された監視情報（以下、「対象監視情報」という。）に含まれている画面画像において入力欄の範囲を特定し、当該範囲に対して文字認識（ＯＣＲ（Optical Character Recognition））を適用することで、当該画面画像から入力情報（入力された文字列）を抽出する（Ｓ１０４）。なお、入力欄の範囲の特定は、公知技術を用いて行えばよい。また、逐次分析部１２は、抽出した入力情報を、ステップＳ１０３において記憶された監視情報に関連付けて、監視情報記憶部１４に記憶してもよい。

　続いて、逐次分析部１２は、抽出した入力情報（以下、「対象入力情報」という。）が保護情報に該当するか否かを判定する（Ｓ１０５）。例えば、保護情報に該当する情報としては、企業Ａの従業員としての個人情報（氏名、所属組織情報、所属組織の電話番号、企業Ａにおける電子メールアドレス、企業Ａにおける各種ＩＤ・パスワード、その他企業Ａに関連の情報）や、ユーザのプライベートな個人情報（氏名、自宅住所、個人連絡情報、各種ＳＮＳアカウント等）が挙げられる。また、個人情報以外であっても、企業Ａにとって保護すべき情報が保護情報とされてもよい。例えば、秘密情報や社内限り情報が保護情報とされてもよい。

　上記のような情報を保護情報とする場合、当該情報を示す文字列のリストが予め保護情報として補助記憶装置１０２に登録されていてもよい。また、このように登録される複数の文字列に共通部分が有る場合は、正規表現を用いて複数の文字列の集合が１つの文字列によって登録されてもよい。

　この場合、逐次分析部１２は、対象入力情報が、補助記憶装置１０２に保護情報として記憶されているいずれかの文字列に一致するか否かによって、対象入力情報が保護情報に該当するか否かを判定する。

　また、逐次分析部１２は、対象入力情報の入力欄に対するメッセージ（入力の要求を示すメッセージ）を画面画像に対する文字認識によって抽出し、当該メッセージの内容（要求内容）と対象入力情報とが整合していない場合に、対象入力情報が保護情報に該当すると判定してもよい。

　対象入力情報が保護情報に該当しないと判定した場合、逐次分析部１２は、以降の処理は実行しない。一方、対象入力情報が保護情報に該当すると判定した場合、逐次分析部１２は、対象入力情報の送信の中止を示す対処指示を通信監視装置２０へ送信する（Ｓ１０６）。当該対処指示には対象入力情報が含まれる。

　通信監視装置２０の判断部２２は、当該対処指示を受信すると、当該対処指示に含まれている対象入力情報を判断情報として判断情報記憶部２３に記憶する（Ｓ１０７）。なお、対象入力情報に一致する判断情報が既に判断情報記憶部２３に記憶されている場合には、ステップＳ１０７はスキップされてもよい。

　その後、ユーザ端末３０のＷｅｂブラウザ３１に表示されている対象ページに対して、入力を確定させる操作（例えば、ＯＫボタンの押下等）が行われると、Ｗｅｂブラウザ３１は、対象ページに入力された入力情報を含むリクエストを外部サーバ宛てに送信する（Ｓ１０８）。通信監視装置２０の通信監視部２１は、当該リクエストを検知（受信）すると、当該リクエストについて、送信の可否を判断部２２に照会する（Ｓ１０９）。

　判断部２２は、当該リクエストの内容を判断情報と照合することで、当該リクエストの送信の可否を判断する（Ｓ１１０）。すなわち、判断部２２は、当該リクエストに判断情報に合致する文字列が含まれていれば、当該リクエストの送信は不可であると判断し、そうでなければ当該リクエストの送信は可能であると判断する。ここで、逐次分析部１２によって対象入力情報が保護情報であると判定された場合、対象入力情報は判断情報として判断情報記憶部２３に記憶されている。したがって、対象入力情報が保護情報である場合、送信は不可であると判断される。

　続いて、判断部２２は、判断結果（「送信可」又は「送信不可」）を通信監視部２１に応答する（Ｓ１１１）。当該判断結果が「送信可」であれば、通信監視部２１は、当該リクエストを宛先へ送信する。一方、当該判断結果が「送信不可」であれば、当該リクエストの送信を抑止する。例えば、当該リクエストが破棄されてもよい。また、通信監視部２１は、当該リクエストに保護情報が含まれていることを示す警告メッセージを含む応答（レスポンス）をユーザ端末３０のＷｅｂブラウザ３１に対して送信してもよい（Ｓ１１２）。この場合、Ｗｅｂブラウザ３１は、当該警告メッセージを表示することになる。その結果、ユーザは、自らが入力した情報に保護情報が含まれていたことを知ることができ、改めて入力操作をやり直すことができる。

　なお、ステップＳ１０１以降は、１つのＷｅｂページに対して複数の入力欄が有る場合、各入力欄に情報（文字列）が入力されるたびに逐次的に実行される。

　次に、集計分析部１３が実行する処理手順について説明する。図５は、集計分析部１３が実行する処理手順の一例を説明するためのフローチャートである。

　集計分析部１３は、ステップＳ２０２以降の実行時期の到来を待機している（Ｓ２０１）。例えば、一定期間ごとの周期でステップＳ２０２以降が実行されるのであれば、集計分析部１３は、当該周期の経過を待機している。当該周期が経過すると（Ｓ２０１でＹｅｓ）、監視情報記憶部１４に記憶されている過去の監視情報を分析することで、過去の外部へのアクセスの中から不適切なアクセスを特定する（Ｓ２０２）。ここで分析対象とされる監視情報は、監視情報記憶部１４に記憶されている全ての監視情報であってもよいし、当該周期において監視情報記憶部１４に記憶された監視情報であってもよい。

　図６は、集計分析部１３による過去の監視情報群の分析を説明するための図である。図６には、アクセス先ごとに、情報提供量と、アクセス者とが分析される例が示されている。

　アクセス先は、監視情報に含まれているＵＲＬ（ＷｅｂページのＵＲＬ）に基づいて区別することができる。また、情報提供量は、アクセス先に対する入力情報のサイズ（例えば、バイト数）である。すなわち、各アクセス先が提供するサービスの内容により、アクセス回数や、１アクセスごとの情報提供量は異なると考えられる。社内業務で、毎日アクセスする必要があるアクセス先であれば、１アクセス時の情報提供量は少なくても、蓄積された情報提供量は大きくなる。なお、情報提供量は、監視情報に関連付けられて記憶されている入力情報に基づいて計測することができる。

　アクセス者は、監視情報に含まれているＩＰアドレス（ユーザ端末３０のＩＰアドレス）に基づいて特定することができる。

　例えば、集計分析部１３は、情報提供量が、他のアクセス先に対して極端に少なく、アクセス者が特定のアクセス元に限定されているアクセスを不適切なアクセスとして判定してもよい。この場合、図６の例では、アクセス先Ｘに対するアクセスが、不適切なアクセスとして特定される。

　また、集計分析部１３は、各監視情報に含まれている画面画像を分析して、不適切なアクセスを特定してもよい。例えば、集計分析部１３は、各監視情報に含まれているＵＲＬ及び画面画像に基づいて、ＵＲＬ別に画面遷移を特定する。この場合、集計分析部１３は、或るＵＲＬに対する各アクセスの中で、当該ＵＲＬについて特定された画面遷移と異なる画面遷移を示す画面画像群が監視情報記憶部１４に記憶されているアクセスを不適切なアクセスとして特定してもよい。このようなアクセスは、危険なサイトに誘導され、保護情報が漏洩する可能性が有るからである。

　続いて、集計分析部１３は、不適切なアクセスと判定したアクセスを特定する情報を判断情報として生成する（Ｓ２０３）。例えば、当該アクセスのアクセス先のＵＲＬを含む情報が判断情報とされてもよい。続いて、集計分析部１３は、当該判断情報を通信監視装置２０の判断情報記憶部２３に登録する（Ｓ２０４）。

　その結果、以降において、当該判断情報が判断部２２によって利用されるようになる。当該判断情報がＵＲＬである場合、判断部２２は、当該ＵＲＬ宛てのリクエストを送信不可として判断するようになる。

　上述したように、本実施の形態によれば、企業内ネットワークＮ１等の或るネットワーク内からにおいて保護されるべき情報が外部に流出する可能性を低下させることができる。また蓄積された画面画像があることにより、サービスの一連のフローを把握でき、入力情報の正当性について、画面の前後を通して分析することができる。

　なお、本実施の形態において、監視情報受信部１１は、受信部の一例である。逐次分析部１２は、抽出部、判定部及び制御部の一例である。監視情報記憶部１４は、記憶部の一例である。集計分析部１３は、特定部の一例である。

　以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。

１０　　　　　情報保護装置
１１　　　　　監視情報受信部
１２　　　　　逐次分析部
１３　　　　　集計分析部
１４　　　　　監視情報記憶部
２０　　　　　通信監視装置
２１　　　　　通信監視部
２２　　　　　判断部
２３　　　　　判断情報記憶部
３０　　　　　ユーザ端末
３１　　　　　Ｗｅｂブラウザ
３２　　　　　操作監視部
１００　　　　ドライブ装置
１０１　　　　記録媒体
１０２　　　　補助記憶装置
１０３　　　　メモリ装置
１０４　　　　ＣＰＵ
１０５　　　　インタフェース装置
Ｂ　　　　　　バス
Ｎ１　　　　　企業内ネットワーク
Ｎ２　　　　　外部ネットワーク

Claims

　或るネットワークに接続された端末において表示されている画面の画像を受信する受信部と、
　前記画像から、前記画面に対する入力情報を抽出する抽出部と、
　前記入力情報が所定の情報に合致するか否かを判定する判定部と、
　前記入力情報が前記所定の情報に合致すると判定された場合に、前記入力情報について、前記ネットワークからの送出を抑止するための制御を行う制御部と、
を有することを特徴とする情報保護装置。
　複数の前記端末から前記受信部が受信した前記画像を記憶する記憶部と、
　前記記憶部に記憶された画像を分析して、前記ネットワークの外部へのアクセスの中から所定のアクセスを特定する特定部と、
を有することを特徴とする請求項１記載の情報保護装置。
　或るネットワークに接続された端末において表示されている画面の画像を受信する受信手順と、
　前記画像から、前記画面に対する入力情報を抽出する抽出手順と、
　前記入力情報が所定の情報に合致するか否かを判定する判定手順と、
　前記入力情報が前記所定の情報に合致すると判定された場合に、前記入力情報について、前記ネットワークからの送出を抑止するための制御を行う制御手順と、
をコンピュータが実行することを特徴とする情報保護方法。
　複数の前記端末から前記受信手順が受信した前記画像を記憶部に記憶する記憶手順と、
　前記記憶部に記憶された画像を分析して、前記ネットワークの外部へのアクセスの中から所定のアクセスを特定する特定手順と、
を前記コンピュータが実行することを特徴とする請求項３記載の情報保護方法。
　請求項３又は４記載の情報保護方法をコンピュータに実行させることを特徴とするプログラム。