クライアント/サーバシステムとクライアント/サーバシステムの監査方法
【課題】 本発明はサーバ装置の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置を素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供する。
【解決手段】 本発明のクライアント/サーバシステムは、監視手段と一次監査手段を有するクライアント装置と、二次監査手段を有するサーバ装置からなるクライアント/サーバシステムで、前記サーバ装置は、前記一次乃至二次監査手段による監査の結果、予め登録されたセキュリティ違反頻度を超えたクライアント装置を違反常習者としてブラックリストに登録するブラックリスト作成手段を有し、前記二次監査手段は前記ブラックリストに登録されたクライアント装置から優先的に監査を実施することを特徴とする。
【解決手段】 本発明のクライアント/サーバシステムは、監視手段と一次監査手段を有するクライアント装置と、二次監査手段を有するサーバ装置からなるクライアント/サーバシステムで、前記サーバ装置は、前記一次乃至二次監査手段による監査の結果、予め登録されたセキュリティ違反頻度を超えたクライアント装置を違反常習者としてブラックリストに登録するブラックリスト作成手段を有し、前記二次監査手段は前記ブラックリストに登録されたクライアント装置から優先的に監査を実施することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、セキュリティ対策を施したクライアント/サーバシステムとクライアント/サーバシステムの監査方法に関する。
【背景技術】
【0002】
ネットワークに接続されたサーバ装置と、このサーバ装置の管理の下、同様にネットワークに接続されたクライアント装置からなるクライアント/サーバ型のシステムにおいて、セキュリティ対策を実施する場合、セキュリティ対策ソフトの導入等により対応することが多いが、従来のセキュリティ対策ソフトにおいては、クライアント装置にインストールされた監視モジュールが、クライアント装置の監視を行い、サーバ装置は、クライアント装置より送られてきたログを監査モジュールで監査していた。
【0003】
上記では、監視エージェントが、監視対象装置からアラートを取得した場合、一定期間に亘って定期的周期よりも短い周期で動作確認の通知を行なうようにしている(特許文献1参照)。
【0004】
しかし、クライアント装置が何十、何百台とあり、またログのファイルサイズも大きい場合、監査対象となるログは膨大になってしまい、そのため、迅速に情報漏洩に繋がる行為を検出しようとすると、監査周期を短くしなければならないが、サーバ装置の負荷が大きくなってしまう。
【0005】
また、モバイルPCで無線LANを利用し、持ち出しを行っていて、クライアント装置がサーバ装置に一定時間アクセス出来ない場合に、クライアント装置からサーバ装置へのログが送信できないため、最新のログの監査ができないという問題があり、システムの脆弱性が問題視されるようになってきた。
【特許文献1】特開2006−221484号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
この発明の目的は、クライアント/サーバシステムのセキュリティ対策においてサーバ装置の監査処理内容を少なくし、サーバ装置の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置を素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明のクライアント/サーバシステムは、ネットワークに接続され、監視手段と一次監査手段を有するクライアント装置と、同じくネットワークに接続され、前記クライアント装置の一次監査手段とは別の二次監査手段を有するサーバ装置からなるクライアント/サーバシステムであって、前記サーバ装置は、前記一次乃至二次監査手段による監査の結果、予め登録されたセキュリティ違反頻度を超えたクライアント装置を違反常習者としてブラックリストに登録するブラックリスト作成手段を有し、前記二次監査手段は前記ブラックリストに登録されたクライアント装置から優先的に監査を実施することを特徴とするものである。
【0008】
また、本発明のクライアント/サーバシステムの監査方法は、ネットワークに接続され、監視手段と一次監査手段を有するクライアント装置と、同じくネットワークに接続され、前記クライアント装置の一次監査手段とは別の二次監査手段を有するサーバ装置からなるクライアント/サーバシステムの監査方法であって、前記クライアント装置の一次監査手段により一次監査を実行し、前記サーバ装置の二次監査手段により二次監査を実行し、前記一次乃至二次監査の結果が予め登録されたセキュリティ違反頻度を超えたクライアント装置である場合、前記クライアント装置をブラックリストに登録し、前記サーバ装置は、次回の二次監査時に前記ブラックリストに登録されたクライアント装置から優先的に監査を実施することを特徴とするものである。
【0009】
上記発明によれば、クライアント/サーバシステムのセキュリティ対策においてサーバ装置の監査処理内容を少なくし、サーバ装置の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置を素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することが可能となる。
【発明の効果】
【0010】
この発明のクライアント/サーバシステムのセキュリティ対策において、サーバ装置の監査処理内容を少なくし、サーバ装置の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置を素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することが可能となる。
【発明を実施するための最良の形態】
【0011】
以下、本発明のバックアップシステの実施の形態につき図面を参照して説明する。
本実施形態にかかるバックアップシステム全体の概略構成を図1に示す。
<実施形態>
図1は本実施形態における、クライアント/サーバシステム構成図を示したものである。
クライアント装置2a〜2cは、主な構成モジュールとして、(1)監視モジュール21、(2)1次監査モジュール23を持ち、監視モジュール21が作成するログ22と監査モジュール23が作成するファイル(以下、監査レポート24と記す)がある。
【0012】
(1)監視モジュール21は、Windows(登録商標)のサービスプログラムのような常駐プログラムとして動作し、主にファイル操作、アクセスしたWebの、アプリケーション動作、デバイス操作、印刷ジョブ、ログオン・ログオフ、メール送信内容などの監視を行い、ログ22を作成する。
【0013】
(2)1次監査モジュール23は、(1)監視モジュール21と同様に、常駐プログラムとして動作し、クライアント装置2aの監査を行う。1次監査モジュール23の監査機能232は、1時間毎などのサーバ装置の2次監査モジュール12よりも短周期で動作し、メール送信のログや、USBメモリにファイルコピーしたログなど情報漏洩に繋がる緊急性の高いログに関して監査を行い、監査レポート24を作成する。
【0014】
また、セキュリティポリシーに違反する操作があった場合、サーバ装置管理者に警告25を行う。緊急性の高いログに関して、短周期で監査を行うことにより、迅速に情報漏洩に繋がる行為の検出を行うことが出来る。
【0015】
一方、サーバ装置1の、主な構成モジュールは2次監査モジュール12となる。2次監査モジュール12も1次監査モジュール23と同様に常駐プログラムとして動作する。
【0016】
2次監査モジュール12のブラックリスト作成機能121は、サーバ装置1のデータベース14より過去の監査レポートを参照し、各クライアント装置2a〜2cのセキュリティポリシーに違反した頻度を計算し、ブラックリスト122を作成する機能となる。
【0017】
監査機能124は、1日毎など1次監査モジュール23よりも長周期で動作し、クライアント装置2a〜2cより送られてきた監査を行っていないログ22に関して、ブラックリスト122を利用し、セキュリティポリシーに違反する操作頻度の多いクライアント装置2a〜2cから監査を行う。監査結果は、クライアント装置2a〜2cより送られた監査レポート24とマージした監査レポート13を作成し、サーバ装置1のデータベース14に登録する。また、クライアント装置2a〜2cの監査機能232と同様に、セキュリティポリシーに違反する操作があった場合、サーバ装置管理者に警告15を行う。
【0018】
図2は、クライアント装置2a〜2cの1次監査モジュール23の動作フローチャート、図3はサーバ装置1の2次監査モジュール12の動作フローチャートを示したものであり、詳細説明を行う。
【0019】
「クライアント装置2a〜2cの処理」
(1)監視ログ22の取得(S21)
監視モジュール21が作成するファイル操作やアクセスしたWebのURLなどセキュリティに対して緊急性の高いログ22を取得する。
(2)監査キーワード231の取得(S22)
予め設定された監査キーワード231の取得を行う。監査キーワード231は、クライアント装置2a〜2cとサーバ装置1で異なるキーワードを設定することが可能となる。例えば、以下のようにクライアント装置2a〜2cでは部門特有の監査キーワード231の設定を行い、サーバ装置1は部門共通のキーワード123の設定を行う。
【0020】
●1次監査の監査キーワード231
(株)○○○会社 監査キーワード
├ 営業部・・・顧客情報、技術情報(営業に技術情報がある場合もあるため)
├ 技術部・・・技術情報
└ 総務部・・・従業員情報
●2次監査の監査キーワード123
(株)○○○会社 監査キーワード
├ 営業部・・・社外秘、極秘
├ 技術部・・・社外秘、極秘
└ 総務部・・・社外秘、極秘
(3)監査実行(S23)
一時間毎など設定した周期で実行する。クライアント装置2a〜2cの1次監査では、サーバ装置1の2次監査よりも短周期で監査周期を設定する。(2)で取得した監査キーワード231が(1)で取得したログ22に含まれるかパターンマッチを行って検出する。
1次監査では、メール送信監視、USBメモリへファイルコピーなど緊急性の高いログ、1時間毎などの短周期で監査を行う。
監視モジュール21が作成する、ファイル操作、Web操作、アプリケーション動作、デバイス操作、印刷ジョブ、ログオン・ログオフ、メール送信などのログ22のうち、USBメモリへ機密情報が書かれたファイルのコピーを行ったことがわかるファイル操作のログや機密情報をメールで送信したことがわかるメール送信のログなどは、情報漏洩に即つながる可能性がある。
【0021】
しかし、Web操作や、ログオン・ログオフ、業務とは関係のないゲームなどのアプリケーション動作といったログは、必ずとも即、情報漏洩と繋がるものではないため、サーバ装置1の2次監査で、監査を行う。
【0022】
また、クライアント装置2a〜2cで1次監査を行うことで、クライアント装置2a〜2cを持ち出しして一定期間サーバ装置1に接続できないなどの場合における脆弱性を解決することができる。
【0023】
(4)監査レポート作成(S25)
監査結果を監査レポート24として残す。セキュリティポリシーに違反した操作が見つけられた場合は、該当箇所を抽出し、日時、ユーザ名、マシン名と共に監査レポート24に記載する。
【0024】
(5)警告発信(S27)
監査にて、セキュリティポリシーに違反した操作が見つけられた場合にサーバ装置管理者に対して、警告25をメールなどの手段を用いて知らせる。
「サーバ装置1の処理」
(6)ブラックリストの作成(S32)
ブラックリスト122は、監査レポートデータベース14より過去の監査レポートを参照し、各クライアント装置2a〜2c毎のセキュリティポリシーに違反した頻度を計算し、一定頻度(閾値)を超えたクライアント装置2a〜2cを、違反頻度順に記載したものとなる。
【0025】
(7)監査実行(S35)
一日毎など設定した周期で実行する。サーバ装置1の2次監査は、クライアント装置2a〜2cよりも長周期で監査周期を設定する。
また、ブラックリスト122が有る場合は、ブラックリスト122に記載された順序でクライアント装置2a〜2cのログの監査を実行する。サーバ装置1の2次監査もクライアント装置2a〜2cの1次監査と同様、設定したキーワード123がログ11に含まれるかのパターンマッチを行う。
【0026】
(8)監査レポートの作成(S36)
サーバ装置1の監査レポート13の作成では、クライアント装置2a〜2cより送られた監査レポート24と監査結果をマージした監査レポート13を作成する。
<本実施形態における具体的動作>
以下、業務中に、業務とは関係のないオークションサイトを閲覧していないか監査する例の具体的動作を述べる。
(a)Web監視ログの監査キーワード231に、オークションサイト(○○!オークションなど)と閾値(10回)を設定する。
(b)クライアント装置2a〜2cより送られてきたログ11と設定した監査キーワード123で監査を行う。
(c)クライアント装置01のWEB監視ログに、○○!オークションの記載が15回ほど検出され、クライアント装置02は、8回、クライアント装置03は、17回ほど検出されたとする。
【0027】
(d)監査結果を監査レポート13に作成し、違反があった場合はサーバ装置管理者へ警告15を送る。
次回の監査において、
(a)監査レポートデータベース14より、監査レポートを取得する。
(b)クライアント装置01:2aが設定している監査キーワード123(○○!オークション)を15回ほど閲覧しているのがわかったため、ブラックリスト122にクライアント装置01:2aと使用頻度15、クライアント装置02:2bと使用頻度8、クライアント装置03:2cと使用頻度17と設定する。
【0028】
この監査キーワード123の閾値は10回であるため、クライアント装置01:2aとクライアント装置03:2cは閾値を超えているため、危険クライアント装置として記録する。クライアント装置02:2bはあと2回履歴がみられると、危険クライアント装置として登録される。
【0029】
(c)クライアント装置2a〜2cより送られてきたログ22の中から、まずはブラックリスト122に載っているクライアント装置03:2cのログ22より監査を行う、次にクライアント装置01:2aを監査し、残りは、取得した順に監査を行う。
(d)監査結果を監査レポート13に作成し、違反があった場合はサーバ装置管理者へ警告15を送る。
以上述べたように、本実施形態のクライアント/サーバシステムのセキュリティ対策によれば、サーバ装置1の監査処理内容を少なくし、サーバ装置1の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置2a〜2cを素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することが可能となる。
【図面の簡単な説明】
【0030】
【図1】本実施形態にかかるクライアント/サーバシステムの全体の概略構成を示す図。
【図2】本実施形態にかかるクライアント装置の監査モジュールの動作フローチャート。
【図3】本実施形態にかかるサーバ装置の監査モジュールの動作フローチャート。
【符号の説明】
【0031】
1…サーバ装置、2a、2b、2c…クライアント装置、3…ネットワーク、11…ログ、12…2次監査モジュール、121…ブラックリスト作成機能、122…ブラックリスト、123…監査キーワード、124…監査機能(長周期)、13…監査レポート、14…監査レポートデータベース、15…警告、21…監視モジュール、22…ログ、23…1次監査モジュール、231…監査キーワード、232…監査機能(短周期)、24…監査レポート、25…警告、
【技術分野】
【0001】
この発明は、セキュリティ対策を施したクライアント/サーバシステムとクライアント/サーバシステムの監査方法に関する。
【背景技術】
【0002】
ネットワークに接続されたサーバ装置と、このサーバ装置の管理の下、同様にネットワークに接続されたクライアント装置からなるクライアント/サーバ型のシステムにおいて、セキュリティ対策を実施する場合、セキュリティ対策ソフトの導入等により対応することが多いが、従来のセキュリティ対策ソフトにおいては、クライアント装置にインストールされた監視モジュールが、クライアント装置の監視を行い、サーバ装置は、クライアント装置より送られてきたログを監査モジュールで監査していた。
【0003】
上記では、監視エージェントが、監視対象装置からアラートを取得した場合、一定期間に亘って定期的周期よりも短い周期で動作確認の通知を行なうようにしている(特許文献1参照)。
【0004】
しかし、クライアント装置が何十、何百台とあり、またログのファイルサイズも大きい場合、監査対象となるログは膨大になってしまい、そのため、迅速に情報漏洩に繋がる行為を検出しようとすると、監査周期を短くしなければならないが、サーバ装置の負荷が大きくなってしまう。
【0005】
また、モバイルPCで無線LANを利用し、持ち出しを行っていて、クライアント装置がサーバ装置に一定時間アクセス出来ない場合に、クライアント装置からサーバ装置へのログが送信できないため、最新のログの監査ができないという問題があり、システムの脆弱性が問題視されるようになってきた。
【特許文献1】特開2006−221484号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
この発明の目的は、クライアント/サーバシステムのセキュリティ対策においてサーバ装置の監査処理内容を少なくし、サーバ装置の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置を素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明のクライアント/サーバシステムは、ネットワークに接続され、監視手段と一次監査手段を有するクライアント装置と、同じくネットワークに接続され、前記クライアント装置の一次監査手段とは別の二次監査手段を有するサーバ装置からなるクライアント/サーバシステムであって、前記サーバ装置は、前記一次乃至二次監査手段による監査の結果、予め登録されたセキュリティ違反頻度を超えたクライアント装置を違反常習者としてブラックリストに登録するブラックリスト作成手段を有し、前記二次監査手段は前記ブラックリストに登録されたクライアント装置から優先的に監査を実施することを特徴とするものである。
【0008】
また、本発明のクライアント/サーバシステムの監査方法は、ネットワークに接続され、監視手段と一次監査手段を有するクライアント装置と、同じくネットワークに接続され、前記クライアント装置の一次監査手段とは別の二次監査手段を有するサーバ装置からなるクライアント/サーバシステムの監査方法であって、前記クライアント装置の一次監査手段により一次監査を実行し、前記サーバ装置の二次監査手段により二次監査を実行し、前記一次乃至二次監査の結果が予め登録されたセキュリティ違反頻度を超えたクライアント装置である場合、前記クライアント装置をブラックリストに登録し、前記サーバ装置は、次回の二次監査時に前記ブラックリストに登録されたクライアント装置から優先的に監査を実施することを特徴とするものである。
【0009】
上記発明によれば、クライアント/サーバシステムのセキュリティ対策においてサーバ装置の監査処理内容を少なくし、サーバ装置の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置を素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することが可能となる。
【発明の効果】
【0010】
この発明のクライアント/サーバシステムのセキュリティ対策において、サーバ装置の監査処理内容を少なくし、サーバ装置の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置を素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することが可能となる。
【発明を実施するための最良の形態】
【0011】
以下、本発明のバックアップシステの実施の形態につき図面を参照して説明する。
本実施形態にかかるバックアップシステム全体の概略構成を図1に示す。
<実施形態>
図1は本実施形態における、クライアント/サーバシステム構成図を示したものである。
クライアント装置2a〜2cは、主な構成モジュールとして、(1)監視モジュール21、(2)1次監査モジュール23を持ち、監視モジュール21が作成するログ22と監査モジュール23が作成するファイル(以下、監査レポート24と記す)がある。
【0012】
(1)監視モジュール21は、Windows(登録商標)のサービスプログラムのような常駐プログラムとして動作し、主にファイル操作、アクセスしたWebの、アプリケーション動作、デバイス操作、印刷ジョブ、ログオン・ログオフ、メール送信内容などの監視を行い、ログ22を作成する。
【0013】
(2)1次監査モジュール23は、(1)監視モジュール21と同様に、常駐プログラムとして動作し、クライアント装置2aの監査を行う。1次監査モジュール23の監査機能232は、1時間毎などのサーバ装置の2次監査モジュール12よりも短周期で動作し、メール送信のログや、USBメモリにファイルコピーしたログなど情報漏洩に繋がる緊急性の高いログに関して監査を行い、監査レポート24を作成する。
【0014】
また、セキュリティポリシーに違反する操作があった場合、サーバ装置管理者に警告25を行う。緊急性の高いログに関して、短周期で監査を行うことにより、迅速に情報漏洩に繋がる行為の検出を行うことが出来る。
【0015】
一方、サーバ装置1の、主な構成モジュールは2次監査モジュール12となる。2次監査モジュール12も1次監査モジュール23と同様に常駐プログラムとして動作する。
【0016】
2次監査モジュール12のブラックリスト作成機能121は、サーバ装置1のデータベース14より過去の監査レポートを参照し、各クライアント装置2a〜2cのセキュリティポリシーに違反した頻度を計算し、ブラックリスト122を作成する機能となる。
【0017】
監査機能124は、1日毎など1次監査モジュール23よりも長周期で動作し、クライアント装置2a〜2cより送られてきた監査を行っていないログ22に関して、ブラックリスト122を利用し、セキュリティポリシーに違反する操作頻度の多いクライアント装置2a〜2cから監査を行う。監査結果は、クライアント装置2a〜2cより送られた監査レポート24とマージした監査レポート13を作成し、サーバ装置1のデータベース14に登録する。また、クライアント装置2a〜2cの監査機能232と同様に、セキュリティポリシーに違反する操作があった場合、サーバ装置管理者に警告15を行う。
【0018】
図2は、クライアント装置2a〜2cの1次監査モジュール23の動作フローチャート、図3はサーバ装置1の2次監査モジュール12の動作フローチャートを示したものであり、詳細説明を行う。
【0019】
「クライアント装置2a〜2cの処理」
(1)監視ログ22の取得(S21)
監視モジュール21が作成するファイル操作やアクセスしたWebのURLなどセキュリティに対して緊急性の高いログ22を取得する。
(2)監査キーワード231の取得(S22)
予め設定された監査キーワード231の取得を行う。監査キーワード231は、クライアント装置2a〜2cとサーバ装置1で異なるキーワードを設定することが可能となる。例えば、以下のようにクライアント装置2a〜2cでは部門特有の監査キーワード231の設定を行い、サーバ装置1は部門共通のキーワード123の設定を行う。
【0020】
●1次監査の監査キーワード231
(株)○○○会社 監査キーワード
├ 営業部・・・顧客情報、技術情報(営業に技術情報がある場合もあるため)
├ 技術部・・・技術情報
└ 総務部・・・従業員情報
●2次監査の監査キーワード123
(株)○○○会社 監査キーワード
├ 営業部・・・社外秘、極秘
├ 技術部・・・社外秘、極秘
└ 総務部・・・社外秘、極秘
(3)監査実行(S23)
一時間毎など設定した周期で実行する。クライアント装置2a〜2cの1次監査では、サーバ装置1の2次監査よりも短周期で監査周期を設定する。(2)で取得した監査キーワード231が(1)で取得したログ22に含まれるかパターンマッチを行って検出する。
1次監査では、メール送信監視、USBメモリへファイルコピーなど緊急性の高いログ、1時間毎などの短周期で監査を行う。
監視モジュール21が作成する、ファイル操作、Web操作、アプリケーション動作、デバイス操作、印刷ジョブ、ログオン・ログオフ、メール送信などのログ22のうち、USBメモリへ機密情報が書かれたファイルのコピーを行ったことがわかるファイル操作のログや機密情報をメールで送信したことがわかるメール送信のログなどは、情報漏洩に即つながる可能性がある。
【0021】
しかし、Web操作や、ログオン・ログオフ、業務とは関係のないゲームなどのアプリケーション動作といったログは、必ずとも即、情報漏洩と繋がるものではないため、サーバ装置1の2次監査で、監査を行う。
【0022】
また、クライアント装置2a〜2cで1次監査を行うことで、クライアント装置2a〜2cを持ち出しして一定期間サーバ装置1に接続できないなどの場合における脆弱性を解決することができる。
【0023】
(4)監査レポート作成(S25)
監査結果を監査レポート24として残す。セキュリティポリシーに違反した操作が見つけられた場合は、該当箇所を抽出し、日時、ユーザ名、マシン名と共に監査レポート24に記載する。
【0024】
(5)警告発信(S27)
監査にて、セキュリティポリシーに違反した操作が見つけられた場合にサーバ装置管理者に対して、警告25をメールなどの手段を用いて知らせる。
「サーバ装置1の処理」
(6)ブラックリストの作成(S32)
ブラックリスト122は、監査レポートデータベース14より過去の監査レポートを参照し、各クライアント装置2a〜2c毎のセキュリティポリシーに違反した頻度を計算し、一定頻度(閾値)を超えたクライアント装置2a〜2cを、違反頻度順に記載したものとなる。
【0025】
(7)監査実行(S35)
一日毎など設定した周期で実行する。サーバ装置1の2次監査は、クライアント装置2a〜2cよりも長周期で監査周期を設定する。
また、ブラックリスト122が有る場合は、ブラックリスト122に記載された順序でクライアント装置2a〜2cのログの監査を実行する。サーバ装置1の2次監査もクライアント装置2a〜2cの1次監査と同様、設定したキーワード123がログ11に含まれるかのパターンマッチを行う。
【0026】
(8)監査レポートの作成(S36)
サーバ装置1の監査レポート13の作成では、クライアント装置2a〜2cより送られた監査レポート24と監査結果をマージした監査レポート13を作成する。
<本実施形態における具体的動作>
以下、業務中に、業務とは関係のないオークションサイトを閲覧していないか監査する例の具体的動作を述べる。
(a)Web監視ログの監査キーワード231に、オークションサイト(○○!オークションなど)と閾値(10回)を設定する。
(b)クライアント装置2a〜2cより送られてきたログ11と設定した監査キーワード123で監査を行う。
(c)クライアント装置01のWEB監視ログに、○○!オークションの記載が15回ほど検出され、クライアント装置02は、8回、クライアント装置03は、17回ほど検出されたとする。
【0027】
(d)監査結果を監査レポート13に作成し、違反があった場合はサーバ装置管理者へ警告15を送る。
次回の監査において、
(a)監査レポートデータベース14より、監査レポートを取得する。
(b)クライアント装置01:2aが設定している監査キーワード123(○○!オークション)を15回ほど閲覧しているのがわかったため、ブラックリスト122にクライアント装置01:2aと使用頻度15、クライアント装置02:2bと使用頻度8、クライアント装置03:2cと使用頻度17と設定する。
【0028】
この監査キーワード123の閾値は10回であるため、クライアント装置01:2aとクライアント装置03:2cは閾値を超えているため、危険クライアント装置として記録する。クライアント装置02:2bはあと2回履歴がみられると、危険クライアント装置として登録される。
【0029】
(c)クライアント装置2a〜2cより送られてきたログ22の中から、まずはブラックリスト122に載っているクライアント装置03:2cのログ22より監査を行う、次にクライアント装置01:2aを監査し、残りは、取得した順に監査を行う。
(d)監査結果を監査レポート13に作成し、違反があった場合はサーバ装置管理者へ警告15を送る。
以上述べたように、本実施形態のクライアント/サーバシステムのセキュリティ対策によれば、サーバ装置1の監査処理内容を少なくし、サーバ装置1の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置2a〜2cを素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することが可能となる。
【図面の簡単な説明】
【0030】
【図1】本実施形態にかかるクライアント/サーバシステムの全体の概略構成を示す図。
【図2】本実施形態にかかるクライアント装置の監査モジュールの動作フローチャート。
【図3】本実施形態にかかるサーバ装置の監査モジュールの動作フローチャート。
【符号の説明】
【0031】
1…サーバ装置、2a、2b、2c…クライアント装置、3…ネットワーク、11…ログ、12…2次監査モジュール、121…ブラックリスト作成機能、122…ブラックリスト、123…監査キーワード、124…監査機能(長周期)、13…監査レポート、14…監査レポートデータベース、15…警告、21…監視モジュール、22…ログ、23…1次監査モジュール、231…監査キーワード、232…監査機能(短周期)、24…監査レポート、25…警告、
【特許請求の範囲】
【請求項1】
ネットワークに接続され、監視手段と一次監査手段を有するクライアント装置と、同じくネットワークに接続され、前記クライアント装置の一次監査手段とは別の二次監査手段を有するサーバ装置からなるクライアント/サーバシステムであって、
前記サーバ装置は、前記一次乃至二次監査手段による監査の結果、予め登録されたセキュリティ違反頻度を超えたクライアント装置を違反常習者としてブラックリストに登録するブラックリスト作成手段を有し、
前記二次監査手段は前記ブラックリストに登録されたクライアント装置から優先的に監査を実施する
ことを特徴とするクライアント/サーバシステム。
【請求項2】
前記一次監査手段と前記二次監査手段の監査実行頻度は、前記一次監査手段による監査実行頻度の方が高い
ことを特徴とする請求項1に記載のクライアント/サーバシステム。
【請求項3】
前記一次監査手段による監査は、少なくとも不正メール送信、外部メモリへのファイルコピーを含む緊急性の高い処理が実行された場合に動作する
ことを特徴とする請求項1に記載のクライアント/サーバシステム。
【請求項4】
前記二次監査手段による監査は、少なくともWEB操作、ログオン・ログオフ操作、ゲームソフト実行を含む緊急性の低い処理が実行された場合に動作する
ことを特徴とする請求項1に記載のクライアント/サーバシステム。
【請求項5】
ネットワークに接続され、監視手段と一次監査手段を有するクライアント装置と、同じくネットワークに接続され、前記クライアント装置の一次監査手段とは別の二次監査手段を有するサーバ装置からなるクライアント/サーバシステムの監査方法であって、
前記クライアント装置の一次監査手段により一次監査を実行し、
前記サーバ装置の二次監査手段により二次監査を実行し、
前記一次乃至二次監査の結果が予め登録されたセキュリティ違反頻度を超えたクライアント装置である場合、前記クライアント装置をブラックリストに登録し、
前記サーバ装置は、次回の二次監査時に前記ブラックリストに登録されたクライアント装置から優先的に監査を実施する
ことを特徴とするクライアント/サーバシステムの監査方法。
【請求項1】
ネットワークに接続され、監視手段と一次監査手段を有するクライアント装置と、同じくネットワークに接続され、前記クライアント装置の一次監査手段とは別の二次監査手段を有するサーバ装置からなるクライアント/サーバシステムであって、
前記サーバ装置は、前記一次乃至二次監査手段による監査の結果、予め登録されたセキュリティ違反頻度を超えたクライアント装置を違反常習者としてブラックリストに登録するブラックリスト作成手段を有し、
前記二次監査手段は前記ブラックリストに登録されたクライアント装置から優先的に監査を実施する
ことを特徴とするクライアント/サーバシステム。
【請求項2】
前記一次監査手段と前記二次監査手段の監査実行頻度は、前記一次監査手段による監査実行頻度の方が高い
ことを特徴とする請求項1に記載のクライアント/サーバシステム。
【請求項3】
前記一次監査手段による監査は、少なくとも不正メール送信、外部メモリへのファイルコピーを含む緊急性の高い処理が実行された場合に動作する
ことを特徴とする請求項1に記載のクライアント/サーバシステム。
【請求項4】
前記二次監査手段による監査は、少なくともWEB操作、ログオン・ログオフ操作、ゲームソフト実行を含む緊急性の低い処理が実行された場合に動作する
ことを特徴とする請求項1に記載のクライアント/サーバシステム。
【請求項5】
ネットワークに接続され、監視手段と一次監査手段を有するクライアント装置と、同じくネットワークに接続され、前記クライアント装置の一次監査手段とは別の二次監査手段を有するサーバ装置からなるクライアント/サーバシステムの監査方法であって、
前記クライアント装置の一次監査手段により一次監査を実行し、
前記サーバ装置の二次監査手段により二次監査を実行し、
前記一次乃至二次監査の結果が予め登録されたセキュリティ違反頻度を超えたクライアント装置である場合、前記クライアント装置をブラックリストに登録し、
前記サーバ装置は、次回の二次監査時に前記ブラックリストに登録されたクライアント装置から優先的に監査を実施する
ことを特徴とするクライアント/サーバシステムの監査方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2010−55566(P2010−55566A)
【公開日】平成22年3月11日(2010.3.11)
【国際特許分類】
【出願番号】特願2008−222707(P2008−222707)
【出願日】平成20年8月29日(2008.8.29)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成22年3月11日(2010.3.11)
【国際特許分類】
【出願日】平成20年8月29日(2008.8.29)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]