コンピュータの情報漏洩防止システム
【課題】PCに侵入したウイルスやワームに対してそのアクセス設定にユーザ自身が柔軟に関わることができ、ウイルスが活性を示す間に引き起こす様々な不正アクセスに対して汎用的かつ効果的に対処することができ、個々のユーザの利用実態に合った防御機能を発揮することのできるコンピュータの情報漏洩防止システムを提供する。
【解決手段】コンピュータ上で実行されるアプリケーション20がハードディスクなどの記憶部40に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかを判定部50により判定して、不正なアクセスと判定された場合に前記情報のアプリケーション20への受け渡しを禁止するようにした。
【解決手段】コンピュータ上で実行されるアプリケーション20がハードディスクなどの記憶部40に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかを判定部50により判定して、不正なアクセスと判定された場合に前記情報のアプリケーション20への受け渡しを禁止するようにした。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットなどのネットワークに接続されたコンピュータにおいて外部からの不正アクセスによる情報漏洩を防止するようにしたコンピュータの情報漏洩防止システムに関する。
【背景技術】
【0002】
インターネットの発展に伴って、コンピュータウイルスが様々な障害や情報漏洩を起こしている。このため、パーソナルコンピュータ(PC)内のファイルを盗み出してネット上で公開するような、企業にダメージを与える悪質なウイルスやワームに対抗するために、コンピュータの情報漏洩防止システムが必要とされている。
【0003】
従来、PCの情報はファイルシステムを通じてハードディスクなどの記憶部に保存され、必要に応じて記憶部から読み出される。このようなファイルシステムは、オペレーティングシステムOSの配下の機能であり、アプリケーションから要求された操作はその要求内容が実行可能である限り無条件に実行される。つまり、アプリケーションの要求に従って情報を指定された場所に保存するか、所定の場所の情報を読み出すだけを行い、ファイルシステム自身が自律的な判断を行って自身の機能や行動を変化させることはない(図1参照)。
一方、ファイルシステムを呼び出す側のアプリケーションは、ユーザがPCの利用開始時のログオンで認証され、これによりアプリケーションが実行される。したがって、ファイルシステムに対するアクセス権限の一部は、間接的にログオン時に決定され、いったん与えられたユーザの情報アクセス権限は、そのセッション中で変化することはない。
【0004】
このようなファイルシステムを備えたコンピュータからの情報漏洩を防止するための従来システムとしては、特定のファイルを予め暗号化しておき、当該ファイルにアクセスする権限を有するユーザがファイルを参照した場合にだけ当該ファイルを復号化するようにしてアクセスを制御するものや、ユーザが起動するアプリケーションのプロセス中に挿入されるフィルタモジュールで不正アプリケーションを発見し、アプリケーションからシステムのAPIの利用制限機能などを持たせることによってアプリケーションのアクセス制御を実現するものなどがある。
【0005】
例えば特許文献1には、コンピュータ内のファイルなどのリソースに対するアプリケーションの起動を検出するステップと、起動されたアプリケーションから発行された前記リソースに対する処理要求を一時保留するステップと、起動されたアプリケーションが正規のアプリケーションであるか否かを認証するステップと、起動されたアプリケーションの認証結果が認証成功の場合にのみ、前記一時保留した処理要求による処理を許可するステップとを備えるようにしたアプリケーションの監視方法が記載されている。
【特許文献1】特開2003−108253号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、前記従来のコンピュータの情報漏洩防止システムでは、事前に管理者等によって定められた静的に機能する防御機能しか持たないため、PCの内部に一旦侵入したウイルスやワームによる動的に変化する、あるは事前に想定が不可能なアクセスに対しては無防備であるという問題点があった。また、ファイルに対するアクセス範囲を規定するようにした従来のアクセスコントロールリスト(ACL)などを適用するシステムのものは、個別のフォルダやファイルに対して、ユーザ個々の読み込み属性や書き込み属性などのアクセス権限を事前に設定するものであるが、アプリケーションのログオン認証と同様、管理者がその権限によってユーザ毎に固定的に設定を行うことが必要であり、通常、ユーザ自身が関わることができない。つまり、現行の汎用OSであるウインドウズ(登録商標)やユニックス(登録商標)、リナックスなどにおいては、PC内部に保存された情報に対する利用権限は、ユーザを基本単位にし、事前に設定した権限がログオン認証時に一度だけ反映され、あるいは管理者によって予め設定されたアクセス権限のチェックがファイルのオープン時に一度だけ機能するシステムである。このように、このACLなどを適用したものでは、ファイルに対するアクセスを規制できる点では防御の機能を持つが、その設定が固定的かつ硬直的で柔軟性や汎用性に乏しいという問題点があった。
【0007】
特に、特許文献1のアプリケーションの監視方法では、アプリケーションの起動を検出してリソースに対する処理要求を一時保留することが必要であり、PCに侵入したウイルスがその活性を示すまでのタイムラグを有する不正アクセスに対して的確に対応させるのが困難であり、前述の問題点の解決が得られないという問題点がある。また、個々のユーザの利用実態に合わせてその防御機能を適切に設定したり、動的に切り替えたりするもののような機構を備えていないため、不正なアプリケーションの発見と挙動を制限することのみしかできず、得られる効果が著しく狭いという問題点もあった。
【0008】
本発明は、前記従来の問題点を解決するためになされたもので、PCに侵入したウイルスやワームに対してそのアクセス設定にユーザ自身が柔軟に関わることができ、ウイルスが活性を示す間に引き起こす様々な不正アクセスに対して、汎用的かつ効果的に対処することができるとともに、ファイルシステム自身が監視と判断の能力を備え、必要であれば、ユーザと対話を行ってその許容条件を動的かつ柔軟に変化させながら、個々のユーザの利用実態に合った防御機能を発揮することのできる、コンピュータの情報漏洩防止システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明の請求項1に記載のコンピュータの情報漏洩防止システムは、コンピュータ上で実行されるアプリケーションがその記憶部に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかをユーザ認証やアクセスコントロールによる制約の仕組とは独立に判定して、不正なアクセスと判定された場合に前記情報の前記アプリケーションへの受け渡しを禁止するように構成されていることを特徴とする。
【0010】
請求項2に記載のコンピュータの情報漏洩防止システムは、請求項1において、前記アクセス許容条件には前記コンピュータのユーザインタフェースを介して入力される以下のチェック項目が含まれていることを特徴とする。
(a)ファイルデータの書き込みなどの操作を表すIOタイプ
(b)実行プログラム・ファイル名
(c)実行プログラムの操作対象となるファイル名
(d)実行プログラムの実行制約条件(日時、範囲等)
【0011】
請求項3に記載のコンピュータの情報漏洩防止システムは、請求項2において、前記実行プログラム・ファイル名や実行プログラムの操作対象となるファイル名には、単一の対象が特定されるファイル名の他に正規表現やワイルドカードによる指定ができ、選択された複数の対象からなる集合に対して制約操作が機能するようにすることを特徴とする。
【0012】
請求項4に記載のコンピュータの情報漏洩防止システムは、請求項1〜3のいずれかにおいて、前記アクセス許容条件は、ユーザ環境における現実の実行内容を反映した実行履歴に基づいて自動生成されることを特徴とする。
【0013】
請求項5に記載のコンピュータの情報漏洩防止システムは、請求項1〜4のいずれかにおいて、前記アクセス許容条件表は、データベースなどを利用して複数のアクセス許容条件表を管理でき、PCの利用場所、時間帯あるいは営業日かそうでないかなどによって、手動あるいは自動でアクセス許容条件表を切り替えることができ、同一のPCであっても提供する機能範囲を動的に変化させることができるように選択的にアクセス許容条件表をアクティブにできることを特徴とする。
【0014】
請求項6に記載のコンピュータの情報漏洩防止システムは、請求項1〜5のいずれかにおいて、前記アクセス許容条件表による制約はファイルシステムのユーザインタフェースに対しても適用され、その時点でアクティブになっているアクセス許容条件表の判定結果に従って、拒否されたフォルダやファイルの存在情報を非表示にして、あたかもそこにファイルが存在していないかのような画面表示とすることによって、モニタ画面からの情報の存在それ自体の情報漏洩を防止することを特徴とする。
【0015】
請求項7に記載の情報漏洩防止システムは、請求項1〜6のいずれかにおいて、前記アクセス許容条件表とその情報の実体を記憶する前記記憶部が外部接続のハードディスクであって、そのハードディスクをコンピュータに接続することで当該利用者に対して、同一の制約的な情報利用環境を再現し、アクセス許容条件によって実行が許可された書き込み要求の実行では、全ての情報は暗号化されて記録され、前記ハードディスクが実装されていないPCからの不正読み出しが禁止されることを特徴とする。
【発明の効果】
【0016】
本発明によれば、予め設定されたアクセス許容条件を満たすかどうかを動的に判定して、PC内に保存された情報がアプリケーションへ受け渡されるのを禁止するので、PCに侵入したウイルスやワームに対して、常時プロテクトとして機能させることができる。
また、そのアクセス許容条件を定義したアクセス許容条件表は管理者やユーザ自身が、該当のPCの利用環境や条件を反映させて柔軟に設定することができ、ウイルスなどの活性化により引き起こされる様々な不正アクセスに対して、汎用的かつ効果的に対処することができる。
さらに、ファイルシステム自身に監視と判断の機能を持たせたり、必要であればユーザと対話的に条件変更を行ったりすることができ、その許容条件を即時的に動的に変化させ、個々のユーザの利用実態に合った防御機能を段階的に充実させて行くことができるコンピュータの情報漏洩防止システムを提供することができる。
【発明を実施するための最良の形態】
【0017】
本実施形態のコンピュータの情報漏洩防止システムは、コンピュータ上で実行されるアプリケーションがハードディスクなどの記憶部に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかを、ユーザ認証やアクセスコントロールによる制約の仕組とは独立に判定して、不正なアクセスと判定された場合に、前記記憶部に記憶された情報のアプリケーションへの受け渡しを禁止するようにしている。
これによって、ウイルスが活性化によって引き起こされる様々な不正アクセスに対して、柔軟かつ効果的に対処することができる。
【0018】
本実施形態のコンピュータの情報漏洩防止システムは、前記アクセス許容条件には前記コンピュータのユーザインタフェースを介して入力される(a)ファイルデータの書き込みなどの操作を表すIOタイプや、(b)実行プログラム・ファイル名(アプリケーション名)、(c)実行プログラムの操作対象となるファイル名(データ・ファイル名)、(d)実行プログラムの実行制約条件(日時、範囲等)などの所定のチェック項目が含まれるようにすることができる。これによって、ユーザの設定によりファイルシステム自身にその監視機能と判断機能を保持させ、必要であればユーザと対話を行ってその許容条件を動的かつ柔軟に変化させながら個々のユーザの利用実態や利用環境に対応した不正アクセスへの防御システムを構築することができる。
【0019】
本実施形態のコンピュータの情報漏洩防止システムは、前記実行プログラム・ファイル名や実行プログラムの操作対象となるファイル名には、単一の対象が特定されるファイル名の他に、正規表現やワイルドカードの指定もできる。これによって、複数の対象からなるファイル集合に対して一括して制約条件を適用させることができる。さらに許容件表に正規表現を導入することによって、プロテクトの機能対象を柔軟かつきめ細かに設定することができる。
【0020】
本実施形態のコンピュータの情報漏洩防止システムは、前記アクセス許容条件がユーザ環境における実行履歴に基づいて自動生成されるようにすることもできる。これによって、ユーザ自身によるアクセス許容条件の設定にかかる負荷を軽減するとともに、汎用性に優れたシステムとすることができる。すなわち、一般の利用者が把握するのが困難なOS(Operating System)の一部を成すシステムプロス等を自動的にアクセス許容条件表に取り込むことができる。
【0021】
本実施形態のコンピュータの情報漏洩防止システムは、前記アクセス許容条件表は、データベースなどを利用して複数のアクセス許容条件表を管理でき、PCの利用場所、時間帯あるいは営業日かそうでないかなどによって、手動あるいは自動でアクセス許容条件表を切り替えることができ、同一のPCであっても提供する機能範囲を動的に変化させることができるように選択的にアクセス許容条件表をアクティブにできる。
たとえば、前記アクセス許容条件がハードディスクなどの記憶部に暗号化された状態で複数ロードされ、特定の復号データを有するUSBキーの前記コンピュータへの装着操作、又はインタフェースを介した復号データのユーザ指定によって、対応したアクセス許容条件が選択されるようにすることもできる。これによって、アクセス許容条件となるデータ自体はPC内に暗号化して保存され、IDなどを表すUSBキーを差し込むことで自動的に対応したアクセス許容条件のアクセス許容条件表が復号されるのと同時にアクティブになるようにすることができる。
また、ユーザ毎に異なるアクセス許容条件を設定し、その設定の切り替えをユーザのログインに連動させて、ユーザ毎の個別のセキュリティ要件を満たしても良い。
【0022】
本実施形態のコンピュータの情報漏洩防止システムは、前記アクセス許容条件による制約はファイルシステムのユーザインタフェース(ウインドウズの場合はエキスプーラ)に対しても適用され、その時点で適用されているアクセス許容条件表の判定結果に従って、拒否されたフォルダやファイルを非表示として、モニタ画面からの情報漏洩を防止することもできる。これによって、許容されていないフォルダやファイルは、それが実在するにもかかわらずあたかも存在しないような表示とすることができるので、画面におけるファイルの一覧等でディスクなどの情報の存在それ自身を隠して、画面からの情報漏洩を確実に防止することができ、そのコンピュータシステムにおけるセキュリティ性をさらに向上させることができる。
【0023】
本実施形態のコンピュータの情報漏洩防止システムは、前記アクセス許容条件のアクセス許容条件表とその情報の実体を記憶する前記記憶部が外部接続のハードディスクであって、そのハードディスクをコンピュータに接続することで当該利用者に対して、同一の制約的な情報利用環境を再現し、アクセス許容条件によって実行が許可された書き込み要求の実行では、全ての情報は暗号化されて記録され、前記ハードディスクが実装されていないPCからの不正読み出しが禁止されるようにすることもできる。たとえば、許容条件によって正当と判断された要求は受け入れられ実行される。その際、共通鍵方式を用いた暗号化方式により、書き込みではデータの暗号化と書き込み、読み出しの操作では読み出しと復号が本機能中で行われる。従って、拾得されたリ盗まれたハードディスクが本機能を実装されていないPCからアクセスされても、読み出した情報の復号ができず、情報の漏洩を阻止することができる。
【0024】
(実施例)
図2は、本実施例に係るコンピュータの情報漏洩防止システムの説明図である。以下、図面を参照しながら、さらに本発明を具体的に説明する。
本実施例のコンピュータの情報漏洩防止システム10では、いくつかの関門を突破して侵入したウイルスのような不正なアプリケーションが、ハードディスク40などの情報にアクセスしようとしたその時点で、本情報漏洩防止システム(本機能)10を実現するためのアクセス許容条件表を備えた判定部を介して、ユーザによって与えられたアクセス許容条件を参照して、不正なアクセスの判定するようになっている。こうして、ユーザ認証やACLとは独立に、ユーザが設定した許容条件を満たすかどうかの判断を行い、不正なアクセスと判断した場合は、あたかも格納場所に情報が存在しないような偽の行動をとり、情報をアプリケーションに渡さないようになっている。
【0025】
このようなコンピュータの情報漏洩防止システム10によれば、以下に示すようにアクセス許容条件を明示化してその範囲外のアクセス要求を拒否するようにしているので、アプリケーションからの要求を無条件に受け入れる従来のファイルシステムとは異なり、ファイルシステム自身が監視と判断の能力を持ち、情報の盗み出しに対する防御を実行する。また、必要であればユーザと対話を行い、動的に許容条件を変化させながら、個々のユーザの利用実態に合った防御機能を提供することができる。
【0026】
ただし、PC本来としては、できるだけ広範かつ多彩な機能を提供することを旨としている。しかし、PCを企業などがビジネスの道具として利用する際は、その業務に必要な最小限の機能と情報が利用できれば良い。そのような最小充分な利用環境を実現するために、以下に示すようなユーザの現実利用に即したファイルのアクセスの動的かつ知的な制限機能を設ける。
【0027】
本実施例のコンピュータの情報漏洩防止システム10は、これまでのユーザ認証やACLの静的な防御機能に加えて、ファイルのアクセス権限を利用実態に合わせて適切化する仕組をファイルシステムの付加機能として実現する。これにより、万一、ウイルスなどに犯されても、被害を最小限にとどめられるPCの安全利用の環境を作り出す。また、同時にPCの盗難や紛失などの事故が生じてもそこからの情報漏洩を最小化することも実現することができる。
なお、情報の判定部におけるファイルのアクセス権限を利用実態に合わせて適切化する仕組は、具体的に以下に示すようなアクセス許容条件の設定によって実現され、コンピュータの情報漏洩防止システムに付加されるものである。
【0028】
ACLなどを適用した従来のコンピュータの情報漏洩防止システムでは、漏洩防止機能が働くのは個々の特定の対象物に対して、予め決められた制約が働くようになっている。例えば、具体的に述べると、xxxxx.yyファイルに読み込み/書き込み権限を与えそれ以外は禁止することや、xxxx.exeファイルを監視してそのファイルが改竄されていたらアクセス禁止とすることなどが挙げられる。
本実施例のコンピュータの情報漏洩防止システムでは、アクセス許容条件表に正規表現やワイルドカードなどの指定を適用して、(*.exe)などの表記を用いて、全ての実行ファイルをWrite禁止にすることや、あるいは、全てのMSWord(マイクロソフト社登録商標)のファイルである(*.doc)ファイルへの書き込みを休日には禁止するなどの条件を設定して、PC利用の側面からも幅広くかつ柔軟な制約をかけることができる。そして、このように正規表現による指定をセキュリティ機能の一部として実現することができる。
【0029】
(1)さらに、監視機能によって、既存のユーザ認証やACLでは対応できない以下のような防御機能を実現することもできる。
(1−1)ユーザの業務対象範囲外のアプリケーションからのアクセス制限(疑わしきは拒否する)
例えば以下の制限が考えられる。
・経理業務の部署ではCADアプリケーションは利用しない。
・ソフトウエア開発部門では経理ソフトウエアは利用しない。
等の、業務要件から発生する制約事項を適用することが可能になる。
また、侵入したウイルスが書き込んだ、ユーザから見て未知のファイル名を持つ実行ファイルの情報を、事前に許容条件に含むことは不可能なので、その実行ファイルが何らかのイベントを契機に起動され、ファイルアクセスが起きても要求を拒否し情報流出を防止することができる。
以上のような要件を許容条件として明示化して、その条件範囲外のアクセス要求を拒否する。
【0030】
(1−2)実行ファイルの書き込み(ウイルス寄生、侵入の防止)
ユーザ部門における通常の利用では、実行形式のファイルやOSだけが利用する一部の特殊ファイルを書き変えることはない。ウイルスは、不正なコードを密かに忍び込ませるために既存のアプリケーションの実行ファイルを書き換える。あるいは独自の実行形式のファイルを書き込む。これを防ぐだけで、大幅に危険が低減できる。
ソフトウエアのインストールなど実行ファイルの書き換えが必要な場合は、一時的に別の許容条件に切り替える。
以上の要件を許容条件として明示化して、その条件範囲外のアクセス要求を拒否する。
【0031】
(1−3)なりすましアプリケーションからのアクセス(流出の防止)
ウイルスは、自分の存在を隠すために既存のアプリケーションの実行ファイルを書き換え、そこに不正なコードを忍ばせる。知らずにこれを実行すると、不正コードが情報を盗み出したり、汚染された実行コードを他のPCに伝播させたりする。
それを発見するために、真正なアプリケーションのコードのハッシュ値を事前に保存し、それと情報を要求している同名のアプリケーションの実行ファイルのハッシュ値を比較することによって、実行ファイルの改竄の有無を検査する。改竄を発見した場合は、要求を拒否する。
以上の要件を許容条件として明示化して、その条件範囲外のアクセス要求を拒否する。
【0032】
(1−4)アプリケーションとファイルタイプの不整合(不正アプリケーションの拒否)
多くのアプリケーションは、そのアプリケーションが扱えるファイルをファイルの拡張子で決めている。例えば、ワード(Word)は基本的にその拡張子がdocであるファイルを扱う。
ユーザの利便のために、他のアプリケーションのファイルも扱えるようにしている例も多いが、その種類は限定的で、それらを許容情報に含めることができる。
ファイルへの操作を要求したアプリケーションとそれが要求しているファイルタイプが不整合である場合は、不正なプリケーションが情報を盗み出だそうとしているケースが多い。
以上の要件を許容条件として明示化して、その条件範囲外のアクセス要求を拒否する。
【0033】
(1−5)サービス時間や曜日あるいは期間を超えたアクセス(業務外アクセスの拒否)
業務の実施時間や曜日などが厳密に確定している場合は、その範囲外で発生する情報アクセスは、不正利用である可能が高い。さらに、ノートPCなどの場合、社内のLANに接続されている場合の許容情報と、LANから切り離され社外で利用する場合の許容情報を区別する。
LANから切り離されると、より強い制約をもつ社外用の許容情報に自動的に切り替えて、危険性が高いモバイル利用時の情報流出の防止を強化する。
以上の要件を許容条件として明示化して、その条件範囲外のアクセス要求を拒否する。
【0034】
(1−6)PCのOSシャットダウンの際に、自動的に最小限のアクセスを許すアクセス許容条件表に切り替える。これによって、万一そのPCが盗難や紛失し、拾得者がPC内の情報にアクセスしようとしても、制限された範囲の情報にしかアクセスできないため、漏洩を防ぐことができる。
以上は、ユーザの実利用環境を反映した柔軟性を持つ防衛機能であり、従来の事前設定による一律的な硬直した機能とは本質的に異なり、実アクセスが発生する度毎に監視機能が実現する。
これにより、いつ活性化するかわからないウイルスなどの活動を動的に監視して、実効性のあるPC情報の持ち出し防御の仕組とすることができる。
また、ソフトウエアのインストールや業務担当範囲の変更など、日常利用とは異なる利用条件下においては、許容条件を切り替えて、監視範囲や強度を変化させることもできる。これにより、厳格でありながら実務の遂行を妨げない柔軟な防御を実現することができる。
【0035】
さらに、表管理部70はユーザとの間で直接の対話機能を持ち、ユーザの意志で制約条件を随時変更できる。これによってファイルシステムが明確に判断できない状態のときに、画面を通してユーザに問いかけ、ユーザがそれに答えることによって、要求された操作の許諾を決定することができる。また、この対話による許容条件の変更内容は、既存の許容条件に追加され、あらたな許容条件とすることもできる。このようなユーザとの対話によって、厳格すぎるセキュリティが業務遂行の妨げにならないようなアドホックな柔軟性も併せ持つことができる。
【0036】
また、既存のユーザの認証機能と連動して、サーバのデータベースで集中管理されている許容情報の集合から、集中管理コンソール機能が特定の許容情報を選択し、それを該当のPCに配布する構造とすることもできる。
【0037】
(2)構造と機能及びその関係
(2−1)全体構造
図3は、本発明のコンピュータの情報漏洩防止システムの構造と機能の説明図である。
図3において、21は真正なアプリケーション、22はウイルスなど不正なアプリケーション20である。その他にOSなどが適宜起動するアプリケーションもあるが、それは真正なアプリケーション21に含まれる。真正なアプリケーション21及び不正なアプリケーション22は、APIあるいはシステムコールを通じてOSのサービスを受ける。
本発明のコンピュータの情報漏洩防止システム10が対象とするのは、そのうちのファイルシステム30の入出力に関する機能である。本発明では、既存のファイルシステムの一部に改造を加える、あるいはフックなどの外部プロセスの呼び出し機能を利用して、既存のファイルシステムから呼び出される。既存のファイルシステムに対する改造は全く不要か、あるいは極く限られた小部分である。その内容と規模は、既存のファイルシステムの実装方法に依存する。
【0038】
また、コンピュータの情報漏洩防止システム10ではOSを書き換えることなく適用することもできる。すなわち、OSのフック機能を利用することで、ある状態が発生したら、指定した外部の機能を呼び出すことができる。これは、OSを書き換えるわけではなく、OSに対して条件を指定しておくと、それをOSが解釈して、実際に該当の外部機能を呼び出す。全体機能は、OSファイルシステム中のIOイベントのフックによって、呼び出される。よって、全てのアプリケーションの全てのIO要求をチェックすることができ、これは、OSが元来備える機能であることから、OS自身の改造は不要であり、コンピュータの情報漏洩防止システム10は優れた汎用性を備えている。
【0039】
該当のファイル要求がファイルシステム30に到達すると判定部50を呼び出し、アプリケーション20からの要求内容を引き渡す。
判定部50は、要求内容と要求元であるアプリケーション20が、実行を許されるかどうかを判定し、要求を受け入れるか否かの判定結果をファイルシステム30に返す。
ファイルシステム30は、その結果に応じて、本来のファイルシステムの機能を実行し、結果をアプリケーション20に返す。ウイルスなどの不正なアプリケーション22には、常に偽の結果を返す。その判断が正しく働くように、以下の「(2−2)判定部」以降に記述する情報と機能を有する。
【0040】
その結果として、ウイルスなど不正なアプリケーション22に対しては、常にハードディスク40などの長期記憶装置への書き込み、あるいは、記憶されている情報の読み出しの禁止が行われる。これらの動作は、認証やACLの防御とは独立にアプリケーション20からの要求が発行された時点でリアルタイムに動作する。これによって、情報漏洩を引き起こす原因となるウイルスなど不正なプリケーション22が監視をすり抜けることが絶対に無い100%の監視を実現することができる。
【0041】
(2−2)判定部
判定部50は、真正なアプリケーション21又は不正なアプリケーション22かを判定し、真正なアプリケーション21には実際のハードディスク40などに対する実行を行い、その実行結果を返す。また、ウイルスなどの不正なアプリケーション22からの要求には、常に偽りの結果を返すよう構成されている。
判定部50は、ウイルスなどの不正なアプリケーション22から与えられた、要求元と要求内容とアクセス許容条件表60の内容を参照して実行の許諾を決定し、その結果をファイルシステム30に伝える。ファイルシステム30は、判定部50からの結果を、あたかも実際の実行結果のように、真正なアプリケーション1又は不正なアプリケーション2に返す。
【0042】
図3において、表管理部70は、アクセス許容条件表60の管理を行うもので、アクセス許容条件表60の内容を維持、管理することを目的とする。主な機能として新規作成、追加、変更、削除、検索の機能を持つ。また、アクセス許容条件表の記入、改定、実行履歴の収集などの機能の実現には、適宜ユーザインタフェースが用意されても良い。
【0043】
(2−3)アクセス許容条件表と表管理部
図4はアクセス許容条件表の構成を示す説明図である。
図4において、アクセス許容条件表60には、デフォルトでアプリケーションの要求を受け入れる対象を記述する情報(ホワイトリスト)であるか、あるいは逆に、この表に含まれる対象は、デフォルトでアプリケーションの要求を拒む(ブラックリスト)記述の2種類の何れか一方を記録することができ、アクセス許容条件表60全体としては、単一あるいは複数の表で構成され、データベースで管理されても良い。
【0044】
以下にアクセス許容条件表60の項目の例を挙げる。以下の例は、特に断らない限り要求を受け入れる対象を記述する情報(ホワイトリスト)として示す。
・I/E区分(61)
(I:許諾対象の記述、E:除外対象の記述)
この項目に記述された対象は、前記デフォルトに対して、I:表にこの行の記述内容を含める、E:この行の記述内容を前記Iで表される集合から除外するために利用する。例えば、前記のIを用いて営業日に特定のアプリケーション利用を許可する。その一方で、Eを用いて12:00から13:00までの休憩時間には許可を除外して、該当のアプリケーションの利用を禁止するような場合に利用する。I又はEを記述する。
この行の各項目は以下のように関係する。
Name(64):実行プログラムの名称で、具体的には実行プログラムのファイル名である。
File(65):前記の実行プログラム(64)がアクセスするファイル名あるいはフォルダ名である。
Limitation(66):前記実行プログラム(64)がファイル名(65)にアクセスを許すための条件を記入する。
以上により、アクセス許容条件表の各行は、実行プログラム(64)がファイルにアクセス(65)するに当たり、制約(66)を満たさなくてはならないことを表現する。この行に記述された条件を満たさないアプリケーションからの情報アクセス要求は拒否される。さらに、詳細に各項目を説明する。
・I/Oタイプ(62)
真正なアプリケーション21又は不正なアプリケーション22の要求内容を記述する。ディレクトリの参照要求なども含む。
・PID(63)
真正なアプリケーション21又は不正なアプリケーション22の内部での識別子が記述される。これは、ユーザが指定するのではなく、本機能が実行に必要な情報としてOSより取得し、セットする。
・Name(64)
真正なアプリケーション21又は不正なアプリケーション22の外部名称、又は、ユーザが認識できる真正なアプリケーション21又は不正なアプリケーション22の呼び名を記述する。具体的にはアプリケーションの実行ファイル名である。
・File(65)
要求されたファイル名を記述する。
・Limitation(66)
Name(64)の実行とFile(65)へのアクセスを許すサービス範囲条件を記述する。
【0045】
アクセス許容条件表60の各項目には、正規表現を用いてファイルやフォルダの集合(任意の長さの任意文字列を表す*、任意の1文字を表す?などの組み合わせ)を記入することもできる。また、アクセス許容条件表60には、表管理部70によって、既知のウイルスやその亜種の名称、アクセスするファイル名などは非諾(拒否)条件として自動的に設定されても良い。
また、システム内でOSの補助として常時起動されるシステムプロセスの名称、アクセスするファイルなど真正なシステムアプリケーション情報が自動的に収集され、表管理部70の初期化機能によって許容条件の対象として初期設定される。
また、ユーザに利用を許す真正なプリケーションも許容条件の対象としてアクセス許容条件表60に表管理部70によって記述される。そのための画面インタフェースなども備える。
【0046】
さらに、各アクセス許容条件表60には名称、キーワード、注記などが付けられ、表管理部70のインタフェースを通じて、ユーザが選択したり、検索したり改訂したりすることも可能である。
【0047】
以上のようなアクセス許容条件表60の具体例について表1を参照して説明する。なお、ここでは前提としてディスクに存在するファイルを、abc.txt、xyz.doc、jklm.ppt、efjk.doc、Excel.exeとして説明する。
(ケース:1)表が暗黙で拒否を意味する場合であって、表の各行には拒否すべき条件を明記する。また、表に記されていない対象は暗黙で全て受け入れとなる。従って、始めのIの行は拒否条件となり、全てアプリケーションからの、全てのファイルに対する、Read、Write、Delete、Listを、無条件に禁止することを意味している。ただし、2行目に於いてシステムタスクである、taskmgr.exeのI/E(61)項目をEに設定することによって、前記の制約からこの行の条件を除き、選択的に実行可能にしている。
(ケース:2)表が暗黙で拒否を意味する場合であって、始めの行はIで拒否条件であり、全ての実行プログラムから、Excel.exeファイルに対して無条件に書き込みを許さない設定となる。
(ケース:3)表が暗黙で受け入れを意味する場合であって、(ホワイトリスト)なので、Iが記された行の条件のみが許容条件となり、この表に含まれない対象は全て拒否となる。従って、この例はkeiri.exeアプリケーションだけに、週日の9時から21時まで、xyz.docとefjk.docに対して、Write(書込み)を許可する。また、それ以外のあらゆるアプリケーションの一切の情報アクセスを禁止することを表している。なお、表中の記載で「""」は、無指定を表す。
【表1】
【0048】
このようにアクセス許容条件表には2種類があり、表の各行の条件が許諾を明示するものを受け入れ表(ホワイトリスト)と呼び、表が規定外の対象は全て拒否となる。逆に、拒否の表(ブラックリスト)は、表中の各行の条件は、拒否の条件を明示する。表が拒否である場合、表に規定する以外の対象は、全て受け入れとなる。
I/E=Iの場合は、その行はそれが属する表が持つ特性に含まれる。I/E=Eの場合は、その行は表の特性には含まれず、逆の制約として働く(例外指定)。
例えば、拒否表とする場合、Type=Iの場合は、アクセス許容条件表の項目に含まれる記述は、実行やアクセスを拒否する対象を表す。
逆に、肯定表(受け入れ)とする場合、Type=Iは、この行が表す対象(*.docであればディスク中の全てのファイルの拡張子として.docを持つファイル)は、IOType(62)の項目に記述されている要求を受け入れて実行することを意味する。ただし、Type=Eでは、以上にもかかわらず、指定のIOを拒否する指定として働く。
【0049】
正規表現などの指定内容、例えば「*」などは、一種の検索条件の指定になっているので必ずしも具体的に特定の対象を指さない場合もある。各行は順次解釈することを原則とするが、必ずそれが実行順になるとは限らない。
【0050】
(3)次に判定部の詳細を説明する。
図5は判定部の関連説明図である。
(3−1)判定部
判定部50はファイルシステム30から呼び出される。
その際のパラメータにはプロセスを特定するPIDが含まれる。
プロセス発見51は、与えられた内部PIDから、OSが持つプロセステーブルを参照して、アプリケーションの外部名を得る。この2つのパラメータが図4の項目PID(63)とName(64)に該当し、表からの選択や、表に登録する際の見出し情報となり、プロセスとその外部名称で対象の記述内容を特定する。
表検索52は、アクセス許容条件表60の検索を行い、登録済であれば、その内容をアクセス許容条件表60に返す。実際に検索を実行するのは、表管理部70の検索機能であってもかまわない。
判定53は、該当の許容条件の記述を基準に判定を行い、真正なアプリケーション21、あるいは真正なアクセス要求と判断すると、結果返送54をへて、ファイルシステム30に実行の継続を促す返事を返す。あるいは、否認の結果になった場合は、結果返送54をへて、ファイルシステム30からアプリケーション20に対して、偽りの回答を行うように促す。
【0051】
判定53で、アクセス許容条件表60内に正規表現が指定されている場合など、判断が一意に決定できない場合は、ユーザインタラクション55をへて、画面に選択肢と関連情報を表示し、ユーザインタフェース56を経てユーザの判断を受けることができる。その結果、実行の許諾か非諾が決まり、その結果を表更新57に送り、アクセス許容条件表60を更新する。さらにそれは、適切なタイミングで表管理部70の変更機能で、アクセス許容条件表60のデータベースに反映される。
【0052】
(3−2)アクセス許容条件表の暗号化とリカバリ
アクセス許容条件表60は、アプリケーション20が活動して、ファイルにアクセスした時点で動的に働く監視と防御の基になる情報であり、それ自身の改竄や漏洩を防がなくては、PCの安全が保てない。そこで、アクセス許容条件表60を暗号化保存することや、自動的なバックアップと改竄の検知を行う。また、必要な場合はロールバックできるようにする。
【0053】
(3−3)アクセス許容条件表のキー
アクセス許容条件表60あるいは、そのグループに対して特定のユーザキーを割り当てることができる。また、ユーザキーとアクセス許諾条件表をメモリ機器上に保存することができ、この記憶媒体を挿入し、ユーザキーの認証が済むとそのキーに割り当てられたアクセス許容条件表が自動的に図5のアクセス許容条件表60にロードされ、即時にそのユーザの利用範囲や権限が、該当のPC上に固定される。
これによって、個人の利用環境を表すアクセス許容条件表60を持ち歩くことができ、物理的なPCの実体と利用者の利用環境を切り離すことができる。
【0054】
これにより、ポータブルのハードディスクなどに記憶されたアクセス許容条件表と情報の実体をペアーで保管できる場合は、そのハードディスクさえ持参すれば、どこのPCを利用しても、同一の情報利用環境を任意のPC上に再現でき、ポータブルな情報機器間の移動における情報的な透過性を確保できる。
【0055】
(4)画面からの漏洩防止
(4−1)アクセス制御の対象
PCで扱う情報は、いくら厳格に情報アクセスを制約したとしても、それを活用できなければ意味がない。そのため、最小限でも、画面に表示できる必要がある。しかしながら、画面に表示されれば、それを写真に取ったり、メモしたり、あるいは記憶によって画面から情報が流出することは防止できない。本発明では、怪しいアプリケーションには、情報がディスクに存在しないよう偽装することによって、その情報を渡たさず、流出を生じさせないようにすることを基本原理としている。
【0056】
PC内の情報を画面に表示するファイルシステムのユーザインタフェース(ウインドウズであればエキスプローラ)に対して、前述の本発明の基本原理を適用すると、実際にはディスクに存在するファイルやフォルダであっても、ファイルシステムのユーザインタフェースに偽りの情報を返すことによって、あたかもディスク中にそれらのファイルやフォルダが存在しないように見せることができる。
【0057】
この場合の、アプリケーションからの要求は、IOType(図4の符号62)は、一般的なファイルのOpenやCloseあるいは、Read、Writeではなく、ファイルの一覧や、ファイル属性のリストの取得や設定などである。
【0058】
(4−2)画面表示の制約
その実現のためには、図6のディスク内容の選択的表示の説明図に示すように、これまで述べた機能を、ファイルシステムGUI(81)であるアプリケーションに適用する。これによって、アクセス許容条件表60の記述内容に従って、ファイルシステムGUI(81)には、選択的な情報だけが返される。
【0059】
この場合の情報内容は、ファイルの中身でなくて、ファイル名やフォルダ名を含む属性値のリストである。つまり、アクセス許諾条件表60の記述に従った範囲内のファイルやフォルダに関する名称や属性情報しかファイルシステムGUI(81)に返さないため、それ以外のファイルやフォルダに関する情報は、画面にも表示されず、ディスク中に存在しないようにしか見えない。
【0060】
また、実行スペースに置かれるアクセス許容条件表60を複数利用可能とし、画面からユーザが指定する。
あるいは、前述の「(3−3)アクセス許容条件表のキー」に述べた、キー等の挿入と取り去りの切り替え(82)に連動して、対応するアクセス許容条件表を切り替えることを実現する。
これによって、以下の(a)〜(d)の機能を実現することができる。
【0061】
(a)正規社員が利用する際は、キーを挿入して、フルアクセス可能なアクセス許容条件表に切り替えて、全てのPC内の情報を画面に表示する。例えば、正規社員でないアルバイト社員が利用する際は、キーを抜くと別のアクセス許容条件表に切り替わり、重要情報が収められた一部のファイルやフォルダは、画面にその名前さえも表示されなくなる。
【0062】
(b)時間監視機能が自動的に働いていて、急な電話や来客があっても、一定の経過時間後に自動でアクセス許容条件表が切り替わり、一部のファイルやフォルダは画面にその名前さえも表示されなくなる。
【0063】
(c)ノートPCを会社外に持ち出す際に、社内LANの接続を切ると、自動でアクセス許容条件表が切り替わり、一部のファイルやフォルダは、画面にその名前さえも表示されなくなる。戻って、LANに接続すると、自動で元のアクセス許容条件表に切り替わり、フルに画面表示ができるようになる。
【0064】
(d)PCのOSシャットダウンの際に、自動的に最小限のファイル情報にアクセスを許すアクセス許容条件表に切り替える。こうすることによって、万一、そのPCに盗難や紛失が生じて、拾得者がPC内の情報にアクセスしようとしても、最小限のファイル名やフォルダ名しか表示されず、アタックを避けることができ、漏洩を防ぐことができる。
【0065】
以上説明したように本実施形態のコンピュータの情報漏洩防止システム10は、コンピュータ上で実行されるアプリケーションがハードディスク40などの記憶部に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかをユーザ認証やアクセスコントロールなどによる制約の仕組とは独立に判定部50により判定して、不正なアクセスと判定された場合に情報のアプリケーションへの受け渡しを禁止することを要旨としたものである。これによって、ファイルシステム自身に監視と判断の機能を持たせてそのアクセス許容条件を柔軟に設定することができ、ウイルスなどが活性を示す間に引き起こす様々な不正アクセスに対して汎用的かつ柔軟に対処することができる。したがって、この要旨に属するものは本発明の権利範囲である。例えばユーザの情報の保存先となる記憶部はPC内臓のハードディスクとは限らず、LANに接続されたサーバ、あるいはフラッシュメモリなどのような不揮発性の半導体メモリであってもよい。また、本実施例におけるアクセス許容条件のチェック項目はその使用環境などによって変わりうるものであってこれらのものに限定されるものではない。
【図面の簡単な説明】
【0066】
【図1】従来例の情報漏洩防止システムの説明図である。
【図2】本発明の実施例の情報漏洩防止システムの説明図である。
【図3】本発明の実施例の情報漏洩防止システムの構造と機能の説明図である。
【図4】本発明の実施例の情報漏洩防止システムにおけるアクセス許容条件表の構成図である。
【図5】本発明の実施例の情報漏洩防止システムにおける判定部の関連説明図である。
【図6】本発明の実施例の情報漏洩防止システムのディスク内容選択表示の説明図である。
【符号の説明】
【0067】
10 コンピュータの情報漏洩防止システム
20 アプリケーション
21 真正なアプリケーション
22 不正なアプリケーション
30 ファイルシステム
40 ハードディスク(記録部)
50 判定部
51 プロセス発見
52 表検索
53 判定
54 結果返送
55 ユーザインタラクション
56 ユーザ指示
57 表更新
60 アクセス許容条件表
61 I/E
62 IO Type
63 PID
64 Name
65 File
66 Limitation
70 表管理部
81 ファイルシステムGUI
82 切り替え
【技術分野】
【0001】
本発明は、インターネットなどのネットワークに接続されたコンピュータにおいて外部からの不正アクセスによる情報漏洩を防止するようにしたコンピュータの情報漏洩防止システムに関する。
【背景技術】
【0002】
インターネットの発展に伴って、コンピュータウイルスが様々な障害や情報漏洩を起こしている。このため、パーソナルコンピュータ(PC)内のファイルを盗み出してネット上で公開するような、企業にダメージを与える悪質なウイルスやワームに対抗するために、コンピュータの情報漏洩防止システムが必要とされている。
【0003】
従来、PCの情報はファイルシステムを通じてハードディスクなどの記憶部に保存され、必要に応じて記憶部から読み出される。このようなファイルシステムは、オペレーティングシステムOSの配下の機能であり、アプリケーションから要求された操作はその要求内容が実行可能である限り無条件に実行される。つまり、アプリケーションの要求に従って情報を指定された場所に保存するか、所定の場所の情報を読み出すだけを行い、ファイルシステム自身が自律的な判断を行って自身の機能や行動を変化させることはない(図1参照)。
一方、ファイルシステムを呼び出す側のアプリケーションは、ユーザがPCの利用開始時のログオンで認証され、これによりアプリケーションが実行される。したがって、ファイルシステムに対するアクセス権限の一部は、間接的にログオン時に決定され、いったん与えられたユーザの情報アクセス権限は、そのセッション中で変化することはない。
【0004】
このようなファイルシステムを備えたコンピュータからの情報漏洩を防止するための従来システムとしては、特定のファイルを予め暗号化しておき、当該ファイルにアクセスする権限を有するユーザがファイルを参照した場合にだけ当該ファイルを復号化するようにしてアクセスを制御するものや、ユーザが起動するアプリケーションのプロセス中に挿入されるフィルタモジュールで不正アプリケーションを発見し、アプリケーションからシステムのAPIの利用制限機能などを持たせることによってアプリケーションのアクセス制御を実現するものなどがある。
【0005】
例えば特許文献1には、コンピュータ内のファイルなどのリソースに対するアプリケーションの起動を検出するステップと、起動されたアプリケーションから発行された前記リソースに対する処理要求を一時保留するステップと、起動されたアプリケーションが正規のアプリケーションであるか否かを認証するステップと、起動されたアプリケーションの認証結果が認証成功の場合にのみ、前記一時保留した処理要求による処理を許可するステップとを備えるようにしたアプリケーションの監視方法が記載されている。
【特許文献1】特開2003−108253号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、前記従来のコンピュータの情報漏洩防止システムでは、事前に管理者等によって定められた静的に機能する防御機能しか持たないため、PCの内部に一旦侵入したウイルスやワームによる動的に変化する、あるは事前に想定が不可能なアクセスに対しては無防備であるという問題点があった。また、ファイルに対するアクセス範囲を規定するようにした従来のアクセスコントロールリスト(ACL)などを適用するシステムのものは、個別のフォルダやファイルに対して、ユーザ個々の読み込み属性や書き込み属性などのアクセス権限を事前に設定するものであるが、アプリケーションのログオン認証と同様、管理者がその権限によってユーザ毎に固定的に設定を行うことが必要であり、通常、ユーザ自身が関わることができない。つまり、現行の汎用OSであるウインドウズ(登録商標)やユニックス(登録商標)、リナックスなどにおいては、PC内部に保存された情報に対する利用権限は、ユーザを基本単位にし、事前に設定した権限がログオン認証時に一度だけ反映され、あるいは管理者によって予め設定されたアクセス権限のチェックがファイルのオープン時に一度だけ機能するシステムである。このように、このACLなどを適用したものでは、ファイルに対するアクセスを規制できる点では防御の機能を持つが、その設定が固定的かつ硬直的で柔軟性や汎用性に乏しいという問題点があった。
【0007】
特に、特許文献1のアプリケーションの監視方法では、アプリケーションの起動を検出してリソースに対する処理要求を一時保留することが必要であり、PCに侵入したウイルスがその活性を示すまでのタイムラグを有する不正アクセスに対して的確に対応させるのが困難であり、前述の問題点の解決が得られないという問題点がある。また、個々のユーザの利用実態に合わせてその防御機能を適切に設定したり、動的に切り替えたりするもののような機構を備えていないため、不正なアプリケーションの発見と挙動を制限することのみしかできず、得られる効果が著しく狭いという問題点もあった。
【0008】
本発明は、前記従来の問題点を解決するためになされたもので、PCに侵入したウイルスやワームに対してそのアクセス設定にユーザ自身が柔軟に関わることができ、ウイルスが活性を示す間に引き起こす様々な不正アクセスに対して、汎用的かつ効果的に対処することができるとともに、ファイルシステム自身が監視と判断の能力を備え、必要であれば、ユーザと対話を行ってその許容条件を動的かつ柔軟に変化させながら、個々のユーザの利用実態に合った防御機能を発揮することのできる、コンピュータの情報漏洩防止システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明の請求項1に記載のコンピュータの情報漏洩防止システムは、コンピュータ上で実行されるアプリケーションがその記憶部に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかをユーザ認証やアクセスコントロールによる制約の仕組とは独立に判定して、不正なアクセスと判定された場合に前記情報の前記アプリケーションへの受け渡しを禁止するように構成されていることを特徴とする。
【0010】
請求項2に記載のコンピュータの情報漏洩防止システムは、請求項1において、前記アクセス許容条件には前記コンピュータのユーザインタフェースを介して入力される以下のチェック項目が含まれていることを特徴とする。
(a)ファイルデータの書き込みなどの操作を表すIOタイプ
(b)実行プログラム・ファイル名
(c)実行プログラムの操作対象となるファイル名
(d)実行プログラムの実行制約条件(日時、範囲等)
【0011】
請求項3に記載のコンピュータの情報漏洩防止システムは、請求項2において、前記実行プログラム・ファイル名や実行プログラムの操作対象となるファイル名には、単一の対象が特定されるファイル名の他に正規表現やワイルドカードによる指定ができ、選択された複数の対象からなる集合に対して制約操作が機能するようにすることを特徴とする。
【0012】
請求項4に記載のコンピュータの情報漏洩防止システムは、請求項1〜3のいずれかにおいて、前記アクセス許容条件は、ユーザ環境における現実の実行内容を反映した実行履歴に基づいて自動生成されることを特徴とする。
【0013】
請求項5に記載のコンピュータの情報漏洩防止システムは、請求項1〜4のいずれかにおいて、前記アクセス許容条件表は、データベースなどを利用して複数のアクセス許容条件表を管理でき、PCの利用場所、時間帯あるいは営業日かそうでないかなどによって、手動あるいは自動でアクセス許容条件表を切り替えることができ、同一のPCであっても提供する機能範囲を動的に変化させることができるように選択的にアクセス許容条件表をアクティブにできることを特徴とする。
【0014】
請求項6に記載のコンピュータの情報漏洩防止システムは、請求項1〜5のいずれかにおいて、前記アクセス許容条件表による制約はファイルシステムのユーザインタフェースに対しても適用され、その時点でアクティブになっているアクセス許容条件表の判定結果に従って、拒否されたフォルダやファイルの存在情報を非表示にして、あたかもそこにファイルが存在していないかのような画面表示とすることによって、モニタ画面からの情報の存在それ自体の情報漏洩を防止することを特徴とする。
【0015】
請求項7に記載の情報漏洩防止システムは、請求項1〜6のいずれかにおいて、前記アクセス許容条件表とその情報の実体を記憶する前記記憶部が外部接続のハードディスクであって、そのハードディスクをコンピュータに接続することで当該利用者に対して、同一の制約的な情報利用環境を再現し、アクセス許容条件によって実行が許可された書き込み要求の実行では、全ての情報は暗号化されて記録され、前記ハードディスクが実装されていないPCからの不正読み出しが禁止されることを特徴とする。
【発明の効果】
【0016】
本発明によれば、予め設定されたアクセス許容条件を満たすかどうかを動的に判定して、PC内に保存された情報がアプリケーションへ受け渡されるのを禁止するので、PCに侵入したウイルスやワームに対して、常時プロテクトとして機能させることができる。
また、そのアクセス許容条件を定義したアクセス許容条件表は管理者やユーザ自身が、該当のPCの利用環境や条件を反映させて柔軟に設定することができ、ウイルスなどの活性化により引き起こされる様々な不正アクセスに対して、汎用的かつ効果的に対処することができる。
さらに、ファイルシステム自身に監視と判断の機能を持たせたり、必要であればユーザと対話的に条件変更を行ったりすることができ、その許容条件を即時的に動的に変化させ、個々のユーザの利用実態に合った防御機能を段階的に充実させて行くことができるコンピュータの情報漏洩防止システムを提供することができる。
【発明を実施するための最良の形態】
【0017】
本実施形態のコンピュータの情報漏洩防止システムは、コンピュータ上で実行されるアプリケーションがハードディスクなどの記憶部に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかを、ユーザ認証やアクセスコントロールによる制約の仕組とは独立に判定して、不正なアクセスと判定された場合に、前記記憶部に記憶された情報のアプリケーションへの受け渡しを禁止するようにしている。
これによって、ウイルスが活性化によって引き起こされる様々な不正アクセスに対して、柔軟かつ効果的に対処することができる。
【0018】
本実施形態のコンピュータの情報漏洩防止システムは、前記アクセス許容条件には前記コンピュータのユーザインタフェースを介して入力される(a)ファイルデータの書き込みなどの操作を表すIOタイプや、(b)実行プログラム・ファイル名(アプリケーション名)、(c)実行プログラムの操作対象となるファイル名(データ・ファイル名)、(d)実行プログラムの実行制約条件(日時、範囲等)などの所定のチェック項目が含まれるようにすることができる。これによって、ユーザの設定によりファイルシステム自身にその監視機能と判断機能を保持させ、必要であればユーザと対話を行ってその許容条件を動的かつ柔軟に変化させながら個々のユーザの利用実態や利用環境に対応した不正アクセスへの防御システムを構築することができる。
【0019】
本実施形態のコンピュータの情報漏洩防止システムは、前記実行プログラム・ファイル名や実行プログラムの操作対象となるファイル名には、単一の対象が特定されるファイル名の他に、正規表現やワイルドカードの指定もできる。これによって、複数の対象からなるファイル集合に対して一括して制約条件を適用させることができる。さらに許容件表に正規表現を導入することによって、プロテクトの機能対象を柔軟かつきめ細かに設定することができる。
【0020】
本実施形態のコンピュータの情報漏洩防止システムは、前記アクセス許容条件がユーザ環境における実行履歴に基づいて自動生成されるようにすることもできる。これによって、ユーザ自身によるアクセス許容条件の設定にかかる負荷を軽減するとともに、汎用性に優れたシステムとすることができる。すなわち、一般の利用者が把握するのが困難なOS(Operating System)の一部を成すシステムプロス等を自動的にアクセス許容条件表に取り込むことができる。
【0021】
本実施形態のコンピュータの情報漏洩防止システムは、前記アクセス許容条件表は、データベースなどを利用して複数のアクセス許容条件表を管理でき、PCの利用場所、時間帯あるいは営業日かそうでないかなどによって、手動あるいは自動でアクセス許容条件表を切り替えることができ、同一のPCであっても提供する機能範囲を動的に変化させることができるように選択的にアクセス許容条件表をアクティブにできる。
たとえば、前記アクセス許容条件がハードディスクなどの記憶部に暗号化された状態で複数ロードされ、特定の復号データを有するUSBキーの前記コンピュータへの装着操作、又はインタフェースを介した復号データのユーザ指定によって、対応したアクセス許容条件が選択されるようにすることもできる。これによって、アクセス許容条件となるデータ自体はPC内に暗号化して保存され、IDなどを表すUSBキーを差し込むことで自動的に対応したアクセス許容条件のアクセス許容条件表が復号されるのと同時にアクティブになるようにすることができる。
また、ユーザ毎に異なるアクセス許容条件を設定し、その設定の切り替えをユーザのログインに連動させて、ユーザ毎の個別のセキュリティ要件を満たしても良い。
【0022】
本実施形態のコンピュータの情報漏洩防止システムは、前記アクセス許容条件による制約はファイルシステムのユーザインタフェース(ウインドウズの場合はエキスプーラ)に対しても適用され、その時点で適用されているアクセス許容条件表の判定結果に従って、拒否されたフォルダやファイルを非表示として、モニタ画面からの情報漏洩を防止することもできる。これによって、許容されていないフォルダやファイルは、それが実在するにもかかわらずあたかも存在しないような表示とすることができるので、画面におけるファイルの一覧等でディスクなどの情報の存在それ自身を隠して、画面からの情報漏洩を確実に防止することができ、そのコンピュータシステムにおけるセキュリティ性をさらに向上させることができる。
【0023】
本実施形態のコンピュータの情報漏洩防止システムは、前記アクセス許容条件のアクセス許容条件表とその情報の実体を記憶する前記記憶部が外部接続のハードディスクであって、そのハードディスクをコンピュータに接続することで当該利用者に対して、同一の制約的な情報利用環境を再現し、アクセス許容条件によって実行が許可された書き込み要求の実行では、全ての情報は暗号化されて記録され、前記ハードディスクが実装されていないPCからの不正読み出しが禁止されるようにすることもできる。たとえば、許容条件によって正当と判断された要求は受け入れられ実行される。その際、共通鍵方式を用いた暗号化方式により、書き込みではデータの暗号化と書き込み、読み出しの操作では読み出しと復号が本機能中で行われる。従って、拾得されたリ盗まれたハードディスクが本機能を実装されていないPCからアクセスされても、読み出した情報の復号ができず、情報の漏洩を阻止することができる。
【0024】
(実施例)
図2は、本実施例に係るコンピュータの情報漏洩防止システムの説明図である。以下、図面を参照しながら、さらに本発明を具体的に説明する。
本実施例のコンピュータの情報漏洩防止システム10では、いくつかの関門を突破して侵入したウイルスのような不正なアプリケーションが、ハードディスク40などの情報にアクセスしようとしたその時点で、本情報漏洩防止システム(本機能)10を実現するためのアクセス許容条件表を備えた判定部を介して、ユーザによって与えられたアクセス許容条件を参照して、不正なアクセスの判定するようになっている。こうして、ユーザ認証やACLとは独立に、ユーザが設定した許容条件を満たすかどうかの判断を行い、不正なアクセスと判断した場合は、あたかも格納場所に情報が存在しないような偽の行動をとり、情報をアプリケーションに渡さないようになっている。
【0025】
このようなコンピュータの情報漏洩防止システム10によれば、以下に示すようにアクセス許容条件を明示化してその範囲外のアクセス要求を拒否するようにしているので、アプリケーションからの要求を無条件に受け入れる従来のファイルシステムとは異なり、ファイルシステム自身が監視と判断の能力を持ち、情報の盗み出しに対する防御を実行する。また、必要であればユーザと対話を行い、動的に許容条件を変化させながら、個々のユーザの利用実態に合った防御機能を提供することができる。
【0026】
ただし、PC本来としては、できるだけ広範かつ多彩な機能を提供することを旨としている。しかし、PCを企業などがビジネスの道具として利用する際は、その業務に必要な最小限の機能と情報が利用できれば良い。そのような最小充分な利用環境を実現するために、以下に示すようなユーザの現実利用に即したファイルのアクセスの動的かつ知的な制限機能を設ける。
【0027】
本実施例のコンピュータの情報漏洩防止システム10は、これまでのユーザ認証やACLの静的な防御機能に加えて、ファイルのアクセス権限を利用実態に合わせて適切化する仕組をファイルシステムの付加機能として実現する。これにより、万一、ウイルスなどに犯されても、被害を最小限にとどめられるPCの安全利用の環境を作り出す。また、同時にPCの盗難や紛失などの事故が生じてもそこからの情報漏洩を最小化することも実現することができる。
なお、情報の判定部におけるファイルのアクセス権限を利用実態に合わせて適切化する仕組は、具体的に以下に示すようなアクセス許容条件の設定によって実現され、コンピュータの情報漏洩防止システムに付加されるものである。
【0028】
ACLなどを適用した従来のコンピュータの情報漏洩防止システムでは、漏洩防止機能が働くのは個々の特定の対象物に対して、予め決められた制約が働くようになっている。例えば、具体的に述べると、xxxxx.yyファイルに読み込み/書き込み権限を与えそれ以外は禁止することや、xxxx.exeファイルを監視してそのファイルが改竄されていたらアクセス禁止とすることなどが挙げられる。
本実施例のコンピュータの情報漏洩防止システムでは、アクセス許容条件表に正規表現やワイルドカードなどの指定を適用して、(*.exe)などの表記を用いて、全ての実行ファイルをWrite禁止にすることや、あるいは、全てのMSWord(マイクロソフト社登録商標)のファイルである(*.doc)ファイルへの書き込みを休日には禁止するなどの条件を設定して、PC利用の側面からも幅広くかつ柔軟な制約をかけることができる。そして、このように正規表現による指定をセキュリティ機能の一部として実現することができる。
【0029】
(1)さらに、監視機能によって、既存のユーザ認証やACLでは対応できない以下のような防御機能を実現することもできる。
(1−1)ユーザの業務対象範囲外のアプリケーションからのアクセス制限(疑わしきは拒否する)
例えば以下の制限が考えられる。
・経理業務の部署ではCADアプリケーションは利用しない。
・ソフトウエア開発部門では経理ソフトウエアは利用しない。
等の、業務要件から発生する制約事項を適用することが可能になる。
また、侵入したウイルスが書き込んだ、ユーザから見て未知のファイル名を持つ実行ファイルの情報を、事前に許容条件に含むことは不可能なので、その実行ファイルが何らかのイベントを契機に起動され、ファイルアクセスが起きても要求を拒否し情報流出を防止することができる。
以上のような要件を許容条件として明示化して、その条件範囲外のアクセス要求を拒否する。
【0030】
(1−2)実行ファイルの書き込み(ウイルス寄生、侵入の防止)
ユーザ部門における通常の利用では、実行形式のファイルやOSだけが利用する一部の特殊ファイルを書き変えることはない。ウイルスは、不正なコードを密かに忍び込ませるために既存のアプリケーションの実行ファイルを書き換える。あるいは独自の実行形式のファイルを書き込む。これを防ぐだけで、大幅に危険が低減できる。
ソフトウエアのインストールなど実行ファイルの書き換えが必要な場合は、一時的に別の許容条件に切り替える。
以上の要件を許容条件として明示化して、その条件範囲外のアクセス要求を拒否する。
【0031】
(1−3)なりすましアプリケーションからのアクセス(流出の防止)
ウイルスは、自分の存在を隠すために既存のアプリケーションの実行ファイルを書き換え、そこに不正なコードを忍ばせる。知らずにこれを実行すると、不正コードが情報を盗み出したり、汚染された実行コードを他のPCに伝播させたりする。
それを発見するために、真正なアプリケーションのコードのハッシュ値を事前に保存し、それと情報を要求している同名のアプリケーションの実行ファイルのハッシュ値を比較することによって、実行ファイルの改竄の有無を検査する。改竄を発見した場合は、要求を拒否する。
以上の要件を許容条件として明示化して、その条件範囲外のアクセス要求を拒否する。
【0032】
(1−4)アプリケーションとファイルタイプの不整合(不正アプリケーションの拒否)
多くのアプリケーションは、そのアプリケーションが扱えるファイルをファイルの拡張子で決めている。例えば、ワード(Word)は基本的にその拡張子がdocであるファイルを扱う。
ユーザの利便のために、他のアプリケーションのファイルも扱えるようにしている例も多いが、その種類は限定的で、それらを許容情報に含めることができる。
ファイルへの操作を要求したアプリケーションとそれが要求しているファイルタイプが不整合である場合は、不正なプリケーションが情報を盗み出だそうとしているケースが多い。
以上の要件を許容条件として明示化して、その条件範囲外のアクセス要求を拒否する。
【0033】
(1−5)サービス時間や曜日あるいは期間を超えたアクセス(業務外アクセスの拒否)
業務の実施時間や曜日などが厳密に確定している場合は、その範囲外で発生する情報アクセスは、不正利用である可能が高い。さらに、ノートPCなどの場合、社内のLANに接続されている場合の許容情報と、LANから切り離され社外で利用する場合の許容情報を区別する。
LANから切り離されると、より強い制約をもつ社外用の許容情報に自動的に切り替えて、危険性が高いモバイル利用時の情報流出の防止を強化する。
以上の要件を許容条件として明示化して、その条件範囲外のアクセス要求を拒否する。
【0034】
(1−6)PCのOSシャットダウンの際に、自動的に最小限のアクセスを許すアクセス許容条件表に切り替える。これによって、万一そのPCが盗難や紛失し、拾得者がPC内の情報にアクセスしようとしても、制限された範囲の情報にしかアクセスできないため、漏洩を防ぐことができる。
以上は、ユーザの実利用環境を反映した柔軟性を持つ防衛機能であり、従来の事前設定による一律的な硬直した機能とは本質的に異なり、実アクセスが発生する度毎に監視機能が実現する。
これにより、いつ活性化するかわからないウイルスなどの活動を動的に監視して、実効性のあるPC情報の持ち出し防御の仕組とすることができる。
また、ソフトウエアのインストールや業務担当範囲の変更など、日常利用とは異なる利用条件下においては、許容条件を切り替えて、監視範囲や強度を変化させることもできる。これにより、厳格でありながら実務の遂行を妨げない柔軟な防御を実現することができる。
【0035】
さらに、表管理部70はユーザとの間で直接の対話機能を持ち、ユーザの意志で制約条件を随時変更できる。これによってファイルシステムが明確に判断できない状態のときに、画面を通してユーザに問いかけ、ユーザがそれに答えることによって、要求された操作の許諾を決定することができる。また、この対話による許容条件の変更内容は、既存の許容条件に追加され、あらたな許容条件とすることもできる。このようなユーザとの対話によって、厳格すぎるセキュリティが業務遂行の妨げにならないようなアドホックな柔軟性も併せ持つことができる。
【0036】
また、既存のユーザの認証機能と連動して、サーバのデータベースで集中管理されている許容情報の集合から、集中管理コンソール機能が特定の許容情報を選択し、それを該当のPCに配布する構造とすることもできる。
【0037】
(2)構造と機能及びその関係
(2−1)全体構造
図3は、本発明のコンピュータの情報漏洩防止システムの構造と機能の説明図である。
図3において、21は真正なアプリケーション、22はウイルスなど不正なアプリケーション20である。その他にOSなどが適宜起動するアプリケーションもあるが、それは真正なアプリケーション21に含まれる。真正なアプリケーション21及び不正なアプリケーション22は、APIあるいはシステムコールを通じてOSのサービスを受ける。
本発明のコンピュータの情報漏洩防止システム10が対象とするのは、そのうちのファイルシステム30の入出力に関する機能である。本発明では、既存のファイルシステムの一部に改造を加える、あるいはフックなどの外部プロセスの呼び出し機能を利用して、既存のファイルシステムから呼び出される。既存のファイルシステムに対する改造は全く不要か、あるいは極く限られた小部分である。その内容と規模は、既存のファイルシステムの実装方法に依存する。
【0038】
また、コンピュータの情報漏洩防止システム10ではOSを書き換えることなく適用することもできる。すなわち、OSのフック機能を利用することで、ある状態が発生したら、指定した外部の機能を呼び出すことができる。これは、OSを書き換えるわけではなく、OSに対して条件を指定しておくと、それをOSが解釈して、実際に該当の外部機能を呼び出す。全体機能は、OSファイルシステム中のIOイベントのフックによって、呼び出される。よって、全てのアプリケーションの全てのIO要求をチェックすることができ、これは、OSが元来備える機能であることから、OS自身の改造は不要であり、コンピュータの情報漏洩防止システム10は優れた汎用性を備えている。
【0039】
該当のファイル要求がファイルシステム30に到達すると判定部50を呼び出し、アプリケーション20からの要求内容を引き渡す。
判定部50は、要求内容と要求元であるアプリケーション20が、実行を許されるかどうかを判定し、要求を受け入れるか否かの判定結果をファイルシステム30に返す。
ファイルシステム30は、その結果に応じて、本来のファイルシステムの機能を実行し、結果をアプリケーション20に返す。ウイルスなどの不正なアプリケーション22には、常に偽の結果を返す。その判断が正しく働くように、以下の「(2−2)判定部」以降に記述する情報と機能を有する。
【0040】
その結果として、ウイルスなど不正なアプリケーション22に対しては、常にハードディスク40などの長期記憶装置への書き込み、あるいは、記憶されている情報の読み出しの禁止が行われる。これらの動作は、認証やACLの防御とは独立にアプリケーション20からの要求が発行された時点でリアルタイムに動作する。これによって、情報漏洩を引き起こす原因となるウイルスなど不正なプリケーション22が監視をすり抜けることが絶対に無い100%の監視を実現することができる。
【0041】
(2−2)判定部
判定部50は、真正なアプリケーション21又は不正なアプリケーション22かを判定し、真正なアプリケーション21には実際のハードディスク40などに対する実行を行い、その実行結果を返す。また、ウイルスなどの不正なアプリケーション22からの要求には、常に偽りの結果を返すよう構成されている。
判定部50は、ウイルスなどの不正なアプリケーション22から与えられた、要求元と要求内容とアクセス許容条件表60の内容を参照して実行の許諾を決定し、その結果をファイルシステム30に伝える。ファイルシステム30は、判定部50からの結果を、あたかも実際の実行結果のように、真正なアプリケーション1又は不正なアプリケーション2に返す。
【0042】
図3において、表管理部70は、アクセス許容条件表60の管理を行うもので、アクセス許容条件表60の内容を維持、管理することを目的とする。主な機能として新規作成、追加、変更、削除、検索の機能を持つ。また、アクセス許容条件表の記入、改定、実行履歴の収集などの機能の実現には、適宜ユーザインタフェースが用意されても良い。
【0043】
(2−3)アクセス許容条件表と表管理部
図4はアクセス許容条件表の構成を示す説明図である。
図4において、アクセス許容条件表60には、デフォルトでアプリケーションの要求を受け入れる対象を記述する情報(ホワイトリスト)であるか、あるいは逆に、この表に含まれる対象は、デフォルトでアプリケーションの要求を拒む(ブラックリスト)記述の2種類の何れか一方を記録することができ、アクセス許容条件表60全体としては、単一あるいは複数の表で構成され、データベースで管理されても良い。
【0044】
以下にアクセス許容条件表60の項目の例を挙げる。以下の例は、特に断らない限り要求を受け入れる対象を記述する情報(ホワイトリスト)として示す。
・I/E区分(61)
(I:許諾対象の記述、E:除外対象の記述)
この項目に記述された対象は、前記デフォルトに対して、I:表にこの行の記述内容を含める、E:この行の記述内容を前記Iで表される集合から除外するために利用する。例えば、前記のIを用いて営業日に特定のアプリケーション利用を許可する。その一方で、Eを用いて12:00から13:00までの休憩時間には許可を除外して、該当のアプリケーションの利用を禁止するような場合に利用する。I又はEを記述する。
この行の各項目は以下のように関係する。
Name(64):実行プログラムの名称で、具体的には実行プログラムのファイル名である。
File(65):前記の実行プログラム(64)がアクセスするファイル名あるいはフォルダ名である。
Limitation(66):前記実行プログラム(64)がファイル名(65)にアクセスを許すための条件を記入する。
以上により、アクセス許容条件表の各行は、実行プログラム(64)がファイルにアクセス(65)するに当たり、制約(66)を満たさなくてはならないことを表現する。この行に記述された条件を満たさないアプリケーションからの情報アクセス要求は拒否される。さらに、詳細に各項目を説明する。
・I/Oタイプ(62)
真正なアプリケーション21又は不正なアプリケーション22の要求内容を記述する。ディレクトリの参照要求なども含む。
・PID(63)
真正なアプリケーション21又は不正なアプリケーション22の内部での識別子が記述される。これは、ユーザが指定するのではなく、本機能が実行に必要な情報としてOSより取得し、セットする。
・Name(64)
真正なアプリケーション21又は不正なアプリケーション22の外部名称、又は、ユーザが認識できる真正なアプリケーション21又は不正なアプリケーション22の呼び名を記述する。具体的にはアプリケーションの実行ファイル名である。
・File(65)
要求されたファイル名を記述する。
・Limitation(66)
Name(64)の実行とFile(65)へのアクセスを許すサービス範囲条件を記述する。
【0045】
アクセス許容条件表60の各項目には、正規表現を用いてファイルやフォルダの集合(任意の長さの任意文字列を表す*、任意の1文字を表す?などの組み合わせ)を記入することもできる。また、アクセス許容条件表60には、表管理部70によって、既知のウイルスやその亜種の名称、アクセスするファイル名などは非諾(拒否)条件として自動的に設定されても良い。
また、システム内でOSの補助として常時起動されるシステムプロセスの名称、アクセスするファイルなど真正なシステムアプリケーション情報が自動的に収集され、表管理部70の初期化機能によって許容条件の対象として初期設定される。
また、ユーザに利用を許す真正なプリケーションも許容条件の対象としてアクセス許容条件表60に表管理部70によって記述される。そのための画面インタフェースなども備える。
【0046】
さらに、各アクセス許容条件表60には名称、キーワード、注記などが付けられ、表管理部70のインタフェースを通じて、ユーザが選択したり、検索したり改訂したりすることも可能である。
【0047】
以上のようなアクセス許容条件表60の具体例について表1を参照して説明する。なお、ここでは前提としてディスクに存在するファイルを、abc.txt、xyz.doc、jklm.ppt、efjk.doc、Excel.exeとして説明する。
(ケース:1)表が暗黙で拒否を意味する場合であって、表の各行には拒否すべき条件を明記する。また、表に記されていない対象は暗黙で全て受け入れとなる。従って、始めのIの行は拒否条件となり、全てアプリケーションからの、全てのファイルに対する、Read、Write、Delete、Listを、無条件に禁止することを意味している。ただし、2行目に於いてシステムタスクである、taskmgr.exeのI/E(61)項目をEに設定することによって、前記の制約からこの行の条件を除き、選択的に実行可能にしている。
(ケース:2)表が暗黙で拒否を意味する場合であって、始めの行はIで拒否条件であり、全ての実行プログラムから、Excel.exeファイルに対して無条件に書き込みを許さない設定となる。
(ケース:3)表が暗黙で受け入れを意味する場合であって、(ホワイトリスト)なので、Iが記された行の条件のみが許容条件となり、この表に含まれない対象は全て拒否となる。従って、この例はkeiri.exeアプリケーションだけに、週日の9時から21時まで、xyz.docとefjk.docに対して、Write(書込み)を許可する。また、それ以外のあらゆるアプリケーションの一切の情報アクセスを禁止することを表している。なお、表中の記載で「""」は、無指定を表す。
【表1】
【0048】
このようにアクセス許容条件表には2種類があり、表の各行の条件が許諾を明示するものを受け入れ表(ホワイトリスト)と呼び、表が規定外の対象は全て拒否となる。逆に、拒否の表(ブラックリスト)は、表中の各行の条件は、拒否の条件を明示する。表が拒否である場合、表に規定する以外の対象は、全て受け入れとなる。
I/E=Iの場合は、その行はそれが属する表が持つ特性に含まれる。I/E=Eの場合は、その行は表の特性には含まれず、逆の制約として働く(例外指定)。
例えば、拒否表とする場合、Type=Iの場合は、アクセス許容条件表の項目に含まれる記述は、実行やアクセスを拒否する対象を表す。
逆に、肯定表(受け入れ)とする場合、Type=Iは、この行が表す対象(*.docであればディスク中の全てのファイルの拡張子として.docを持つファイル)は、IOType(62)の項目に記述されている要求を受け入れて実行することを意味する。ただし、Type=Eでは、以上にもかかわらず、指定のIOを拒否する指定として働く。
【0049】
正規表現などの指定内容、例えば「*」などは、一種の検索条件の指定になっているので必ずしも具体的に特定の対象を指さない場合もある。各行は順次解釈することを原則とするが、必ずそれが実行順になるとは限らない。
【0050】
(3)次に判定部の詳細を説明する。
図5は判定部の関連説明図である。
(3−1)判定部
判定部50はファイルシステム30から呼び出される。
その際のパラメータにはプロセスを特定するPIDが含まれる。
プロセス発見51は、与えられた内部PIDから、OSが持つプロセステーブルを参照して、アプリケーションの外部名を得る。この2つのパラメータが図4の項目PID(63)とName(64)に該当し、表からの選択や、表に登録する際の見出し情報となり、プロセスとその外部名称で対象の記述内容を特定する。
表検索52は、アクセス許容条件表60の検索を行い、登録済であれば、その内容をアクセス許容条件表60に返す。実際に検索を実行するのは、表管理部70の検索機能であってもかまわない。
判定53は、該当の許容条件の記述を基準に判定を行い、真正なアプリケーション21、あるいは真正なアクセス要求と判断すると、結果返送54をへて、ファイルシステム30に実行の継続を促す返事を返す。あるいは、否認の結果になった場合は、結果返送54をへて、ファイルシステム30からアプリケーション20に対して、偽りの回答を行うように促す。
【0051】
判定53で、アクセス許容条件表60内に正規表現が指定されている場合など、判断が一意に決定できない場合は、ユーザインタラクション55をへて、画面に選択肢と関連情報を表示し、ユーザインタフェース56を経てユーザの判断を受けることができる。その結果、実行の許諾か非諾が決まり、その結果を表更新57に送り、アクセス許容条件表60を更新する。さらにそれは、適切なタイミングで表管理部70の変更機能で、アクセス許容条件表60のデータベースに反映される。
【0052】
(3−2)アクセス許容条件表の暗号化とリカバリ
アクセス許容条件表60は、アプリケーション20が活動して、ファイルにアクセスした時点で動的に働く監視と防御の基になる情報であり、それ自身の改竄や漏洩を防がなくては、PCの安全が保てない。そこで、アクセス許容条件表60を暗号化保存することや、自動的なバックアップと改竄の検知を行う。また、必要な場合はロールバックできるようにする。
【0053】
(3−3)アクセス許容条件表のキー
アクセス許容条件表60あるいは、そのグループに対して特定のユーザキーを割り当てることができる。また、ユーザキーとアクセス許諾条件表をメモリ機器上に保存することができ、この記憶媒体を挿入し、ユーザキーの認証が済むとそのキーに割り当てられたアクセス許容条件表が自動的に図5のアクセス許容条件表60にロードされ、即時にそのユーザの利用範囲や権限が、該当のPC上に固定される。
これによって、個人の利用環境を表すアクセス許容条件表60を持ち歩くことができ、物理的なPCの実体と利用者の利用環境を切り離すことができる。
【0054】
これにより、ポータブルのハードディスクなどに記憶されたアクセス許容条件表と情報の実体をペアーで保管できる場合は、そのハードディスクさえ持参すれば、どこのPCを利用しても、同一の情報利用環境を任意のPC上に再現でき、ポータブルな情報機器間の移動における情報的な透過性を確保できる。
【0055】
(4)画面からの漏洩防止
(4−1)アクセス制御の対象
PCで扱う情報は、いくら厳格に情報アクセスを制約したとしても、それを活用できなければ意味がない。そのため、最小限でも、画面に表示できる必要がある。しかしながら、画面に表示されれば、それを写真に取ったり、メモしたり、あるいは記憶によって画面から情報が流出することは防止できない。本発明では、怪しいアプリケーションには、情報がディスクに存在しないよう偽装することによって、その情報を渡たさず、流出を生じさせないようにすることを基本原理としている。
【0056】
PC内の情報を画面に表示するファイルシステムのユーザインタフェース(ウインドウズであればエキスプローラ)に対して、前述の本発明の基本原理を適用すると、実際にはディスクに存在するファイルやフォルダであっても、ファイルシステムのユーザインタフェースに偽りの情報を返すことによって、あたかもディスク中にそれらのファイルやフォルダが存在しないように見せることができる。
【0057】
この場合の、アプリケーションからの要求は、IOType(図4の符号62)は、一般的なファイルのOpenやCloseあるいは、Read、Writeではなく、ファイルの一覧や、ファイル属性のリストの取得や設定などである。
【0058】
(4−2)画面表示の制約
その実現のためには、図6のディスク内容の選択的表示の説明図に示すように、これまで述べた機能を、ファイルシステムGUI(81)であるアプリケーションに適用する。これによって、アクセス許容条件表60の記述内容に従って、ファイルシステムGUI(81)には、選択的な情報だけが返される。
【0059】
この場合の情報内容は、ファイルの中身でなくて、ファイル名やフォルダ名を含む属性値のリストである。つまり、アクセス許諾条件表60の記述に従った範囲内のファイルやフォルダに関する名称や属性情報しかファイルシステムGUI(81)に返さないため、それ以外のファイルやフォルダに関する情報は、画面にも表示されず、ディスク中に存在しないようにしか見えない。
【0060】
また、実行スペースに置かれるアクセス許容条件表60を複数利用可能とし、画面からユーザが指定する。
あるいは、前述の「(3−3)アクセス許容条件表のキー」に述べた、キー等の挿入と取り去りの切り替え(82)に連動して、対応するアクセス許容条件表を切り替えることを実現する。
これによって、以下の(a)〜(d)の機能を実現することができる。
【0061】
(a)正規社員が利用する際は、キーを挿入して、フルアクセス可能なアクセス許容条件表に切り替えて、全てのPC内の情報を画面に表示する。例えば、正規社員でないアルバイト社員が利用する際は、キーを抜くと別のアクセス許容条件表に切り替わり、重要情報が収められた一部のファイルやフォルダは、画面にその名前さえも表示されなくなる。
【0062】
(b)時間監視機能が自動的に働いていて、急な電話や来客があっても、一定の経過時間後に自動でアクセス許容条件表が切り替わり、一部のファイルやフォルダは画面にその名前さえも表示されなくなる。
【0063】
(c)ノートPCを会社外に持ち出す際に、社内LANの接続を切ると、自動でアクセス許容条件表が切り替わり、一部のファイルやフォルダは、画面にその名前さえも表示されなくなる。戻って、LANに接続すると、自動で元のアクセス許容条件表に切り替わり、フルに画面表示ができるようになる。
【0064】
(d)PCのOSシャットダウンの際に、自動的に最小限のファイル情報にアクセスを許すアクセス許容条件表に切り替える。こうすることによって、万一、そのPCに盗難や紛失が生じて、拾得者がPC内の情報にアクセスしようとしても、最小限のファイル名やフォルダ名しか表示されず、アタックを避けることができ、漏洩を防ぐことができる。
【0065】
以上説明したように本実施形態のコンピュータの情報漏洩防止システム10は、コンピュータ上で実行されるアプリケーションがハードディスク40などの記憶部に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかをユーザ認証やアクセスコントロールなどによる制約の仕組とは独立に判定部50により判定して、不正なアクセスと判定された場合に情報のアプリケーションへの受け渡しを禁止することを要旨としたものである。これによって、ファイルシステム自身に監視と判断の機能を持たせてそのアクセス許容条件を柔軟に設定することができ、ウイルスなどが活性を示す間に引き起こす様々な不正アクセスに対して汎用的かつ柔軟に対処することができる。したがって、この要旨に属するものは本発明の権利範囲である。例えばユーザの情報の保存先となる記憶部はPC内臓のハードディスクとは限らず、LANに接続されたサーバ、あるいはフラッシュメモリなどのような不揮発性の半導体メモリであってもよい。また、本実施例におけるアクセス許容条件のチェック項目はその使用環境などによって変わりうるものであってこれらのものに限定されるものではない。
【図面の簡単な説明】
【0066】
【図1】従来例の情報漏洩防止システムの説明図である。
【図2】本発明の実施例の情報漏洩防止システムの説明図である。
【図3】本発明の実施例の情報漏洩防止システムの構造と機能の説明図である。
【図4】本発明の実施例の情報漏洩防止システムにおけるアクセス許容条件表の構成図である。
【図5】本発明の実施例の情報漏洩防止システムにおける判定部の関連説明図である。
【図6】本発明の実施例の情報漏洩防止システムのディスク内容選択表示の説明図である。
【符号の説明】
【0067】
10 コンピュータの情報漏洩防止システム
20 アプリケーション
21 真正なアプリケーション
22 不正なアプリケーション
30 ファイルシステム
40 ハードディスク(記録部)
50 判定部
51 プロセス発見
52 表検索
53 判定
54 結果返送
55 ユーザインタラクション
56 ユーザ指示
57 表更新
60 アクセス許容条件表
61 I/E
62 IO Type
63 PID
64 Name
65 File
66 Limitation
70 表管理部
81 ファイルシステムGUI
82 切り替え
【特許請求の範囲】
【請求項1】
コンピュータ上で実行されるアプリケーションがその記憶部に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかをユーザ認証やアクセスコントロールによる制約の仕組とは独立に判定して、不正なアクセスと判定された場合に前記情報の前記アプリケーションへの情報の受け渡しを禁止することを特徴とするコンピュータの情報漏洩防止システム。
【請求項2】
前記アクセス許容条件には前記コンピュータのユーザインタフェースを介して入力される以下のチェック項目が含まれていることを特徴とする請求項1記載のコンピュータの情報漏洩防止システム。
(a)ファイルデータの書き込みなどの操作を表すIOタイプ
(b)実行プログラム・ファイル名
(c)実行プログラムの操作対象となるファイル名
(d)実行プログラムの実行制約条件
【請求項3】
前記実行プログラム・ファイル名や実行プログラムの操作対象となるファイル名には、単一の対象が特定されるファイル名の他に正規表現やワイルドカードによる指定ができ、選択された複数の対象からなる集合に対して制約操作が機能することを特徴とする請求項2記載のコンピュータの情報漏洩防止システム。
【請求項4】
前記アクセス許容条件は、ユーザ環境における現実の実行内容を反映した実行履歴に基づいて自動生成されることを特徴とする請求項1〜3のいずれかに記載のコンピュータの情報漏洩防止システム。
【請求項5】
前記アクセス許容条件を定義するアクセス許容条件表は、データベースなどを利用して複数のアクセス許容条件表を管理でき、PCの利用場所、時間帯あるいは営業日かそうでないかなどによって、手動あるいは自動でアクセス許容条件表を切り替えることができ、同一のPCであっても提供する機能範囲を動的に変化させることができるように選択的にアクセス許容条件表をアクティブにできることを特徴とする請求項1〜4のいずれかに記載のコンピュータの情報漏洩防止システム。
【請求項6】
前記アクセス許容条件表による制約はファイルシステムのユーザインタフェースに対しても適用され、その時点でアクティブになっているアクセス許容条件表の判定結果に従って、拒否されたフォルダやファイルの存在情報を非表示にして、あたかもそこにファイルが存在していないかのような画面表示とすることによって、モニタ画面からの情報の存在それ自体の情報漏洩を防止することを特徴とする請求項1〜5のいずれかに記載のコンピュータの情報漏洩防止システム。
【請求項7】
前記アクセス許容条件表とその情報の実体を記憶する前記記憶部が外部接続のハードディスクであって、そのハードディスクをコンピュータに接続することで当該利用者に対して、同一の制約的な情報利用環境を再現し、アクセス許容条件によって実行が許可された書き込み要求の実行では、全ての情報は暗号化されて記録され、前記ハードディスクが実装されていないPCからの不正読み出しが禁止されることを特徴とする請求項1〜6のいずれかに記載のコンピュータの情報漏洩防止システム。
【請求項1】
コンピュータ上で実行されるアプリケーションがその記憶部に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかをユーザ認証やアクセスコントロールによる制約の仕組とは独立に判定して、不正なアクセスと判定された場合に前記情報の前記アプリケーションへの情報の受け渡しを禁止することを特徴とするコンピュータの情報漏洩防止システム。
【請求項2】
前記アクセス許容条件には前記コンピュータのユーザインタフェースを介して入力される以下のチェック項目が含まれていることを特徴とする請求項1記載のコンピュータの情報漏洩防止システム。
(a)ファイルデータの書き込みなどの操作を表すIOタイプ
(b)実行プログラム・ファイル名
(c)実行プログラムの操作対象となるファイル名
(d)実行プログラムの実行制約条件
【請求項3】
前記実行プログラム・ファイル名や実行プログラムの操作対象となるファイル名には、単一の対象が特定されるファイル名の他に正規表現やワイルドカードによる指定ができ、選択された複数の対象からなる集合に対して制約操作が機能することを特徴とする請求項2記載のコンピュータの情報漏洩防止システム。
【請求項4】
前記アクセス許容条件は、ユーザ環境における現実の実行内容を反映した実行履歴に基づいて自動生成されることを特徴とする請求項1〜3のいずれかに記載のコンピュータの情報漏洩防止システム。
【請求項5】
前記アクセス許容条件を定義するアクセス許容条件表は、データベースなどを利用して複数のアクセス許容条件表を管理でき、PCの利用場所、時間帯あるいは営業日かそうでないかなどによって、手動あるいは自動でアクセス許容条件表を切り替えることができ、同一のPCであっても提供する機能範囲を動的に変化させることができるように選択的にアクセス許容条件表をアクティブにできることを特徴とする請求項1〜4のいずれかに記載のコンピュータの情報漏洩防止システム。
【請求項6】
前記アクセス許容条件表による制約はファイルシステムのユーザインタフェースに対しても適用され、その時点でアクティブになっているアクセス許容条件表の判定結果に従って、拒否されたフォルダやファイルの存在情報を非表示にして、あたかもそこにファイルが存在していないかのような画面表示とすることによって、モニタ画面からの情報の存在それ自体の情報漏洩を防止することを特徴とする請求項1〜5のいずれかに記載のコンピュータの情報漏洩防止システム。
【請求項7】
前記アクセス許容条件表とその情報の実体を記憶する前記記憶部が外部接続のハードディスクであって、そのハードディスクをコンピュータに接続することで当該利用者に対して、同一の制約的な情報利用環境を再現し、アクセス許容条件によって実行が許可された書き込み要求の実行では、全ての情報は暗号化されて記録され、前記ハードディスクが実装されていないPCからの不正読み出しが禁止されることを特徴とする請求項1〜6のいずれかに記載のコンピュータの情報漏洩防止システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2007−140798(P2007−140798A)
【公開日】平成19年6月7日(2007.6.7)
【国際特許分類】
【出願番号】特願2005−332222(P2005−332222)
【出願日】平成17年11月16日(2005.11.16)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.リナックス
【出願人】(505389743)Eugrid株式会社 (7)
【Fターム(参考)】
【公開日】平成19年6月7日(2007.6.7)
【国際特許分類】
【出願日】平成17年11月16日(2005.11.16)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.リナックス
【出願人】(505389743)Eugrid株式会社 (7)
【Fターム(参考)】
[ Back to top ]