セキュリティ管理システム
【課題】対象機器が据付型機器であるか携帯型機器であるかを自動的に判定することで、適切なセキュリティポリシーが設定されているか否かを判断するセキュリティ管理システムを提供する。
【解決手段】セキュリティ管理サーバのセキュリティ管理機能は、クライアントPCの情報送信機能から情報が送信された場合には、受信した情報のクライアント種別を判定する。そして、クライアント種別がモバイル端末である場合には、セキュリティポリシーに設定されている各セキュリティポリシー情報が適切な内容であるかを判定する。例えば、暗号化の要否、ワクチンソフトのインストール要否、基本ソフトパッチの要否、持出し禁止設定の要否が全て「要」(「暗号化要」等)になっているかを判定し、「要」になっていない項目がある場合には、セキュリティポリシー違反であると判定する。
【解決手段】セキュリティ管理サーバのセキュリティ管理機能は、クライアントPCの情報送信機能から情報が送信された場合には、受信した情報のクライアント種別を判定する。そして、クライアント種別がモバイル端末である場合には、セキュリティポリシーに設定されている各セキュリティポリシー情報が適切な内容であるかを判定する。例えば、暗号化の要否、ワクチンソフトのインストール要否、基本ソフトパッチの要否、持出し禁止設定の要否が全て「要」(「暗号化要」等)になっているかを判定し、「要」になっていない項目がある場合には、セキュリティポリシー違反であると判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理機器のセキュリティ管理システムに関するものである。
【背景技術】
【0002】
コンピュータ・ハードウェアの高性能化、低価格化、小型化が進展するに伴い、日常生活のあらゆる側面でコンピュータを利用することが一般的になってきている。特に、現在では、コンピュータをLANやインターネット等のネットワークに接続して利用する機会がますます増加している。例えば、企業活動に必要な情報をサーバ装置で集中的に管理し、各従業員には端末装置としてのパーソナル・コンピュータ(以下、単に「PC」ともいう。)を使用させ、これをサーバ装置とネットワーク接続することで、業務上必要な情報を入手したり、サーバ装置の情報を更新したりするなどが行われている。
【0003】
こうしたネットワークを利用した情報の集中化と、PCなどの情報処理機器による情報アクセスが広く行われることに伴い、情報処理機器自体の紛失や、情報を記録した記録媒体の持ち出しによって発生する、いわゆる情報漏洩が大きな社会問題となってきている。そのため、情報漏洩を防止するためのさまざまな対策が行われている。最も一般的な方法としては、情報処理機器の起動時にいわゆるログイン画面を表示するとともに、正当な利用者IDとパスワードを入力しない限り当該情報処理機器を操作することができないようにするという対策が行われている。
【0004】
また、特許文献1に記載された発明のように、情報処理機器に自動暗号・復号プログラムをインストールしておき、ハードディスク等の記録媒体に情報を書き込む際に自動的に暗号化する。そして、読み出す際には自動的に復号化する技術も知られている。また、特許文献2に記載された発明のように、ネットワーク内にセキュリティ管理サーバを接続し、当該セキュリティ管理サーバによってネットワークに接続された各情報処理機器のセキュリティ状況を検査して監視画面に表示するという技術も知られている。こうした特許文献1、2に記載されている技術を組み合わせれば、暗号・復号プログラムのインストール有無を監視画面に表示することができるとともに、これによってセキュリティ管理者は、ネットワークに接続されている情報処理機器の全てに、自動暗号・復号プログラムがインストールされているかどうかを知ることができる。
【0005】
更には、特許文献3に記載された発明のように、機密フォルダ内に記録されたファイルについては、USBメモリ等のいわゆるリムーバブルメディアへの複製を禁止する技術も知られている。ところで、情報処理機器にさまざまな情報漏洩防止対策を施せば施すほど、情報漏洩のリスクは低くなる。しかしながら、その一方で、利用者にとって情報処理機器の使い勝手は悪くなる。したがって、むやみに情報漏洩防止対策を施すのではなく、当該情報処理機器の使用目的や使用場所等に応じて、当該情報処理機器が紛失する可能性等を判断し、最適な対策を施す必要がある。この目的を達成するためには、各情報処理機器にセキュリティポリシーを設定するという方法が一般的にとられている。
【0006】
ここで、セキュリティポリシーとは、例えば、起動許可情報を記録したリムーバブルメディアを装着した状態のみで情報処理機器を起動可能とする、あるいは、リムーバブルメディアにファイルの複製を禁止する等の、情報処理機器の動作条件を定義した情報のことである。具体的には1以上の「セキュリティポリシー」ファイルとして、情報処理機器に設定される。そして、各情報処理機器に適したセキュリティポリシーと、このセキュリティポリシーにしたがって動作のみが許可された監視プログラムとを、各情報処理機器にインストールすることで、当該情報処理機器の使用目的などに適合した対策を取ることができるのである。
【0007】
【特許文献1】特開2001−27964号公報
【特許文献2】特開平6−282527号公報
【特許文献3】特開2002−288030号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
ところで、情報処理機器はデスクトップPCなどの据付型機器と、ノートブックPCなどの携帯型機器に二分類することができる。据付型機器は卓上などの所定の位置に配置されており持ち運ぶことが予定されていない機器である。したがって運搬中に紛失するおそれはなく、頑丈なチェーン等で壁や机に結びつける等の対策により盗難を防止することができる。また、多くの場合、情報処理機器毎に使用者が決まっているため、無断使用によりファイルが複製される等のリスクも小さい。
【0009】
一方、携帯型機器はさまざまな場所に持ち運んで使用されることが多い。そのため、運搬中に紛失したり、盗難にあったりする可能性が高い。さらに、携帯型機器は、複数の不特定の使用者によって共有される場合も多い。そのため、ある使用者が作成して消去し忘れたファイルが、別の使用者によってリムーバブルメディアに複製されるといったリスクも存在する。
【0010】
したがって、情報処理機器にセキュリティポリシーを設定するに当たっては、一般的に、携帯型機器のセキュリティポリシーを厳しくし、例えば、携帯型機器については、起動許可情報の記録されたリムーバブルメディアを装着した状態のみで起動可能にする、あるいは、リムーバブルメディアがファイルを複製することについて一切禁止する等の設定が行われる。
【0011】
ここで、据付型機器であるか、携帯型機器であるかの相違は、突き詰めれば、運搬して使用するか否かという人為的な判断に依存する。このため、従来は、据付型機器であるか、携帯型機器を自動的に判定することは不可能であると考えられており、セキュリティポリシー設定時にセキュリティ管理者が判断すべき事項であるとされてきた。
【0012】
しかしながら、従来のように携帯型機器であるかの判断をセキュリティ管理者の判断にゆだねた場合、判断の誤りやセキュリティ管理者の不正行為等により、携帯型機器に据付型機器用のセキュリティポリシーが設定され、このために情報漏洩が発生するおそれがある。また逆に据付型機器に携帯型機器用のセキュリティポリシーが設定され、このために機器の使い勝手が悪くなる可能性もある。
【0013】
本発明は、こうした問題点を解決するためになされたものであり、対象機器が据付型機器であるか携帯型機器であるかを自動的に判定することで、適切なセキュリティポリシーが設定されているか否かを判断できるようにするセキュリティ管理システムを提供することにある。
【課題を解決するための手段】
【0014】
上記目的を達成するために、本発明のセキュリティ管理システムは、セキュリティ管理サーバと、ユーザに使用される端末装置とがネットワークに通信可能に接続されているコンピュータシステムを用いたセキュリティ管理システムであって、前記セキュリティ管理サーバは、前記端末装置が携帯型機器であるか否かを判定する判定機能を有することを特徴とする。
また、前記判定機能は、前記端末装置から、該端末装置に電源装置が搭載されているか否かについての情報を取得することで、前記端末装置が携帯型機器であるか否かを判定することを特徴とする。
さらに、前記判定機能は、前記端末装置が携帯型機器であると判定した場合、さらに前記端末装置から送信された情報に基づいて該端末装置がセキュリティポリシー違反に該当するか否かを判定することを特徴とする。
【発明の効果】
【0015】
本発明のセキュリティ管理システムによれば、対象機器が据付型機器であるか携帯型機器であるかを自動的に判定することで、適切なセキュリティポリシーが設定されているか否かを判断することが可能になる。
【発明を実施するための最良の形態】
【0016】
以下、本発明を適用したセキュリティ管理システムの一実施の形態について説明する。なお、本実施形態においては、携帯型機器の代表として、ノートブックPC等のいわゆるモバイルPCを例にして説明を行う。
図1に示すように、本システムは、端末装置としての複数のクライアントPC11、セキュリティ管理サーバ12、およびネットワークとしてのインターネット13で構成される。クライアントPC11とセキュリティ管理サーバ12とはインターネット13によって相互に通信可能に接続されている。
【0017】
図2に示すように、クライアントPC11は、セキュリティ管理機能14、情報収集機能15、情報送信機能16、および情報表示機能17の各機能を有している。実際には、一般的なPCと同様に、各機能に対応したプログラムがクライアントPC11の図示しない主記憶装置にローディングされる。そして、クライアントPC11の図示しないCPUが各プログラムの命令コードを実行することにより、上述した各機能が実現される。以降では、説明を簡潔にするため、セキュリティ管理機能14、情報収集機能15、情報送信機能16、および情報表示機能17の各ハードウェア機能が実態として存在しており、処理を実行するかのように記述する。
【0018】
さらに、クライアントPC11は、図2に示すように、記録装置18、表示装置19、入力装置20も備えている。
セキュリティ管理機能14は、情報収集機能15、情報送信機能16、および情報表示機能17の各機能を制御するための機能であり、クライアントPC11が起動されると処理を開始するとともに、適切なタイミングで、情報収集機能15、情報送信機能16、または情報表示機能17の各機能を実行させる。
【0019】
情報収集機能15は、クライアントPC11に設定されたセキュリティポリシー等の情報を収集して、記録装置18に記録するための機能である。また、情報送信機能16は、情報収集機能15が収集し、記録装置18に記録されたセキュリティポリシー等の情報を、セキュリティ管理サーバ12に送信するための機能である。そして、情報表示機能17は、セキュリティ管理サーバ12から送信された警告メッセージ等の情報を表示装置19に表示するための機能である。
【0020】
記録装置18は、具体的にはハードディスクやリムーバブルメディア等の内部または外部記録媒体である。当該記録装置18には、収集情報ファイル21や設定情報ファイル22が記録される。収集情報ファイル21には、情報収集機能15によって収集された、収集時点でのセキュリティポリシー等の情報が記録される。また、設定情報ファイル22には、セキュリティポリシー、情報収集機能15の起動タイミング等、当該クライアントPC11の動作条件を規定するさまざまな情報が記録される。設定情報ファイル22は1ファイルであってもよいし、複数のファイルの集合体であっても良い。なお、当然ながら、記録装置18には収集情報ファイル21、設定情報ファイル22以外のファイル、例えば、クライアントPC11の利用者によって作成された文書、スプレッドシート等のファイルも記録される。
【0021】
表示装置19はCRT、液晶表示装置等である。入力装置20はキーボード、マウス等の入力機器である。
セキュリティ管理サーバ12はPC等のコンピュータであり、図3に示すように、判定機能としてのセキュリティ管理機能23を有している。セキュリティ管理機能23は、クライアントPC11の情報送信機能16によって送信されたセキュリティポリシー等の情報を受信するとともに、この内容が当該クライアントPC11に関して適切であるか否かを判定する。セキュリティ管理機能23によって判定が適切でないと判定された場合には、セキュリティ管理サーバ12は、警告メッセージ等の情報をクライアントPC11に送信する。
【0022】
次に、本実施形態に係るクライアントPC11での収集情報ファイル21のデータ構成について説明する。図4に示すように、収集情報ファイル21には、情報収集機能15によって収集されたセキュリティポリシー等の情報が記録される。情報収集機能15は、例えば所定時間間隔でセキュリティポリシーを収集し続けるとともに、各時点において収集されたセキュリティポリシーを累積的に記録する。
【0023】
この目的を実現するために、収集情報ファイル21は、情報収集年月日・時刻24、セキュリティ管理サーバ送信状態25、およびセキュリティポリシー26の各データ項目から構成される。すなわち、収集情報ファイル21には、情報収集年月日・時刻24の異なる複数のレコードが記録可能である。ある時点に着目した場合、収集情報ファイル21のレコード数は0、1あるいは2以上であり得る。
【0024】
情報収集年月日・時刻24には、情報収集機能15によってセキュリティポリシー26等の収集された年月日・時刻が記録される。情報収集年月日・時刻24は、例えば、セキュリティ管理機能14によって情報収集機能15が起動された年月日・時刻であっても良いし、あるいは、情報収集機能15が記録装置18に収集情報ファイル21を書き込もうとする時点の年月日・時刻であっても良い。要するに、当該クライアントPC11において一貫性を持った年月日・時刻であれば良い。
【0025】
セキュリティ管理サーバ送信状態25には、当該レコードのセキュリティポリシー26等がセキュリティ管理サーバ12に送信済みであるか否かの状態が記録される。従って、情報収集機能15によってセキュリティポリシー26が収集されて、記録された時点では、「未送信」の状態が記録される。そして、情報送信機能16によって当該レコードのセキュリティポリシー26がセキュリティ管理サーバ12に送信された時点で「送信済み」状態に更新される。セキュリティ管理サーバ送信状態25は、後述するように、不要となったレコードを削除するために使用される。
【0026】
セキュリティポリシー26は、暗号化の要否27、ワクチンソフトのインストール要否28、基本ソフトパッチの要否29、持出し禁止設定の要否30等の、さまざまなセキュリティポリシー情報を総称する情報である。
暗号化の要否27には、クライアントPC11の利用者によって記録装置18に文書ファイル等が記録される場合に、当該文書ファイル等を暗号化して記録するか否かを示す情報が記録される。例えば、暗号化の要否27に「暗号化要」が設定されている場合は、図示しない記録装置18のI/O処理を行うドライバソフトが、記録対象ファイルを自動的に暗号化して記録する。
【0027】
ワクチンソフトのインストール要否28には、当該クライアントPC11に所定のワクチンソフトがインストールされていることを要するか否かを示す情報が記録される。例えば、クライアントPC11に、図示しないワクチンインストールプログラムをインストールしておく。そして、クライアントPC11の起動時にワクチンインストールプログラムが起動されるようにすることができる。
【0028】
ワクチンインストールプログラムは、ワクチンソフトのインストール要否28に「インストール要」が設定されている場合には、インターネット13に接続されている図示しないワクチン管理サーバから最新ワクチンソフトをダウンロードしてインストールする。このようにすることで、当該クライアントPC11は、常に最新のワクチンソフトがインストールされた状態で動作することを保証することができる。
【0029】
基本ソフトパッチの要否29には、当該クライアントPC11の基本ソフトに、常に最新状態のパッチが施されていることを要するか否かを示す情報が記録される。例えば、クライアントPC11に、図示しない基本ソフトパッチプログラムをインストールしておく。そして、クライアントPC11起動時に基本ソフトパッチプログラムが起動されるようにすることができる。基本ソフトパッチプログラムは、基本ソフトパッチの要否29に「パッチ要」が設定されている場合は、インターネット13に接続されている図示しないパッチ管理サーバから最新パッチをダウンロードして施す。このようにすることで、当該クライアントPC11は、常に最新状態、すなわちセキュリティホールが最大限に塞がれた基本ソフトによって動作することを保証することができる。
【0030】
持出し禁止設定の要否30には、当該クライアントPC11の利用者がリムーバブルメディアに情報を複製する行為が許されるか否かを示す情報が記録される。例えば、持出し禁止設定の要否30に「禁止設定要」が設定されている場合には、クライアントPC11の利用者がリムーバブルメディアに情報を複製しようとした場合、リムーバブルメディアのI/O処理を行うドライバソフトは、複製を行わない。
【0031】
送信情報には、情報収集機能15によって収集されるとともに、収集情報ファイル21に記録されたセキュリティポリシー情報等が設定される。具体的には、図5に示すように、情報収集年月日・時刻およびセキュリティポリシーの各データ項目が、それぞれ情報収集年月日・時刻24およびセキュリティポリシー26に設定される。
【0032】
送信情報としては、この他に、クライアントID31とクライアント種別32とが設定される。クライアントID31は、本システムにおいて各クライアントPC11を一意に識別するための情報であり、例えば、クライアントPC11のセキュリティポリシー情報を設定する際に、設定情報ファイル22に記録しておけばよい。クライアント種別32は当該クライアントPC11が「モバイル端末」すなわち携帯型機器であるか否かを識別するための情報である。
【0033】
次に、本システムにおける処理の流れについて説明する。
セキュリティ管理機能14の動作については図示しないが、クライアントPC11が起動されると、セキュリティ管理機能14が処理を開始する。セキュリティ管理機能14は、クライアントPC11が停止するまで、常駐プロセスとして動作を続ける。セキュリティ管理機能14の主な機能は、以下の3つである。
【0034】
1)クライアントPC11の現在年月日・時刻が所定の年月日・時刻に到達した場合に、情報収集機能15を起動する。この「所定の年月日・時刻」は、例えば、セキュリティ管理機能14が起動された直後であっても良いし、利用者がクライアントPC11の停止を指示したときであっても良い。あるいは、情報収集機能15が起動された最新の年月日・時刻を設定情報ファイル22に記録しておき、この最新の年月日・時刻から所定時間(例えば1時間)後に再び情報収集機能15を起動するようにしても良い。さらに、以上の条件とは別に、または以上の条件に加えて、CPU使用率が所定値以下になった場合に情報収集機能15を起動するようにしても良い。
【0035】
2)クライアントPC11の現在年月日・時刻が所定の年月日・時刻に到達した場合に、情報送信機能16を起動する。この「所定の年月日・時刻」は、例えば、情報収集機能15を起動した後、所定時間後とすることができる。あるいは、情報送信機能16を起動した最新の年月日・時刻を記録しておき、この最新の年月日・時刻から所定時間(例えば1時間)後に再び情報送信機能16を起動するようにしても良い。さらに、以上の条件とは別に、または以上の条件に加えて、CPU使用率が所定値以下になった場合に情報送信機能16を起動するようにしても良い。
【0036】
3)クライアントPC11の現在年月日・時刻が所定の年月日・時刻に到達した場合に、セキュリティ管理サーバ12から送信された警告メッセージ等の情報の有無を確認するとともに、情報が送信されている場合には情報表示機能17を起動する。なお、情報表示機能17起動時には、セキュリティ管理サーバ12から送信された警告メッセージ等の情報を、情報表示機能17に引き渡す。この「所定の年月日・時刻」は、例えば、セキュリティ管理機能14が起動された後、所定時間(例えば1分)間隔とすることができる。
【0037】
次に、情報収集機能15、情報送信機能16、情報表示機能17の各機能について、その動作を説明する。
まず、情報収集機能15の処理について説明する。
情報収集機能15が起動されると、当該情報収集機能15は、現在年月日・時刻、および設定情報ファイル22に記録されているセキュリティポリシー情報を定期的に収集する(S61)。そして、収集情報ファイル21の新たなレコードを作成して当該収集された情報を蓄積記録する(S62)。
【0038】
このとき、情報収集年月日・時刻24にはシステム年月日・時刻が設定される。また、セキュリティ管理サーバ送信状態25には「未送信」が設定される。そして、セキュリティポリシー26には収集されたセキュリティポリシー情報が設定される。なお、S62の処理においては、収集情報ファイル21に蓄積記録済みのレコードのうち、情報収集年月日・時刻24が最新のレコードに記録されているセキュリティポリシー26と、収集されたセキュリティポリシー情報の内容とを比較し、相違がある場合にのみ、新たなレコードを作成して蓄積記録するようにしても良い。
【0039】
このようにすることで、同じセキュリティポリシー情報が重複して蓄積記録されセキュリティ管理サーバ12に送信されることを避けることができ、不要な処理によるネットワークトラフィックの増大を避けることができる。
情報収集機能15は、次に、収集情報ファイル21に蓄積記録されている各レコードのセキュリティ管理サーバ送信状態25が「送信済み」となっているレコード(すなわち不要となった情報)を削除する(S63)。
【0040】
次に、情報送信機能16の処理について説明する。
図7に示すように、情報送信機能16が起動されると、情報送信機能16は、収集情報ファイル21に蓄積記録済みのレコードのうち、セキュリティ管理サーバ送信状態25が「未送信」のレコードを定期的に検索する(S71)。「未送信」のレコードが存在しない場合には処理を終了する(S72の「NO」の場合)。一方、「未送信」のレコードが存在する場合には、セキュリティ管理サーバ12との通信を開始し、通信できない場合には処理を終了する(S73の「NO」の場合)。
【0041】
セキュリティ管理サーバ12との通信が可能である場合には、セキュリティ管理サーバ送信状態25が「未送信」のレコードの情報収集年月日・時刻24およびセキュリティポリシー26に設定されている内容を、情報収集年月日・時刻24が古い順に、セキュリティ管理サーバ12に送信する(S74)。具体的には、クライアントID31には、設定情報ファイル22に記録されているクライアントPC11を本システム内で位置に識別可能な情報を設定するとともに、情報収集年月日・時刻24とセキュリティポリシー26には、それぞれ情報収集年月日・時刻24とセキュリティポリシー26の内容とを設定する。
【0042】
また、クライアント種別32は、当該クライアントPC11にバッテリー等の電源装置が搭載されているか否かを判定する情報である。そして、電源装置が搭載されている場合には「モバイル端末(携帯型機器)」である旨の情報を、搭載されていない場合には「据付型端末」である旨の情報を設定する。すなわち、PCに限らず携帯型機器であれば、端末外部から電源供給を受けることが困難な環境で使用されることが予定されているため、端末内部に何らかの電源装置を設けざるを得ない。よって、バッテリー等の電源装置が搭載されているか否かは、当該端末がモバイル端末であるか否かを判定することと、セキュリティ管理上は同一の意味を持つことになる。
【0043】
ここで、バッテリー等の電源装置が搭載されている場合には、バッテリー残量を利用者が知る必要があるため、PCの基本ソフトは一般的にバッテリー等の電源残量を通知するためのAPI(Application Program Interface)を有している。さらに、アプリケーションプログラムが当該APIを使用する前提として、アプリケーションプログラムは当該PCがそもそもバッテリー等の電源を搭載しているか否かを知る必要がある。そのため、PCの基本ソフトは一般的にバッテリー等の電源を搭載しているか否かを通知するためのAPIを有している。例えば基本ソフトであるWindowsXP(登録商標)であれば、GetSystemPowerStatus関数を適切に発行することによってバッテリー等の電源を搭載しているか否かを知ることができる。他の基本ソフトについても同様なAPIが存在する。
【0044】
情報送信機能16は送信処理(S74)が終了した後に、セキュリティ管理サーバ12に送信したレコードのセキュリティ管理サーバ送信状態25を「送信済み」に更新する(S75)。S74の処理において、セキュリティ管理サーバ送信状態25が「未送信」のレコードの設定内容を全て送信するのでなく、セキュリティ管理サーバ送信状態25が「未送信」のレコードのうち、情報収集年月日・時刻24が最新のレコードについてのみ、設定内容を送信するようにしてもよい。
【0045】
このようにした場合には、一時的にセキュリティポリシー情報の設定が不適切な内容に変更され、その後、元の適切な設定に戻されたような場合、最終状態のみがセキュリティ管理サーバ12に送信されるので、セキュリティ管理サーバ12では当該クライアントPC11のセキュリティポリシーについては何ら問題がないと判断することになる。この結果、現時点ではセキュリティポリシー情報が適切に設定されているクライアントPC11に対して、セキュリティ管理サーバ12から警告情報等が送られ、クライアントPC11の現時点の利用者には警告理由が分からず対応に苦慮するといった事態を防ぐことができる。ただし、このようにした場合には、逆に、一時的に悪意を持ったセキュリティポリシー情報の変更が行われたような場合に、そのことに気付くことがなくなるという危険がある。
【0046】
なお、セキュリティ管理サーバ送信状態25が「未送信」のレコードのうち、情報収集年月日・時刻24が最新のレコードについてのみ、設定内容を送信するようにした場合にも、セキュリティ管理サーバ送信状態25が「未送信」のレコード全てについて「送信済み」に変更し、前述したS63の処理により、不要レコードとして削除されるようにする必要がある。
【0047】
次に、情報表示機能17の処理について説明する。
情報表示機能17が起動されると、情報表示機能17は、セキュリティ管理機能14から引き渡された警告メッセージ等の情報を表示装置19に表示する。図8に示すように、表示装置19の表示面上にすでに1以上の画面33(例えば別のアプリケーションソフトの画面)が表示されているような場合、警告画面34は、これらの画面33の最上層に表示される。
【0048】
また、警告画面34を表示すると共に、入力装置20等の操作ができないようにし(以下「操作ロック」と記述する)、不適切なセキュリティポリシー情報が設定された状態での操作を続けることができないようにしても良い。この場合には、例えば、警告画面34にパスワードの入力欄およびボタンを設け、このパスワード欄への入力操作とボタンの押下(マウスによるクリック等)操作のみを許すようにすれば良い。そして、情報表示機能17は警告表示後、ボタンクリックを待ち、ボタンがクリックされた場合にはパスワード欄の入力内容が予め定めた所定値と一致するかどうかを判定し、一致する場合には操作ロックを解除し、不一致の場合には操作ロックを継続する。
【0049】
このようにすることで、操作ロックされた時点でのクライアントPC11の利用者による操作継続を防止しつつ、適切なパスワードを知っているセキュリティ管理者による操作ロック、およびクライアントPC11の調査等を可能にすることができる。
次に、セキュリティ管理サーバ12のセキュリティ管理機能23について、その動作を説明する。
【0050】
図9に示すように、セキュリティ管理サーバ12が起動されると、セキュリティ管理機能23が処理を開始する。セキュリティ管理機能23は、クライアントPC11の情報送信機能16からセキュリティポリシー情報等の情報が送信されるのを待ち続ける(S91)。情報が送信された場合には、受信した情報のクライアント種別32を判定する。クライアント種別32が「モバイル端末」である場合には、セキュリティポリシー26に設定されている各セキュリティポリシー情報が適切な内容であるかを判定する。具体的には、例えば、暗号化の要否27、ワクチンソフトのインストール要否28、基本ソフトパッチの要否29、持出し禁止設定の要否30が全て「要」(「暗号化要」等)になっているかを判定し、「要」になっていない項目がある場合には、セキュリティポリシー違反であると判定する。
【0051】
セキュリティ管理機能23は、セキュリティポリシー違反を検出しなかった場合(S92の「NO」の処理)には、再びクライアントPC11の情報送信機能16からセキュリティポリシー情報等の情報が送信されるのを待ち続ける(S91)。逆にセキュリティポリシー違反を検出した場合(S92の「YES」の処理)には、当該クライアントPC11に警告メッセージ等の情報を送信する(S93)。このとき、情報送信先クライアントPC11のIPアドレス等は、クライアントID31によって知ることができる。より具体的には、セキュリティ管理サーバ12における図示しない記録装置に、予めクライアントID31とIPアドレス等を対にして記録しておけばよい。
【0052】
なお、上記実施の形態は、以下のように変更して実施してもよい。
・上記実施形態のシステムにおいては、セキュリティ管理サーバ12は1台であったが、例えば負荷分散を図るために、当該セキュリティ管理サーバ12を複数台設置するようにしてもよい。
・ネットワークは、インターネット13に限られることはなく、クライアントPC11とセキュリティ管理サーバ12とを通信可能に接続するための機器等であるから、LAN等であっても良い。また、有線ネットワーク、無線ネットワークのいずれでもよい。
【0053】
・上記実施形態のシステムにおいては、クライアント種別32が「モバイル端末」である場合のみに、セキュリティポリシー違反を判定すると記述したが、例えば据付型機器であるクライアントPC11についてもあるべき設定内容が定まっている場合には、クライアント種別32が「モバイル端末」でない場合にも、同様にセキュリティポリシー違反を判定することができる。また、例えば、予め各クライアントID31と所有部署の情報を結びつけてセキュリティ管理サーバ12の記録装置に記録しておき、所有部署によってセキュリティポリシー違反の判定方法を変更すると言ったことも可能である。
【0054】
・上記実施形態のシステムにおいては、説明を分かりやすくするためにセキュリティポリシー情報を限定的にいくつか例示したに過ぎない。セキュリティポリシー26は、このほか、セキュリティポリシーに係るいかなる情報を含んで構成されていてもよい。
【0055】
・上記実施形態のシステムにおいては、各クライアントPC11とセキュリティ管理サーバ12が常時インターネット13で接続されているかのように記述したが、例えば、クライアントPC11が移動中等でインターネット13に接続されずに使用されている場合にも、情報収集機能15は情報収集処理を行い、インターネット13に再び接続され、セキュリティ管理サーバ12と通信可能になった時点で情報送信機能16が情報を送信することができる。
【0056】
・さらに、クライアントPC11とセキュリティ管理サーバ12がインターネット13で接続されない状態で、所定時間以上クライアントPC11が使用された場合、情報収集機能15は表示装置19にUSBメモリ等のリムーバブルメディアの装着を要求するメッセージを表示し、利用者がリムーバブルメディアを装着するまでは入力操作等を禁止することができる。そして、リムーバブルメディアが装着された場合には、収集情報ファイル21に蓄積記録したレコードの情報をリムーバブルメディアに複製し、複製したレコードを収集情報ファイル21から削除して、記録装置18の設定情報ファイル22に複製先のリムーバブルメディアの装置識別情報を記録すればよい。
【0057】
このようにすることで、収集情報ファイル21の容量が大きくなりすぎて、記録装置18の記録可能容量をオーバーすることを防止することができる。このようにする場合、情報送信機能16は、記録装置18に複製先のリムーバブルメディアの装置識別情報が記録されているか否かを判定して、利用者に当該リムーバブルメディアの装着を要求する。そして、利用者がリムーバブルメディアを装着するまでは入力操作等を禁止し、適切なリムーバブルメディアを装着した場合には、当該リムーバブルメディアに複製されている収集情報ファイル21をセキュリティ管理サーバ12に送信するようにすれば良い。
【0058】
・さらに、クライアントPC11が長期間にわたって、セキュリティ管理サーバ12とインターネット13で接続されることなく使用されるような場合には、収集情報ファイル21を記録したリムーバブルメディアを物理的にセキュリティ管理サーバ12のセキュリティ管理者に配送し、セキュリティ管理サーバ12に装着して収集情報ファイル21を取得するようにしても良い。
【0059】
このようにすれば、リムーバブルメディアが配送されない場合、セキュリティ管理者はその事実によってクライアントPC11が適切に管理されていないことを推測することができる。また、例えば、収集情報ファイル21に記録されたレコードをリムーバブルメディアに複製した際、最新の1レコードだけは記録装置18から消去しないようにして、次回リムーバブルメディアに複製する際にも重複複製されるようにすることで、複数のリムーバブルメディアの連続性を保証することが可能になる。
【図面の簡単な説明】
【0060】
【図1】セキュリティ管理システムのシステム構成図。
【図2】クライアントPCの構成図。
【図3】セキュリティ管理サーバの構成図。
【図4】クライアントでの収集情報のデータ構成図。
【図5】送信情報のデータ構成図。
【図6】情報収集機能のフローチャート。
【図7】情報送信機能のフローチャート。
【図8】警告画面。
【図9】セキュリティ管理機能のフローチャート。
【符号の説明】
【0061】
11・・・端末装置としてのクライアントPC、
12・・・セキュリティ管理サーバ、
13・・・ネットワークとしてのインターネット、
23・・・判定機能としてのセキュリティ管理機能。
【技術分野】
【0001】
本発明は、情報処理機器のセキュリティ管理システムに関するものである。
【背景技術】
【0002】
コンピュータ・ハードウェアの高性能化、低価格化、小型化が進展するに伴い、日常生活のあらゆる側面でコンピュータを利用することが一般的になってきている。特に、現在では、コンピュータをLANやインターネット等のネットワークに接続して利用する機会がますます増加している。例えば、企業活動に必要な情報をサーバ装置で集中的に管理し、各従業員には端末装置としてのパーソナル・コンピュータ(以下、単に「PC」ともいう。)を使用させ、これをサーバ装置とネットワーク接続することで、業務上必要な情報を入手したり、サーバ装置の情報を更新したりするなどが行われている。
【0003】
こうしたネットワークを利用した情報の集中化と、PCなどの情報処理機器による情報アクセスが広く行われることに伴い、情報処理機器自体の紛失や、情報を記録した記録媒体の持ち出しによって発生する、いわゆる情報漏洩が大きな社会問題となってきている。そのため、情報漏洩を防止するためのさまざまな対策が行われている。最も一般的な方法としては、情報処理機器の起動時にいわゆるログイン画面を表示するとともに、正当な利用者IDとパスワードを入力しない限り当該情報処理機器を操作することができないようにするという対策が行われている。
【0004】
また、特許文献1に記載された発明のように、情報処理機器に自動暗号・復号プログラムをインストールしておき、ハードディスク等の記録媒体に情報を書き込む際に自動的に暗号化する。そして、読み出す際には自動的に復号化する技術も知られている。また、特許文献2に記載された発明のように、ネットワーク内にセキュリティ管理サーバを接続し、当該セキュリティ管理サーバによってネットワークに接続された各情報処理機器のセキュリティ状況を検査して監視画面に表示するという技術も知られている。こうした特許文献1、2に記載されている技術を組み合わせれば、暗号・復号プログラムのインストール有無を監視画面に表示することができるとともに、これによってセキュリティ管理者は、ネットワークに接続されている情報処理機器の全てに、自動暗号・復号プログラムがインストールされているかどうかを知ることができる。
【0005】
更には、特許文献3に記載された発明のように、機密フォルダ内に記録されたファイルについては、USBメモリ等のいわゆるリムーバブルメディアへの複製を禁止する技術も知られている。ところで、情報処理機器にさまざまな情報漏洩防止対策を施せば施すほど、情報漏洩のリスクは低くなる。しかしながら、その一方で、利用者にとって情報処理機器の使い勝手は悪くなる。したがって、むやみに情報漏洩防止対策を施すのではなく、当該情報処理機器の使用目的や使用場所等に応じて、当該情報処理機器が紛失する可能性等を判断し、最適な対策を施す必要がある。この目的を達成するためには、各情報処理機器にセキュリティポリシーを設定するという方法が一般的にとられている。
【0006】
ここで、セキュリティポリシーとは、例えば、起動許可情報を記録したリムーバブルメディアを装着した状態のみで情報処理機器を起動可能とする、あるいは、リムーバブルメディアにファイルの複製を禁止する等の、情報処理機器の動作条件を定義した情報のことである。具体的には1以上の「セキュリティポリシー」ファイルとして、情報処理機器に設定される。そして、各情報処理機器に適したセキュリティポリシーと、このセキュリティポリシーにしたがって動作のみが許可された監視プログラムとを、各情報処理機器にインストールすることで、当該情報処理機器の使用目的などに適合した対策を取ることができるのである。
【0007】
【特許文献1】特開2001−27964号公報
【特許文献2】特開平6−282527号公報
【特許文献3】特開2002−288030号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
ところで、情報処理機器はデスクトップPCなどの据付型機器と、ノートブックPCなどの携帯型機器に二分類することができる。据付型機器は卓上などの所定の位置に配置されており持ち運ぶことが予定されていない機器である。したがって運搬中に紛失するおそれはなく、頑丈なチェーン等で壁や机に結びつける等の対策により盗難を防止することができる。また、多くの場合、情報処理機器毎に使用者が決まっているため、無断使用によりファイルが複製される等のリスクも小さい。
【0009】
一方、携帯型機器はさまざまな場所に持ち運んで使用されることが多い。そのため、運搬中に紛失したり、盗難にあったりする可能性が高い。さらに、携帯型機器は、複数の不特定の使用者によって共有される場合も多い。そのため、ある使用者が作成して消去し忘れたファイルが、別の使用者によってリムーバブルメディアに複製されるといったリスクも存在する。
【0010】
したがって、情報処理機器にセキュリティポリシーを設定するに当たっては、一般的に、携帯型機器のセキュリティポリシーを厳しくし、例えば、携帯型機器については、起動許可情報の記録されたリムーバブルメディアを装着した状態のみで起動可能にする、あるいは、リムーバブルメディアがファイルを複製することについて一切禁止する等の設定が行われる。
【0011】
ここで、据付型機器であるか、携帯型機器であるかの相違は、突き詰めれば、運搬して使用するか否かという人為的な判断に依存する。このため、従来は、据付型機器であるか、携帯型機器を自動的に判定することは不可能であると考えられており、セキュリティポリシー設定時にセキュリティ管理者が判断すべき事項であるとされてきた。
【0012】
しかしながら、従来のように携帯型機器であるかの判断をセキュリティ管理者の判断にゆだねた場合、判断の誤りやセキュリティ管理者の不正行為等により、携帯型機器に据付型機器用のセキュリティポリシーが設定され、このために情報漏洩が発生するおそれがある。また逆に据付型機器に携帯型機器用のセキュリティポリシーが設定され、このために機器の使い勝手が悪くなる可能性もある。
【0013】
本発明は、こうした問題点を解決するためになされたものであり、対象機器が据付型機器であるか携帯型機器であるかを自動的に判定することで、適切なセキュリティポリシーが設定されているか否かを判断できるようにするセキュリティ管理システムを提供することにある。
【課題を解決するための手段】
【0014】
上記目的を達成するために、本発明のセキュリティ管理システムは、セキュリティ管理サーバと、ユーザに使用される端末装置とがネットワークに通信可能に接続されているコンピュータシステムを用いたセキュリティ管理システムであって、前記セキュリティ管理サーバは、前記端末装置が携帯型機器であるか否かを判定する判定機能を有することを特徴とする。
また、前記判定機能は、前記端末装置から、該端末装置に電源装置が搭載されているか否かについての情報を取得することで、前記端末装置が携帯型機器であるか否かを判定することを特徴とする。
さらに、前記判定機能は、前記端末装置が携帯型機器であると判定した場合、さらに前記端末装置から送信された情報に基づいて該端末装置がセキュリティポリシー違反に該当するか否かを判定することを特徴とする。
【発明の効果】
【0015】
本発明のセキュリティ管理システムによれば、対象機器が据付型機器であるか携帯型機器であるかを自動的に判定することで、適切なセキュリティポリシーが設定されているか否かを判断することが可能になる。
【発明を実施するための最良の形態】
【0016】
以下、本発明を適用したセキュリティ管理システムの一実施の形態について説明する。なお、本実施形態においては、携帯型機器の代表として、ノートブックPC等のいわゆるモバイルPCを例にして説明を行う。
図1に示すように、本システムは、端末装置としての複数のクライアントPC11、セキュリティ管理サーバ12、およびネットワークとしてのインターネット13で構成される。クライアントPC11とセキュリティ管理サーバ12とはインターネット13によって相互に通信可能に接続されている。
【0017】
図2に示すように、クライアントPC11は、セキュリティ管理機能14、情報収集機能15、情報送信機能16、および情報表示機能17の各機能を有している。実際には、一般的なPCと同様に、各機能に対応したプログラムがクライアントPC11の図示しない主記憶装置にローディングされる。そして、クライアントPC11の図示しないCPUが各プログラムの命令コードを実行することにより、上述した各機能が実現される。以降では、説明を簡潔にするため、セキュリティ管理機能14、情報収集機能15、情報送信機能16、および情報表示機能17の各ハードウェア機能が実態として存在しており、処理を実行するかのように記述する。
【0018】
さらに、クライアントPC11は、図2に示すように、記録装置18、表示装置19、入力装置20も備えている。
セキュリティ管理機能14は、情報収集機能15、情報送信機能16、および情報表示機能17の各機能を制御するための機能であり、クライアントPC11が起動されると処理を開始するとともに、適切なタイミングで、情報収集機能15、情報送信機能16、または情報表示機能17の各機能を実行させる。
【0019】
情報収集機能15は、クライアントPC11に設定されたセキュリティポリシー等の情報を収集して、記録装置18に記録するための機能である。また、情報送信機能16は、情報収集機能15が収集し、記録装置18に記録されたセキュリティポリシー等の情報を、セキュリティ管理サーバ12に送信するための機能である。そして、情報表示機能17は、セキュリティ管理サーバ12から送信された警告メッセージ等の情報を表示装置19に表示するための機能である。
【0020】
記録装置18は、具体的にはハードディスクやリムーバブルメディア等の内部または外部記録媒体である。当該記録装置18には、収集情報ファイル21や設定情報ファイル22が記録される。収集情報ファイル21には、情報収集機能15によって収集された、収集時点でのセキュリティポリシー等の情報が記録される。また、設定情報ファイル22には、セキュリティポリシー、情報収集機能15の起動タイミング等、当該クライアントPC11の動作条件を規定するさまざまな情報が記録される。設定情報ファイル22は1ファイルであってもよいし、複数のファイルの集合体であっても良い。なお、当然ながら、記録装置18には収集情報ファイル21、設定情報ファイル22以外のファイル、例えば、クライアントPC11の利用者によって作成された文書、スプレッドシート等のファイルも記録される。
【0021】
表示装置19はCRT、液晶表示装置等である。入力装置20はキーボード、マウス等の入力機器である。
セキュリティ管理サーバ12はPC等のコンピュータであり、図3に示すように、判定機能としてのセキュリティ管理機能23を有している。セキュリティ管理機能23は、クライアントPC11の情報送信機能16によって送信されたセキュリティポリシー等の情報を受信するとともに、この内容が当該クライアントPC11に関して適切であるか否かを判定する。セキュリティ管理機能23によって判定が適切でないと判定された場合には、セキュリティ管理サーバ12は、警告メッセージ等の情報をクライアントPC11に送信する。
【0022】
次に、本実施形態に係るクライアントPC11での収集情報ファイル21のデータ構成について説明する。図4に示すように、収集情報ファイル21には、情報収集機能15によって収集されたセキュリティポリシー等の情報が記録される。情報収集機能15は、例えば所定時間間隔でセキュリティポリシーを収集し続けるとともに、各時点において収集されたセキュリティポリシーを累積的に記録する。
【0023】
この目的を実現するために、収集情報ファイル21は、情報収集年月日・時刻24、セキュリティ管理サーバ送信状態25、およびセキュリティポリシー26の各データ項目から構成される。すなわち、収集情報ファイル21には、情報収集年月日・時刻24の異なる複数のレコードが記録可能である。ある時点に着目した場合、収集情報ファイル21のレコード数は0、1あるいは2以上であり得る。
【0024】
情報収集年月日・時刻24には、情報収集機能15によってセキュリティポリシー26等の収集された年月日・時刻が記録される。情報収集年月日・時刻24は、例えば、セキュリティ管理機能14によって情報収集機能15が起動された年月日・時刻であっても良いし、あるいは、情報収集機能15が記録装置18に収集情報ファイル21を書き込もうとする時点の年月日・時刻であっても良い。要するに、当該クライアントPC11において一貫性を持った年月日・時刻であれば良い。
【0025】
セキュリティ管理サーバ送信状態25には、当該レコードのセキュリティポリシー26等がセキュリティ管理サーバ12に送信済みであるか否かの状態が記録される。従って、情報収集機能15によってセキュリティポリシー26が収集されて、記録された時点では、「未送信」の状態が記録される。そして、情報送信機能16によって当該レコードのセキュリティポリシー26がセキュリティ管理サーバ12に送信された時点で「送信済み」状態に更新される。セキュリティ管理サーバ送信状態25は、後述するように、不要となったレコードを削除するために使用される。
【0026】
セキュリティポリシー26は、暗号化の要否27、ワクチンソフトのインストール要否28、基本ソフトパッチの要否29、持出し禁止設定の要否30等の、さまざまなセキュリティポリシー情報を総称する情報である。
暗号化の要否27には、クライアントPC11の利用者によって記録装置18に文書ファイル等が記録される場合に、当該文書ファイル等を暗号化して記録するか否かを示す情報が記録される。例えば、暗号化の要否27に「暗号化要」が設定されている場合は、図示しない記録装置18のI/O処理を行うドライバソフトが、記録対象ファイルを自動的に暗号化して記録する。
【0027】
ワクチンソフトのインストール要否28には、当該クライアントPC11に所定のワクチンソフトがインストールされていることを要するか否かを示す情報が記録される。例えば、クライアントPC11に、図示しないワクチンインストールプログラムをインストールしておく。そして、クライアントPC11の起動時にワクチンインストールプログラムが起動されるようにすることができる。
【0028】
ワクチンインストールプログラムは、ワクチンソフトのインストール要否28に「インストール要」が設定されている場合には、インターネット13に接続されている図示しないワクチン管理サーバから最新ワクチンソフトをダウンロードしてインストールする。このようにすることで、当該クライアントPC11は、常に最新のワクチンソフトがインストールされた状態で動作することを保証することができる。
【0029】
基本ソフトパッチの要否29には、当該クライアントPC11の基本ソフトに、常に最新状態のパッチが施されていることを要するか否かを示す情報が記録される。例えば、クライアントPC11に、図示しない基本ソフトパッチプログラムをインストールしておく。そして、クライアントPC11起動時に基本ソフトパッチプログラムが起動されるようにすることができる。基本ソフトパッチプログラムは、基本ソフトパッチの要否29に「パッチ要」が設定されている場合は、インターネット13に接続されている図示しないパッチ管理サーバから最新パッチをダウンロードして施す。このようにすることで、当該クライアントPC11は、常に最新状態、すなわちセキュリティホールが最大限に塞がれた基本ソフトによって動作することを保証することができる。
【0030】
持出し禁止設定の要否30には、当該クライアントPC11の利用者がリムーバブルメディアに情報を複製する行為が許されるか否かを示す情報が記録される。例えば、持出し禁止設定の要否30に「禁止設定要」が設定されている場合には、クライアントPC11の利用者がリムーバブルメディアに情報を複製しようとした場合、リムーバブルメディアのI/O処理を行うドライバソフトは、複製を行わない。
【0031】
送信情報には、情報収集機能15によって収集されるとともに、収集情報ファイル21に記録されたセキュリティポリシー情報等が設定される。具体的には、図5に示すように、情報収集年月日・時刻およびセキュリティポリシーの各データ項目が、それぞれ情報収集年月日・時刻24およびセキュリティポリシー26に設定される。
【0032】
送信情報としては、この他に、クライアントID31とクライアント種別32とが設定される。クライアントID31は、本システムにおいて各クライアントPC11を一意に識別するための情報であり、例えば、クライアントPC11のセキュリティポリシー情報を設定する際に、設定情報ファイル22に記録しておけばよい。クライアント種別32は当該クライアントPC11が「モバイル端末」すなわち携帯型機器であるか否かを識別するための情報である。
【0033】
次に、本システムにおける処理の流れについて説明する。
セキュリティ管理機能14の動作については図示しないが、クライアントPC11が起動されると、セキュリティ管理機能14が処理を開始する。セキュリティ管理機能14は、クライアントPC11が停止するまで、常駐プロセスとして動作を続ける。セキュリティ管理機能14の主な機能は、以下の3つである。
【0034】
1)クライアントPC11の現在年月日・時刻が所定の年月日・時刻に到達した場合に、情報収集機能15を起動する。この「所定の年月日・時刻」は、例えば、セキュリティ管理機能14が起動された直後であっても良いし、利用者がクライアントPC11の停止を指示したときであっても良い。あるいは、情報収集機能15が起動された最新の年月日・時刻を設定情報ファイル22に記録しておき、この最新の年月日・時刻から所定時間(例えば1時間)後に再び情報収集機能15を起動するようにしても良い。さらに、以上の条件とは別に、または以上の条件に加えて、CPU使用率が所定値以下になった場合に情報収集機能15を起動するようにしても良い。
【0035】
2)クライアントPC11の現在年月日・時刻が所定の年月日・時刻に到達した場合に、情報送信機能16を起動する。この「所定の年月日・時刻」は、例えば、情報収集機能15を起動した後、所定時間後とすることができる。あるいは、情報送信機能16を起動した最新の年月日・時刻を記録しておき、この最新の年月日・時刻から所定時間(例えば1時間)後に再び情報送信機能16を起動するようにしても良い。さらに、以上の条件とは別に、または以上の条件に加えて、CPU使用率が所定値以下になった場合に情報送信機能16を起動するようにしても良い。
【0036】
3)クライアントPC11の現在年月日・時刻が所定の年月日・時刻に到達した場合に、セキュリティ管理サーバ12から送信された警告メッセージ等の情報の有無を確認するとともに、情報が送信されている場合には情報表示機能17を起動する。なお、情報表示機能17起動時には、セキュリティ管理サーバ12から送信された警告メッセージ等の情報を、情報表示機能17に引き渡す。この「所定の年月日・時刻」は、例えば、セキュリティ管理機能14が起動された後、所定時間(例えば1分)間隔とすることができる。
【0037】
次に、情報収集機能15、情報送信機能16、情報表示機能17の各機能について、その動作を説明する。
まず、情報収集機能15の処理について説明する。
情報収集機能15が起動されると、当該情報収集機能15は、現在年月日・時刻、および設定情報ファイル22に記録されているセキュリティポリシー情報を定期的に収集する(S61)。そして、収集情報ファイル21の新たなレコードを作成して当該収集された情報を蓄積記録する(S62)。
【0038】
このとき、情報収集年月日・時刻24にはシステム年月日・時刻が設定される。また、セキュリティ管理サーバ送信状態25には「未送信」が設定される。そして、セキュリティポリシー26には収集されたセキュリティポリシー情報が設定される。なお、S62の処理においては、収集情報ファイル21に蓄積記録済みのレコードのうち、情報収集年月日・時刻24が最新のレコードに記録されているセキュリティポリシー26と、収集されたセキュリティポリシー情報の内容とを比較し、相違がある場合にのみ、新たなレコードを作成して蓄積記録するようにしても良い。
【0039】
このようにすることで、同じセキュリティポリシー情報が重複して蓄積記録されセキュリティ管理サーバ12に送信されることを避けることができ、不要な処理によるネットワークトラフィックの増大を避けることができる。
情報収集機能15は、次に、収集情報ファイル21に蓄積記録されている各レコードのセキュリティ管理サーバ送信状態25が「送信済み」となっているレコード(すなわち不要となった情報)を削除する(S63)。
【0040】
次に、情報送信機能16の処理について説明する。
図7に示すように、情報送信機能16が起動されると、情報送信機能16は、収集情報ファイル21に蓄積記録済みのレコードのうち、セキュリティ管理サーバ送信状態25が「未送信」のレコードを定期的に検索する(S71)。「未送信」のレコードが存在しない場合には処理を終了する(S72の「NO」の場合)。一方、「未送信」のレコードが存在する場合には、セキュリティ管理サーバ12との通信を開始し、通信できない場合には処理を終了する(S73の「NO」の場合)。
【0041】
セキュリティ管理サーバ12との通信が可能である場合には、セキュリティ管理サーバ送信状態25が「未送信」のレコードの情報収集年月日・時刻24およびセキュリティポリシー26に設定されている内容を、情報収集年月日・時刻24が古い順に、セキュリティ管理サーバ12に送信する(S74)。具体的には、クライアントID31には、設定情報ファイル22に記録されているクライアントPC11を本システム内で位置に識別可能な情報を設定するとともに、情報収集年月日・時刻24とセキュリティポリシー26には、それぞれ情報収集年月日・時刻24とセキュリティポリシー26の内容とを設定する。
【0042】
また、クライアント種別32は、当該クライアントPC11にバッテリー等の電源装置が搭載されているか否かを判定する情報である。そして、電源装置が搭載されている場合には「モバイル端末(携帯型機器)」である旨の情報を、搭載されていない場合には「据付型端末」である旨の情報を設定する。すなわち、PCに限らず携帯型機器であれば、端末外部から電源供給を受けることが困難な環境で使用されることが予定されているため、端末内部に何らかの電源装置を設けざるを得ない。よって、バッテリー等の電源装置が搭載されているか否かは、当該端末がモバイル端末であるか否かを判定することと、セキュリティ管理上は同一の意味を持つことになる。
【0043】
ここで、バッテリー等の電源装置が搭載されている場合には、バッテリー残量を利用者が知る必要があるため、PCの基本ソフトは一般的にバッテリー等の電源残量を通知するためのAPI(Application Program Interface)を有している。さらに、アプリケーションプログラムが当該APIを使用する前提として、アプリケーションプログラムは当該PCがそもそもバッテリー等の電源を搭載しているか否かを知る必要がある。そのため、PCの基本ソフトは一般的にバッテリー等の電源を搭載しているか否かを通知するためのAPIを有している。例えば基本ソフトであるWindowsXP(登録商標)であれば、GetSystemPowerStatus関数を適切に発行することによってバッテリー等の電源を搭載しているか否かを知ることができる。他の基本ソフトについても同様なAPIが存在する。
【0044】
情報送信機能16は送信処理(S74)が終了した後に、セキュリティ管理サーバ12に送信したレコードのセキュリティ管理サーバ送信状態25を「送信済み」に更新する(S75)。S74の処理において、セキュリティ管理サーバ送信状態25が「未送信」のレコードの設定内容を全て送信するのでなく、セキュリティ管理サーバ送信状態25が「未送信」のレコードのうち、情報収集年月日・時刻24が最新のレコードについてのみ、設定内容を送信するようにしてもよい。
【0045】
このようにした場合には、一時的にセキュリティポリシー情報の設定が不適切な内容に変更され、その後、元の適切な設定に戻されたような場合、最終状態のみがセキュリティ管理サーバ12に送信されるので、セキュリティ管理サーバ12では当該クライアントPC11のセキュリティポリシーについては何ら問題がないと判断することになる。この結果、現時点ではセキュリティポリシー情報が適切に設定されているクライアントPC11に対して、セキュリティ管理サーバ12から警告情報等が送られ、クライアントPC11の現時点の利用者には警告理由が分からず対応に苦慮するといった事態を防ぐことができる。ただし、このようにした場合には、逆に、一時的に悪意を持ったセキュリティポリシー情報の変更が行われたような場合に、そのことに気付くことがなくなるという危険がある。
【0046】
なお、セキュリティ管理サーバ送信状態25が「未送信」のレコードのうち、情報収集年月日・時刻24が最新のレコードについてのみ、設定内容を送信するようにした場合にも、セキュリティ管理サーバ送信状態25が「未送信」のレコード全てについて「送信済み」に変更し、前述したS63の処理により、不要レコードとして削除されるようにする必要がある。
【0047】
次に、情報表示機能17の処理について説明する。
情報表示機能17が起動されると、情報表示機能17は、セキュリティ管理機能14から引き渡された警告メッセージ等の情報を表示装置19に表示する。図8に示すように、表示装置19の表示面上にすでに1以上の画面33(例えば別のアプリケーションソフトの画面)が表示されているような場合、警告画面34は、これらの画面33の最上層に表示される。
【0048】
また、警告画面34を表示すると共に、入力装置20等の操作ができないようにし(以下「操作ロック」と記述する)、不適切なセキュリティポリシー情報が設定された状態での操作を続けることができないようにしても良い。この場合には、例えば、警告画面34にパスワードの入力欄およびボタンを設け、このパスワード欄への入力操作とボタンの押下(マウスによるクリック等)操作のみを許すようにすれば良い。そして、情報表示機能17は警告表示後、ボタンクリックを待ち、ボタンがクリックされた場合にはパスワード欄の入力内容が予め定めた所定値と一致するかどうかを判定し、一致する場合には操作ロックを解除し、不一致の場合には操作ロックを継続する。
【0049】
このようにすることで、操作ロックされた時点でのクライアントPC11の利用者による操作継続を防止しつつ、適切なパスワードを知っているセキュリティ管理者による操作ロック、およびクライアントPC11の調査等を可能にすることができる。
次に、セキュリティ管理サーバ12のセキュリティ管理機能23について、その動作を説明する。
【0050】
図9に示すように、セキュリティ管理サーバ12が起動されると、セキュリティ管理機能23が処理を開始する。セキュリティ管理機能23は、クライアントPC11の情報送信機能16からセキュリティポリシー情報等の情報が送信されるのを待ち続ける(S91)。情報が送信された場合には、受信した情報のクライアント種別32を判定する。クライアント種別32が「モバイル端末」である場合には、セキュリティポリシー26に設定されている各セキュリティポリシー情報が適切な内容であるかを判定する。具体的には、例えば、暗号化の要否27、ワクチンソフトのインストール要否28、基本ソフトパッチの要否29、持出し禁止設定の要否30が全て「要」(「暗号化要」等)になっているかを判定し、「要」になっていない項目がある場合には、セキュリティポリシー違反であると判定する。
【0051】
セキュリティ管理機能23は、セキュリティポリシー違反を検出しなかった場合(S92の「NO」の処理)には、再びクライアントPC11の情報送信機能16からセキュリティポリシー情報等の情報が送信されるのを待ち続ける(S91)。逆にセキュリティポリシー違反を検出した場合(S92の「YES」の処理)には、当該クライアントPC11に警告メッセージ等の情報を送信する(S93)。このとき、情報送信先クライアントPC11のIPアドレス等は、クライアントID31によって知ることができる。より具体的には、セキュリティ管理サーバ12における図示しない記録装置に、予めクライアントID31とIPアドレス等を対にして記録しておけばよい。
【0052】
なお、上記実施の形態は、以下のように変更して実施してもよい。
・上記実施形態のシステムにおいては、セキュリティ管理サーバ12は1台であったが、例えば負荷分散を図るために、当該セキュリティ管理サーバ12を複数台設置するようにしてもよい。
・ネットワークは、インターネット13に限られることはなく、クライアントPC11とセキュリティ管理サーバ12とを通信可能に接続するための機器等であるから、LAN等であっても良い。また、有線ネットワーク、無線ネットワークのいずれでもよい。
【0053】
・上記実施形態のシステムにおいては、クライアント種別32が「モバイル端末」である場合のみに、セキュリティポリシー違反を判定すると記述したが、例えば据付型機器であるクライアントPC11についてもあるべき設定内容が定まっている場合には、クライアント種別32が「モバイル端末」でない場合にも、同様にセキュリティポリシー違反を判定することができる。また、例えば、予め各クライアントID31と所有部署の情報を結びつけてセキュリティ管理サーバ12の記録装置に記録しておき、所有部署によってセキュリティポリシー違反の判定方法を変更すると言ったことも可能である。
【0054】
・上記実施形態のシステムにおいては、説明を分かりやすくするためにセキュリティポリシー情報を限定的にいくつか例示したに過ぎない。セキュリティポリシー26は、このほか、セキュリティポリシーに係るいかなる情報を含んで構成されていてもよい。
【0055】
・上記実施形態のシステムにおいては、各クライアントPC11とセキュリティ管理サーバ12が常時インターネット13で接続されているかのように記述したが、例えば、クライアントPC11が移動中等でインターネット13に接続されずに使用されている場合にも、情報収集機能15は情報収集処理を行い、インターネット13に再び接続され、セキュリティ管理サーバ12と通信可能になった時点で情報送信機能16が情報を送信することができる。
【0056】
・さらに、クライアントPC11とセキュリティ管理サーバ12がインターネット13で接続されない状態で、所定時間以上クライアントPC11が使用された場合、情報収集機能15は表示装置19にUSBメモリ等のリムーバブルメディアの装着を要求するメッセージを表示し、利用者がリムーバブルメディアを装着するまでは入力操作等を禁止することができる。そして、リムーバブルメディアが装着された場合には、収集情報ファイル21に蓄積記録したレコードの情報をリムーバブルメディアに複製し、複製したレコードを収集情報ファイル21から削除して、記録装置18の設定情報ファイル22に複製先のリムーバブルメディアの装置識別情報を記録すればよい。
【0057】
このようにすることで、収集情報ファイル21の容量が大きくなりすぎて、記録装置18の記録可能容量をオーバーすることを防止することができる。このようにする場合、情報送信機能16は、記録装置18に複製先のリムーバブルメディアの装置識別情報が記録されているか否かを判定して、利用者に当該リムーバブルメディアの装着を要求する。そして、利用者がリムーバブルメディアを装着するまでは入力操作等を禁止し、適切なリムーバブルメディアを装着した場合には、当該リムーバブルメディアに複製されている収集情報ファイル21をセキュリティ管理サーバ12に送信するようにすれば良い。
【0058】
・さらに、クライアントPC11が長期間にわたって、セキュリティ管理サーバ12とインターネット13で接続されることなく使用されるような場合には、収集情報ファイル21を記録したリムーバブルメディアを物理的にセキュリティ管理サーバ12のセキュリティ管理者に配送し、セキュリティ管理サーバ12に装着して収集情報ファイル21を取得するようにしても良い。
【0059】
このようにすれば、リムーバブルメディアが配送されない場合、セキュリティ管理者はその事実によってクライアントPC11が適切に管理されていないことを推測することができる。また、例えば、収集情報ファイル21に記録されたレコードをリムーバブルメディアに複製した際、最新の1レコードだけは記録装置18から消去しないようにして、次回リムーバブルメディアに複製する際にも重複複製されるようにすることで、複数のリムーバブルメディアの連続性を保証することが可能になる。
【図面の簡単な説明】
【0060】
【図1】セキュリティ管理システムのシステム構成図。
【図2】クライアントPCの構成図。
【図3】セキュリティ管理サーバの構成図。
【図4】クライアントでの収集情報のデータ構成図。
【図5】送信情報のデータ構成図。
【図6】情報収集機能のフローチャート。
【図7】情報送信機能のフローチャート。
【図8】警告画面。
【図9】セキュリティ管理機能のフローチャート。
【符号の説明】
【0061】
11・・・端末装置としてのクライアントPC、
12・・・セキュリティ管理サーバ、
13・・・ネットワークとしてのインターネット、
23・・・判定機能としてのセキュリティ管理機能。
【特許請求の範囲】
【請求項1】
セキュリティ管理サーバと、ユーザに使用される端末装置とがネットワークに通信可能に接続されているコンピュータシステムを用いたセキュリティ管理システムであって、
前記セキュリティ管理サーバは、前記端末装置が携帯型機器であるか否かを判定する判定機能を有することを特徴とするセキュリティ管理システム。
【請求項2】
前記判定機能は、前記端末装置から、該端末装置に電源装置が搭載されているか否かについての情報を取得することで、前記端末装置が携帯型機器であるか否かを判定することを特徴とする請求項1に記載のセキュリティ管理システム。
【請求項3】
前記判定機能は、前記端末装置が携帯型機器であると判定した場合、さらに前記端末装置から送信された情報に基づいて該端末装置がセキュリティポリシー違反に該当するか否かを判定することを特徴とする請求項2に記載のセキュリティ管理システム。
【請求項1】
セキュリティ管理サーバと、ユーザに使用される端末装置とがネットワークに通信可能に接続されているコンピュータシステムを用いたセキュリティ管理システムであって、
前記セキュリティ管理サーバは、前記端末装置が携帯型機器であるか否かを判定する判定機能を有することを特徴とするセキュリティ管理システム。
【請求項2】
前記判定機能は、前記端末装置から、該端末装置に電源装置が搭載されているか否かについての情報を取得することで、前記端末装置が携帯型機器であるか否かを判定することを特徴とする請求項1に記載のセキュリティ管理システム。
【請求項3】
前記判定機能は、前記端末装置が携帯型機器であると判定した場合、さらに前記端末装置から送信された情報に基づいて該端末装置がセキュリティポリシー違反に該当するか否かを判定することを特徴とする請求項2に記載のセキュリティ管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2008−102702(P2008−102702A)
【公開日】平成20年5月1日(2008.5.1)
【国際特許分類】
【出願番号】特願2006−284133(P2006−284133)
【出願日】平成18年10月18日(2006.10.18)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成20年5月1日(2008.5.1)
【国際特許分類】
【出願日】平成18年10月18日(2006.10.18)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]