ログ作成装置、ログ作成方法およびログ作成プログラム
【課題】個人情報を含まないログファイルからでも個人情報を含む元の完全なログの復元を可能にすること。
【解決手段】個人情報と操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力手段と、置換記号列を生成する置換記号列生成手段と、ログ出力手段より出力されたログの中から操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を置換記号列に置換する個人情報記号列置換手段と、置換対象情報と置換記号列とを相互に対応付けて対応表ファイルに記録すると共に、個人情報記号列置換手段によって置換対象情報が置換記号列に置換されたログをログファイルに記録する情報記録手段と、を備える。
【解決手段】個人情報と操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力手段と、置換記号列を生成する置換記号列生成手段と、ログ出力手段より出力されたログの中から操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を置換記号列に置換する個人情報記号列置換手段と、置換対象情報と置換記号列とを相互に対応付けて対応表ファイルに記録すると共に、個人情報記号列置換手段によって置換対象情報が置換記号列に置換されたログをログファイルに記録する情報記録手段と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ログ作成装置、ログ作成方法およびログ作成プログラムに関する。
【背景技術】
【0002】
コンピュータシステムのセキュリティおよび信頼性向上の観点から、システムログ情報の管理・解析は非常に重要である。このログ情報は総じて情報量が多く、解析作業に多くの時間を要するものであるが、障害時の解析能力向上やユーザの個人情報の定義の違い等を考慮すると、ログ情報中に個人情報が含まれる可能性を排除できないことが多い。
【0003】
このような背景の下、ユーザに課される規則によってログ情報の閲覧や障害解析時におけるログ情報の持ち出しが規制されていると、障害解析に時間がかかったり、ユーザが個人情報閲覧のリスクを受け入れざるを得なかったりする課題があった。このような課題の解決方法として、例えば特開2008−117152号公報には、個人情報など秘密を維持する必要がある情報をログ情報として記憶する対象から除外する技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−117152号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示されている技術では、作成されたログファイルから個人情報が削除されてしまうため、後に元の個人情報を含むログが必要になった場合でも、削除されてしまった個人情報を復元することが不可能であり、ログの解析に支障がでる可能性が残るという課題があった。
【0006】
本発明は、上述した課題を解決するためになされたものであり、個人情報を含まないログファイルからでも個人情報を含む元の完全なログの復元を可能にすることを目的とする。
【課題を解決するための手段】
【0007】
本発明のログ作成装置は、入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力手段と、置換記号列を生成する置換記号列生成手段と、前記ログ出力手段より出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換手段と、前記置換対象情報と前記置換記号列とが相互に対応付けられて記録される対応表ファイルと、前記ログが記録されるログファイルと、前記置換対象情報と前記置換記号列とを相互に対応付けて前記対応表ファイルに記録すると共に、前記個人情報記号列置換手段によって前記置換対象情報が前記置換記号列に置換されたログを前記ログファイルに記録する情報記録手段と、を備える。
【0008】
前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理手段を更に備えていてもよい。
【0009】
前記置換記号列生成手段は、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成する手段でもよい。
【0010】
本発明のログ作成方法は、入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力ステップと、置換記号列を生成する置換記号列生成ステップと、前記ログ出力ステップにて出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換ステップと、前記置換対象情報と前記置換記号列とを相互に対応付けて対応表ファイルに記録すると共に、前記個人情報記号列置換ステップにおいて前記置換対象情報が前記置換記号列に置換されたログをログファイルに記録する情報記録ステップと、を備える。
【0011】
前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理ステップを更に備えていてもよい。
【0012】
前記置換記号列生成ステップは、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成するステップでもよい。
【0013】
本発明のログ作成プログラムは、上記ログ作成方法に含まれる各ステップをコンピュータに実行させる。
【0014】
上記の構成では、ログの出力内容から個人情報(又は/及び個人情報の可能性を有する情報)を別の記号列(例えば、英字、数字、英数字からなる文字列等)に置換し、個人情報と置換記号列との対応表を別ファイル(対応表ファイル)に保存することにより、個人情報を除いたログファイルが作成される。これにより、個人情報保護の規則が厳しくなる中でも安心してログの閲覧や持ち出しが可能となる。
【0015】
また、対応表ファイルをログファイルとは別ファイルによって保存することにより、例えばログ調査の結果、ログ中の個人情報部分が必要になった場合でも、特定の管理者(個人情報を扱える管理者)から個人情報閲覧の許可が得られれば、対応表ファイルの保存内容に基づいて個人情報部分を含む完全なログを復元することができるので、情報の欠落を防ぐことが可能となる。この場合、対応表ファイルにはアクセス権管理によって特定の管理者のみがアクセス可能(閲覧可能)になり、その者以外はアクセス不可(閲覧不可)となる。
【発明の効果】
【0016】
本発明によれば、個人情報を含まないログファイルの作成が可能になる一方で、この個人情報を含まないログファイルからでも個人情報を含む元の完全なログの復元が可能となる。
【図面の簡単な説明】
【0017】
【図1】本発明の一実施形態に係るログ作成装置の概略構成を例示するブロック図である。
【図2】図1に示すログ作成装置によって実施されるログ作成方法の処理手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0018】
以下、添付図面を参照して、本発明に係るログ作成装置、ログ作成方法およびログ作成プログラムの好適な実施形態について説明する。
【0019】
まず、図1を参照して、本発明の一実施形態に係るログ作成装置の概略構成について説明する。図1に示すように、ログ作成装置は、プログラム制御により動作するサーバ(中央処理装置;プロセッサ;データ処理装置)100を備えて構成されている。
【0020】
サーバ100は、例えばLAN等のネットワークや公衆回線などによって他のエリアに配設されているパソコンなどの端末と接続されていて、端末を操作するユーザ(操作者)に対して所定のサービスを提供する手段(通常のサーバー機能)101と、ログを出力する手段(ログ出力機能)102と、置換文字列(置換記号列)を生成する手段(置換文字列生成機能)103と、個人情報を含む文字列を置換する手段(個人情報文字列置換機能)104と、情報をファイルに記録する手段(情報記録機能)105と、アクセス権を管理する手段(アクセス権管理機能)106と、を含む。
【0021】
所定のサービスを提供するサービス提供手段101は、端末の入出力部を操作するユーザからの要求に応じて、例えばファイルサービスやHTTPサービスなどのアプリケーションサービスを提供する。ログを出力するログ出力手段102は、少なくともユーザ操作に関連する処理履歴情報、例えばアプリケーションサービス提供時のユーザ処理履歴や、処理失敗時の動作履歴等を含む情報をログとして出力し、このログは個人情報文字列置換手段104に入力される。
【0022】
置換文字列生成手段103は、例えば「aaaa」からなる文字列の下1桁から順に一文字ずつアルファベットを繰り上げることにより、置換文字列を生成する。例えば、「aaaa」からなる文字列からスタートした場合に次に生成される置換文字列は「aaab」であり、さらにその次に生成される置換文字列は「aaac」である。そして、「aaaz」の次に生成される置換文字列は「aaba」となる。「zzzz」まで使用すると、これまでは4文字からなっていた文字列に1つ文字数を増やして「aaaaa」からスタートする文字列を生成する。「zzzzz」まで使用すると、以後同様に文字数を1ずつ増やして置換文字列を生成する。
【0023】
個人情報文字列置換手段104は、ログ出力手段102で出力されたログの中で個人情報が含まれている部分あるいは個人情報が含まれる可能性のある部分(以下、「個人情報部分」という。)を特定し、この個人情報部分を置換文字列生成手段103によって生成した置換文字列(ログ中の文脈と何ら関連のない文字列)に置換してログの内容を更新し、更新したログを情報記録手段105に出力する。
【0024】
個人情報文字列置換手段104は、個人情報部分が特定される毎に新規に生成された置換文字列を当該個人情報部分に1つずつ割り当てるので、同じ置換文字列が再使用されることはない。すなわち、置換対象となる個人情報部分がログ中に複数個所存在する場合には、その個人情報部分の数と同数かつそれらの全てが相互に異なる置換文字列を使用する。なお、ログの出力内容は、もともとサービス提供手段101によって作成されるものであるから、個人情報部分を特定することは容易に可能である。
【0025】
個人情報文字列置換手段104は、置換に使用した置換文字列と、置換前の文字列である個人情報部分とを相互に対応付けた対応テーブルを作成し、この対応テーブルを情報記録手段105に出力する。そして、情報記録手段105は、個人情報部分が置換文字列によって置換されたログをログファイル107に追記すると共に、対応テーブルを対応表ファイル108に追記する。
【0026】
アクセス権管理手段106は、個人情報を含まないログファイル107に対しては一般の管理者が読み書きできる権限を付与し、個人情報を含む対応表ファイル108に対しては特定の管理者(個人情報を扱う権限を有する管理者)のみが読み書き、その他の処理を実行できる権限を付与する。
【0027】
次に、図1及び図2のフローチャートを参照しながら、上記構成からなるログ作成装置を用いて実施されるログ作成方法及びその方法を実行させるプログラムの一動作例について詳細に説明する。
【0028】
まず、通常のサーバ機能がサービスを提供している状態で、何らかの契機(イベント)発生をトリガーにしてログ出力機能にログの出力要求が入力される(図2のステップA1)と、個人情報文字列置換機能はログの内容をチェックする(ステップA2)。個人情報文字列置換機能はさらに、前記チェックの結果、ログ中に個人情報部分があるかどうかを判断する(ステップA3)。
【0029】
そして、個人情報部分があると判断された場合(ステップA3で「Yes」)は、置換文字列生成機能は置換文字列を生成し(ステップA4)、個人情報文字列置換機能は、生成された置換文字列を使用してログ内の個人情報部分を置換する(ステップA5)。このとき、個人情報文字列置換機能は、置換に使用した置換文字列と、置換された個人情報部分とを相互に対応付けた対応テーブルも作成する。
次いで、情報記録機能は、置換文字列によって個人情報部分が置換されたログをログファイルに記録する(ステップA6)。また、情報記録機能は、置換に使用した置換文字列と、置換された個人情報部分とを相互に対応付けた対応テーブルを対応表ファイルに記録する(ステップA7)。
【0030】
最後に、アクセス権管理機能が、ログファイルおよび対応表ファイルのアクセス権を管理者が有する権限に応じて管理者毎に割り振り、ファイル毎のアクセス権を適切に保つ(ステップA8)。
【0031】
上記の実施形態によれば、ログ記録時にログ内容中の個人情報部分が個人情報とは何ら関連のない文字列に置換されるため、ログに個人情報が含まれる場合でも個人情報を含まないログファイルを作成することができる。しかも、置換された文字列が特定の管理者(個人情報を扱う権限を有する管理者)のみがアクセス可能な対応表ファイルに保存されるため、個人情報を含む元の完全なログが必要になった場合には、個人情報を含まないログファイルからでも特定の管理者の裁量により後からログを復元することができる。
【0032】
なお、上述した実施形態は、単なる例示に過ぎず、実施形態に明示していない種々の変形や技術の適用を妨げるものではない。すなわち、本発明は、その趣旨を逸脱しない範囲で様々な形態に変形して実施することができる。
【0033】
例えば、上述の実施形態では、個人情報文字列置換手段104が、置換文字列と置換された個人情報部分との対応付けを表す対応テーブルを作成し、この対応テーブルを情報記録手段105が対応表ファイルに記録する例について説明したが、個人情報文字列置換手段104が個人情報部分を置換文字列に置換する都度、情報記録手段105が置換文字列と置換された個人情報部分との対応付けを対応表ファイルに記録するようにしてもよい。
【0034】
また、個人情報を含む元の完全なログの復元が必要になった場合に、アクセス権管理手段106にアクセスが許可されている管理者からのログ要求に応じて、ログファイル107と対応表ファイル108とを参照し、個人情報部分を置換文字列によって置換する前のログを自動的に復元するログ復元手段をサーバ100が備えるようにしてもよい。
【0035】
最後に、上記の各実施形態の一部または全部は、以下の付記のようにも記載され得るが、本発明を以下に限定するものではない。
【0036】
(付記1)入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力手段と、置換記号列を生成する置換記号列生成手段と、前記ログ出力手段より出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換手段と、前記置換対象情報と前記置換記号列とが相互に対応付けられて記録される対応表ファイルと、前記ログが記録されるログファイルと、前記置換対象情報と前記置換記号列とを相互に対応付けて前記対応表ファイルに記録すると共に、前記個人情報記号列置換手段によって前記置換対象情報が前記置換記号列に置換されたログを前記ログファイルに記録する情報記録手段と、を備えるログ作成装置。
【0037】
(付記2)前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理手段を備える付記1記載のログ作成装置。
【0038】
(付記3)前記置換記号列生成手段は、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成する付記1又は2に記載のログ作成装置。
【0039】
(付記4)入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力ステップと、置換記号列を生成する置換記号列生成ステップと、前記ログ出力ステップにて出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換ステップと、前記置換対象情報と前記置換記号列とを相互に対応付けて対応表ファイルに記録すると共に、前記個人情報記号列置換ステップにおいて前記置換対象情報が前記置換記号列に置換されたログをログファイルに記録する情報記録ステップと、を備えるログ作成方法。
【0040】
(付記5)前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理ステップを備える付記4に記載のログ作成方法。
【0041】
(付記6)前記置換記号列生成ステップは、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成する付記4又は5に記載のログ作成方法。
【0042】
(付記7)付記4から6のいずれかに記載の各ステップをコンピュータに実行させるためのログ作成プログラム。
【産業上の利用可能性】
【0043】
本発明は、処理履歴としてのログを保持し、ログファイルのアクセス権を階層的に保持する電子機器で、個人情報を除いたログファイルを生成することで、個人情報漏洩の心配なく電子機器の販売メーカーにログ調査を依頼するといった用途に適用できる。また、データセンター等で複数の企業のサーバが混在する環境でも、個人情報を除外したログファイルにより、安心して運用管理会社に運用を依託するといった用途にも適用できる。
【符号の説明】
【0044】
100 サーバ
101 サービス提供手段
102 ログ出力手段
103 置換文字列生成手段
104 個人情報文字列置換手段
105 情報記録手段
106 アクセス権管理手段
107 ログファイル
108 対応表ファイル
【技術分野】
【0001】
本発明は、ログ作成装置、ログ作成方法およびログ作成プログラムに関する。
【背景技術】
【0002】
コンピュータシステムのセキュリティおよび信頼性向上の観点から、システムログ情報の管理・解析は非常に重要である。このログ情報は総じて情報量が多く、解析作業に多くの時間を要するものであるが、障害時の解析能力向上やユーザの個人情報の定義の違い等を考慮すると、ログ情報中に個人情報が含まれる可能性を排除できないことが多い。
【0003】
このような背景の下、ユーザに課される規則によってログ情報の閲覧や障害解析時におけるログ情報の持ち出しが規制されていると、障害解析に時間がかかったり、ユーザが個人情報閲覧のリスクを受け入れざるを得なかったりする課題があった。このような課題の解決方法として、例えば特開2008−117152号公報には、個人情報など秘密を維持する必要がある情報をログ情報として記憶する対象から除外する技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−117152号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示されている技術では、作成されたログファイルから個人情報が削除されてしまうため、後に元の個人情報を含むログが必要になった場合でも、削除されてしまった個人情報を復元することが不可能であり、ログの解析に支障がでる可能性が残るという課題があった。
【0006】
本発明は、上述した課題を解決するためになされたものであり、個人情報を含まないログファイルからでも個人情報を含む元の完全なログの復元を可能にすることを目的とする。
【課題を解決するための手段】
【0007】
本発明のログ作成装置は、入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力手段と、置換記号列を生成する置換記号列生成手段と、前記ログ出力手段より出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換手段と、前記置換対象情報と前記置換記号列とが相互に対応付けられて記録される対応表ファイルと、前記ログが記録されるログファイルと、前記置換対象情報と前記置換記号列とを相互に対応付けて前記対応表ファイルに記録すると共に、前記個人情報記号列置換手段によって前記置換対象情報が前記置換記号列に置換されたログを前記ログファイルに記録する情報記録手段と、を備える。
【0008】
前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理手段を更に備えていてもよい。
【0009】
前記置換記号列生成手段は、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成する手段でもよい。
【0010】
本発明のログ作成方法は、入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力ステップと、置換記号列を生成する置換記号列生成ステップと、前記ログ出力ステップにて出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換ステップと、前記置換対象情報と前記置換記号列とを相互に対応付けて対応表ファイルに記録すると共に、前記個人情報記号列置換ステップにおいて前記置換対象情報が前記置換記号列に置換されたログをログファイルに記録する情報記録ステップと、を備える。
【0011】
前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理ステップを更に備えていてもよい。
【0012】
前記置換記号列生成ステップは、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成するステップでもよい。
【0013】
本発明のログ作成プログラムは、上記ログ作成方法に含まれる各ステップをコンピュータに実行させる。
【0014】
上記の構成では、ログの出力内容から個人情報(又は/及び個人情報の可能性を有する情報)を別の記号列(例えば、英字、数字、英数字からなる文字列等)に置換し、個人情報と置換記号列との対応表を別ファイル(対応表ファイル)に保存することにより、個人情報を除いたログファイルが作成される。これにより、個人情報保護の規則が厳しくなる中でも安心してログの閲覧や持ち出しが可能となる。
【0015】
また、対応表ファイルをログファイルとは別ファイルによって保存することにより、例えばログ調査の結果、ログ中の個人情報部分が必要になった場合でも、特定の管理者(個人情報を扱える管理者)から個人情報閲覧の許可が得られれば、対応表ファイルの保存内容に基づいて個人情報部分を含む完全なログを復元することができるので、情報の欠落を防ぐことが可能となる。この場合、対応表ファイルにはアクセス権管理によって特定の管理者のみがアクセス可能(閲覧可能)になり、その者以外はアクセス不可(閲覧不可)となる。
【発明の効果】
【0016】
本発明によれば、個人情報を含まないログファイルの作成が可能になる一方で、この個人情報を含まないログファイルからでも個人情報を含む元の完全なログの復元が可能となる。
【図面の簡単な説明】
【0017】
【図1】本発明の一実施形態に係るログ作成装置の概略構成を例示するブロック図である。
【図2】図1に示すログ作成装置によって実施されるログ作成方法の処理手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0018】
以下、添付図面を参照して、本発明に係るログ作成装置、ログ作成方法およびログ作成プログラムの好適な実施形態について説明する。
【0019】
まず、図1を参照して、本発明の一実施形態に係るログ作成装置の概略構成について説明する。図1に示すように、ログ作成装置は、プログラム制御により動作するサーバ(中央処理装置;プロセッサ;データ処理装置)100を備えて構成されている。
【0020】
サーバ100は、例えばLAN等のネットワークや公衆回線などによって他のエリアに配設されているパソコンなどの端末と接続されていて、端末を操作するユーザ(操作者)に対して所定のサービスを提供する手段(通常のサーバー機能)101と、ログを出力する手段(ログ出力機能)102と、置換文字列(置換記号列)を生成する手段(置換文字列生成機能)103と、個人情報を含む文字列を置換する手段(個人情報文字列置換機能)104と、情報をファイルに記録する手段(情報記録機能)105と、アクセス権を管理する手段(アクセス権管理機能)106と、を含む。
【0021】
所定のサービスを提供するサービス提供手段101は、端末の入出力部を操作するユーザからの要求に応じて、例えばファイルサービスやHTTPサービスなどのアプリケーションサービスを提供する。ログを出力するログ出力手段102は、少なくともユーザ操作に関連する処理履歴情報、例えばアプリケーションサービス提供時のユーザ処理履歴や、処理失敗時の動作履歴等を含む情報をログとして出力し、このログは個人情報文字列置換手段104に入力される。
【0022】
置換文字列生成手段103は、例えば「aaaa」からなる文字列の下1桁から順に一文字ずつアルファベットを繰り上げることにより、置換文字列を生成する。例えば、「aaaa」からなる文字列からスタートした場合に次に生成される置換文字列は「aaab」であり、さらにその次に生成される置換文字列は「aaac」である。そして、「aaaz」の次に生成される置換文字列は「aaba」となる。「zzzz」まで使用すると、これまでは4文字からなっていた文字列に1つ文字数を増やして「aaaaa」からスタートする文字列を生成する。「zzzzz」まで使用すると、以後同様に文字数を1ずつ増やして置換文字列を生成する。
【0023】
個人情報文字列置換手段104は、ログ出力手段102で出力されたログの中で個人情報が含まれている部分あるいは個人情報が含まれる可能性のある部分(以下、「個人情報部分」という。)を特定し、この個人情報部分を置換文字列生成手段103によって生成した置換文字列(ログ中の文脈と何ら関連のない文字列)に置換してログの内容を更新し、更新したログを情報記録手段105に出力する。
【0024】
個人情報文字列置換手段104は、個人情報部分が特定される毎に新規に生成された置換文字列を当該個人情報部分に1つずつ割り当てるので、同じ置換文字列が再使用されることはない。すなわち、置換対象となる個人情報部分がログ中に複数個所存在する場合には、その個人情報部分の数と同数かつそれらの全てが相互に異なる置換文字列を使用する。なお、ログの出力内容は、もともとサービス提供手段101によって作成されるものであるから、個人情報部分を特定することは容易に可能である。
【0025】
個人情報文字列置換手段104は、置換に使用した置換文字列と、置換前の文字列である個人情報部分とを相互に対応付けた対応テーブルを作成し、この対応テーブルを情報記録手段105に出力する。そして、情報記録手段105は、個人情報部分が置換文字列によって置換されたログをログファイル107に追記すると共に、対応テーブルを対応表ファイル108に追記する。
【0026】
アクセス権管理手段106は、個人情報を含まないログファイル107に対しては一般の管理者が読み書きできる権限を付与し、個人情報を含む対応表ファイル108に対しては特定の管理者(個人情報を扱う権限を有する管理者)のみが読み書き、その他の処理を実行できる権限を付与する。
【0027】
次に、図1及び図2のフローチャートを参照しながら、上記構成からなるログ作成装置を用いて実施されるログ作成方法及びその方法を実行させるプログラムの一動作例について詳細に説明する。
【0028】
まず、通常のサーバ機能がサービスを提供している状態で、何らかの契機(イベント)発生をトリガーにしてログ出力機能にログの出力要求が入力される(図2のステップA1)と、個人情報文字列置換機能はログの内容をチェックする(ステップA2)。個人情報文字列置換機能はさらに、前記チェックの結果、ログ中に個人情報部分があるかどうかを判断する(ステップA3)。
【0029】
そして、個人情報部分があると判断された場合(ステップA3で「Yes」)は、置換文字列生成機能は置換文字列を生成し(ステップA4)、個人情報文字列置換機能は、生成された置換文字列を使用してログ内の個人情報部分を置換する(ステップA5)。このとき、個人情報文字列置換機能は、置換に使用した置換文字列と、置換された個人情報部分とを相互に対応付けた対応テーブルも作成する。
次いで、情報記録機能は、置換文字列によって個人情報部分が置換されたログをログファイルに記録する(ステップA6)。また、情報記録機能は、置換に使用した置換文字列と、置換された個人情報部分とを相互に対応付けた対応テーブルを対応表ファイルに記録する(ステップA7)。
【0030】
最後に、アクセス権管理機能が、ログファイルおよび対応表ファイルのアクセス権を管理者が有する権限に応じて管理者毎に割り振り、ファイル毎のアクセス権を適切に保つ(ステップA8)。
【0031】
上記の実施形態によれば、ログ記録時にログ内容中の個人情報部分が個人情報とは何ら関連のない文字列に置換されるため、ログに個人情報が含まれる場合でも個人情報を含まないログファイルを作成することができる。しかも、置換された文字列が特定の管理者(個人情報を扱う権限を有する管理者)のみがアクセス可能な対応表ファイルに保存されるため、個人情報を含む元の完全なログが必要になった場合には、個人情報を含まないログファイルからでも特定の管理者の裁量により後からログを復元することができる。
【0032】
なお、上述した実施形態は、単なる例示に過ぎず、実施形態に明示していない種々の変形や技術の適用を妨げるものではない。すなわち、本発明は、その趣旨を逸脱しない範囲で様々な形態に変形して実施することができる。
【0033】
例えば、上述の実施形態では、個人情報文字列置換手段104が、置換文字列と置換された個人情報部分との対応付けを表す対応テーブルを作成し、この対応テーブルを情報記録手段105が対応表ファイルに記録する例について説明したが、個人情報文字列置換手段104が個人情報部分を置換文字列に置換する都度、情報記録手段105が置換文字列と置換された個人情報部分との対応付けを対応表ファイルに記録するようにしてもよい。
【0034】
また、個人情報を含む元の完全なログの復元が必要になった場合に、アクセス権管理手段106にアクセスが許可されている管理者からのログ要求に応じて、ログファイル107と対応表ファイル108とを参照し、個人情報部分を置換文字列によって置換する前のログを自動的に復元するログ復元手段をサーバ100が備えるようにしてもよい。
【0035】
最後に、上記の各実施形態の一部または全部は、以下の付記のようにも記載され得るが、本発明を以下に限定するものではない。
【0036】
(付記1)入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力手段と、置換記号列を生成する置換記号列生成手段と、前記ログ出力手段より出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換手段と、前記置換対象情報と前記置換記号列とが相互に対応付けられて記録される対応表ファイルと、前記ログが記録されるログファイルと、前記置換対象情報と前記置換記号列とを相互に対応付けて前記対応表ファイルに記録すると共に、前記個人情報記号列置換手段によって前記置換対象情報が前記置換記号列に置換されたログを前記ログファイルに記録する情報記録手段と、を備えるログ作成装置。
【0037】
(付記2)前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理手段を備える付記1記載のログ作成装置。
【0038】
(付記3)前記置換記号列生成手段は、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成する付記1又は2に記載のログ作成装置。
【0039】
(付記4)入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力ステップと、置換記号列を生成する置換記号列生成ステップと、前記ログ出力ステップにて出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換ステップと、前記置換対象情報と前記置換記号列とを相互に対応付けて対応表ファイルに記録すると共に、前記個人情報記号列置換ステップにおいて前記置換対象情報が前記置換記号列に置換されたログをログファイルに記録する情報記録ステップと、を備えるログ作成方法。
【0040】
(付記5)前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理ステップを備える付記4に記載のログ作成方法。
【0041】
(付記6)前記置換記号列生成ステップは、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成する付記4又は5に記載のログ作成方法。
【0042】
(付記7)付記4から6のいずれかに記載の各ステップをコンピュータに実行させるためのログ作成プログラム。
【産業上の利用可能性】
【0043】
本発明は、処理履歴としてのログを保持し、ログファイルのアクセス権を階層的に保持する電子機器で、個人情報を除いたログファイルを生成することで、個人情報漏洩の心配なく電子機器の販売メーカーにログ調査を依頼するといった用途に適用できる。また、データセンター等で複数の企業のサーバが混在する環境でも、個人情報を除外したログファイルにより、安心して運用管理会社に運用を依託するといった用途にも適用できる。
【符号の説明】
【0044】
100 サーバ
101 サービス提供手段
102 ログ出力手段
103 置換文字列生成手段
104 個人情報文字列置換手段
105 情報記録手段
106 アクセス権管理手段
107 ログファイル
108 対応表ファイル
【特許請求の範囲】
【請求項1】
入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力手段と、
置換記号列を生成する置換記号列生成手段と、
前記ログ出力手段より出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換手段と、
前記置換対象情報と前記置換記号列とが相互に対応付けられて記録される対応表ファイルと、
前記ログが記録されるログファイルと、
前記置換対象情報と前記置換記号列とを相互に対応付けて前記対応表ファイルに記録すると共に、前記個人情報記号列置換手段によって前記置換対象情報が前記置換記号列に置換されたログを前記ログファイルに記録する情報記録手段と、
を備えるログ作成装置。
【請求項2】
請求項1に記載のログ作成装置において、
前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理手段を備えるログ作成装置。
【請求項3】
請求項1又は2に記載のログ作成装置において、
前記置換記号列生成手段は、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成するログ作成装置。
【請求項4】
入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力ステップと、
置換記号列を生成する置換記号列生成ステップと、
前記ログ出力ステップにて出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換ステップと、
前記置換対象情報と前記置換記号列とを相互に対応付けて対応表ファイルに記録すると共に、前記個人情報記号列置換ステップにおいて前記置換対象情報が前記置換記号列に置換されたログをログファイルに記録する情報記録ステップと、
を備えるログ作成方法。
【請求項5】
請求項4に記載のログ作成方法において、
前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理ステップを備えるログ作成方法。
【請求項6】
請求項4又は5に記載のログ作成方法において、
前記置換記号列生成ステップは、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成するログ作成方法。
【請求項7】
請求項4から6のいずれか1項に記載の各ステップをコンピュータに実行させるためのログ作成プログラム。
【請求項1】
入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力手段と、
置換記号列を生成する置換記号列生成手段と、
前記ログ出力手段より出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換手段と、
前記置換対象情報と前記置換記号列とが相互に対応付けられて記録される対応表ファイルと、
前記ログが記録されるログファイルと、
前記置換対象情報と前記置換記号列とを相互に対応付けて前記対応表ファイルに記録すると共に、前記個人情報記号列置換手段によって前記置換対象情報が前記置換記号列に置換されたログを前記ログファイルに記録する情報記録手段と、
を備えるログ作成装置。
【請求項2】
請求項1に記載のログ作成装置において、
前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理手段を備えるログ作成装置。
【請求項3】
請求項1又は2に記載のログ作成装置において、
前記置換記号列生成手段は、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成するログ作成装置。
【請求項4】
入出力部を操作する操作者に関連する個人情報と前記入出力部を介して前記操作者が行った操作に関連する処理履歴情報とを含むログを出力するログ出力ステップと、
置換記号列を生成する置換記号列生成ステップと、
前記ログ出力ステップにて出力されたログの中から前記操作者の個人情報又は/及び個人情報の可能性を有する情報を置換対象情報として特定し、特定した置換対象情報を前記置換記号列に置換する個人情報記号列置換ステップと、
前記置換対象情報と前記置換記号列とを相互に対応付けて対応表ファイルに記録すると共に、前記個人情報記号列置換ステップにおいて前記置換対象情報が前記置換記号列に置換されたログをログファイルに記録する情報記録ステップと、
を備えるログ作成方法。
【請求項5】
請求項4に記載のログ作成方法において、
前記対応表ファイルと前記ログファイルへのアクセス権を管理するアクセス権管理ステップを備えるログ作成方法。
【請求項6】
請求項4又は5に記載のログ作成方法において、
前記置換記号列生成ステップは、前記置換対象情報が前記ログ中に複数個所存在する場合には、前記置換対象情報の数と同数かつそれらの全てが相互に異なる置換記号列を生成するログ作成方法。
【請求項7】
請求項4から6のいずれか1項に記載の各ステップをコンピュータに実行させるためのログ作成プログラム。
【図1】
【図2】
【図2】
【公開番号】特開2012−43040(P2012−43040A)
【公開日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願番号】特願2010−181390(P2010−181390)
【出願日】平成22年8月13日(2010.8.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願日】平成22年8月13日(2010.8.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]