情報資産の自動分類システム
【課題】企業内等におけるコンピュータ資産と電子データ資産を、セキュリティ重要度により自動分類し、該分類された資産の保有状況を把握できるシステムを提供する。
【解決手段】サーバコンピュータ14は、クライアントコンピュータから送られた資産情報を受け取る資産情報受信部16と、受け取った資産情報をデータベース18に格納するデータベース更新部15と、該データベースに格納された資産情報を自動分類する自動分類処理部17と、資産情報を自動分類するための自動分類条件情報19と、を具備し、管理者用コンピュータ11は、前記自動分類条件情報19を設定する自動分類情報設定部12を備え、前記管理者用コンピュータの自動分類情報設定12部により、サーバコンピュータの前記自動分類条件情報19が設定され、前記自動分類処理部17にてクライアントコンピュータからサーバコンピュータに収集された資産情報が自動分類される。
【解決手段】サーバコンピュータ14は、クライアントコンピュータから送られた資産情報を受け取る資産情報受信部16と、受け取った資産情報をデータベース18に格納するデータベース更新部15と、該データベースに格納された資産情報を自動分類する自動分類処理部17と、資産情報を自動分類するための自動分類条件情報19と、を具備し、管理者用コンピュータ11は、前記自動分類条件情報19を設定する自動分類情報設定部12を備え、前記管理者用コンピュータの自動分類情報設定12部により、サーバコンピュータの前記自動分類条件情報19が設定され、前記自動分類処理部17にてクライアントコンピュータからサーバコンピュータに収集された資産情報が自動分類される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータ資産と電子データ資産とを、セキュリティ重要度により自動分類するシステムに関する。
【背景技術】
【0002】
近年、ユビキタス社会の進展によって様々な個人情報を含むデータが大量に収集・処理・利用されている。
また2005年4月1日より個人情報保護法が全面施行され、個人データを安全に管理し、従業者や委託先を監督する義務が課せられるようになっている。
こうしたことを背景に、個人情報の目的外利用や情報漏洩といった、情報セキュリティ面のリスクの増大に対して社会の関心が急速に高まっていることから、個人情報を持つ事業者は個人情報保護法への対応に加えて、TRUSTeやプライバシーマーク、ISMS(「情報セキュリティマネジメントシステム」のこと。以下、「ISMS」と表記する。)などの個人情報保護や情報セキュリティ分野の第三者認証取得への取り組みが始まっている。
中でもISMS制度における認証を取得することは、組織の情報セキュリティ管理体制を整備や社内組織の体質強化につながるだけでなく、対外的にも情報セキュリティの信頼性を向上させることができ、国際的にもアピールすることができる。また、組織が取り組むべきリスクマネジメントを維持し、適切な管理策を実施することによって、リスクの発生可能性やリスクが顕在化したときの損害を減らすことができ、企業価値の向上につなげることができる。
具体的には、JIS Q27001:2006をISMS認定基準とし、これに基づく認証が開始された。
【0003】
ISMSは個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントによる必要なセキュリティレベルを決め、プランを持ち、資源を配分してシステムを運用することである。そして、組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することを、その基本コンセプトとする。
ISO/IEC 27001では、情報セキュリティに関連するプロセスに対し、「Plan−Do−Check−Act(PDCA)」モデルを適用し、このPDCAサイクルを継続的に行うことで、情報セキュリティレベルの向上を図る。
上記Plan(計画)では、企業が保有する情報資産に対するリスクアセスメントを行い、それらの情報資産に対する情報セキュリティ対策の計画・目標を策定する。これに関連して、情報資産の価値を具体的な金額として算出するシステムが提案されている(例えば、特許文献1参照)。
【0004】
【特許文献1】特開2006−99560号公報
【0005】
特許文献1の発明によれば、ユーザは画面上で情報資産のカテゴリ、事業計画の発展段階、関連事業計画等を特定する。そうすると、自動的に特定の情報資産に係る資産価値が具体的な金額として算出される。
【発明の開示】
【発明が解決しようとする課題】
【0006】
ファイル等の電子データ資産はその数が非常に多く、しかも企業内のコンピュータ端末に分散して保有されていることが一般的であり、保有状況の実態を把握することは困難である。
特許文献1に示された技術では、資産価値を金額表示することは可能であるが、キーワード検索等によってセキュリティ重要度を自動的に識別するには至っていない。
これまでも、ネットワーク上に物理的に存在するコンピュータ資産情報を自動的に収集することは可能であったが、収集したコンピュータ資産情報を、セキュリティ重要度に応じて分類する作業は人手に因っており、膨大な時間と手間を要していた。
又、ファイル等の電子データ資産は一般的に数が非常に多く、かつコンピュータ端末毎に分散して保有されているため、保有状況の実態を把握することは困難だった。
【0007】
本発明は上記事情に鑑みなされたものであり、企業内等におけるコンピュータ資産と電子データ資産を、セキュリティ重要度により自動分類し、該分類された資産の保有状況を把握できるようにすることを目的とする。
そして、上記目的を達成することによって、ISMS制度のPlanにおいて、リスクアセスメントを支援するシステムを提供することを、更なる目的とする。
【課題を解決するための手段】
【0008】
上記の目的を達成するべく、本発明は以下の構成を提供する。
(1)請求項1に係る情報資産の自動分類システムは、クライアントの所有する情報資産を収集し、自動分類するシステムであって、クライアントコンピュータと、該クライアントコンピュータの情報を収集するサーバコンピュータと、該サーバコンピュータに収集された情報を参照し、又は管理条件を設定する管理者用コンピュータと、から構成され、前記クライアントコンピュータは、電子データと、電子データ資産情報と、コンピュータ資産情報とを含む資産情報を収集する資産情報収集部と、該資産情報収集部で収集した資産情報をサーバコンピュータに送る資産情報送信部と、を備え、前記サーバコンピュータは、前記クライアントコンピュータから送られた資産情報を受け取る資産情報受信部と、受け取った資産情報をデータベースに格納するデータベース更新部と、該データベースに格納された資産情報を自動分類する自動分類処理部と、資産情報を自動分類するための自動分類条件情報と、を具備し、前記管理者用コンピュータは、前記自動分類条件情報を設定する自動分類情報設定部を備え、前記管理者用コンピュータの自動分類情報設定部により、サーバコンピュータの前記自動分類条件情報が設定され、該設定に基いて前記自動分類処理部にてクライアントコンピュータからサーバコンピュータに収集された資産情報が自動分類されることを特徴とする。
【0009】
(2)請求項2に係る情報資産の自動分類システムは、請求項1に記載の情報資産の自動分類システムであって、前記サーバコンピュータがファイル内容参照機能を具備し、前記自動分類処理部で自動分類された電子データ資産情報が前記管理者用コンピュータで参照され、管理者用コンピュータに指定された電子データは、サーバコンピュータの前記ファイル内容参照機能を使用することよって、管理者用コンピュータ上で内容確認が可能となる情報資産の自動分類システムであって、前記ファイル内容参照機能は、管理者用コンピュータに指定された電子データを保有する前記クライアントコンピュータと通信し、クライアントコンピュータから当該電子データがサーバコンピュータに複写送信されることを特徴とする。
【0010】
(3)請求項3に係る情報資産の自動分類システムは、請求項2に記載の情報資産の自動分類システムであって、前記管理者用コンピュータが情報資産目録作成部を具備し、前記情報資産目録作成部は、前記サーバコンピュータの自動分類処理部において自動分類された情報資産を、管理者用コンピュータ上で参照することによって情報資産目録を作成することを特徴とする。
【発明の効果】
【0011】
本発明の情報資産の自動分類システムによれば、以下の効果を奏する。
(1)請求項1の情報資産の自動分類システムによれば、クライアントコンピュータが保有する情報資産がサーバコンピュータに自動的に収集され、更に該収集された情報資産がセキュリティ重要度に応じて自動分類される。
従って、分類作業を人手による必要がないため、分類作業の効率化及び労力の低減化を図ることができる。
【0012】
(2)請求項2の情報資産の自動分類システムによれば、分類された電子データ資産状況から、電子データの内容そのものの確認が必要であると管理者が判断した電子データは、サーバコンピュータを介し管理者用コンピュータ上において、閲覧可能である。
従って、クライアントコンピュータの使用者に電子データの内容を確認させることがないので、クライアントコンピュータの使用者が不正に当該電子データを保有している場合にも、データの不正流出を防止することができる。
又、管理者が管理者用コンピュータで任意の時点で当該データの内容を確認できるので、利便性に資することができる。
【0013】
(3)請求項3の情報資産の自動分類システムによれば、自動分類された情報資産情報から当該情報資産目録を作成でき、ISMS制度のPlanにおいて、リスクアセスメントの支援に供することができる。
又、データを管理者用コンピュータで任意の時点に直接内容を確認できるため、セキュリティ重要度の決定判断を的確かつ確実にすることが可能である。
【発明を実施するための最良の形態】
【0014】
以下、本発明の実施の一形態について、図面を参照しながら具体的に説明する。
図1は、本発明による情報資産の自動分類システムの第1実施形態の一例を示すシステム構成図である。
本発明の自動分類システムは、管理対象となるクライアントコンピュータ110a、110bと、管理情報を収集するサーバコンピュータ14と、管理者が管理情報を参照したり、管理条件を設定する管理者用コンピュータ11から構成される。
前記クライアントコンピュータ110a、110bは、資産情報収集部111a、111bと、資産情報送信部112a、112bとを具備する。該資産情報収集部は、クライアントコンピュータの資産情報を収集する。該資産情報送信部は、前記収集部111a、111bにて収集した資産情報を、サーバコンピュータ14に送信する。
【0015】
又、前記クライアントコンピュータ110a、110bに収集される「資産情報」116a、116bには、電子データ資産情報113a、113bと、コンピュータ資産情報114a、114bと、電子データ115a、115bとが含まれる。
詳説すると、「電子データ資産情報」とは、重要な情報を含んだ電子ファイル等であり、クライアントコンピュータ110a、110bに格納されている電子データ115a、115bのファイル名やファイルの内容確認を行い、電子データ資産として認識されたファイルの情報(例えば、ファイル名や更新日付等)を「電子データ資産情報」113a、113bとして、クライアントコンピュータ上に作成される。
「コンピュータ資産情報」とは、例えば、コンピュータ名、OS名、インストールプログラム名、ネットワーク上識別子等の静的情報である。また、「電子データ」とは、重要情報を含んだ電子ファイル等の前記電子データ資産情報でない、当該ファイルの内容そのものを指す。
【0016】
前記サーバコンピュータ14には、前記クライアントコンピュータ110a、110bから送付された資産情報21a、21bを受け取る資産情報受信部16と、受け取った該資産情報をそのデータベース(DB)18に格納するDB更新部15と、該データベース18に格納された資産情報を自動的に分類する自動分類処理部17とを具備する。
また、サーバコンピュータ14上で資産情報18を自動分類するための自動分類条件情報19が格納される。更に、クライアント電子データ115a、115bの複写20がクライアントコンピュータ110a、110bから転送され、一時的にサーバコンピュータ14上に置かれる。
他に、ファイル内容参照機能21と、ファイル定期削除処理機能22とを具備する。
【0017】
前記管理者用コンピュータ11には、前記自動分類条件情報19を設定する自動分類情報設定部12と、自動分類した資産情報を基に情報資産目録13aを作成する情報資産目録作成部13を備える。
【0018】
次に、本発明における情報資産の自動分類システムの動作につき、説明する。
(I)サーバコンピュータに収集された各クライアントコンピュータの資産情報を分類する。
まず、管理者用コンピュータ11の自動分類条件設定部12において、セキュリティ重要度に応じて、電子データ資産情報113a、113b及びコンピュータ資産情報114a、114bの自動分類条件の設定を行う。
【0019】
図2に電子データ資産情報の自動分類条件の一例を示す。自動分類条件は、分類名211と、分類条件212とから構成される。
そして、例えば分類名として「顧客ファイル」2111は分類条件を「ファイル名が“custmer_”で始まる」2121と定義しておく。
電子データ資産情報の自動分類処理において、該当コンピュータ内のファイルが検索された際に、ファイル名が“custmer_”で始まるファイルが存在すれば、当該ファイルを「顧客ファイル」2111と認識することとなる。
【0020】
同様にして、分類名として例えば「個人情報ファイル」2112は分類条件を「人名漢字が10個以上含まれている、又は、都道府県名が10個以上含まれている」2122と定義しておく。
電子データ資産情報の自動分類処理において、該当コンピュータ内のファイルの内容が検索された際に、例えば「佐藤」や「鈴木」等の人名漢字が10個以上含まれているか、「東京都」や「神奈川県」等の都道府県名が10個以上含まれている場合は、当該ファイルを「個人情報ファイル」2112と判断することとなる。
【0021】
又、図3にコンピュータ資産情報の自動分類条件の一例を示す。自動分類条件は、分類名311と、分類条件312とから構成される。
例えば、分類名311として「OA用PC」3111は、その分類条件312を「インストールOSがWindows(登録商標)98SEか又はWindows(登録商標)Me、かつ、バッテリーが付いていない」3121と定義しておく。
そうすると、コンピュータ資産の自動分類処理では、該当コンピュータにインストールしているOSの種別を求め、Windonws(登録商標)98SE又はWindows(登録商標)Meであるかを判別する。この判別が真であった場合には、更にバッテリー情報が参照され、バッテリーが付いていない場合には、「OA用PC」3111と判断されることとなる。
【0022】
同様に、分類名311として例えば「モバイルPC」3112は、その分類条件312を「バッテリーが付いている」3122と定義しておく。コンピュータ資産の自動分類処理において、バッテリー情報が参照され、バッテリーが付いている場合には、「モバイルPC」と判断されることとなる。
【0023】
他の分類名311としては例えば「データベースサーバ」3113が、その分類条件312を「インストールOSがWindows(登録商標)2000 Serverか又はWindows(登録商標) Server2003、かつ、SQLServerかOracleがインストールされている」3123と定義しておく。コンピュータ資産の自動分類処理において、インストールしているOSとアプリケーションがチェックされ、判別が真である場合には「データベースサーバ」3113と判断されることとなる。
【0024】
ところで、電子データ115a、115bは、実際のファイルの内容を確認しないと、分類が正しく行えない場合も生じる。このような場合は、ファイルの内容を確認するために、当該ファイルを保持しているクライアントコンピュータ上で管理者が内容を確認するという方法も考えられる。
しかし、このクライアントコンピュータが不正に「顧客ファイル」2111等を保持していた場合に、クライアントコンピュータの利用者にファイル内容の確認を依頼するのは、該「顧客ファイル」2111が不正流出される要因となり、好ましくない。
他方、管理者のほうで、確認したいファイルを保持しているクライアントコンピュータまで出向き、ファイル内容を確認することは、運用上現実的ではない。
【0025】
このような場合を想定し、本発明では、クライアントコンピュータ上に散在している「電子データ資産」と認識されたファイルの内容を、クライアントコンピュータの利用者の操作を伴うことなく、管理者が管理者用コンピュータで任意の時点で確認できる機能を付加することとし、本発明の第2実施例の形態とした。
【0026】
図1において、全クライアントコンピュータ上に作成された前記電子データ資産情報は、一定のタイミングでサーバコンピュータ14に送付され、サーバコンピュータ14における資産情報データベース18内の電子データ資産情報181に格納される。
上述本システムの自動分類システムによって分類された電子データ資産情報の一例を図4に示した。電子データ資産情報は、分類名41、ファイル名42、更新日時43等から構成する。この分類された電子データ資産情報を先ず管理者用コンピュータ11にて参照し、更に管理者がファイル内容そのものの確認が必要と判断したファイルに対して、前記ファイル内容参照機能21により当該ファイルを確認する。
【0027】
詳説すると、サーバコンピュータ14上で例えば図4のように分類された電子データ資産情報は、管理者用コンピュータで参照できる形に変換され、例えば図5に示す表形式の電子データ資産情報一覧51となる。
管理者は、管理者用コンピュータ11の画面上にて、該資産情報一覧51を参照し、ファイル内容そのものの確認が必要と判断したファイル(例えば図5における顧客ファイル512)に対し、ファイル一覧に具備されている「参照」ボタン511を押下する。そうすると、サーバコンピュータ14のファイル内容参照機能21が起動する。
【0028】
ファイル内容参照機能21は、管理者に指定されたファイル(ここでは、顧客ファイル512)が存在するクライアントコンピュータと、サーバコンピュータとの間で通信処理を行う。通信されたクライアントコンピュータは、指定されたファイルの内容(電子データそのもの)をサーバコンピュータ14に複写転送する。
この複写転送された電子データ20は、管理者用コンピュータ11上で参照できる形式にその内容が変換され、管理者は、該変換されたファイルの内容を管理者用コンピュータ11上で参照できることとなる。
【0029】
本システムは上述のように構成することにより、管理者がファイルの内容を実際に確認したい場合に、当該ファイルを保持しているクライアントコンピュータ上にファイル内容を表示させたり、また管理者自身がクライアントコンピュータまで出向くことなく、必要なファイルを管理者用コンピュータ11上で参照できるという特長を有する。
【0030】
又、管理者から重要ファイルと認識され、電子データの内容を管理者用コンピュータ11で参照される際にサーバコンピュータ14上に複写された電子データ20は、管理者に参照された後すぐには削除されず、一時的にサーバコンピュータ14上に置かれるものとする。
そうすると、管理者から再度同一ファイルに対して参照要求が出された場合に、該当するクライアントコンピュータから再度ファイルの複写転送作業を行うことなく、即座に管理者用コンピュータ11にて当該ファイル内容が参照できるため、非常に利便性がよく好ましい。
【0031】
しかしながら、クライアントコンピュータ上で当該参照されたファイルがその内容を更新する可能性がある。従って、管理者用コンピュータ11から再度参照要求が出されたファイルに対しては、サーバコンピュータ14上の複写電子データ20内に当該ファイルが存在していることになるが、そのような場合には、当該ファイルの更新日時の確認作業が行われることとする。これは、図4及び図5における更新日時43、513を比較することによって行う。
ここで、前述したように、サーバコンピュータ14上の電子データ資産情報は、一定のタイミングでクライアントコンピュータからの送付を受けて随時更新されているため、更新日時43はクライアントコンピュータ上の当該ファイルの最新更新日時を反映している。これに対し、管理者用コンピュータ11上の更新日時513は、当該ファイルに対する参照要求を行った時点で初めて更新されるため、前回の参照要求の後にクライアントコンピュータ上の当該ファイルの内容が更新された場合には、更新日時43と更新日時513には相違が生じることになる。
【0032】
更新日時が確認され、当該ファイル内容が新たに更新されていた場合には、当該ファイルを保持しているクライアントコンピュータとサーバコンピュータ14のファイル内容参照機能21が通信し、更新されたファイル内容(電子データ)をクライアントコンピュータからサーバコンピュータ14に複写伝送し、サーバコンピュータ14上の複写電子データ20に格納する。そして、複写電子データ20は、前述と同様に管理者用コンピュータ51で参照できる形式に変換され、管理者は、該変換されたファイルの内容を管理者用コンピュータ11上で参照できることとなる。
【0033】
ここで、ファイル内容を確認するためにクライアントコンピュータからサーバコンピュータ14に複写転送された電子データ20は、放置すれば無限に増加するばかりであって、該データを蓄積するサーバコンピュータ14のディスク資源の枯渇原因となる。
従って、このサーバコンピュータ14に複写転送された電子データ20は、サーバコンピュータ14に備えられたファイル定期削除処理22によって、定期的に削除されることとした。
【0034】
次に、本発明の第3実施の形態であって、かつ更なる目的である、ISMS制度のPlanにおいて、リスクアセスメントを支援するシステムについて説明する。
図6には管理者用コンピュータ11の上記情報資産目録作成部13によって作成された上記情報資産目録13aの表形式一例を示す。
情報資産目録13aは、分類名61、数量62、資産価値63、利用目的64とから構成される。ここで、資産価値63及び利用目的64は、エンドユーザの主観に因る評価を目録13aに加味して追加されたものであって、エンドユーザが判断する際には、前述ファイル内容参照機能21が使用され、的確な内容の判断が可能となる。
【0035】
前記情報資産目録13aを活用することにより、資産価値63等から導出されるセキュリティ重要度に応じたコンピュータ資産及び電子データ資産の台数(数量)62等の保有状況を把握することが可能となる。従って、本システムを利用することにより、ISMS制度のPlanにおいて、リスクアセスメントに必要な情報資産目録の作成を自動的に行うことができる。
【図面の簡単な説明】
【0036】
【図1】本発明による情報資産の自動分類システムの一実施例を示すシステム構成図である。
【図2】本システムにおける電子データ資産情報の自動分類条件の一例である。
【図3】本システムにおけるコンピュータ資産情報の自動分類条件の一例である。
【図4】本システムによって自動分類された電子データ資産情報の一例である。
【図5】本システムによって自動分類され、管理者用コンピュータで参照できる形式に変換された電子データ資産情報一覧の一例である。
【図6】本システムによって作成された情報資産目録の一例である。
【符号の説明】
【0037】
11 管理者用コンピュータ
110a、110b クライアントコンピュータ
111a、111b 資産情報収集部
112a、112b 資産情報送信部
113a、113b 電子データ資産情報
114a、114b コンピュータ資産情報
115a、115b 電子データ
116a 資産情報
12 自動分類情報設定部
13 情報資産目録作成部
13a 情報資産目録
14 サーバコンピュータ
15 データベース更新部
16 資産情報受信部
17 自動分類処理部
18 データベース
19 自動分類条件情報
21 ファイル内容参照機能
【技術分野】
【0001】
本発明は、コンピュータ資産と電子データ資産とを、セキュリティ重要度により自動分類するシステムに関する。
【背景技術】
【0002】
近年、ユビキタス社会の進展によって様々な個人情報を含むデータが大量に収集・処理・利用されている。
また2005年4月1日より個人情報保護法が全面施行され、個人データを安全に管理し、従業者や委託先を監督する義務が課せられるようになっている。
こうしたことを背景に、個人情報の目的外利用や情報漏洩といった、情報セキュリティ面のリスクの増大に対して社会の関心が急速に高まっていることから、個人情報を持つ事業者は個人情報保護法への対応に加えて、TRUSTeやプライバシーマーク、ISMS(「情報セキュリティマネジメントシステム」のこと。以下、「ISMS」と表記する。)などの個人情報保護や情報セキュリティ分野の第三者認証取得への取り組みが始まっている。
中でもISMS制度における認証を取得することは、組織の情報セキュリティ管理体制を整備や社内組織の体質強化につながるだけでなく、対外的にも情報セキュリティの信頼性を向上させることができ、国際的にもアピールすることができる。また、組織が取り組むべきリスクマネジメントを維持し、適切な管理策を実施することによって、リスクの発生可能性やリスクが顕在化したときの損害を減らすことができ、企業価値の向上につなげることができる。
具体的には、JIS Q27001:2006をISMS認定基準とし、これに基づく認証が開始された。
【0003】
ISMSは個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントによる必要なセキュリティレベルを決め、プランを持ち、資源を配分してシステムを運用することである。そして、組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することを、その基本コンセプトとする。
ISO/IEC 27001では、情報セキュリティに関連するプロセスに対し、「Plan−Do−Check−Act(PDCA)」モデルを適用し、このPDCAサイクルを継続的に行うことで、情報セキュリティレベルの向上を図る。
上記Plan(計画)では、企業が保有する情報資産に対するリスクアセスメントを行い、それらの情報資産に対する情報セキュリティ対策の計画・目標を策定する。これに関連して、情報資産の価値を具体的な金額として算出するシステムが提案されている(例えば、特許文献1参照)。
【0004】
【特許文献1】特開2006−99560号公報
【0005】
特許文献1の発明によれば、ユーザは画面上で情報資産のカテゴリ、事業計画の発展段階、関連事業計画等を特定する。そうすると、自動的に特定の情報資産に係る資産価値が具体的な金額として算出される。
【発明の開示】
【発明が解決しようとする課題】
【0006】
ファイル等の電子データ資産はその数が非常に多く、しかも企業内のコンピュータ端末に分散して保有されていることが一般的であり、保有状況の実態を把握することは困難である。
特許文献1に示された技術では、資産価値を金額表示することは可能であるが、キーワード検索等によってセキュリティ重要度を自動的に識別するには至っていない。
これまでも、ネットワーク上に物理的に存在するコンピュータ資産情報を自動的に収集することは可能であったが、収集したコンピュータ資産情報を、セキュリティ重要度に応じて分類する作業は人手に因っており、膨大な時間と手間を要していた。
又、ファイル等の電子データ資産は一般的に数が非常に多く、かつコンピュータ端末毎に分散して保有されているため、保有状況の実態を把握することは困難だった。
【0007】
本発明は上記事情に鑑みなされたものであり、企業内等におけるコンピュータ資産と電子データ資産を、セキュリティ重要度により自動分類し、該分類された資産の保有状況を把握できるようにすることを目的とする。
そして、上記目的を達成することによって、ISMS制度のPlanにおいて、リスクアセスメントを支援するシステムを提供することを、更なる目的とする。
【課題を解決するための手段】
【0008】
上記の目的を達成するべく、本発明は以下の構成を提供する。
(1)請求項1に係る情報資産の自動分類システムは、クライアントの所有する情報資産を収集し、自動分類するシステムであって、クライアントコンピュータと、該クライアントコンピュータの情報を収集するサーバコンピュータと、該サーバコンピュータに収集された情報を参照し、又は管理条件を設定する管理者用コンピュータと、から構成され、前記クライアントコンピュータは、電子データと、電子データ資産情報と、コンピュータ資産情報とを含む資産情報を収集する資産情報収集部と、該資産情報収集部で収集した資産情報をサーバコンピュータに送る資産情報送信部と、を備え、前記サーバコンピュータは、前記クライアントコンピュータから送られた資産情報を受け取る資産情報受信部と、受け取った資産情報をデータベースに格納するデータベース更新部と、該データベースに格納された資産情報を自動分類する自動分類処理部と、資産情報を自動分類するための自動分類条件情報と、を具備し、前記管理者用コンピュータは、前記自動分類条件情報を設定する自動分類情報設定部を備え、前記管理者用コンピュータの自動分類情報設定部により、サーバコンピュータの前記自動分類条件情報が設定され、該設定に基いて前記自動分類処理部にてクライアントコンピュータからサーバコンピュータに収集された資産情報が自動分類されることを特徴とする。
【0009】
(2)請求項2に係る情報資産の自動分類システムは、請求項1に記載の情報資産の自動分類システムであって、前記サーバコンピュータがファイル内容参照機能を具備し、前記自動分類処理部で自動分類された電子データ資産情報が前記管理者用コンピュータで参照され、管理者用コンピュータに指定された電子データは、サーバコンピュータの前記ファイル内容参照機能を使用することよって、管理者用コンピュータ上で内容確認が可能となる情報資産の自動分類システムであって、前記ファイル内容参照機能は、管理者用コンピュータに指定された電子データを保有する前記クライアントコンピュータと通信し、クライアントコンピュータから当該電子データがサーバコンピュータに複写送信されることを特徴とする。
【0010】
(3)請求項3に係る情報資産の自動分類システムは、請求項2に記載の情報資産の自動分類システムであって、前記管理者用コンピュータが情報資産目録作成部を具備し、前記情報資産目録作成部は、前記サーバコンピュータの自動分類処理部において自動分類された情報資産を、管理者用コンピュータ上で参照することによって情報資産目録を作成することを特徴とする。
【発明の効果】
【0011】
本発明の情報資産の自動分類システムによれば、以下の効果を奏する。
(1)請求項1の情報資産の自動分類システムによれば、クライアントコンピュータが保有する情報資産がサーバコンピュータに自動的に収集され、更に該収集された情報資産がセキュリティ重要度に応じて自動分類される。
従って、分類作業を人手による必要がないため、分類作業の効率化及び労力の低減化を図ることができる。
【0012】
(2)請求項2の情報資産の自動分類システムによれば、分類された電子データ資産状況から、電子データの内容そのものの確認が必要であると管理者が判断した電子データは、サーバコンピュータを介し管理者用コンピュータ上において、閲覧可能である。
従って、クライアントコンピュータの使用者に電子データの内容を確認させることがないので、クライアントコンピュータの使用者が不正に当該電子データを保有している場合にも、データの不正流出を防止することができる。
又、管理者が管理者用コンピュータで任意の時点で当該データの内容を確認できるので、利便性に資することができる。
【0013】
(3)請求項3の情報資産の自動分類システムによれば、自動分類された情報資産情報から当該情報資産目録を作成でき、ISMS制度のPlanにおいて、リスクアセスメントの支援に供することができる。
又、データを管理者用コンピュータで任意の時点に直接内容を確認できるため、セキュリティ重要度の決定判断を的確かつ確実にすることが可能である。
【発明を実施するための最良の形態】
【0014】
以下、本発明の実施の一形態について、図面を参照しながら具体的に説明する。
図1は、本発明による情報資産の自動分類システムの第1実施形態の一例を示すシステム構成図である。
本発明の自動分類システムは、管理対象となるクライアントコンピュータ110a、110bと、管理情報を収集するサーバコンピュータ14と、管理者が管理情報を参照したり、管理条件を設定する管理者用コンピュータ11から構成される。
前記クライアントコンピュータ110a、110bは、資産情報収集部111a、111bと、資産情報送信部112a、112bとを具備する。該資産情報収集部は、クライアントコンピュータの資産情報を収集する。該資産情報送信部は、前記収集部111a、111bにて収集した資産情報を、サーバコンピュータ14に送信する。
【0015】
又、前記クライアントコンピュータ110a、110bに収集される「資産情報」116a、116bには、電子データ資産情報113a、113bと、コンピュータ資産情報114a、114bと、電子データ115a、115bとが含まれる。
詳説すると、「電子データ資産情報」とは、重要な情報を含んだ電子ファイル等であり、クライアントコンピュータ110a、110bに格納されている電子データ115a、115bのファイル名やファイルの内容確認を行い、電子データ資産として認識されたファイルの情報(例えば、ファイル名や更新日付等)を「電子データ資産情報」113a、113bとして、クライアントコンピュータ上に作成される。
「コンピュータ資産情報」とは、例えば、コンピュータ名、OS名、インストールプログラム名、ネットワーク上識別子等の静的情報である。また、「電子データ」とは、重要情報を含んだ電子ファイル等の前記電子データ資産情報でない、当該ファイルの内容そのものを指す。
【0016】
前記サーバコンピュータ14には、前記クライアントコンピュータ110a、110bから送付された資産情報21a、21bを受け取る資産情報受信部16と、受け取った該資産情報をそのデータベース(DB)18に格納するDB更新部15と、該データベース18に格納された資産情報を自動的に分類する自動分類処理部17とを具備する。
また、サーバコンピュータ14上で資産情報18を自動分類するための自動分類条件情報19が格納される。更に、クライアント電子データ115a、115bの複写20がクライアントコンピュータ110a、110bから転送され、一時的にサーバコンピュータ14上に置かれる。
他に、ファイル内容参照機能21と、ファイル定期削除処理機能22とを具備する。
【0017】
前記管理者用コンピュータ11には、前記自動分類条件情報19を設定する自動分類情報設定部12と、自動分類した資産情報を基に情報資産目録13aを作成する情報資産目録作成部13を備える。
【0018】
次に、本発明における情報資産の自動分類システムの動作につき、説明する。
(I)サーバコンピュータに収集された各クライアントコンピュータの資産情報を分類する。
まず、管理者用コンピュータ11の自動分類条件設定部12において、セキュリティ重要度に応じて、電子データ資産情報113a、113b及びコンピュータ資産情報114a、114bの自動分類条件の設定を行う。
【0019】
図2に電子データ資産情報の自動分類条件の一例を示す。自動分類条件は、分類名211と、分類条件212とから構成される。
そして、例えば分類名として「顧客ファイル」2111は分類条件を「ファイル名が“custmer_”で始まる」2121と定義しておく。
電子データ資産情報の自動分類処理において、該当コンピュータ内のファイルが検索された際に、ファイル名が“custmer_”で始まるファイルが存在すれば、当該ファイルを「顧客ファイル」2111と認識することとなる。
【0020】
同様にして、分類名として例えば「個人情報ファイル」2112は分類条件を「人名漢字が10個以上含まれている、又は、都道府県名が10個以上含まれている」2122と定義しておく。
電子データ資産情報の自動分類処理において、該当コンピュータ内のファイルの内容が検索された際に、例えば「佐藤」や「鈴木」等の人名漢字が10個以上含まれているか、「東京都」や「神奈川県」等の都道府県名が10個以上含まれている場合は、当該ファイルを「個人情報ファイル」2112と判断することとなる。
【0021】
又、図3にコンピュータ資産情報の自動分類条件の一例を示す。自動分類条件は、分類名311と、分類条件312とから構成される。
例えば、分類名311として「OA用PC」3111は、その分類条件312を「インストールOSがWindows(登録商標)98SEか又はWindows(登録商標)Me、かつ、バッテリーが付いていない」3121と定義しておく。
そうすると、コンピュータ資産の自動分類処理では、該当コンピュータにインストールしているOSの種別を求め、Windonws(登録商標)98SE又はWindows(登録商標)Meであるかを判別する。この判別が真であった場合には、更にバッテリー情報が参照され、バッテリーが付いていない場合には、「OA用PC」3111と判断されることとなる。
【0022】
同様に、分類名311として例えば「モバイルPC」3112は、その分類条件312を「バッテリーが付いている」3122と定義しておく。コンピュータ資産の自動分類処理において、バッテリー情報が参照され、バッテリーが付いている場合には、「モバイルPC」と判断されることとなる。
【0023】
他の分類名311としては例えば「データベースサーバ」3113が、その分類条件312を「インストールOSがWindows(登録商標)2000 Serverか又はWindows(登録商標) Server2003、かつ、SQLServerかOracleがインストールされている」3123と定義しておく。コンピュータ資産の自動分類処理において、インストールしているOSとアプリケーションがチェックされ、判別が真である場合には「データベースサーバ」3113と判断されることとなる。
【0024】
ところで、電子データ115a、115bは、実際のファイルの内容を確認しないと、分類が正しく行えない場合も生じる。このような場合は、ファイルの内容を確認するために、当該ファイルを保持しているクライアントコンピュータ上で管理者が内容を確認するという方法も考えられる。
しかし、このクライアントコンピュータが不正に「顧客ファイル」2111等を保持していた場合に、クライアントコンピュータの利用者にファイル内容の確認を依頼するのは、該「顧客ファイル」2111が不正流出される要因となり、好ましくない。
他方、管理者のほうで、確認したいファイルを保持しているクライアントコンピュータまで出向き、ファイル内容を確認することは、運用上現実的ではない。
【0025】
このような場合を想定し、本発明では、クライアントコンピュータ上に散在している「電子データ資産」と認識されたファイルの内容を、クライアントコンピュータの利用者の操作を伴うことなく、管理者が管理者用コンピュータで任意の時点で確認できる機能を付加することとし、本発明の第2実施例の形態とした。
【0026】
図1において、全クライアントコンピュータ上に作成された前記電子データ資産情報は、一定のタイミングでサーバコンピュータ14に送付され、サーバコンピュータ14における資産情報データベース18内の電子データ資産情報181に格納される。
上述本システムの自動分類システムによって分類された電子データ資産情報の一例を図4に示した。電子データ資産情報は、分類名41、ファイル名42、更新日時43等から構成する。この分類された電子データ資産情報を先ず管理者用コンピュータ11にて参照し、更に管理者がファイル内容そのものの確認が必要と判断したファイルに対して、前記ファイル内容参照機能21により当該ファイルを確認する。
【0027】
詳説すると、サーバコンピュータ14上で例えば図4のように分類された電子データ資産情報は、管理者用コンピュータで参照できる形に変換され、例えば図5に示す表形式の電子データ資産情報一覧51となる。
管理者は、管理者用コンピュータ11の画面上にて、該資産情報一覧51を参照し、ファイル内容そのものの確認が必要と判断したファイル(例えば図5における顧客ファイル512)に対し、ファイル一覧に具備されている「参照」ボタン511を押下する。そうすると、サーバコンピュータ14のファイル内容参照機能21が起動する。
【0028】
ファイル内容参照機能21は、管理者に指定されたファイル(ここでは、顧客ファイル512)が存在するクライアントコンピュータと、サーバコンピュータとの間で通信処理を行う。通信されたクライアントコンピュータは、指定されたファイルの内容(電子データそのもの)をサーバコンピュータ14に複写転送する。
この複写転送された電子データ20は、管理者用コンピュータ11上で参照できる形式にその内容が変換され、管理者は、該変換されたファイルの内容を管理者用コンピュータ11上で参照できることとなる。
【0029】
本システムは上述のように構成することにより、管理者がファイルの内容を実際に確認したい場合に、当該ファイルを保持しているクライアントコンピュータ上にファイル内容を表示させたり、また管理者自身がクライアントコンピュータまで出向くことなく、必要なファイルを管理者用コンピュータ11上で参照できるという特長を有する。
【0030】
又、管理者から重要ファイルと認識され、電子データの内容を管理者用コンピュータ11で参照される際にサーバコンピュータ14上に複写された電子データ20は、管理者に参照された後すぐには削除されず、一時的にサーバコンピュータ14上に置かれるものとする。
そうすると、管理者から再度同一ファイルに対して参照要求が出された場合に、該当するクライアントコンピュータから再度ファイルの複写転送作業を行うことなく、即座に管理者用コンピュータ11にて当該ファイル内容が参照できるため、非常に利便性がよく好ましい。
【0031】
しかしながら、クライアントコンピュータ上で当該参照されたファイルがその内容を更新する可能性がある。従って、管理者用コンピュータ11から再度参照要求が出されたファイルに対しては、サーバコンピュータ14上の複写電子データ20内に当該ファイルが存在していることになるが、そのような場合には、当該ファイルの更新日時の確認作業が行われることとする。これは、図4及び図5における更新日時43、513を比較することによって行う。
ここで、前述したように、サーバコンピュータ14上の電子データ資産情報は、一定のタイミングでクライアントコンピュータからの送付を受けて随時更新されているため、更新日時43はクライアントコンピュータ上の当該ファイルの最新更新日時を反映している。これに対し、管理者用コンピュータ11上の更新日時513は、当該ファイルに対する参照要求を行った時点で初めて更新されるため、前回の参照要求の後にクライアントコンピュータ上の当該ファイルの内容が更新された場合には、更新日時43と更新日時513には相違が生じることになる。
【0032】
更新日時が確認され、当該ファイル内容が新たに更新されていた場合には、当該ファイルを保持しているクライアントコンピュータとサーバコンピュータ14のファイル内容参照機能21が通信し、更新されたファイル内容(電子データ)をクライアントコンピュータからサーバコンピュータ14に複写伝送し、サーバコンピュータ14上の複写電子データ20に格納する。そして、複写電子データ20は、前述と同様に管理者用コンピュータ51で参照できる形式に変換され、管理者は、該変換されたファイルの内容を管理者用コンピュータ11上で参照できることとなる。
【0033】
ここで、ファイル内容を確認するためにクライアントコンピュータからサーバコンピュータ14に複写転送された電子データ20は、放置すれば無限に増加するばかりであって、該データを蓄積するサーバコンピュータ14のディスク資源の枯渇原因となる。
従って、このサーバコンピュータ14に複写転送された電子データ20は、サーバコンピュータ14に備えられたファイル定期削除処理22によって、定期的に削除されることとした。
【0034】
次に、本発明の第3実施の形態であって、かつ更なる目的である、ISMS制度のPlanにおいて、リスクアセスメントを支援するシステムについて説明する。
図6には管理者用コンピュータ11の上記情報資産目録作成部13によって作成された上記情報資産目録13aの表形式一例を示す。
情報資産目録13aは、分類名61、数量62、資産価値63、利用目的64とから構成される。ここで、資産価値63及び利用目的64は、エンドユーザの主観に因る評価を目録13aに加味して追加されたものであって、エンドユーザが判断する際には、前述ファイル内容参照機能21が使用され、的確な内容の判断が可能となる。
【0035】
前記情報資産目録13aを活用することにより、資産価値63等から導出されるセキュリティ重要度に応じたコンピュータ資産及び電子データ資産の台数(数量)62等の保有状況を把握することが可能となる。従って、本システムを利用することにより、ISMS制度のPlanにおいて、リスクアセスメントに必要な情報資産目録の作成を自動的に行うことができる。
【図面の簡単な説明】
【0036】
【図1】本発明による情報資産の自動分類システムの一実施例を示すシステム構成図である。
【図2】本システムにおける電子データ資産情報の自動分類条件の一例である。
【図3】本システムにおけるコンピュータ資産情報の自動分類条件の一例である。
【図4】本システムによって自動分類された電子データ資産情報の一例である。
【図5】本システムによって自動分類され、管理者用コンピュータで参照できる形式に変換された電子データ資産情報一覧の一例である。
【図6】本システムによって作成された情報資産目録の一例である。
【符号の説明】
【0037】
11 管理者用コンピュータ
110a、110b クライアントコンピュータ
111a、111b 資産情報収集部
112a、112b 資産情報送信部
113a、113b 電子データ資産情報
114a、114b コンピュータ資産情報
115a、115b 電子データ
116a 資産情報
12 自動分類情報設定部
13 情報資産目録作成部
13a 情報資産目録
14 サーバコンピュータ
15 データベース更新部
16 資産情報受信部
17 自動分類処理部
18 データベース
19 自動分類条件情報
21 ファイル内容参照機能
【特許請求の範囲】
【請求項1】
クライアントの所有する情報資産を収集し、自動分類するシステムであって、
クライアントコンピュータと、該クライアントコンピュータの情報を収集するサーバコンピュータと、該サーバコンピュータに収集された情報を参照し、又は管理条件を設定する管理者用コンピュータと、から構成され、
前記クライアントコンピュータは、電子データと、電子データ資産情報と、コンピュータ資産情報とを含む資産情報を収集する資産情報収集部と、該資産情報収集部で収集した資産情報をサーバコンピュータに送る資産情報送信部と、を備え、
前記サーバコンピュータは、前記クライアントコンピュータから送られた資産情報を受け取る資産情報受信部と、受け取った資産情報をデータベースに格納するデータベース更新部と、該データベースに格納された資産情報を自動分類する自動分類処理部と、資産情報を自動分類するための自動分類条件情報と、を具備し、
前記管理者用コンピュータは、前記自動分類条件情報を設定する自動分類情報設定部を備え、
前記管理者用コンピュータの自動分類情報設定部により、サーバコンピュータの前記自動分類条件情報が設定され、該設定に基いて前記自動分類処理部にてクライアントコンピュータからサーバコンピュータに収集された資産情報が自動分類されることを特徴とする、情報資産の自動分類システム。
【請求項2】
前記サーバコンピュータがファイル内容参照機能を具備し、
前記自動分類処理部で自動分類された電子データ資産情報が前記管理者用コンピュータで参照され、
管理者用コンピュータに指定された電子データは、サーバコンピュータの前記ファイル内容参照機能を使用することよって、管理者用コンピュータ上で内容確認が可能となる情報資産の自動分類システムであって、
前記ファイル内容参照機能は、管理者用コンピュータに指定された電子データを保有する前記クライアントコンピュータと通信し、クライアントコンピュータから当該電子データがサーバコンピュータに複写送信されることを特徴とする、請求項1に記載の情報資産の自動分類システム。
【請求項3】
前記管理者用コンピュータが情報資産目録作成部を具備し、
前記情報資産目録作成部は、前記サーバコンピュータの自動分類処理部において自動分類された情報資産を、管理者用コンピュータ上で参照することによって情報資産目録を作成することを特徴とする、請求項2に記載の情報資産の自動分類システム。
【請求項1】
クライアントの所有する情報資産を収集し、自動分類するシステムであって、
クライアントコンピュータと、該クライアントコンピュータの情報を収集するサーバコンピュータと、該サーバコンピュータに収集された情報を参照し、又は管理条件を設定する管理者用コンピュータと、から構成され、
前記クライアントコンピュータは、電子データと、電子データ資産情報と、コンピュータ資産情報とを含む資産情報を収集する資産情報収集部と、該資産情報収集部で収集した資産情報をサーバコンピュータに送る資産情報送信部と、を備え、
前記サーバコンピュータは、前記クライアントコンピュータから送られた資産情報を受け取る資産情報受信部と、受け取った資産情報をデータベースに格納するデータベース更新部と、該データベースに格納された資産情報を自動分類する自動分類処理部と、資産情報を自動分類するための自動分類条件情報と、を具備し、
前記管理者用コンピュータは、前記自動分類条件情報を設定する自動分類情報設定部を備え、
前記管理者用コンピュータの自動分類情報設定部により、サーバコンピュータの前記自動分類条件情報が設定され、該設定に基いて前記自動分類処理部にてクライアントコンピュータからサーバコンピュータに収集された資産情報が自動分類されることを特徴とする、情報資産の自動分類システム。
【請求項2】
前記サーバコンピュータがファイル内容参照機能を具備し、
前記自動分類処理部で自動分類された電子データ資産情報が前記管理者用コンピュータで参照され、
管理者用コンピュータに指定された電子データは、サーバコンピュータの前記ファイル内容参照機能を使用することよって、管理者用コンピュータ上で内容確認が可能となる情報資産の自動分類システムであって、
前記ファイル内容参照機能は、管理者用コンピュータに指定された電子データを保有する前記クライアントコンピュータと通信し、クライアントコンピュータから当該電子データがサーバコンピュータに複写送信されることを特徴とする、請求項1に記載の情報資産の自動分類システム。
【請求項3】
前記管理者用コンピュータが情報資産目録作成部を具備し、
前記情報資産目録作成部は、前記サーバコンピュータの自動分類処理部において自動分類された情報資産を、管理者用コンピュータ上で参照することによって情報資産目録を作成することを特徴とする、請求項2に記載の情報資産の自動分類システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2008−15953(P2008−15953A)
【公開日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願番号】特願2006−188773(P2006−188773)
【出願日】平成18年7月10日(2006.7.10)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【公開日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願日】平成18年7月10日(2006.7.10)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
[ Back to top ]