情報追跡管理システム
【課題】ネットワークレベルで情報の移動や複製を追跡し、ファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができるシステムを提供する。
【解決手段】収集装置1と、分析装置2とを具備し、収集装置1がネットワーク4接続したクライアント31及びサーバ32のファイルの情報を追跡し管理するシステムであって、収集装置1は、クライアント31又はサーバ32がそれぞれ有するエージェント33からファイル処理情報を収集し、監視するネットワーク4上でのファイル移動情報を収集し、分析装置2は、収集装置1が収集したファイル処理情報及びファイル移動情報を、文書ごとに整理し、処理発生時刻を元に、各サーバ32やクライアント31上でのファイル名変更及びファイル移動を関連付ける。
【解決手段】収集装置1と、分析装置2とを具備し、収集装置1がネットワーク4接続したクライアント31及びサーバ32のファイルの情報を追跡し管理するシステムであって、収集装置1は、クライアント31又はサーバ32がそれぞれ有するエージェント33からファイル処理情報を収集し、監視するネットワーク4上でのファイル移動情報を収集し、分析装置2は、収集装置1が収集したファイル処理情報及びファイル移動情報を、文書ごとに整理し、処理発生時刻を元に、各サーバ32やクライアント31上でのファイル名変更及びファイル移動を関連付ける。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報追跡管理システムであり、特にネットワークを流れる情報を直接解析し、ファイルの移動を把握することにより、ファイル操作イベントを収集し、電子情報がいつどこで生成され、どこへコピーされていったかを追跡するシステムに関する。
【背景技術】
【0002】
電子情報はコピーや移動が簡単にでき、管理が難しい。また、ネットワークでファイルを追跡する場合、サーバやクライアント上での変更も考慮しなければならない。しかし、法規制対応などで必要性は高い。
【0003】
従来、サーバ上のファイルに対し、クライアント側でショートカットを作成している状況で、サーバ上のファイルが、他のサーバへ移動された場合でも、同じショートカットとしてアクセス可能とすることが提案されている(特許文献1参照)が、予め対象ファイルに対し、明示的なIDの割り当てが必要である。
【特許文献1】特開2003−233517号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明は、ネットワークレベルで情報の移動や複製を追跡し、ファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができるシステムを提供することを目的とする。
【課題を解決するための手段】
【0005】
本発明は、収集装置と、分析装置とを具備し、前記収集装置がネットワーク接続したクライアント及びサーバのファイルの情報を追跡し管理するシステムであって、前記収集装置は、前記クライアント又はサーバがそれぞれ有するエージェントからファイル処理情報を収集するとともに、監視するネットワーク上でのファイル移動情報を収集し、前記分析装置は、前記収集装置が収集したファイル処理情報及びファイル移動情報を、文書ごとに整理し、処理発生時刻を元に、各サーバやクライアント上でのファイル名変更及びファイル移動を関連付けるファイル情報追跡管理システムである。
【0006】
また、本発明は、電子情報をネットワークレベルで追跡し、ネットワークを流れるファイルコピーデータと、各サーバ、クライアント上でのファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができ、また、ネットワーク上のデータとOS上のデータを関連付けることで、ファイルの内容が変わっても、情報の移動が追跡できる情報追跡管理システムである。
【0007】
そして、本発明は、ワームの被害を受けた場合、影響を全て明らかにでき、OSから再構築することなく復旧が可能である情報追跡管理システムである。
【発明の効果】
【0008】
本発明によれば、ネットワーク上でコピーが追跡できるため、重要な情報をシステムから削除する場合、確実に行なえる情報追跡管理システムを提供することができる。
【発明を実施するための最良の形態】
【0009】
本発明を実施するための最良の形態を説明する。
本発明の情報追跡管理システムの実施例について、図面を用いて説明する。
【0010】
実施例を説明する。本実施例の情報追跡管理システムは、図1に示すように、収集装置1と分析装置2とを備えている。収集装置1は、サーバ機能を有しており、エージェントを有するクライアント31やサーバ32を接続するネットワーク4上に置かれ、各クライアント31やサーバ32からの情報を収集する。収集する情報には、通信元、先のIPアドレス、ファイル名などが含まれる。また、収集装置1は、ネットワーク4に流れる通信を監視し、ファイルコピーの通信を記録する。収集装置1は、エージェント33からの情報と、ファイルコピーの記録を分析装置2へ送信する。分析装置2は、収集装置1に接続し、収集装置1が収集したファイル情報を取得する。各エージェント33が記録した情報と、収集装置1が記録したコピー記録を関連付けることで、ある情報(ファイル名は変わる可能性がある)がどこで作られ、どのようにネットワーク上へコピーされていったかを追跡する。例えば、現在手元にあるファイルが、いつどこで作られ、だれがコピーを持っているのか、といったような情報を得ることができる。
【0011】
エージェント33は、クライアント31やサーバ32のOS上に常駐し、ファイルの作成、変更、削除を監視する。例えばWindows(登録商標)の場合、OSのファイルシステムイベントを監視する。作成、変更、削除が行なわれたとき、ファイル名と時刻、処理内容を記録し、定期的に収集装置1へ送る。
【0012】
実施例における情報追跡管理の手順の一例について、図2を用いて説明する。クライアント1(31a)で作成された文書がサーバ32を経由し、他のクライアントからダウンロードされた例である。(1)クライアント1(31a)で文書が作成されると、クライアント1(31a)のエージェント33は、文書作成を収集装置に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名などである。(2)クライアント1(31a)の文書がサーバ32に移動し、文書名が変更されると、ネットワーク4を監視する収集装置1は、クライアント1(31a)からサーバ32へ文書の移動の情報を収集する。収集される情報は、文書名、時刻、内容、処理元IP、処理先IP、元ファイル名などである。サーバ32のエージェント33は、移動してきた文書名の変更の情報を、収集装置に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名、先ファイル名などである。(3)サーバ32の文書がクライアント2(31b)にコピーされると、ネットワーク4を監視する収集装置は、サーバ32からクライアント2(31b)へ文書のコピーの情報を収集する。収集される情報は、文書名、時刻、内容、処理元IP、処理先IP、元ファイル名、先ファイル名などである。(4)サーバ32の文書がクライアント3(31c)にコピーされ、文書名が変更されると、ネットワーク4を監視する収集装置1は、サーバ32からクライアント3(31c)へ文書のコピーの情報を収集する。収集される情報は、(3)と同様である。クライアント3(31c)のエージェント33は、コピーしてきた文書名の変更の情報を、収集装置1に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名、先ファイル名などである。(5)クライアント2(31b)で文書が削除されると、クライアント2(31b)のエージェント33は、文書削除を収集装置に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名などである。以上(1)から(5)で収集装置1に収集された情報は、ネットワーク5を介して分析装置2に送信され、蓄積される。蓄積された情報は、各文書ごとに整理され、時刻順にソートされ、内容、処理元IP、処理先IP、元ファイル名、先ファイル名を一覧表にされる。この一覧表を参照すると、クライアント1(31a)で作成された文書は、クライアント1(31a)には存在せず、サーバ32に文書名が変更して存在し、クライアント2(31b)にはなく、クライアント3(31c)で変更した文書名で存在することがわかる。
【0013】
以上実施例で説明したように、本発明によれば、電子情報をネットワークレベルで追跡し、ネットワークを流れるファイルコピーデータと、各サーバ、クライアント上でのファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができる。また、ネットワーク上のデータとOS上のデータを関連付けることで、ファイルの内容が変わっても、情報の移動が追跡できる。
【0014】
なお、本発明のシステムの応用例として、ワームの被害を受けた場合、影響を全て明らかにできるため、OSから再構築することなく復旧が可能であり、SOX法対応情報監視システムなどに利用できる。関連技術として、SIM(セキュリティ情報マネジメント)を利用することができる。
【図面の簡単な説明】
【0015】
【図1】実施例の情報追跡管理システムの説明図。
【図2】実施例の情報追跡管理システムにおける追跡管理処理の一例の説明図。
【符号の説明】
【0016】
1 収集装置
2 分析装置
31、31a〜31c クライアント
32 サーバ
33 エージェント
4、5 ネットワーク
【技術分野】
【0001】
本発明は、情報追跡管理システムであり、特にネットワークを流れる情報を直接解析し、ファイルの移動を把握することにより、ファイル操作イベントを収集し、電子情報がいつどこで生成され、どこへコピーされていったかを追跡するシステムに関する。
【背景技術】
【0002】
電子情報はコピーや移動が簡単にでき、管理が難しい。また、ネットワークでファイルを追跡する場合、サーバやクライアント上での変更も考慮しなければならない。しかし、法規制対応などで必要性は高い。
【0003】
従来、サーバ上のファイルに対し、クライアント側でショートカットを作成している状況で、サーバ上のファイルが、他のサーバへ移動された場合でも、同じショートカットとしてアクセス可能とすることが提案されている(特許文献1参照)が、予め対象ファイルに対し、明示的なIDの割り当てが必要である。
【特許文献1】特開2003−233517号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明は、ネットワークレベルで情報の移動や複製を追跡し、ファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができるシステムを提供することを目的とする。
【課題を解決するための手段】
【0005】
本発明は、収集装置と、分析装置とを具備し、前記収集装置がネットワーク接続したクライアント及びサーバのファイルの情報を追跡し管理するシステムであって、前記収集装置は、前記クライアント又はサーバがそれぞれ有するエージェントからファイル処理情報を収集するとともに、監視するネットワーク上でのファイル移動情報を収集し、前記分析装置は、前記収集装置が収集したファイル処理情報及びファイル移動情報を、文書ごとに整理し、処理発生時刻を元に、各サーバやクライアント上でのファイル名変更及びファイル移動を関連付けるファイル情報追跡管理システムである。
【0006】
また、本発明は、電子情報をネットワークレベルで追跡し、ネットワークを流れるファイルコピーデータと、各サーバ、クライアント上でのファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができ、また、ネットワーク上のデータとOS上のデータを関連付けることで、ファイルの内容が変わっても、情報の移動が追跡できる情報追跡管理システムである。
【0007】
そして、本発明は、ワームの被害を受けた場合、影響を全て明らかにでき、OSから再構築することなく復旧が可能である情報追跡管理システムである。
【発明の効果】
【0008】
本発明によれば、ネットワーク上でコピーが追跡できるため、重要な情報をシステムから削除する場合、確実に行なえる情報追跡管理システムを提供することができる。
【発明を実施するための最良の形態】
【0009】
本発明を実施するための最良の形態を説明する。
本発明の情報追跡管理システムの実施例について、図面を用いて説明する。
【0010】
実施例を説明する。本実施例の情報追跡管理システムは、図1に示すように、収集装置1と分析装置2とを備えている。収集装置1は、サーバ機能を有しており、エージェントを有するクライアント31やサーバ32を接続するネットワーク4上に置かれ、各クライアント31やサーバ32からの情報を収集する。収集する情報には、通信元、先のIPアドレス、ファイル名などが含まれる。また、収集装置1は、ネットワーク4に流れる通信を監視し、ファイルコピーの通信を記録する。収集装置1は、エージェント33からの情報と、ファイルコピーの記録を分析装置2へ送信する。分析装置2は、収集装置1に接続し、収集装置1が収集したファイル情報を取得する。各エージェント33が記録した情報と、収集装置1が記録したコピー記録を関連付けることで、ある情報(ファイル名は変わる可能性がある)がどこで作られ、どのようにネットワーク上へコピーされていったかを追跡する。例えば、現在手元にあるファイルが、いつどこで作られ、だれがコピーを持っているのか、といったような情報を得ることができる。
【0011】
エージェント33は、クライアント31やサーバ32のOS上に常駐し、ファイルの作成、変更、削除を監視する。例えばWindows(登録商標)の場合、OSのファイルシステムイベントを監視する。作成、変更、削除が行なわれたとき、ファイル名と時刻、処理内容を記録し、定期的に収集装置1へ送る。
【0012】
実施例における情報追跡管理の手順の一例について、図2を用いて説明する。クライアント1(31a)で作成された文書がサーバ32を経由し、他のクライアントからダウンロードされた例である。(1)クライアント1(31a)で文書が作成されると、クライアント1(31a)のエージェント33は、文書作成を収集装置に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名などである。(2)クライアント1(31a)の文書がサーバ32に移動し、文書名が変更されると、ネットワーク4を監視する収集装置1は、クライアント1(31a)からサーバ32へ文書の移動の情報を収集する。収集される情報は、文書名、時刻、内容、処理元IP、処理先IP、元ファイル名などである。サーバ32のエージェント33は、移動してきた文書名の変更の情報を、収集装置に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名、先ファイル名などである。(3)サーバ32の文書がクライアント2(31b)にコピーされると、ネットワーク4を監視する収集装置は、サーバ32からクライアント2(31b)へ文書のコピーの情報を収集する。収集される情報は、文書名、時刻、内容、処理元IP、処理先IP、元ファイル名、先ファイル名などである。(4)サーバ32の文書がクライアント3(31c)にコピーされ、文書名が変更されると、ネットワーク4を監視する収集装置1は、サーバ32からクライアント3(31c)へ文書のコピーの情報を収集する。収集される情報は、(3)と同様である。クライアント3(31c)のエージェント33は、コピーしてきた文書名の変更の情報を、収集装置1に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名、先ファイル名などである。(5)クライアント2(31b)で文書が削除されると、クライアント2(31b)のエージェント33は、文書削除を収集装置に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名などである。以上(1)から(5)で収集装置1に収集された情報は、ネットワーク5を介して分析装置2に送信され、蓄積される。蓄積された情報は、各文書ごとに整理され、時刻順にソートされ、内容、処理元IP、処理先IP、元ファイル名、先ファイル名を一覧表にされる。この一覧表を参照すると、クライアント1(31a)で作成された文書は、クライアント1(31a)には存在せず、サーバ32に文書名が変更して存在し、クライアント2(31b)にはなく、クライアント3(31c)で変更した文書名で存在することがわかる。
【0013】
以上実施例で説明したように、本発明によれば、電子情報をネットワークレベルで追跡し、ネットワークを流れるファイルコピーデータと、各サーバ、クライアント上でのファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができる。また、ネットワーク上のデータとOS上のデータを関連付けることで、ファイルの内容が変わっても、情報の移動が追跡できる。
【0014】
なお、本発明のシステムの応用例として、ワームの被害を受けた場合、影響を全て明らかにできるため、OSから再構築することなく復旧が可能であり、SOX法対応情報監視システムなどに利用できる。関連技術として、SIM(セキュリティ情報マネジメント)を利用することができる。
【図面の簡単な説明】
【0015】
【図1】実施例の情報追跡管理システムの説明図。
【図2】実施例の情報追跡管理システムにおける追跡管理処理の一例の説明図。
【符号の説明】
【0016】
1 収集装置
2 分析装置
31、31a〜31c クライアント
32 サーバ
33 エージェント
4、5 ネットワーク
【特許請求の範囲】
【請求項1】
収集装置と、分析装置とを具備し、前記収集装置がネットワーク接続したクライアント及びサーバのファイルの情報を追跡し管理するシステムであって、
前記収集装置は、前記クライアント又はサーバがそれぞれ有するエージェントからファイル処理情報を収集するとともに、監視するネットワーク上でのファイル移動情報を収集し、前記分析装置は、前記収集装置が収集したファイル処理情報及びファイル移動情報を、文書ごとに整理し、処理発生時刻を元に、各サーバやクライアント上でのファイル名変更及びファイル移動を関連付けることを特徴とするファイル情報追跡管理システム。
【請求項2】
請求項1記載の情報追跡管理システムにおいて、
電子情報をネットワークレベルで追跡し、ネットワークを流れるファイルコピーデータと、各サーバ、クライアント上でのファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡するができ、また、ネットワーク上のデータとOS上のデータを関連付けることで、ファイルの内容が変わっても、情報の移動が追跡できることを特徴とする情報追跡管理システム。
【請求項3】
請求項1記載の情報追跡管理システムにおいて、
ワームの被害を受けた場合、影響を全て明らかにでき、OSから再構築することなく復旧が可能であることを特徴とする情報追跡管理システム。
【請求項1】
収集装置と、分析装置とを具備し、前記収集装置がネットワーク接続したクライアント及びサーバのファイルの情報を追跡し管理するシステムであって、
前記収集装置は、前記クライアント又はサーバがそれぞれ有するエージェントからファイル処理情報を収集するとともに、監視するネットワーク上でのファイル移動情報を収集し、前記分析装置は、前記収集装置が収集したファイル処理情報及びファイル移動情報を、文書ごとに整理し、処理発生時刻を元に、各サーバやクライアント上でのファイル名変更及びファイル移動を関連付けることを特徴とするファイル情報追跡管理システム。
【請求項2】
請求項1記載の情報追跡管理システムにおいて、
電子情報をネットワークレベルで追跡し、ネットワークを流れるファイルコピーデータと、各サーバ、クライアント上でのファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡するができ、また、ネットワーク上のデータとOS上のデータを関連付けることで、ファイルの内容が変わっても、情報の移動が追跡できることを特徴とする情報追跡管理システム。
【請求項3】
請求項1記載の情報追跡管理システムにおいて、
ワームの被害を受けた場合、影響を全て明らかにでき、OSから再構築することなく復旧が可能であることを特徴とする情報追跡管理システム。
【図1】
【図2】
【図2】
【公開番号】特開2007−304853(P2007−304853A)
【公開日】平成19年11月22日(2007.11.22)
【国際特許分類】
【出願番号】特願2006−132574(P2006−132574)
【出願日】平成18年5月11日(2006.5.11)
【出願人】(000233491)日立電子サービス株式会社 (394)
【Fターム(参考)】
【公開日】平成19年11月22日(2007.11.22)
【国際特許分類】
【出願日】平成18年5月11日(2006.5.11)
【出願人】(000233491)日立電子サービス株式会社 (394)
【Fターム(参考)】
[ Back to top ]