検疫システム、検疫装置、検疫方法、及び、コンピュータプログラム
【課題】ユーザの端末操作の確認を行い、管理者の決めたルールに反した場合、社内リソースへのアクセスを禁止する。
【解決手段】検疫装置20は、クライアント端末10からログデータを受信してログDB32に書き込むログ収集管理部と、ログDB32からログデータを読み出すログデータ読込部と、読み出されたログデータが、結果DBに記憶されているルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、ルール照合部により合致していると判断されたルールと、ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、検出情報の示すルールに対応した通信制御を、該結果情報の示すユーザ識別子により特定されるユーザのクライアント端末10へ指示する通信制御部と、を備える。
【解決手段】検疫装置20は、クライアント端末10からログデータを受信してログDB32に書き込むログ収集管理部と、ログDB32からログデータを読み出すログデータ読込部と、読み出されたログデータが、結果DBに記憶されているルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、ルール照合部により合致していると判断されたルールと、ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、検出情報の示すルールに対応した通信制御を、該結果情報の示すユーザ識別子により特定されるユーザのクライアント端末10へ指示する通信制御部と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、検疫システム、検疫装置、検疫方法、及び、コンピュータプログラムに関する。
【背景技術】
【0002】
近年、コンピュータシステムにおけるセキュリティの確保が重要な問題となっている。セキュリティ対策に用いらる従来の一般的な検疫システムは、クライアントPC(パーソナルコンピュータ)のセキュリティレベルを診断し、セキュリティ対策が不十分な場合は、社内リソース、例えば、業務サーバや社内ネットワークへの接続を許可しないというものである。セキュリティレベルの診断には、セキュリティパッチが適用されているか否か、ウイルス対策ソフトウェアの定義ファイルのバージョン、必要・不要なアプリケーションのインストール状況などのチェックがあり、これは、つまりクライアントPCに対するコンプライアンスチェックである。
【0003】
上述した検疫システムのほか、セキュリティ対策として、ユーザ認証、アプリケーションゲートウェイの設置、デジタルフォレンジクス製品等が用いられている。ユーザ認証は、システムを利用するユーザが登録されているユーザであるかの認証を行うものであり、基本的なID及びパスワードにより特定デバイスの所有、アプリケーションの使用、データへのアクセス等の権限をチェックする。ID及びパスワードによる認証の他、指紋・静脈などのバイオメトリクス認証を行うものなど、さまざまな認証方式が存在する。また、アプリケーションゲートウェイの設置により不正な操作を検出するものとして、IPS(Intrusion Prevention System)、IDS(Intrusion Detection System)、メールフィルタリング、ウェブフィルタリングなどがある。これらは、ネットワーク上に設置されたアプリケーションゲートウェイにおいて、そこを通過する通信を分析し、通信内容に問題が検出された場合に、通信を遮断するシステムである。また、デジタルフォレンジクス製品は、情報漏洩等のセキュリティ被害が発生した場合にその原因を調査することを主目的としており、ユーザ操作ログの収集と、収集したログの分析を行う。
一方、状態証明書を利用したセキュリティレベル管理システムも知られている(例えば、特許文献1参照)。このシステムにおいて、状態証明センタは、コンピュータのセキュリティ情報をもとに状態証明書を作成して当該コンピュータに送信し、状態送信センタは、ネットワークに接続するためのセキュリティを満たすウイルス定義ファイルの情報やOSのパッチ情報を含む安全状態情報を作成し、状態検証器へ送信する。状態検証器はコンピュータの状態証明書と、安全状態情報とを比較してセキュリティのチェックを行う。
【特許文献1】特開2005−128622号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
上述するような、従来の検疫システムは、クライアントPCの状態を通信可否の判断根拠としているが、これは、ユーザの不正な操作に起因する情報漏洩、ウイルス感染防止には、十分な効果を発揮するものではない。加えて、最近、パッチ適用の自動化、ウイルス対策システムの自動化など、クライアントPCのセキュリティ対策機能が強化されており、現在の検疫システムが主眼を置いているクライアントPCに対するコンプライアンスチェックは、相対的に重要度が下がることが予想される。
加えて、エンドポイントセキュリティ、情報漏洩の分野では、利用可能として登録されていない、すなわち、権限のないユーザによる情報漏洩対策に加えて、権限のある人間による情報漏洩対策を強化する必要性が高まっている。ユーザ認証は、特定のユーザであることのみをチェックするため、このような最近特に問題となっている権限を持つユーザの不正操作によるセキュリティ被害を防ぐことはできない。
【0005】
アプリケーションゲートウェイを用いる場合、通信の制御が可能な対象は、メール、ウェブページの閲覧など限定される。加えて、チェック対象はアプリケーションゲートウェイを通過する通信であるため、クライアントPCで行われるユーザ操作の一部に対してしかチェック及び制限が可能ではない。また、デジタルフォレンジクス製品では、上述するように、一般的にセキュリティ被害の発生後に利用するものであり、原因調査もしくはログ収集による不正操作の発生抑止を目的としている。そのため、ユーザの不正操作の禁止や被害発生防止、通信の制御によるペナルティの付与等の機能は弱い。一部製品では、不正なプログラム実行に対してプロセスの遮断を行うことが可能な製品が存在しているが、あくまで当該プログラムの実行禁止を行うだけであり、ユーザ操作によって通信範囲の拡大等の制御を行うことはできない。
【0006】
本発明は、このような課題を解決するためになされたもので、その目的は、クライアントPCの状態によるセキュリティレベル診断(クライアントPCのコンプライアンスチェック)だけでなく、ユーザの端末操作の確認(ユーザ操作のコンプライアンスチェック)を行い、管理者の決めたルールに反した場合、社内リソースへのアクセスを禁止することのできる検疫システム、検疫装置、検疫方法、及び、コンピュータプログラムを提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するため、本発明は、端末と、前記端末とはネットワークを介して接続される検疫装置とからなる検疫システムであって、前記端末において実行された操作及びユーザ識別子の情報を含むログデータを記憶するログ記憶手段と、検出対象の操作を示すルールデータを記憶するルール記憶手段と、前記端末からログデータを受信して前記ログ記憶手段に書き込むログ収集管理部と、前記ログ記憶手段から前記ログ収集管理部が書き込んだログデータを読み出すログデータ読込部と、前記ログデータ読込部により読み出されたログデータが、前記ルール記憶手段内の前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、前記ルール照合部により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、前記結果送信部により出力された結果情報の示すルールに対応して通信範囲を制限または拡大する通信制御を、該結果情報の示すユーザ識別子により特定されるユーザの端末へ指示する通信制御部と、を備えることを特徴とする検疫システムである。
【0008】
また、本発明は、端末において実行された操作及びユーザ識別子の情報を含むログデータを記憶するログ記憶手段と、検出対象の操作を示すルールデータを記憶するルール記憶手段と、前記ログ記憶手段からログデータを読み出すログデータ読込部と、前記ログデータ読込部により読み出されたログデータが、前記ルール記憶手段内の前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、前記ルール照合部により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、を備えることを特徴とする検疫装置である。
【0009】
また、本発明は、上述する検疫装置であって、前記ルール記憶手段は、ユーザ識別子と前記ルールデータとを対応付けるデータをさらに記憶し、前記ルール照合部は、前記ログデータ内のユーザ識別子に対応したルールデータを前記ルール記憶手段から読み出し、前記ログデータが、読み出した前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断する、ことを特徴とする。
【0010】
また、本発明は、上述する検疫装置であって、前記ルールデータは、1または複数の検出対象の操作の情報を含むことを特徴とする。
【0011】
また、本発明は、上述する検疫装置であって、前記ルールデータは、複数の操作の情報と、閾値の情報とを含み、前記ルール照合部は、同じユーザ識別子を有する前記ログデータにより示される操作に、前記ルールデータにより示される操作と一致する操作が含まれており、かつ、該ルールデータに含まれる操作の数に対する、前記一致する操作の数の割合が、当該ルールデータで示される閾値以上である場合にルールと合致していると判断する、ことを特徴とする。
【0012】
また、本発明は、上述する検疫装置であって、前記ルールデータは、複数の操作の情報と、閾値の情報とを含み、前記ルール記憶手段は、さらに、ルールデータの示す操作と類似する操作のデータを記憶し、前記ルール照合部は、前記ルールデータにより示される操作と類似している操作を前記ルール記憶手段から読み出し、同じユーザ識別子を有する前記ログデータの示す操作に、読み出した類似した操作が含まれており、かつ、その類似した操作の類似度の合計が、当該ルールデータで示される閾値以上である場合にルールと合致していると判断する、ことを特徴とする。
【0013】
また、本発明は、上述する検疫装置であって、前記ログデータは、さらに、操作時刻の情報を含み、前記ルールデータは、さらに、閾値の情報を含み、前記ルール照合部は、同じユーザ識別子を有し、かつ、操作時刻が所定の期間内を示している前記ログデータのうち、前記ルールデータにより示される操作の実行を示しているログデータの数が、当該ルールデータの閾値で示される数以上である場合にルールと合致していると判断する、ことを特徴とする。
【0014】
また、本発明は、上述する検疫装置であって、前記ルール照合部によりルールと合致していると判断されたルールと、判断時刻とルール結果データを結果記憶手段に書き込むユーザ状態管理部をさらに備え、前記ルール照合部は、判断時刻が所定期間内であるルール結果データが前記結果記憶手段に記憶されているか否かを検出し、前記通信制御部は、前記ルール照合部により判断時刻が所定期間内であるルール結果データが前記結果記憶手段に記憶されていることを検出した場合に、出力済みの結果情報に応じた通信制御の継続指示を出力する、ことを特徴とする。
【0015】
また、本発明は、上述する検疫装置であって、結果情報に対応して、通信制御対象の端末の情報と、発信または着信を許可または制限する通信範囲を示すデータである通信制御プロファイルとを記憶する通信制御記憶手段と、前記結果送信部により出力された結果情報に対応する通信制御対象の端末の情報と、通信制御プロファイルとを前記通信制御記憶手段から読み出し、該通信制御対象の端末へ該通信制御プロファイルを通知する通信制御指示部とをさらに備える、ことを特徴とする。
【0016】
また、本発明は、端末の操作ログにより検疫検査を行う検疫装置に用いられるコンピュータを、前記端末において実行された操作及びユーザ識別子の情報を含むログデータをログ記憶手段から読み出すログデータ読込手段、検出対象の操作を示すルールデータをルール記憶手段から読み出し、前記ログデータ読込手段により読み出されたログデータが、読み出した前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合手段、前記ルール照合手段により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信手段、として実行させることを特徴とするコンピュータプログラムである。
【発明の効果】
【0017】
本発明によれば、ユーザの操作のコンプライアンスチェックを行うことにより、エンドポイントセキュリティを高めることができる。
すなわち、一定の操作をすることによるアクセス制限の緩和と、一定の操作をすることによるアクセス範囲の限定化という2面の通信制御が可能となることに加え、クライアントPCから社内リソースへのアクセス制御という面だけでなく、不正な操作をしたクライアントPCへの通信を制御し、ウイルス感染・情報漏洩を防止するなど、多面的な防御が可能となる。さらには、発生した不正な操作の妨害だけでなく、その行動の結果を継続的にペナルティとして課したり、過去に遡って一定の行為を複数回繰り返しているユーザに制限を課したりすることもでき、より厳密かつ柔軟なエンドユーザの行動制限を行うことが可能となる。
コンプライアンスチェックの判断根拠として、不正行為の累積カウントを用い、ユーザの不正行為を検知することができる。また、不正行為がなされる前に、一定の基準を超えた場合に、不正行為の兆候があることを判断することも可能となる。
【発明を実施するための最良の形態】
【0018】
以下、本発明の好適な実施の形態について図面を参照しつつ説明する。
図1は、本発明の一実施の形態による検疫システムの概要を示す図である。企業が保有する検疫システムは、クライアント端末10、及び、検疫装置20を、ネットワーク70を介して接続してなる。また、ネットワーク70は、業務ネットワーク81や業務ネットワーク81上に設置された業務サーバ82などの社内リソース80とVPN−GW(Virtual Private Netework−Gateway)90を介して接続される
【0019】
同図に示す検疫システムの動作概要を説明する。クライアント端末10が起動すると、まず、クライアント端末10のPC状態の検査を行う(ステップS1)。これは、PCに対するコンプライアンスチェックであり、例えば、セキュリティパッチが適用されているか否か、ウイルス対策ソフトウェアの定義ファイルのバージョン、必要・不要なアプリケーション(AP)のインストール状況などをチェックする。PCに対するコンプライアンスチェックが終了すると、以降、クライアント端末10は、アプリケーションの利用ログ、メールやその貼付ファイルの送信ログ、ウェブの閲覧ログなどの操作ログを収集する。検疫装置20は、クライアント端末10から収集された操作ログのデータであるログデータを受信し、ログデータベース32(以下、データベースを「DB」と記載)に書き込む(ステップS2)。検疫装置20は、当該検疫装置20内で管理している検出ルールと、ログDB32内のログデータとを照会して操作ログの検疫検査、すなわち、ユーザ操作のコンプライアンスチェックを行う(ステップS3)。このチェックにより、検疫装置20において、禁止アプリケーションの起動や、特定ファイルのメール貼付、ウェブからの不正ダウンロード等によるアプリケーション実行など、情報漏洩等の怖れのある不正操作があったことを示す操作ログを発見した場合、検疫装置20は、通信状態管理を行う機能部により、クライアント端末10に対して通信制限を指示する(ステップS4)。クライアント端末10は、検疫装置20からの指示に従って通信制限を行い、指示された範囲の社内リソース80へのアクセスは遮断し、通信可能な社内リソース80へのみアクセスして業務通信を行う(ステップS5)。
【0020】
本実施の形態においてユーザ操作のコンプライアンスチェックに用いる情報は、クライアント端末10の操作ログである。つまり、検疫装置20は、クライアント端末10におけるユーザ操作のログを収集・管理し、ログと管理者が定義したルールとのマッチング、すなわち、コンプライアンスチェックを行い、ルールに適合しているか否かを判定する。
ログの具体的な例としては、メール送信の題名、メール本文中のキーワード、メールの添付ファイル名、閲覧したウェブページのアドレス(URL:Universal Resource Locator)、ウェブページ中のキーワード、ユーザがアクセス・操作(作成、保存、書換、削除など)を行ったファイル名、当該ファイルの保存場所、当該ファイルの中身、起動したアプリケーション・プロセス名、停止したアプリケーション・プロセス名、外部デバイスの接続・利用、印刷したドキュメント名、画面ウィンドウのタイトルに示されているテキストデータなどである。これらの情報は、既存の汎用的なログ収集のソフトウェアアプリケーションであるフォレンジクス製品により一般的に収集されるものであり、本システムにおいてもそれらの製品との連携によって実現することができる。また、既存技術の検疫システムや、通信制御プロファイルを自動配布するシステム等と組み合わせることもできる。
【0021】
本実施の形態による検疫システムの効用は、クライアント端末10のセキュリティ向上にある。まず、クライアント端末10のコンプライアンスチェックを実施することにより、一定のセキュリティ基準を満たさないクライアント端末10は、社内リソース80にアクセスできない。これにより、不正な持込持ち込み端末、セキュリティ対策の不十分なクライアント端末10を排除することができる。更に、これらのチェックを通過したクライアント端末10であっても、ユーザが管理者の決めたルールを外れた操作をした場合に、社内リソース80の利用範囲を縮小することが可能である。
【0022】
ユーザ操作のコンプライアンスチェックには、ルールに外れた場合に通信範囲を制限するという方法以外にも、ルールに従った操作を行った場合に通信範囲を拡大するという利用方法も可能である。例えば、ウィルスチェック実施の操作を行った後には、ファイルサーバへのアクセスを許可する、注意事項や連絡事項を表記したウェブページを閲覧した後に、業務アプリケーション処理を行う業務サーバ82へのアクセスがを許可する、などの利用法が考えられる。この機能により、社内リソース80へのアクセス等の権限を有するユーザであっても、特定の操作を実行しない限り、その権限を行使できないといった、柔軟な制限を課すことが可能となる。また、特定の操作(作業)をクライアント端末10の利用者に強制し、結果として特定操作の実施の確実さを高めることも可能となる。
【0023】
さらに、クライアント端末10から発信される通信だけでなく、クライアント端末10への着信についても、同様の制限を課すことができる。つまり、クライアント端末10もしくはユーザ操作へのコンプライアンスチェックにおいて問題があった場合、当該クライアント端末10への外部から、あるいは、他のクライアント端末10からの通信を制限する。また、逆に一定の操作を行った場合に、外部から、あるいは、他のクライアント端末10からの通信を受取れる範囲を拡大することも可能となる。
さらには、不正を検出したクライアント端末10への着信だけではなく、当該クライアント端末10の周囲の他のクライアント端末10への着信を制限することも可能である。これにより、例えば、不正を検出したクライアント端末10と関連するデータや連携してアプリケーションを実行する他のクライアント端末10へのアクセスも制限する。
【0024】
検疫装置20は、ユーザ操作のコンプライアンスチェック結果を一定の期間継続する。つまり、コンプライアンスチェック結果の情報に継続時間の情報を付加して保持することにより、不正な操作があったという時間軸上でのある時点における事象を、過去一定期間内に不正な操作があったという事象に変換する。これは、換言すると、望ましくない行動への対処だけではなく、望ましくない行動をしたユーザの今後の行動へのペナルティの役割を果たすことになる。
【0025】
コンプライアンスチェックのルールには、2つの種類がある。1つは、1つの操作ログをコンプライアンスチェックの判断根拠とするルールである。例えば、アクセスを制限したいウェブページの閲覧や、実行してはいけないアプリケーションプログラムの実行のログを発見した場合に、通信の制限を行うものである。もう1つは、複数のログの組み合わせをコンプライアンスチェックの判断根拠とするルールである。それぞれの操作ログには問題はないが、組み合わせて実行されることにより問題となる場合に適用することができる。具体的な例をあげると、(1)顧客情報の参照、(2)画面キャプチャ、の操作の組み合わせである。それぞれの単体のログからは、接続の制限を課すべき操作であるとみなすことができないが、それらを組み合わせることにより問題のある操作であることが明らかになる。また、組み合わせるそれぞれのログ発生のタイミングについても規定を行うことにより、一定の期間内や同時に一連の操作が行われたときに問題となる場合のチェックがも可能となる。
【0026】
複数のログを組み合わせてコンプライアンスチェックの判断根拠とする場合、禁止操作との類似度という観点を盛り込むことができる。具体的には次の2つの利用方法がある。1つ目は、禁止したい操作セットの全部が実行される前に、当該操作セットと一致する操作がある一定の割合を超えた場合に通信制御を行うものであり、禁止操作の兆候段階において対処を行うものである。例えば、5つの操作を組み合わせてルールとした場合、その4つ目までが実施された場合にルールに合致したと判断し、社内リソースの利用を禁止したり、あるいは、それぞれの操作に重み付けを行い、合致する操作に対応する重みの数値の合計(合算、二乗の加算など乖離度の数学的な操作により算出)が、全操作が行われた場合の重みの合計の80%を超えた場合に通信を禁止する、などがあげられる。また、2つ目は、規定された禁止操作と類似した操作に類似度に応じたポイントを合計していき、一定の基準を超えた場合にルールに合致していると判断する。このことにより、ルールに幅を持たせることが可能となり、禁止したい操作の兆候を発見し、事前に通信を制御することが可能となる。
【0027】
また、コンプライアンスチェックの結果判定には2つの方法がある。1つは、指定したユーザ操作(あるいはユーザ操作の組み合わせ)が発生したかどうかを単純に結果とするものである。望ましくない操作が1度でも実行された場合、その時点でNGと判定する。2つめは、一定期間内に指定した操作が何度か行われた場合に、NGと判断するものである。例えば、3回同様の禁止キーワードを含むウェブページにアクセスした場合にNGと判定するなどである。この場合、当該ログが発生したことを記憶しておく時間を検疫装置20内に保持しておくことにより、当該ログ発生の密度によって判断結果を変更することが可能となる。つまり、誤った操作を頻繁に行った場合(10分間に3回など)には通信制御を行うが、それが1週間に3回であれば、通信制御は行わないなどである。これは、ユーザ操作が悪意のあるものであるか、たまたま間違ったものであるかについての識別にも利用可能である。
【0028】
以下に、検疫システムの具体的な構成及び動作について説明する。
図2は、検疫システムの構成を示すブロック図である。
クライアント端末10は、例えば、パーソナルコンピュータ(PC)などのコンピュータ端末であり、ログ収集エージェント11、通信制御エージェント12を備える。これらの各ブロックは、具体的には、CPU(central processing unit)ならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、そのブロックが持つ機能を実現するものである。ログ収集エージェント11は、ユーザがクライアント端末10で行った操作ログを示すログデータを収集し、検疫端末2へ収集したログデータを送信する機能を有する。通信制御エージェント12は、検疫端末2から通信の制限あるいは許可対象を示すデータである通信制御プロファイルを受信し、この通信制御プロファイルに基づき通信制御を行う。また、通信制御エージェント12は、検疫装置20へ検疫検査要求を送信する。通信制御エージェント12は、パーソナルファイアーウォールやVPN通信制御等の既存アプリケーションにより実現することができる。
【0029】
検疫装置20は、ログ収集管理部21、ログベースド検疫検査部22、及び、通信制御部23から構成される。これらの各ブロックは、具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、そのブロックが持つ機能を実現するものである。ログ収集管理部21は、既存の汎用的なフォレンジクス製品により、通信制御部23は、通信制御プロファイルを自動配布する既存のシステムにより実現することが可能である。
【0030】
ログ収集管理部21は、情報収集部31、ログDB32、ログ管理部33、資産情報管理部34、及び、レポーティング部35を備える。情報収集部31は、クライアント端末10からログデータを受信し、ログDB32へ書き込む。ログ管理部33は、ログDB32内のログデータのデータ管理を行う。資産情報管理部34は、ネットワーク70に接続されているクライアント端末10等の情報を管理する。レポーティング部35は、ログDB32内のログデータや、このログデータに基づいた情報等を出力する。
【0031】
通信制御部23は、通信制御DB61、通信制御指示部62、及び、検疫要求受信部63を備える。通信制御DB61は、検疫結果と通信制御プロファイルとを対応付けた通信制御データを記憶する。通信制御指示部62は、ログベースド検疫検査部22からクライアント端末10の検疫結果を受信し、受信した検疫結果に対応する通信制御プロファイルをクライアント端末10へ送信する。検疫要求受信部63は、クライアント端末10から検疫検査要求を受信してログベースド検疫検査部22へ通知する。
【0032】
図3は、ログベースド検疫検査部22の詳細な構成を示すブロック図である。
ログベースド検疫検査部22は、ルールDB41、結果DB42、ルール設定管理部51、検査実施管理部52、ログデータ読込部53、ルール照合部54、ユーザ状態管理部55、結果判定部56、結果送信部57、検疫要求受信部58、及び、結果参照/検査・結果操作部59を備える。
ルールDB41は、検疫検査のためにログチェックを実行する際のルールを示すデータを記憶する。結果DB424は、ユーザ毎の条件達成状況、ルール適合状況等の検疫検査の結果データを記憶する。ルール設定管理部51は、ルールDB41内のルールのデータに対して、追加、変更、削除などのデータ操作を行うユーザインタフェースを実現する。検査実施管理部52は、検疫検査要求に基づく検疫検査の実施状況を管理する。また、検査実施管理部52は、ログ収集管理部21からのログ発生の通知を受信し、検疫検査処理を開始するとともに、定期的な検疫検査処理の実行を管理する。ログデータ読込部53は、ログ収集管理部21内のログDB32からレコード毎にログデータを読み出す。ルール照合部54は、ログデータとルールのマッチングを行う。ユーザ状態管理部55、ログデータとルールとのマッチング結果や、ルールを構成する各検査条件の達成状況を結果DB42に書き込む。結果判定部56は、ユーザ毎の条件達成状況から検疫検査の最終結果を判断する。結果送信部57は、検疫検査の結果を通信制御部23へ送信する。検疫要求受信部58は、通信制御部23から検疫検査要求を受信する。結果参照/検査結果操作部59は、結果DB42内の検疫検査の結果データを参照する。また、結果参照/検査結果操作部59は、検疫検査の再実行を指示したり、ペナルティの解除などの、結果DB42内の検疫検査の結果データの変更を行う。
【0033】
図4は、各データ間の関連性を示すデータ概念モデルを示す図である。
ログデータと検査対象のユーザとは、n:1の関係があり、検査対象のユーザとログの検査ルール(以下、単に「ルール」と記載する」とはn:mの関係がある。また、ルールは、具体的なログとのパターンマッチを判断するための単一もしくは複数の検査条件(以下、単に「条件」とも記載する)から構成され、ルールと条件とは、n:mの関係がある。同図において、ログ1、2及び6は、ユーザ1のログデータであり、ログ3はユーザ2のログデータであり、ログ4及び5はユーザ3のログデータである。また、ユーザ1についてはルール1により検疫検査を行い、ユーザ2についてはルール2により検疫検査を行い、ユーザ3については、ルール1及び2により検疫検査を行う。ルール1は、条件1、2、3及び4の検査条件からなり、ルール2は、条件2、5及び6の検査条件からなる。
【0034】
図5〜図7は、検疫装置20が保持するデータの具体的例を示す図である。
図5は、ログDB32内に記憶されるログカテゴリ別テーブルの具体的な例を示す図である。同図において、ログカテゴリ別テーブルは、ログカテゴリ、ユーザID、発生時刻、及び、ログ内容のデータを含むログデータにより構成される。ログカテゴリは、ウェブアクセスに関するログ、メールに関するログなどのログの分類を示す。ユーザIDは、ログが発生したユーザを特定するためのユーザの管理IDを示す。発生時刻は、ログの発生時刻を示す。ログ内容には、発生した事象の内容、例えば、指定アプリケーションの起動、アプリケーションを用いた操作及びその対象ファイル、アプリケーションのインストール、参照したウェブページ等のURL(Universal Resource Locator)、参照したウェブページ内に含まれるキーワード、ダウンロードしたファイル、メールの送信、送信したメールの題名、メールに貼付されたファイル、印刷操作及び印刷対象ファイル、参照・コピー操作及びその対象ファイル、などがある。
【0035】
図6は、ルールDB41内に記憶されるデータの具体的な例を示す図である。ルールDB41は、ユーザ/ルール対応テーブル、ルールテーブル、ルール/条件対応テーブル、条件テーブル、類似条件定義テーブルを記憶する。
ユーザ/ルール対応テーブルは、検疫対象となるユーザを特定するユーザIDと、当該ユーザの検疫検査に用いるルールの管理IDであるルールIDとの情報を含むユーザ/ルール対応データからなる。
【0036】
ルールテーブルは、ルールID、ルールタイプ、累積基準値、密度基準値、達成基準値、類似基準値、ペナルティ期間のデータを含むルールデータからなる。ルールタイプは、単体の条件からなるルールか、複合条件からなるルールかに関する分類を示す。累積基準値は、発生累積数による結果判定を行う場合の閾値である。密度基準値は、発生密度による結果判定を行う場合の閾値である。達成基準値は、ルールを構成する条件のうち、何%の条件が合致したかの結果判定を行う場合の閾値であり、例えば、完全に操作が一致したときに検出を行う場合には100%が、5操作のうち4操作まで一致しているときに検出する場合には80%が設定される。類似基準値は、類似度でルールに合致しているとの結果判定を行う場合の閾値を示し、例えば、全操作が類似しているときを100%としたきの類似度の合計値の割合や、類似度の合計値が設定される。ペナルティ期間は、ルール達成時の結果の継続期間を示す。
【0037】
ルール/条件対応テーブルは、ルールIDと、当該ルールに属する条件の管理IDである条件IDとを対応付けるデータを含むルール/条件対応データからなる。
【0038】
条件テーブルは、ログをチェックするための条件の管理IDを示す条件ID、当該条件によるチェック対象となるログの分類を示すログカテゴリ、及び、具体的なチェック内容を示す条件内容のデータを含む条件データからなる。条件内容には、例えば、起動禁止アプリケーション、ファイル操作、ファイル操作対象、閲覧禁止URL、アクセス制限を解除するためのセキュリティツールの起動、注意書き等を閲覧するためのURLなどである。
【0039】
類似条件定義テーブルは、条件の管理IDである条件ID、当該条件IDと類似していると定義する条件(以下、「類似条件」と記載)の管理IDを示す類似条件ID、及び、条件IDで特定される条件と、類似条件IDで特定される類似条件とがどれほど類似しているかを定量的に定義した類似度のデータを含む類似条件定義データからなる。
【0040】
図7は、結果DB42内に記憶されるデータの具体的な例を示す図である。結果DB42は、ユーザ結果テーブル、ルール結果テーブル、条件結果テーブルを記憶する。
ユーザ結果テーブルは、検疫対象のユーザを特定するユーザID、当該ユーザの最終的な検疫検査結果を示す判定、判定がなされた時刻を示す判定時刻、判定の根拠となったルールを特定するルールIDのデータを含むユーザ結果データからなる。判定は、通信制御部23への通達内容となり、例えば、通信を規制しているペナルティ状態、通信範囲を拡大しているアクセス許可状態、等である。
【0041】
ルール結果テーブルは、検査を行ったルールを特定するルールID、当該ルールによる検疫検査対象のユーザを特定するユーザID、当該ルールのルールタイプ、累積数、密度、達成割合、類似割合、判定、及び、判定のデータを含むルール結果データからなる。累積数とは、現時点でのルール達成の発生累積数を示す。密度は、現時点でのルール達成の発生密度を示す。達成割合は、当該ルールを構成する一連の全条件のうち、現時点で何%を達成しているかの割合を示す。類似割合は、現時点で何%の類似度を達成しているかの割合を示す。判定は、当該ルールで設定した全条件を達成したか否かのフラグを示す。判定時刻は、当該ルールが達成されたと判定した時刻を示す。
【0042】
条件結果テーブルは、ログとの適合チェックを行った条件を特定する条件ID、当該条件による検査を行ったルールのルールID、当該条件による検査対象のユーザを特定するユーザID、当該条件の判定、判定時刻、類似条件ID、類似割合のデータを含む条件結果データからなる。判定は、当該条件とログが適合したかの結果を示し、類似条件との判断結果も含まれる。判定時刻は、当該条件による判定が行われた時刻を示す。類似条件IDは、類似した条件としてマッチングした条件を特定する管理IDを示す。類似割合は、マッチングした類似条件との類似度を示す。
【0043】
次に、検疫システムの動作手順について説明する。
図8及び図9は、検疫装置20における検疫検査処理フローを示す図である。
予め、管理者は、ルールに関する情報を検疫装置20の図示しない入力手段により入力する。入力手段は、キーボードやマウスなどであるが、コンピュータ読み取り可能な記録媒体から情報を読み取ったり、ネットワーク70を介して接続されるコンピュータ装置から情報を受信することでもよい。検疫装置20のルール設定管理部51は、入力手段により入力されたルールに関する情報に基づき、ルールDB41内の各種データの登録、変更、削除を行う。
また、クライアント端末10のログ収集エージェント11は、ユーザがクライアント端末10で行った操作のログデータを収集し、検疫装置20へ送信する。ログ収集エージェント11は、新しいログデータが発生する度に検疫装置20へ送信することでもよく、所定の間隔毎に送信することでもよい。
【0044】
図8は、ログ収集管理部21からの要求により検疫検査処理を実行する場合のフローを示す。
同図において、検疫装置20の情報収集部31は、クライアント端末10から受信したログデータをログDB32へ書き込むと、検査実施管理部52へログ発生の通知を送信する。検査実施管理部52は、情報収集部31からのログ発生の通知を受信し、以下の検疫検査処理を開始する。なお、所定の間隔毎など定期的に検疫検査処理を実行することでもよい。
【0045】
検査実施管理部52から検疫検査開始の指示を受信したログデータ読込部53は、ログ収集管理部21において収集され、新しくログカテゴリ別テーブルに書き込まれたログデータを、ログDB32から読み込む(ステップS110)。ルール照合部54は、読み込んだログデータ内のユーザID(以下、「検査対象ユーザID」と記載)から、当該ログデータがどのユーザのものかを判断する(ステップS120)。
【0046】
続いて、ルール照合部54は、検査対象ユーザが現在所定のペナルティ期間にあるか否かのチェックを行う(ステップS130)。具体的には、ルール照合部54は、検査対象ユーザIDをキーにして、結果DB42内のユーザ結果テーブルから判定、判定時刻、及び、判定ルールIDのデータを読み出す。ルール照合部54は、判定のデータから検査対象のユーザがペナルティ状態であると判断した場合、判定ルールIDをキーにして、ルールDB41内のルールテーブルからペナルティ期間のデータを読み出す。ルール照合部54は、現在の時刻が、判定時刻データで示される時刻からペナルティ期間が経過した時刻に達していない場合、当該ユーザが現在ペナルティ期間であると判断する。
【0047】
ステップS130において、検査対象ユーザがペナルティ期間ではないと判断された場合(ステップS130:No)、ルール照合部54は、ルールDB41を参照し、検査対象ユーザIDをキーにしてユーザ/ルール対応テーブルからルールIDを読み出し、読み出したルールID(以下、「検査対象ルールID」と記載)をキーにしてルール/条件対応テーブルから条件IDを読み出す(ステップS140)。
【0048】
続いて、ルール照合部54は、検査対象ユーザに適用するルールについて、類似検査の必要性の有無を判断する(ステップS150)。これは、例えば、ステップS140において読み出した検査対象ルールIDをキーにして、ルールDB41内のルールテーブルから類似基準値のデータを読み出し、この類似基準値がNULLまたは0であるか否かにより判断することができる。
【0049】
類似性検査の必要性が有りと判断した場合(ステップS150:有)、ルール照合部54は、ステップS140において読み出した条件IDをキーにして、ルールDB41内の類似条件定義テーブルから類似条件ID及び類似度のデータを読み出す(ステップS160)。
【0050】
続いて、ルール照合部54は、ステップS140において読み出した条件ID群の中から1つの条件IDを選択する(ステップS170)。ルール照合部54は、選択した条件IDをキーにして、ルールDB41内の条件テーブルからログカテゴリ及び条件内容のデータを読み出し、ステップS110において読み出したログデータと比較して、現在選択している条件とのマッチング(適合判定)を行う(ステップS180)。すなわち、ログデータ内のログカテゴリと、条件テーブルから読み出したログカテゴリが一致し、かつ、ログデータ内のログ内容の示すユーザ操作が、条件テーブルから読み出した条件内容データの示すチェック内容にマッチするかにより、現在選択している条件とログデータが適合しているか否かを判断する。
【0051】
さらに、ルール照合部54は、現在選択している条件IDの類似条件IDをキーにしてルールDB41内の条件テーブルからログカテゴリ及び条件内容のデータを読み出し、ステップS110において読み出したログデータと比較することにより、類似条件とのマッチング(適合判定)を行う。すなわち、ログデータ内のログカテゴリと、条件テーブルから読み出した類似条件のログカテゴリが一致し、かつ、当該ログデータ内のログ内容の示すユーザ操作が、当該類似条件の条件内容データの示すチェック内容にマッチするかにより、類似条件とログデータが適合しているか否かを判断する。
【0052】
ステップS180において、ルール照合部54が、ログデータと、現在選択している条件または当該条件の類似条件と適合していないと判断した場合(ステップS180:No)、ステップS140において読み出した条件ID群の中から、まだ選択していない1つの条件IDを選択し(ステップS170)、ステップS180の条件適合判定処理を行う。
【0053】
一方、ステップS180において、ルール照合部54が、ログデータと、現在選択している条件または当該条件の類似条件と適合していると判断した場合(ステップS180:Yes)、この条件の条件ID(以下、「適合条件ID」と記載)、当該条件IDと対応する検査対象ルールIDを示すルールID、検査対象ユーザID、条件と適合したことを示す判定データ、現在の時刻を示す判定時刻データ、類似条件ID、当該類似条件IDの類似度を示す類似割合のデータを含む条件結果データを、結果DB42の条件結果テーブルへ追加する(ステップS190)。
【0054】
次に、ルール照合部54は、ステップS140において読み出した検査対象ルールIDのうち、適合条件IDに対応したルールIDを選択し、さらに、この選択したルールIDをキーにして、ルールDB41内のルールテーブルからルールタイプを読み出して複合か単一かを判断する(ステップS200)。ルールタイプが単一であると判断した場合(ステップS200:単一)、後述するステップS240以降の処理が行われる。
【0055】
一方、ルールタイプが複合である場合(ステップS200:複数)、ルール照合部54は、適合した条件と同一ルールに属する他条件の結果を結果DB42より参照する(ステップS210)。すなわち、ルール照合部54は、適合条件IDを条件IDとして含む検査対象ルールIDを特定し、この特定した検査対象IDに対応した条件IDのうちのいずれかと、検査対象ユーザIDとを含む条件結果データを、結果DB42内の条件結果テーブルから抽出する。
【0056】
ルール照合部54は、抽出した条件結果データを基に、検査対象ルールとの類似度チェックを行う(ステップS220)。ルール照合部54は、ステップS210において抽出した条件結果データから、各検査対象ルールについて、ステップS190において書き込んだ条件結果データ内の時刻と最も近い時刻の条件結果データを抽出し、この抽出した条件結果データ内の類似割合と、ステップS190において書き込んだ条件結果データ内の類似度とを合算して、最新の類似割合を算出する。ルール照合部54は、検査対象ルールIDをキーにして、ルールDB41内のルールテーブルから類似基準値を読み出し、今回算出した類似割合が、読み出した類似度基準値の示す閾値を超えたか否かを判断する。閾値を超えている場合には、そのルールIDと、類似度基準値を超過したことを示すフラグを内部に記憶する。
【0057】
続いて、ルール照合部54は、抽出したエントリに含まれる条件IDと、検査対象ルールIDに属する条件IDとがどれくらいの割合で一致しているかの達成度をチェックする(ステップS230)。すなわち、ルール照合部54は、ステップS210において読み出した条件結果データから、各検査対象ルールに対応した一連の条件IDと一致している条件結果データを抽出し、一致している割合を算出する。ルール照合部54は、検査対象ルールIDをキーにして、ルールDB41内のルールテーブルから達成基準値を読み出し、今回算出した達成割合が、読み出した達成基準値の示す閾値を超えたか否かを判断する。閾値を超えている場合には、そのルールIDと、達成基準値を超過したことを示すフラグを内部に記憶する。
【0058】
累積カウントを考慮するルールの場合、ルール照合部54は、適合条件IDに対応した検査対象ルールIDをキーにして、結果DB42のルール結果テーブルからルール結果データを読み出す。そして、読みした各ルール結果データ内の累積数に、1を加算して累積数を算出する。ルール照合部54は、検査対象ルールIDをキーにして、ルールDB41内のルールテーブルから累積基準値を読み出し、今回算出した累積数が、読み出した累積基準値の示す閾値を超えたか否かを判断する(ステップS240)。閾値を超えている場合には、そのルールIDと、累積基準値を超過したことを示すフラグを内部に記憶する。なお、読み出した累積基準値がNULLや0の場合に、累積カウントを考慮しないと判断してもよい。
【0059】
次に、発生密度を考慮するルールの場合、ルール照合部54は、ステップS240において抽出したルール結果データ内の判定時刻を参照して、現在時刻から所定の時間内に発生したルール結果データを抽出する。ルール照合部54は、各検査対象ルールについて、抽出したルール結果テーブルの数から発生数を得る。ルール照合部54は、検査対象ルールIDに対応してルールDB41内のルールテーブルから密度データを読み出し、今回算出した所定時間における発生数が、読み出した密度データの示す閾値を超えたか否かを判断する(ステップS250)。閾値を超えている場合には、そのルールIDと、密度基準値を超過したことを示すフラグを内部に記憶する。なお、読み出した密度基準値がNULLや0の場合、密度を考慮しないと判断してもよい。
【0060】
結果判定部56は、累積数、発生密度、類似割合、達成割合の閾値の超過を総合的に判断し、ルールに適合したかを判断する(ステップS260)。これは、例えば、ルールID毎に、累積数、発生密度、類似割合、達成割合の閾値超過フラグのどれが立っているときに、ルールに合致していると判断するかのデータを内部に記憶しておき、当該データと比較することにより判断することができる。ルールに合致していないと判断した場合(ステップS260:No)、ルール照合部54は、ステップS140において読み出した条件ID群の中から、まだ選択していない1つの条件IDを選択し(ステップS170)、ステップS180以降の処理を行う。
【0061】
一方、ルールに合致していると判断した場合(ステップS260:Yes)、ユーザ状態管理部55は、適合しているルールについてのルール結果データを生成して、結果DB42内のルール結果テーブルに追加する(ステップS270)。生成したルール結果データには、適合したルールのルールID、検査対象ユーザID、当該ルールIDに対応したルールタイプ、算出した累積数、密度、達成割合、類似割合、適合を示す判定、判定時刻のデータが含まれる。結果送信部57は、検査対象ユーザID、及び、適合したルールIDを示す結果データを、通信制御部23へ送信する(ステップS280)。また、結果データには、閾値を超えた累積数、発生密度、類似割合、達成割合を含めることでもよい。
【0062】
通信制御部23の通信制御指示部62は、結果データを受信すると、結果データに含まれる検査対象ユーザID、適合したルールのルールID、さらには、閾値を超えた累積数、発生密度、類似割合、達成割合により、通信制御DB61から通信を制限すべき、あるいは、通信を許可すべき範囲を示す通信制御データを読み出す。通信制御データは、通信制御対象のクライアント端末10のアドレス、通信制御対象のクライアント端末10毎の通信制御プロファイルからなる。通信制御対象のクライアント端末10のアドレスには、検査対象ユーザIDにより示されるユーザのクライアント端末10のアドレスの他にも、当該ユーザのクライアント端末10の周辺のクライアント端末10のアドレスが含まれ得る。通信制御プロファイルデータは、発信または着信を、制限または許可する社内リソース/外部リソースの識別子/アドレス、アプリケーションに使用されるポート番号、VPN番号などのパーソナルファイアーウォールのルールやVPNのルールの情報が含まれる。通信制御指示部62は、通信制御対象のクライアント端末10へ、当該クライアント端末10に対応する通信制御プロファイルを送信する。通信制御プロファイルをを受信したクライアント端末10の通信制御エージェント12は、当該通信制御プロファイルに従って、当該クライアント端末10からの発信、及び、当該クライアント端末10への着信を許可あるいは制限する。
【0063】
一方、ルール照合部54は、ステップS140において読み出した全ての条件IDについて、ステップS150以降の処理を実行したかにより、終了を判断する(ステップS290)。終了ではないと判断した場合(ステップS290:No)、ステップS130からの処理を行い、終了と判断した場合(ステップS290:Yes)、検査処理を終了する。
【0064】
なお、ステップS130において、検査対象ユーザがペナルティ期間であると判断された場合(ステップS130:Yes)、結果送信部57は、検疫検査を中止し、現在の検査結果を維持するため、検査対象ユーザID、及び、ペナルティ期間であることを示す結果データを通信制御部23へ送信する(ステップS280)。通信制御部23の通信制御指示部62は、結果データで示される検査対象ユーザIDのクライアント端末10へ前回通知したものと同様の通信制御プロファイルをクライアント端末10へ送信する。
【0065】
図9は、クライアント端末10からの要求により検疫検査処理を実行する場合のフローを示す。
オンデマンド検疫の場合、検疫装置20の通信制御部23は、クライアント端末10の通信制御エージェント12からユーザIDの情報が含まれる検疫要求メッセージを受信する。検疫装置20の検疫要求受信部63は、検疫要求メッセージをログベースド検疫検査部22へ通知する(ステップS310)。ログベースド検疫検査部22の検疫要求受信部58は、検疫要求メッセージからユーザIDを抽出し、どのユーザの検疫要求かを特定する(ステップS320)。
【0066】
ルール照合部54は、図8のステップS130と同様の処理により、特定したユーザが現在所定のペナルティ期間にあるか否かのチェックを行う(ステップS330)。すなわち、ルール照合部54は、検疫要求メッセージから抽出したユーザIDを検査対象ユーザIDとし、結果DB42内のユーザ結果テーブルから、検査対象ユーザIDに対応する判定、判定時刻、及び、判定ルールIDのデータを読み出して、検査対象のユーザがペナルティ状態であるか、ペナルティ状態であると判断した場合、当該ユーザが現在ペナルティ期間であると判断する。
【0067】
ペナルティ期間ではないと判断した場合(ステップS330:NO)、ログデータ読込部53は、検査対象ユーザIDをキーにして、まだ、検疫検査を実行していないログデータをログDB32から読み出し(ステップS340)、図8のステップS140以降の検査処理を実行する。なお、ステップS330において、ペナルティ期間ではないと判断した場合(ステップS330:Yes)、図8のステップS280からの処理を実行することにより、検疫検査を中止し、現在の検査結果を維持する。
【0068】
本実施の形態によれば、クライアント端末10のコンプライアンスチェックに加えて、ユーザの操作のコンプライアンスチェックを行うことにより、エンドポイントセキュリティを高めることができる。
また、一定の操作をすることによるアクセス制限の緩和と、一定の操作をすることによるアクセス範囲の限定化という2面の通信制御が可能となる。
また、クライアント端末10から、社内リソース80へのアクセス制御という面だけでなく、不正な操作をしたクライアント端末10への通信を制御することにより、ウイルス感染・情報漏洩を防止するなど、多面的な防御が可能となる。
また、検疫装置20には、ユーザ操作のチェック機能を、フォレンジック製品には、ユーザの行動制限機能を追加することができ、それぞれを併用する場合よりも、高いセキュリティを実現することが可能である。
また、発生した不正な操作の妨害だけでなく、その行動の結果を継続的にペナルティとして課すこともできる。また、過去に遡り、一定の行為を複数回繰り返すことにより、制限を課すことも可能であり、より厳密かつ柔軟なエンドユーザの行動制限を行うことが可能である。
また、不正行為がなされる前に、一定の基準を超えた場合に、不正行為の兆候があることを判断することが可能である。
また、コンプライアンスチェックの判断根拠として、不正行為の累積カウントを用いることにより、ユーザの不正行為を検知することが可能である。
【0069】
なお、上述したクライアント端末10及び検疫装置20は、内部にコンピュータシステムを有している。そして、上述したクライアント端末10のログ収集エージェント11及び通信制御エージェント12、ならびに、検疫装置20のログ収集管理部21、ログベースド検疫検査部22及び通信制御部23の各部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上記各種処理を行う。尚、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。更に「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0070】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。更に、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0071】
【図1】本発明の一実施の形態による検疫システムの概要を示す図である。
【図2】同実施の形態による検疫システムの構成を示すブロック図である。
【図3】同実施の形態によるログベースド検疫検査部の詳細な構成を示すブロック図である。
【図4】同実施の形態による各データ間の関連性を示すデータ概念モデルを示す図である。
【図5】同実施の形態によるログDB内に記憶されるログカテゴリ別テーブルの具体的なデータ構成を示す図である。
【図6】同実施の形態によるルールDB内に記憶されるデータの具体的な例を示す図である。
【図7】同実施の形態による結果DB内に記憶されるデータの具体的な例を示す図である。
【図8】同実施の形態による検疫装置の検疫検査処理フローを示す図である。
【図9】同実施の形態による検疫装置の検疫検査処理フローを示す図である。
【符号の説明】
【0072】
10…クライアント端末
11…ログ収集エージェント
12…通信制御エージェント
20…検疫装置
21…ログ収集管理部
22…ログベースド検疫検査部
23…通信制御部
31…情報収集部
32…ログDB
33…ログ管理部
34…資産情報管理部
35…レポーティング部
41…ルールDB
42…結果DB
51…ルール設定管理部
52…検査実施管理部
53…ログデータ読込部
54…ルール照合部
55…ユーザ状態管理部
56…結果判定部
57…結果送信部
58…検疫要求受信部
59…結果参照/検査・結果操作部
61…通信制御DB
62…通信制御指示部
63…検疫要求受信部
70…ネットワーク
80…社内リソース
81…業務ネットワーク
82…業務サーバ
90…VPN−GW
【技術分野】
【0001】
本発明は、検疫システム、検疫装置、検疫方法、及び、コンピュータプログラムに関する。
【背景技術】
【0002】
近年、コンピュータシステムにおけるセキュリティの確保が重要な問題となっている。セキュリティ対策に用いらる従来の一般的な検疫システムは、クライアントPC(パーソナルコンピュータ)のセキュリティレベルを診断し、セキュリティ対策が不十分な場合は、社内リソース、例えば、業務サーバや社内ネットワークへの接続を許可しないというものである。セキュリティレベルの診断には、セキュリティパッチが適用されているか否か、ウイルス対策ソフトウェアの定義ファイルのバージョン、必要・不要なアプリケーションのインストール状況などのチェックがあり、これは、つまりクライアントPCに対するコンプライアンスチェックである。
【0003】
上述した検疫システムのほか、セキュリティ対策として、ユーザ認証、アプリケーションゲートウェイの設置、デジタルフォレンジクス製品等が用いられている。ユーザ認証は、システムを利用するユーザが登録されているユーザであるかの認証を行うものであり、基本的なID及びパスワードにより特定デバイスの所有、アプリケーションの使用、データへのアクセス等の権限をチェックする。ID及びパスワードによる認証の他、指紋・静脈などのバイオメトリクス認証を行うものなど、さまざまな認証方式が存在する。また、アプリケーションゲートウェイの設置により不正な操作を検出するものとして、IPS(Intrusion Prevention System)、IDS(Intrusion Detection System)、メールフィルタリング、ウェブフィルタリングなどがある。これらは、ネットワーク上に設置されたアプリケーションゲートウェイにおいて、そこを通過する通信を分析し、通信内容に問題が検出された場合に、通信を遮断するシステムである。また、デジタルフォレンジクス製品は、情報漏洩等のセキュリティ被害が発生した場合にその原因を調査することを主目的としており、ユーザ操作ログの収集と、収集したログの分析を行う。
一方、状態証明書を利用したセキュリティレベル管理システムも知られている(例えば、特許文献1参照)。このシステムにおいて、状態証明センタは、コンピュータのセキュリティ情報をもとに状態証明書を作成して当該コンピュータに送信し、状態送信センタは、ネットワークに接続するためのセキュリティを満たすウイルス定義ファイルの情報やOSのパッチ情報を含む安全状態情報を作成し、状態検証器へ送信する。状態検証器はコンピュータの状態証明書と、安全状態情報とを比較してセキュリティのチェックを行う。
【特許文献1】特開2005−128622号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
上述するような、従来の検疫システムは、クライアントPCの状態を通信可否の判断根拠としているが、これは、ユーザの不正な操作に起因する情報漏洩、ウイルス感染防止には、十分な効果を発揮するものではない。加えて、最近、パッチ適用の自動化、ウイルス対策システムの自動化など、クライアントPCのセキュリティ対策機能が強化されており、現在の検疫システムが主眼を置いているクライアントPCに対するコンプライアンスチェックは、相対的に重要度が下がることが予想される。
加えて、エンドポイントセキュリティ、情報漏洩の分野では、利用可能として登録されていない、すなわち、権限のないユーザによる情報漏洩対策に加えて、権限のある人間による情報漏洩対策を強化する必要性が高まっている。ユーザ認証は、特定のユーザであることのみをチェックするため、このような最近特に問題となっている権限を持つユーザの不正操作によるセキュリティ被害を防ぐことはできない。
【0005】
アプリケーションゲートウェイを用いる場合、通信の制御が可能な対象は、メール、ウェブページの閲覧など限定される。加えて、チェック対象はアプリケーションゲートウェイを通過する通信であるため、クライアントPCで行われるユーザ操作の一部に対してしかチェック及び制限が可能ではない。また、デジタルフォレンジクス製品では、上述するように、一般的にセキュリティ被害の発生後に利用するものであり、原因調査もしくはログ収集による不正操作の発生抑止を目的としている。そのため、ユーザの不正操作の禁止や被害発生防止、通信の制御によるペナルティの付与等の機能は弱い。一部製品では、不正なプログラム実行に対してプロセスの遮断を行うことが可能な製品が存在しているが、あくまで当該プログラムの実行禁止を行うだけであり、ユーザ操作によって通信範囲の拡大等の制御を行うことはできない。
【0006】
本発明は、このような課題を解決するためになされたもので、その目的は、クライアントPCの状態によるセキュリティレベル診断(クライアントPCのコンプライアンスチェック)だけでなく、ユーザの端末操作の確認(ユーザ操作のコンプライアンスチェック)を行い、管理者の決めたルールに反した場合、社内リソースへのアクセスを禁止することのできる検疫システム、検疫装置、検疫方法、及び、コンピュータプログラムを提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するため、本発明は、端末と、前記端末とはネットワークを介して接続される検疫装置とからなる検疫システムであって、前記端末において実行された操作及びユーザ識別子の情報を含むログデータを記憶するログ記憶手段と、検出対象の操作を示すルールデータを記憶するルール記憶手段と、前記端末からログデータを受信して前記ログ記憶手段に書き込むログ収集管理部と、前記ログ記憶手段から前記ログ収集管理部が書き込んだログデータを読み出すログデータ読込部と、前記ログデータ読込部により読み出されたログデータが、前記ルール記憶手段内の前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、前記ルール照合部により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、前記結果送信部により出力された結果情報の示すルールに対応して通信範囲を制限または拡大する通信制御を、該結果情報の示すユーザ識別子により特定されるユーザの端末へ指示する通信制御部と、を備えることを特徴とする検疫システムである。
【0008】
また、本発明は、端末において実行された操作及びユーザ識別子の情報を含むログデータを記憶するログ記憶手段と、検出対象の操作を示すルールデータを記憶するルール記憶手段と、前記ログ記憶手段からログデータを読み出すログデータ読込部と、前記ログデータ読込部により読み出されたログデータが、前記ルール記憶手段内の前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、前記ルール照合部により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、を備えることを特徴とする検疫装置である。
【0009】
また、本発明は、上述する検疫装置であって、前記ルール記憶手段は、ユーザ識別子と前記ルールデータとを対応付けるデータをさらに記憶し、前記ルール照合部は、前記ログデータ内のユーザ識別子に対応したルールデータを前記ルール記憶手段から読み出し、前記ログデータが、読み出した前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断する、ことを特徴とする。
【0010】
また、本発明は、上述する検疫装置であって、前記ルールデータは、1または複数の検出対象の操作の情報を含むことを特徴とする。
【0011】
また、本発明は、上述する検疫装置であって、前記ルールデータは、複数の操作の情報と、閾値の情報とを含み、前記ルール照合部は、同じユーザ識別子を有する前記ログデータにより示される操作に、前記ルールデータにより示される操作と一致する操作が含まれており、かつ、該ルールデータに含まれる操作の数に対する、前記一致する操作の数の割合が、当該ルールデータで示される閾値以上である場合にルールと合致していると判断する、ことを特徴とする。
【0012】
また、本発明は、上述する検疫装置であって、前記ルールデータは、複数の操作の情報と、閾値の情報とを含み、前記ルール記憶手段は、さらに、ルールデータの示す操作と類似する操作のデータを記憶し、前記ルール照合部は、前記ルールデータにより示される操作と類似している操作を前記ルール記憶手段から読み出し、同じユーザ識別子を有する前記ログデータの示す操作に、読み出した類似した操作が含まれており、かつ、その類似した操作の類似度の合計が、当該ルールデータで示される閾値以上である場合にルールと合致していると判断する、ことを特徴とする。
【0013】
また、本発明は、上述する検疫装置であって、前記ログデータは、さらに、操作時刻の情報を含み、前記ルールデータは、さらに、閾値の情報を含み、前記ルール照合部は、同じユーザ識別子を有し、かつ、操作時刻が所定の期間内を示している前記ログデータのうち、前記ルールデータにより示される操作の実行を示しているログデータの数が、当該ルールデータの閾値で示される数以上である場合にルールと合致していると判断する、ことを特徴とする。
【0014】
また、本発明は、上述する検疫装置であって、前記ルール照合部によりルールと合致していると判断されたルールと、判断時刻とルール結果データを結果記憶手段に書き込むユーザ状態管理部をさらに備え、前記ルール照合部は、判断時刻が所定期間内であるルール結果データが前記結果記憶手段に記憶されているか否かを検出し、前記通信制御部は、前記ルール照合部により判断時刻が所定期間内であるルール結果データが前記結果記憶手段に記憶されていることを検出した場合に、出力済みの結果情報に応じた通信制御の継続指示を出力する、ことを特徴とする。
【0015】
また、本発明は、上述する検疫装置であって、結果情報に対応して、通信制御対象の端末の情報と、発信または着信を許可または制限する通信範囲を示すデータである通信制御プロファイルとを記憶する通信制御記憶手段と、前記結果送信部により出力された結果情報に対応する通信制御対象の端末の情報と、通信制御プロファイルとを前記通信制御記憶手段から読み出し、該通信制御対象の端末へ該通信制御プロファイルを通知する通信制御指示部とをさらに備える、ことを特徴とする。
【0016】
また、本発明は、端末の操作ログにより検疫検査を行う検疫装置に用いられるコンピュータを、前記端末において実行された操作及びユーザ識別子の情報を含むログデータをログ記憶手段から読み出すログデータ読込手段、検出対象の操作を示すルールデータをルール記憶手段から読み出し、前記ログデータ読込手段により読み出されたログデータが、読み出した前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合手段、前記ルール照合手段により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信手段、として実行させることを特徴とするコンピュータプログラムである。
【発明の効果】
【0017】
本発明によれば、ユーザの操作のコンプライアンスチェックを行うことにより、エンドポイントセキュリティを高めることができる。
すなわち、一定の操作をすることによるアクセス制限の緩和と、一定の操作をすることによるアクセス範囲の限定化という2面の通信制御が可能となることに加え、クライアントPCから社内リソースへのアクセス制御という面だけでなく、不正な操作をしたクライアントPCへの通信を制御し、ウイルス感染・情報漏洩を防止するなど、多面的な防御が可能となる。さらには、発生した不正な操作の妨害だけでなく、その行動の結果を継続的にペナルティとして課したり、過去に遡って一定の行為を複数回繰り返しているユーザに制限を課したりすることもでき、より厳密かつ柔軟なエンドユーザの行動制限を行うことが可能となる。
コンプライアンスチェックの判断根拠として、不正行為の累積カウントを用い、ユーザの不正行為を検知することができる。また、不正行為がなされる前に、一定の基準を超えた場合に、不正行為の兆候があることを判断することも可能となる。
【発明を実施するための最良の形態】
【0018】
以下、本発明の好適な実施の形態について図面を参照しつつ説明する。
図1は、本発明の一実施の形態による検疫システムの概要を示す図である。企業が保有する検疫システムは、クライアント端末10、及び、検疫装置20を、ネットワーク70を介して接続してなる。また、ネットワーク70は、業務ネットワーク81や業務ネットワーク81上に設置された業務サーバ82などの社内リソース80とVPN−GW(Virtual Private Netework−Gateway)90を介して接続される
【0019】
同図に示す検疫システムの動作概要を説明する。クライアント端末10が起動すると、まず、クライアント端末10のPC状態の検査を行う(ステップS1)。これは、PCに対するコンプライアンスチェックであり、例えば、セキュリティパッチが適用されているか否か、ウイルス対策ソフトウェアの定義ファイルのバージョン、必要・不要なアプリケーション(AP)のインストール状況などをチェックする。PCに対するコンプライアンスチェックが終了すると、以降、クライアント端末10は、アプリケーションの利用ログ、メールやその貼付ファイルの送信ログ、ウェブの閲覧ログなどの操作ログを収集する。検疫装置20は、クライアント端末10から収集された操作ログのデータであるログデータを受信し、ログデータベース32(以下、データベースを「DB」と記載)に書き込む(ステップS2)。検疫装置20は、当該検疫装置20内で管理している検出ルールと、ログDB32内のログデータとを照会して操作ログの検疫検査、すなわち、ユーザ操作のコンプライアンスチェックを行う(ステップS3)。このチェックにより、検疫装置20において、禁止アプリケーションの起動や、特定ファイルのメール貼付、ウェブからの不正ダウンロード等によるアプリケーション実行など、情報漏洩等の怖れのある不正操作があったことを示す操作ログを発見した場合、検疫装置20は、通信状態管理を行う機能部により、クライアント端末10に対して通信制限を指示する(ステップS4)。クライアント端末10は、検疫装置20からの指示に従って通信制限を行い、指示された範囲の社内リソース80へのアクセスは遮断し、通信可能な社内リソース80へのみアクセスして業務通信を行う(ステップS5)。
【0020】
本実施の形態においてユーザ操作のコンプライアンスチェックに用いる情報は、クライアント端末10の操作ログである。つまり、検疫装置20は、クライアント端末10におけるユーザ操作のログを収集・管理し、ログと管理者が定義したルールとのマッチング、すなわち、コンプライアンスチェックを行い、ルールに適合しているか否かを判定する。
ログの具体的な例としては、メール送信の題名、メール本文中のキーワード、メールの添付ファイル名、閲覧したウェブページのアドレス(URL:Universal Resource Locator)、ウェブページ中のキーワード、ユーザがアクセス・操作(作成、保存、書換、削除など)を行ったファイル名、当該ファイルの保存場所、当該ファイルの中身、起動したアプリケーション・プロセス名、停止したアプリケーション・プロセス名、外部デバイスの接続・利用、印刷したドキュメント名、画面ウィンドウのタイトルに示されているテキストデータなどである。これらの情報は、既存の汎用的なログ収集のソフトウェアアプリケーションであるフォレンジクス製品により一般的に収集されるものであり、本システムにおいてもそれらの製品との連携によって実現することができる。また、既存技術の検疫システムや、通信制御プロファイルを自動配布するシステム等と組み合わせることもできる。
【0021】
本実施の形態による検疫システムの効用は、クライアント端末10のセキュリティ向上にある。まず、クライアント端末10のコンプライアンスチェックを実施することにより、一定のセキュリティ基準を満たさないクライアント端末10は、社内リソース80にアクセスできない。これにより、不正な持込持ち込み端末、セキュリティ対策の不十分なクライアント端末10を排除することができる。更に、これらのチェックを通過したクライアント端末10であっても、ユーザが管理者の決めたルールを外れた操作をした場合に、社内リソース80の利用範囲を縮小することが可能である。
【0022】
ユーザ操作のコンプライアンスチェックには、ルールに外れた場合に通信範囲を制限するという方法以外にも、ルールに従った操作を行った場合に通信範囲を拡大するという利用方法も可能である。例えば、ウィルスチェック実施の操作を行った後には、ファイルサーバへのアクセスを許可する、注意事項や連絡事項を表記したウェブページを閲覧した後に、業務アプリケーション処理を行う業務サーバ82へのアクセスがを許可する、などの利用法が考えられる。この機能により、社内リソース80へのアクセス等の権限を有するユーザであっても、特定の操作を実行しない限り、その権限を行使できないといった、柔軟な制限を課すことが可能となる。また、特定の操作(作業)をクライアント端末10の利用者に強制し、結果として特定操作の実施の確実さを高めることも可能となる。
【0023】
さらに、クライアント端末10から発信される通信だけでなく、クライアント端末10への着信についても、同様の制限を課すことができる。つまり、クライアント端末10もしくはユーザ操作へのコンプライアンスチェックにおいて問題があった場合、当該クライアント端末10への外部から、あるいは、他のクライアント端末10からの通信を制限する。また、逆に一定の操作を行った場合に、外部から、あるいは、他のクライアント端末10からの通信を受取れる範囲を拡大することも可能となる。
さらには、不正を検出したクライアント端末10への着信だけではなく、当該クライアント端末10の周囲の他のクライアント端末10への着信を制限することも可能である。これにより、例えば、不正を検出したクライアント端末10と関連するデータや連携してアプリケーションを実行する他のクライアント端末10へのアクセスも制限する。
【0024】
検疫装置20は、ユーザ操作のコンプライアンスチェック結果を一定の期間継続する。つまり、コンプライアンスチェック結果の情報に継続時間の情報を付加して保持することにより、不正な操作があったという時間軸上でのある時点における事象を、過去一定期間内に不正な操作があったという事象に変換する。これは、換言すると、望ましくない行動への対処だけではなく、望ましくない行動をしたユーザの今後の行動へのペナルティの役割を果たすことになる。
【0025】
コンプライアンスチェックのルールには、2つの種類がある。1つは、1つの操作ログをコンプライアンスチェックの判断根拠とするルールである。例えば、アクセスを制限したいウェブページの閲覧や、実行してはいけないアプリケーションプログラムの実行のログを発見した場合に、通信の制限を行うものである。もう1つは、複数のログの組み合わせをコンプライアンスチェックの判断根拠とするルールである。それぞれの操作ログには問題はないが、組み合わせて実行されることにより問題となる場合に適用することができる。具体的な例をあげると、(1)顧客情報の参照、(2)画面キャプチャ、の操作の組み合わせである。それぞれの単体のログからは、接続の制限を課すべき操作であるとみなすことができないが、それらを組み合わせることにより問題のある操作であることが明らかになる。また、組み合わせるそれぞれのログ発生のタイミングについても規定を行うことにより、一定の期間内や同時に一連の操作が行われたときに問題となる場合のチェックがも可能となる。
【0026】
複数のログを組み合わせてコンプライアンスチェックの判断根拠とする場合、禁止操作との類似度という観点を盛り込むことができる。具体的には次の2つの利用方法がある。1つ目は、禁止したい操作セットの全部が実行される前に、当該操作セットと一致する操作がある一定の割合を超えた場合に通信制御を行うものであり、禁止操作の兆候段階において対処を行うものである。例えば、5つの操作を組み合わせてルールとした場合、その4つ目までが実施された場合にルールに合致したと判断し、社内リソースの利用を禁止したり、あるいは、それぞれの操作に重み付けを行い、合致する操作に対応する重みの数値の合計(合算、二乗の加算など乖離度の数学的な操作により算出)が、全操作が行われた場合の重みの合計の80%を超えた場合に通信を禁止する、などがあげられる。また、2つ目は、規定された禁止操作と類似した操作に類似度に応じたポイントを合計していき、一定の基準を超えた場合にルールに合致していると判断する。このことにより、ルールに幅を持たせることが可能となり、禁止したい操作の兆候を発見し、事前に通信を制御することが可能となる。
【0027】
また、コンプライアンスチェックの結果判定には2つの方法がある。1つは、指定したユーザ操作(あるいはユーザ操作の組み合わせ)が発生したかどうかを単純に結果とするものである。望ましくない操作が1度でも実行された場合、その時点でNGと判定する。2つめは、一定期間内に指定した操作が何度か行われた場合に、NGと判断するものである。例えば、3回同様の禁止キーワードを含むウェブページにアクセスした場合にNGと判定するなどである。この場合、当該ログが発生したことを記憶しておく時間を検疫装置20内に保持しておくことにより、当該ログ発生の密度によって判断結果を変更することが可能となる。つまり、誤った操作を頻繁に行った場合(10分間に3回など)には通信制御を行うが、それが1週間に3回であれば、通信制御は行わないなどである。これは、ユーザ操作が悪意のあるものであるか、たまたま間違ったものであるかについての識別にも利用可能である。
【0028】
以下に、検疫システムの具体的な構成及び動作について説明する。
図2は、検疫システムの構成を示すブロック図である。
クライアント端末10は、例えば、パーソナルコンピュータ(PC)などのコンピュータ端末であり、ログ収集エージェント11、通信制御エージェント12を備える。これらの各ブロックは、具体的には、CPU(central processing unit)ならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、そのブロックが持つ機能を実現するものである。ログ収集エージェント11は、ユーザがクライアント端末10で行った操作ログを示すログデータを収集し、検疫端末2へ収集したログデータを送信する機能を有する。通信制御エージェント12は、検疫端末2から通信の制限あるいは許可対象を示すデータである通信制御プロファイルを受信し、この通信制御プロファイルに基づき通信制御を行う。また、通信制御エージェント12は、検疫装置20へ検疫検査要求を送信する。通信制御エージェント12は、パーソナルファイアーウォールやVPN通信制御等の既存アプリケーションにより実現することができる。
【0029】
検疫装置20は、ログ収集管理部21、ログベースド検疫検査部22、及び、通信制御部23から構成される。これらの各ブロックは、具体的には、CPUならびにメモリを含む周辺LSIで構成され、CPUがメモリに記録されたプログラムを読み出し逐次実行することにより、そのブロックが持つ機能を実現するものである。ログ収集管理部21は、既存の汎用的なフォレンジクス製品により、通信制御部23は、通信制御プロファイルを自動配布する既存のシステムにより実現することが可能である。
【0030】
ログ収集管理部21は、情報収集部31、ログDB32、ログ管理部33、資産情報管理部34、及び、レポーティング部35を備える。情報収集部31は、クライアント端末10からログデータを受信し、ログDB32へ書き込む。ログ管理部33は、ログDB32内のログデータのデータ管理を行う。資産情報管理部34は、ネットワーク70に接続されているクライアント端末10等の情報を管理する。レポーティング部35は、ログDB32内のログデータや、このログデータに基づいた情報等を出力する。
【0031】
通信制御部23は、通信制御DB61、通信制御指示部62、及び、検疫要求受信部63を備える。通信制御DB61は、検疫結果と通信制御プロファイルとを対応付けた通信制御データを記憶する。通信制御指示部62は、ログベースド検疫検査部22からクライアント端末10の検疫結果を受信し、受信した検疫結果に対応する通信制御プロファイルをクライアント端末10へ送信する。検疫要求受信部63は、クライアント端末10から検疫検査要求を受信してログベースド検疫検査部22へ通知する。
【0032】
図3は、ログベースド検疫検査部22の詳細な構成を示すブロック図である。
ログベースド検疫検査部22は、ルールDB41、結果DB42、ルール設定管理部51、検査実施管理部52、ログデータ読込部53、ルール照合部54、ユーザ状態管理部55、結果判定部56、結果送信部57、検疫要求受信部58、及び、結果参照/検査・結果操作部59を備える。
ルールDB41は、検疫検査のためにログチェックを実行する際のルールを示すデータを記憶する。結果DB424は、ユーザ毎の条件達成状況、ルール適合状況等の検疫検査の結果データを記憶する。ルール設定管理部51は、ルールDB41内のルールのデータに対して、追加、変更、削除などのデータ操作を行うユーザインタフェースを実現する。検査実施管理部52は、検疫検査要求に基づく検疫検査の実施状況を管理する。また、検査実施管理部52は、ログ収集管理部21からのログ発生の通知を受信し、検疫検査処理を開始するとともに、定期的な検疫検査処理の実行を管理する。ログデータ読込部53は、ログ収集管理部21内のログDB32からレコード毎にログデータを読み出す。ルール照合部54は、ログデータとルールのマッチングを行う。ユーザ状態管理部55、ログデータとルールとのマッチング結果や、ルールを構成する各検査条件の達成状況を結果DB42に書き込む。結果判定部56は、ユーザ毎の条件達成状況から検疫検査の最終結果を判断する。結果送信部57は、検疫検査の結果を通信制御部23へ送信する。検疫要求受信部58は、通信制御部23から検疫検査要求を受信する。結果参照/検査結果操作部59は、結果DB42内の検疫検査の結果データを参照する。また、結果参照/検査結果操作部59は、検疫検査の再実行を指示したり、ペナルティの解除などの、結果DB42内の検疫検査の結果データの変更を行う。
【0033】
図4は、各データ間の関連性を示すデータ概念モデルを示す図である。
ログデータと検査対象のユーザとは、n:1の関係があり、検査対象のユーザとログの検査ルール(以下、単に「ルール」と記載する」とはn:mの関係がある。また、ルールは、具体的なログとのパターンマッチを判断するための単一もしくは複数の検査条件(以下、単に「条件」とも記載する)から構成され、ルールと条件とは、n:mの関係がある。同図において、ログ1、2及び6は、ユーザ1のログデータであり、ログ3はユーザ2のログデータであり、ログ4及び5はユーザ3のログデータである。また、ユーザ1についてはルール1により検疫検査を行い、ユーザ2についてはルール2により検疫検査を行い、ユーザ3については、ルール1及び2により検疫検査を行う。ルール1は、条件1、2、3及び4の検査条件からなり、ルール2は、条件2、5及び6の検査条件からなる。
【0034】
図5〜図7は、検疫装置20が保持するデータの具体的例を示す図である。
図5は、ログDB32内に記憶されるログカテゴリ別テーブルの具体的な例を示す図である。同図において、ログカテゴリ別テーブルは、ログカテゴリ、ユーザID、発生時刻、及び、ログ内容のデータを含むログデータにより構成される。ログカテゴリは、ウェブアクセスに関するログ、メールに関するログなどのログの分類を示す。ユーザIDは、ログが発生したユーザを特定するためのユーザの管理IDを示す。発生時刻は、ログの発生時刻を示す。ログ内容には、発生した事象の内容、例えば、指定アプリケーションの起動、アプリケーションを用いた操作及びその対象ファイル、アプリケーションのインストール、参照したウェブページ等のURL(Universal Resource Locator)、参照したウェブページ内に含まれるキーワード、ダウンロードしたファイル、メールの送信、送信したメールの題名、メールに貼付されたファイル、印刷操作及び印刷対象ファイル、参照・コピー操作及びその対象ファイル、などがある。
【0035】
図6は、ルールDB41内に記憶されるデータの具体的な例を示す図である。ルールDB41は、ユーザ/ルール対応テーブル、ルールテーブル、ルール/条件対応テーブル、条件テーブル、類似条件定義テーブルを記憶する。
ユーザ/ルール対応テーブルは、検疫対象となるユーザを特定するユーザIDと、当該ユーザの検疫検査に用いるルールの管理IDであるルールIDとの情報を含むユーザ/ルール対応データからなる。
【0036】
ルールテーブルは、ルールID、ルールタイプ、累積基準値、密度基準値、達成基準値、類似基準値、ペナルティ期間のデータを含むルールデータからなる。ルールタイプは、単体の条件からなるルールか、複合条件からなるルールかに関する分類を示す。累積基準値は、発生累積数による結果判定を行う場合の閾値である。密度基準値は、発生密度による結果判定を行う場合の閾値である。達成基準値は、ルールを構成する条件のうち、何%の条件が合致したかの結果判定を行う場合の閾値であり、例えば、完全に操作が一致したときに検出を行う場合には100%が、5操作のうち4操作まで一致しているときに検出する場合には80%が設定される。類似基準値は、類似度でルールに合致しているとの結果判定を行う場合の閾値を示し、例えば、全操作が類似しているときを100%としたきの類似度の合計値の割合や、類似度の合計値が設定される。ペナルティ期間は、ルール達成時の結果の継続期間を示す。
【0037】
ルール/条件対応テーブルは、ルールIDと、当該ルールに属する条件の管理IDである条件IDとを対応付けるデータを含むルール/条件対応データからなる。
【0038】
条件テーブルは、ログをチェックするための条件の管理IDを示す条件ID、当該条件によるチェック対象となるログの分類を示すログカテゴリ、及び、具体的なチェック内容を示す条件内容のデータを含む条件データからなる。条件内容には、例えば、起動禁止アプリケーション、ファイル操作、ファイル操作対象、閲覧禁止URL、アクセス制限を解除するためのセキュリティツールの起動、注意書き等を閲覧するためのURLなどである。
【0039】
類似条件定義テーブルは、条件の管理IDである条件ID、当該条件IDと類似していると定義する条件(以下、「類似条件」と記載)の管理IDを示す類似条件ID、及び、条件IDで特定される条件と、類似条件IDで特定される類似条件とがどれほど類似しているかを定量的に定義した類似度のデータを含む類似条件定義データからなる。
【0040】
図7は、結果DB42内に記憶されるデータの具体的な例を示す図である。結果DB42は、ユーザ結果テーブル、ルール結果テーブル、条件結果テーブルを記憶する。
ユーザ結果テーブルは、検疫対象のユーザを特定するユーザID、当該ユーザの最終的な検疫検査結果を示す判定、判定がなされた時刻を示す判定時刻、判定の根拠となったルールを特定するルールIDのデータを含むユーザ結果データからなる。判定は、通信制御部23への通達内容となり、例えば、通信を規制しているペナルティ状態、通信範囲を拡大しているアクセス許可状態、等である。
【0041】
ルール結果テーブルは、検査を行ったルールを特定するルールID、当該ルールによる検疫検査対象のユーザを特定するユーザID、当該ルールのルールタイプ、累積数、密度、達成割合、類似割合、判定、及び、判定のデータを含むルール結果データからなる。累積数とは、現時点でのルール達成の発生累積数を示す。密度は、現時点でのルール達成の発生密度を示す。達成割合は、当該ルールを構成する一連の全条件のうち、現時点で何%を達成しているかの割合を示す。類似割合は、現時点で何%の類似度を達成しているかの割合を示す。判定は、当該ルールで設定した全条件を達成したか否かのフラグを示す。判定時刻は、当該ルールが達成されたと判定した時刻を示す。
【0042】
条件結果テーブルは、ログとの適合チェックを行った条件を特定する条件ID、当該条件による検査を行ったルールのルールID、当該条件による検査対象のユーザを特定するユーザID、当該条件の判定、判定時刻、類似条件ID、類似割合のデータを含む条件結果データからなる。判定は、当該条件とログが適合したかの結果を示し、類似条件との判断結果も含まれる。判定時刻は、当該条件による判定が行われた時刻を示す。類似条件IDは、類似した条件としてマッチングした条件を特定する管理IDを示す。類似割合は、マッチングした類似条件との類似度を示す。
【0043】
次に、検疫システムの動作手順について説明する。
図8及び図9は、検疫装置20における検疫検査処理フローを示す図である。
予め、管理者は、ルールに関する情報を検疫装置20の図示しない入力手段により入力する。入力手段は、キーボードやマウスなどであるが、コンピュータ読み取り可能な記録媒体から情報を読み取ったり、ネットワーク70を介して接続されるコンピュータ装置から情報を受信することでもよい。検疫装置20のルール設定管理部51は、入力手段により入力されたルールに関する情報に基づき、ルールDB41内の各種データの登録、変更、削除を行う。
また、クライアント端末10のログ収集エージェント11は、ユーザがクライアント端末10で行った操作のログデータを収集し、検疫装置20へ送信する。ログ収集エージェント11は、新しいログデータが発生する度に検疫装置20へ送信することでもよく、所定の間隔毎に送信することでもよい。
【0044】
図8は、ログ収集管理部21からの要求により検疫検査処理を実行する場合のフローを示す。
同図において、検疫装置20の情報収集部31は、クライアント端末10から受信したログデータをログDB32へ書き込むと、検査実施管理部52へログ発生の通知を送信する。検査実施管理部52は、情報収集部31からのログ発生の通知を受信し、以下の検疫検査処理を開始する。なお、所定の間隔毎など定期的に検疫検査処理を実行することでもよい。
【0045】
検査実施管理部52から検疫検査開始の指示を受信したログデータ読込部53は、ログ収集管理部21において収集され、新しくログカテゴリ別テーブルに書き込まれたログデータを、ログDB32から読み込む(ステップS110)。ルール照合部54は、読み込んだログデータ内のユーザID(以下、「検査対象ユーザID」と記載)から、当該ログデータがどのユーザのものかを判断する(ステップS120)。
【0046】
続いて、ルール照合部54は、検査対象ユーザが現在所定のペナルティ期間にあるか否かのチェックを行う(ステップS130)。具体的には、ルール照合部54は、検査対象ユーザIDをキーにして、結果DB42内のユーザ結果テーブルから判定、判定時刻、及び、判定ルールIDのデータを読み出す。ルール照合部54は、判定のデータから検査対象のユーザがペナルティ状態であると判断した場合、判定ルールIDをキーにして、ルールDB41内のルールテーブルからペナルティ期間のデータを読み出す。ルール照合部54は、現在の時刻が、判定時刻データで示される時刻からペナルティ期間が経過した時刻に達していない場合、当該ユーザが現在ペナルティ期間であると判断する。
【0047】
ステップS130において、検査対象ユーザがペナルティ期間ではないと判断された場合(ステップS130:No)、ルール照合部54は、ルールDB41を参照し、検査対象ユーザIDをキーにしてユーザ/ルール対応テーブルからルールIDを読み出し、読み出したルールID(以下、「検査対象ルールID」と記載)をキーにしてルール/条件対応テーブルから条件IDを読み出す(ステップS140)。
【0048】
続いて、ルール照合部54は、検査対象ユーザに適用するルールについて、類似検査の必要性の有無を判断する(ステップS150)。これは、例えば、ステップS140において読み出した検査対象ルールIDをキーにして、ルールDB41内のルールテーブルから類似基準値のデータを読み出し、この類似基準値がNULLまたは0であるか否かにより判断することができる。
【0049】
類似性検査の必要性が有りと判断した場合(ステップS150:有)、ルール照合部54は、ステップS140において読み出した条件IDをキーにして、ルールDB41内の類似条件定義テーブルから類似条件ID及び類似度のデータを読み出す(ステップS160)。
【0050】
続いて、ルール照合部54は、ステップS140において読み出した条件ID群の中から1つの条件IDを選択する(ステップS170)。ルール照合部54は、選択した条件IDをキーにして、ルールDB41内の条件テーブルからログカテゴリ及び条件内容のデータを読み出し、ステップS110において読み出したログデータと比較して、現在選択している条件とのマッチング(適合判定)を行う(ステップS180)。すなわち、ログデータ内のログカテゴリと、条件テーブルから読み出したログカテゴリが一致し、かつ、ログデータ内のログ内容の示すユーザ操作が、条件テーブルから読み出した条件内容データの示すチェック内容にマッチするかにより、現在選択している条件とログデータが適合しているか否かを判断する。
【0051】
さらに、ルール照合部54は、現在選択している条件IDの類似条件IDをキーにしてルールDB41内の条件テーブルからログカテゴリ及び条件内容のデータを読み出し、ステップS110において読み出したログデータと比較することにより、類似条件とのマッチング(適合判定)を行う。すなわち、ログデータ内のログカテゴリと、条件テーブルから読み出した類似条件のログカテゴリが一致し、かつ、当該ログデータ内のログ内容の示すユーザ操作が、当該類似条件の条件内容データの示すチェック内容にマッチするかにより、類似条件とログデータが適合しているか否かを判断する。
【0052】
ステップS180において、ルール照合部54が、ログデータと、現在選択している条件または当該条件の類似条件と適合していないと判断した場合(ステップS180:No)、ステップS140において読み出した条件ID群の中から、まだ選択していない1つの条件IDを選択し(ステップS170)、ステップS180の条件適合判定処理を行う。
【0053】
一方、ステップS180において、ルール照合部54が、ログデータと、現在選択している条件または当該条件の類似条件と適合していると判断した場合(ステップS180:Yes)、この条件の条件ID(以下、「適合条件ID」と記載)、当該条件IDと対応する検査対象ルールIDを示すルールID、検査対象ユーザID、条件と適合したことを示す判定データ、現在の時刻を示す判定時刻データ、類似条件ID、当該類似条件IDの類似度を示す類似割合のデータを含む条件結果データを、結果DB42の条件結果テーブルへ追加する(ステップS190)。
【0054】
次に、ルール照合部54は、ステップS140において読み出した検査対象ルールIDのうち、適合条件IDに対応したルールIDを選択し、さらに、この選択したルールIDをキーにして、ルールDB41内のルールテーブルからルールタイプを読み出して複合か単一かを判断する(ステップS200)。ルールタイプが単一であると判断した場合(ステップS200:単一)、後述するステップS240以降の処理が行われる。
【0055】
一方、ルールタイプが複合である場合(ステップS200:複数)、ルール照合部54は、適合した条件と同一ルールに属する他条件の結果を結果DB42より参照する(ステップS210)。すなわち、ルール照合部54は、適合条件IDを条件IDとして含む検査対象ルールIDを特定し、この特定した検査対象IDに対応した条件IDのうちのいずれかと、検査対象ユーザIDとを含む条件結果データを、結果DB42内の条件結果テーブルから抽出する。
【0056】
ルール照合部54は、抽出した条件結果データを基に、検査対象ルールとの類似度チェックを行う(ステップS220)。ルール照合部54は、ステップS210において抽出した条件結果データから、各検査対象ルールについて、ステップS190において書き込んだ条件結果データ内の時刻と最も近い時刻の条件結果データを抽出し、この抽出した条件結果データ内の類似割合と、ステップS190において書き込んだ条件結果データ内の類似度とを合算して、最新の類似割合を算出する。ルール照合部54は、検査対象ルールIDをキーにして、ルールDB41内のルールテーブルから類似基準値を読み出し、今回算出した類似割合が、読み出した類似度基準値の示す閾値を超えたか否かを判断する。閾値を超えている場合には、そのルールIDと、類似度基準値を超過したことを示すフラグを内部に記憶する。
【0057】
続いて、ルール照合部54は、抽出したエントリに含まれる条件IDと、検査対象ルールIDに属する条件IDとがどれくらいの割合で一致しているかの達成度をチェックする(ステップS230)。すなわち、ルール照合部54は、ステップS210において読み出した条件結果データから、各検査対象ルールに対応した一連の条件IDと一致している条件結果データを抽出し、一致している割合を算出する。ルール照合部54は、検査対象ルールIDをキーにして、ルールDB41内のルールテーブルから達成基準値を読み出し、今回算出した達成割合が、読み出した達成基準値の示す閾値を超えたか否かを判断する。閾値を超えている場合には、そのルールIDと、達成基準値を超過したことを示すフラグを内部に記憶する。
【0058】
累積カウントを考慮するルールの場合、ルール照合部54は、適合条件IDに対応した検査対象ルールIDをキーにして、結果DB42のルール結果テーブルからルール結果データを読み出す。そして、読みした各ルール結果データ内の累積数に、1を加算して累積数を算出する。ルール照合部54は、検査対象ルールIDをキーにして、ルールDB41内のルールテーブルから累積基準値を読み出し、今回算出した累積数が、読み出した累積基準値の示す閾値を超えたか否かを判断する(ステップS240)。閾値を超えている場合には、そのルールIDと、累積基準値を超過したことを示すフラグを内部に記憶する。なお、読み出した累積基準値がNULLや0の場合に、累積カウントを考慮しないと判断してもよい。
【0059】
次に、発生密度を考慮するルールの場合、ルール照合部54は、ステップS240において抽出したルール結果データ内の判定時刻を参照して、現在時刻から所定の時間内に発生したルール結果データを抽出する。ルール照合部54は、各検査対象ルールについて、抽出したルール結果テーブルの数から発生数を得る。ルール照合部54は、検査対象ルールIDに対応してルールDB41内のルールテーブルから密度データを読み出し、今回算出した所定時間における発生数が、読み出した密度データの示す閾値を超えたか否かを判断する(ステップS250)。閾値を超えている場合には、そのルールIDと、密度基準値を超過したことを示すフラグを内部に記憶する。なお、読み出した密度基準値がNULLや0の場合、密度を考慮しないと判断してもよい。
【0060】
結果判定部56は、累積数、発生密度、類似割合、達成割合の閾値の超過を総合的に判断し、ルールに適合したかを判断する(ステップS260)。これは、例えば、ルールID毎に、累積数、発生密度、類似割合、達成割合の閾値超過フラグのどれが立っているときに、ルールに合致していると判断するかのデータを内部に記憶しておき、当該データと比較することにより判断することができる。ルールに合致していないと判断した場合(ステップS260:No)、ルール照合部54は、ステップS140において読み出した条件ID群の中から、まだ選択していない1つの条件IDを選択し(ステップS170)、ステップS180以降の処理を行う。
【0061】
一方、ルールに合致していると判断した場合(ステップS260:Yes)、ユーザ状態管理部55は、適合しているルールについてのルール結果データを生成して、結果DB42内のルール結果テーブルに追加する(ステップS270)。生成したルール結果データには、適合したルールのルールID、検査対象ユーザID、当該ルールIDに対応したルールタイプ、算出した累積数、密度、達成割合、類似割合、適合を示す判定、判定時刻のデータが含まれる。結果送信部57は、検査対象ユーザID、及び、適合したルールIDを示す結果データを、通信制御部23へ送信する(ステップS280)。また、結果データには、閾値を超えた累積数、発生密度、類似割合、達成割合を含めることでもよい。
【0062】
通信制御部23の通信制御指示部62は、結果データを受信すると、結果データに含まれる検査対象ユーザID、適合したルールのルールID、さらには、閾値を超えた累積数、発生密度、類似割合、達成割合により、通信制御DB61から通信を制限すべき、あるいは、通信を許可すべき範囲を示す通信制御データを読み出す。通信制御データは、通信制御対象のクライアント端末10のアドレス、通信制御対象のクライアント端末10毎の通信制御プロファイルからなる。通信制御対象のクライアント端末10のアドレスには、検査対象ユーザIDにより示されるユーザのクライアント端末10のアドレスの他にも、当該ユーザのクライアント端末10の周辺のクライアント端末10のアドレスが含まれ得る。通信制御プロファイルデータは、発信または着信を、制限または許可する社内リソース/外部リソースの識別子/アドレス、アプリケーションに使用されるポート番号、VPN番号などのパーソナルファイアーウォールのルールやVPNのルールの情報が含まれる。通信制御指示部62は、通信制御対象のクライアント端末10へ、当該クライアント端末10に対応する通信制御プロファイルを送信する。通信制御プロファイルをを受信したクライアント端末10の通信制御エージェント12は、当該通信制御プロファイルに従って、当該クライアント端末10からの発信、及び、当該クライアント端末10への着信を許可あるいは制限する。
【0063】
一方、ルール照合部54は、ステップS140において読み出した全ての条件IDについて、ステップS150以降の処理を実行したかにより、終了を判断する(ステップS290)。終了ではないと判断した場合(ステップS290:No)、ステップS130からの処理を行い、終了と判断した場合(ステップS290:Yes)、検査処理を終了する。
【0064】
なお、ステップS130において、検査対象ユーザがペナルティ期間であると判断された場合(ステップS130:Yes)、結果送信部57は、検疫検査を中止し、現在の検査結果を維持するため、検査対象ユーザID、及び、ペナルティ期間であることを示す結果データを通信制御部23へ送信する(ステップS280)。通信制御部23の通信制御指示部62は、結果データで示される検査対象ユーザIDのクライアント端末10へ前回通知したものと同様の通信制御プロファイルをクライアント端末10へ送信する。
【0065】
図9は、クライアント端末10からの要求により検疫検査処理を実行する場合のフローを示す。
オンデマンド検疫の場合、検疫装置20の通信制御部23は、クライアント端末10の通信制御エージェント12からユーザIDの情報が含まれる検疫要求メッセージを受信する。検疫装置20の検疫要求受信部63は、検疫要求メッセージをログベースド検疫検査部22へ通知する(ステップS310)。ログベースド検疫検査部22の検疫要求受信部58は、検疫要求メッセージからユーザIDを抽出し、どのユーザの検疫要求かを特定する(ステップS320)。
【0066】
ルール照合部54は、図8のステップS130と同様の処理により、特定したユーザが現在所定のペナルティ期間にあるか否かのチェックを行う(ステップS330)。すなわち、ルール照合部54は、検疫要求メッセージから抽出したユーザIDを検査対象ユーザIDとし、結果DB42内のユーザ結果テーブルから、検査対象ユーザIDに対応する判定、判定時刻、及び、判定ルールIDのデータを読み出して、検査対象のユーザがペナルティ状態であるか、ペナルティ状態であると判断した場合、当該ユーザが現在ペナルティ期間であると判断する。
【0067】
ペナルティ期間ではないと判断した場合(ステップS330:NO)、ログデータ読込部53は、検査対象ユーザIDをキーにして、まだ、検疫検査を実行していないログデータをログDB32から読み出し(ステップS340)、図8のステップS140以降の検査処理を実行する。なお、ステップS330において、ペナルティ期間ではないと判断した場合(ステップS330:Yes)、図8のステップS280からの処理を実行することにより、検疫検査を中止し、現在の検査結果を維持する。
【0068】
本実施の形態によれば、クライアント端末10のコンプライアンスチェックに加えて、ユーザの操作のコンプライアンスチェックを行うことにより、エンドポイントセキュリティを高めることができる。
また、一定の操作をすることによるアクセス制限の緩和と、一定の操作をすることによるアクセス範囲の限定化という2面の通信制御が可能となる。
また、クライアント端末10から、社内リソース80へのアクセス制御という面だけでなく、不正な操作をしたクライアント端末10への通信を制御することにより、ウイルス感染・情報漏洩を防止するなど、多面的な防御が可能となる。
また、検疫装置20には、ユーザ操作のチェック機能を、フォレンジック製品には、ユーザの行動制限機能を追加することができ、それぞれを併用する場合よりも、高いセキュリティを実現することが可能である。
また、発生した不正な操作の妨害だけでなく、その行動の結果を継続的にペナルティとして課すこともできる。また、過去に遡り、一定の行為を複数回繰り返すことにより、制限を課すことも可能であり、より厳密かつ柔軟なエンドユーザの行動制限を行うことが可能である。
また、不正行為がなされる前に、一定の基準を超えた場合に、不正行為の兆候があることを判断することが可能である。
また、コンプライアンスチェックの判断根拠として、不正行為の累積カウントを用いることにより、ユーザの不正行為を検知することが可能である。
【0069】
なお、上述したクライアント端末10及び検疫装置20は、内部にコンピュータシステムを有している。そして、上述したクライアント端末10のログ収集エージェント11及び通信制御エージェント12、ならびに、検疫装置20のログ収集管理部21、ログベースド検疫検査部22及び通信制御部23の各部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上記各種処理を行う。尚、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。更に「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0070】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。更に、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0071】
【図1】本発明の一実施の形態による検疫システムの概要を示す図である。
【図2】同実施の形態による検疫システムの構成を示すブロック図である。
【図3】同実施の形態によるログベースド検疫検査部の詳細な構成を示すブロック図である。
【図4】同実施の形態による各データ間の関連性を示すデータ概念モデルを示す図である。
【図5】同実施の形態によるログDB内に記憶されるログカテゴリ別テーブルの具体的なデータ構成を示す図である。
【図6】同実施の形態によるルールDB内に記憶されるデータの具体的な例を示す図である。
【図7】同実施の形態による結果DB内に記憶されるデータの具体的な例を示す図である。
【図8】同実施の形態による検疫装置の検疫検査処理フローを示す図である。
【図9】同実施の形態による検疫装置の検疫検査処理フローを示す図である。
【符号の説明】
【0072】
10…クライアント端末
11…ログ収集エージェント
12…通信制御エージェント
20…検疫装置
21…ログ収集管理部
22…ログベースド検疫検査部
23…通信制御部
31…情報収集部
32…ログDB
33…ログ管理部
34…資産情報管理部
35…レポーティング部
41…ルールDB
42…結果DB
51…ルール設定管理部
52…検査実施管理部
53…ログデータ読込部
54…ルール照合部
55…ユーザ状態管理部
56…結果判定部
57…結果送信部
58…検疫要求受信部
59…結果参照/検査・結果操作部
61…通信制御DB
62…通信制御指示部
63…検疫要求受信部
70…ネットワーク
80…社内リソース
81…業務ネットワーク
82…業務サーバ
90…VPN−GW
【特許請求の範囲】
【請求項1】
端末と、前記端末とはネットワークを介して接続される検疫装置とからなる検疫システムであって、
前記端末において実行された操作及びユーザ識別子の情報を含むログデータを記憶するログ記憶手段と、
検出対象の操作を示すルールデータを記憶するルール記憶手段と、
前記端末からログデータを受信して前記ログ記憶手段に書き込むログ収集管理部と、
前記ログ記憶手段から前記ログ収集管理部が書き込んだログデータを読み出すログデータ読込部と、
前記ログデータ読込部により読み出されたログデータが、前記ルール記憶手段内の前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、
前記ルール照合部により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、
前記結果送信部により出力された結果情報の示すルールに対応して通信範囲を制限または拡大する通信制御を、該結果情報の示すユーザ識別子により特定されるユーザの端末へ指示する通信制御部と、
を備えることを特徴とする検疫システム。
【請求項2】
端末において実行された操作及びユーザ識別子の情報を含むログデータを記憶するログ記憶手段と、
検出対象の操作を示すルールデータを記憶するルール記憶手段と、
前記ログ記憶手段からログデータを読み出すログデータ読込部と、
前記ログデータ読込部により読み出されたログデータが、前記ルール記憶手段内の前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、
前記ルール照合部により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、
を備えることを特徴とする検疫装置。
【請求項3】
前記ルール記憶手段は、ユーザ識別子と前記ルールデータとを対応付けるデータをさらに記憶し、
前記ルール照合部は、前記ログデータ内のユーザ識別子に対応したルールデータを前記ルール記憶手段から読み出し、前記ログデータが、読み出した前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断する、
ことを特徴とする請求項2に記載の検疫装置。
【請求項4】
前記ルールデータは、1または複数の検出対象の操作の情報を含むことを特徴とする請求項2または請求項3に記載の検疫装置。
【請求項5】
前記ルールデータは、複数の操作の情報と、閾値の情報とを含み、
前記ルール照合部は、同じユーザ識別子を有する前記ログデータにより示される操作に、前記ルールデータにより示される操作と一致する操作が含まれており、かつ、該ルールデータに含まれる操作の数に対する、前記一致する操作の数の割合が、当該ルールデータで示される閾値以上である場合にルールと合致していると判断する、
ことを特徴とする請求項2または請求項3に記載の検疫装置。
【請求項6】
前記ルールデータは、複数の操作の情報と、閾値の情報とを含み、
前記ルール記憶手段は、さらに、ルールデータの示す操作と類似する操作のデータを記憶し、
前記ルール照合部は、前記ルールデータにより示される操作と類似している操作を前記ルール記憶手段から読み出し、同じユーザ識別子を有する前記ログデータの示す操作に、読み出した類似した操作が含まれており、かつ、その類似した操作の類似度の合計が、当該ルールデータで示される閾値以上である場合にルールと合致していると判断する、
ことを特徴とする請求項2または請求項3に記載の検疫装置。
【請求項7】
前記ログデータは、さらに、操作時刻の情報を含み、
前記ルールデータは、さらに、閾値の情報を含み、
前記ルール照合部は、同じユーザ識別子を有し、かつ、操作時刻が所定の期間内を示している前記ログデータのうち、前記ルールデータにより示される操作の実行を示しているログデータの数が、当該ルールデータの閾値で示される数以上である場合にルールと合致していると判断する、
ことを特徴とする請求項2または請求項3に記載の検疫装置。
【請求項8】
前記ルール照合部によりルールと合致していると判断されたルールと、判断時刻とを示すルール結果データを結果記憶手段に書き込むユーザ状態管理部をさらに備え、
前記ルール照合部は、判断時刻が所定期間内であるルール結果データが前記結果記憶手段に記憶されているか否かを検出し、
前記通信制御部は、前記ルール照合部により判断時刻が所定期間内であるルール結果データが前記結果記憶手段に記憶されていることを検出した場合に、出力済みの結果情報に応じた通信制御の継続指示を出力する、
ことを特徴とする請求項2から請求項7のいずれかの項に記載の検疫装置。
【請求項9】
結果情報に対応して、通信制御対象の端末の情報と、発信または着信を許可または制限する通信範囲を示すデータである通信制御プロファイルとを記憶する通信制御記憶手段と、
前記結果送信部により出力された結果情報に対応する通信制御対象の端末の情報と、通信制御プロファイルとを前記通信制御記憶手段から読み出し、該通信制御対象の端末へ該通信制御プロファイルを通知する通信制御指示部とをさらに備える、
ことを特徴とする請求項2から請求項8のいずれかの項に記載の検疫装置。
【請求項10】
端末の操作ログにより検疫検査を行う検疫装置に用いられるコンピュータを、
前記端末において実行された操作及びユーザ識別子の情報を含むログデータをログ記憶手段から読み出すログデータ読込手段、
検出対象の操作を示すルールデータをルール記憶手段から読み出し、前記ログデータ読込手段により読み出されたログデータが、読み出した前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合手段、
前記ルール照合手段により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信手段、
として実行させることを特徴とするコンピュータプログラム。
【請求項1】
端末と、前記端末とはネットワークを介して接続される検疫装置とからなる検疫システムであって、
前記端末において実行された操作及びユーザ識別子の情報を含むログデータを記憶するログ記憶手段と、
検出対象の操作を示すルールデータを記憶するルール記憶手段と、
前記端末からログデータを受信して前記ログ記憶手段に書き込むログ収集管理部と、
前記ログ記憶手段から前記ログ収集管理部が書き込んだログデータを読み出すログデータ読込部と、
前記ログデータ読込部により読み出されたログデータが、前記ルール記憶手段内の前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、
前記ルール照合部により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、
前記結果送信部により出力された結果情報の示すルールに対応して通信範囲を制限または拡大する通信制御を、該結果情報の示すユーザ識別子により特定されるユーザの端末へ指示する通信制御部と、
を備えることを特徴とする検疫システム。
【請求項2】
端末において実行された操作及びユーザ識別子の情報を含むログデータを記憶するログ記憶手段と、
検出対象の操作を示すルールデータを記憶するルール記憶手段と、
前記ログ記憶手段からログデータを読み出すログデータ読込部と、
前記ログデータ読込部により読み出されたログデータが、前記ルール記憶手段内の前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、
前記ルール照合部により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、
を備えることを特徴とする検疫装置。
【請求項3】
前記ルール記憶手段は、ユーザ識別子と前記ルールデータとを対応付けるデータをさらに記憶し、
前記ルール照合部は、前記ログデータ内のユーザ識別子に対応したルールデータを前記ルール記憶手段から読み出し、前記ログデータが、読み出した前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断する、
ことを特徴とする請求項2に記載の検疫装置。
【請求項4】
前記ルールデータは、1または複数の検出対象の操作の情報を含むことを特徴とする請求項2または請求項3に記載の検疫装置。
【請求項5】
前記ルールデータは、複数の操作の情報と、閾値の情報とを含み、
前記ルール照合部は、同じユーザ識別子を有する前記ログデータにより示される操作に、前記ルールデータにより示される操作と一致する操作が含まれており、かつ、該ルールデータに含まれる操作の数に対する、前記一致する操作の数の割合が、当該ルールデータで示される閾値以上である場合にルールと合致していると判断する、
ことを特徴とする請求項2または請求項3に記載の検疫装置。
【請求項6】
前記ルールデータは、複数の操作の情報と、閾値の情報とを含み、
前記ルール記憶手段は、さらに、ルールデータの示す操作と類似する操作のデータを記憶し、
前記ルール照合部は、前記ルールデータにより示される操作と類似している操作を前記ルール記憶手段から読み出し、同じユーザ識別子を有する前記ログデータの示す操作に、読み出した類似した操作が含まれており、かつ、その類似した操作の類似度の合計が、当該ルールデータで示される閾値以上である場合にルールと合致していると判断する、
ことを特徴とする請求項2または請求項3に記載の検疫装置。
【請求項7】
前記ログデータは、さらに、操作時刻の情報を含み、
前記ルールデータは、さらに、閾値の情報を含み、
前記ルール照合部は、同じユーザ識別子を有し、かつ、操作時刻が所定の期間内を示している前記ログデータのうち、前記ルールデータにより示される操作の実行を示しているログデータの数が、当該ルールデータの閾値で示される数以上である場合にルールと合致していると判断する、
ことを特徴とする請求項2または請求項3に記載の検疫装置。
【請求項8】
前記ルール照合部によりルールと合致していると判断されたルールと、判断時刻とを示すルール結果データを結果記憶手段に書き込むユーザ状態管理部をさらに備え、
前記ルール照合部は、判断時刻が所定期間内であるルール結果データが前記結果記憶手段に記憶されているか否かを検出し、
前記通信制御部は、前記ルール照合部により判断時刻が所定期間内であるルール結果データが前記結果記憶手段に記憶されていることを検出した場合に、出力済みの結果情報に応じた通信制御の継続指示を出力する、
ことを特徴とする請求項2から請求項7のいずれかの項に記載の検疫装置。
【請求項9】
結果情報に対応して、通信制御対象の端末の情報と、発信または着信を許可または制限する通信範囲を示すデータである通信制御プロファイルとを記憶する通信制御記憶手段と、
前記結果送信部により出力された結果情報に対応する通信制御対象の端末の情報と、通信制御プロファイルとを前記通信制御記憶手段から読み出し、該通信制御対象の端末へ該通信制御プロファイルを通知する通信制御指示部とをさらに備える、
ことを特徴とする請求項2から請求項8のいずれかの項に記載の検疫装置。
【請求項10】
端末の操作ログにより検疫検査を行う検疫装置に用いられるコンピュータを、
前記端末において実行された操作及びユーザ識別子の情報を含むログデータをログ記憶手段から読み出すログデータ読込手段、
検出対象の操作を示すルールデータをルール記憶手段から読み出し、前記ログデータ読込手段により読み出されたログデータが、読み出した前記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合手段、
前記ルール照合手段により合致していると判断されたルールと、前記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信手段、
として実行させることを特徴とするコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2007−172221(P2007−172221A)
【公開日】平成19年7月5日(2007.7.5)
【国際特許分類】
【出願番号】特願2005−367873(P2005−367873)
【出願日】平成17年12月21日(2005.12.21)
【出願人】(399040405)東日本電信電話株式会社 (286)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
【公開日】平成19年7月5日(2007.7.5)
【国際特許分類】
【出願日】平成17年12月21日(2005.12.21)
【出願人】(399040405)東日本電信電話株式会社 (286)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
[ Back to top ]