盗難状態判定端末及び盗難状態判定プログラム
【課題】
コンピュータ端末の盗難等による情報漏洩を防止するために、端末が使用されている状況の変化に応じて端末が盗難状態にあるかを自動的に判定し、情報漏洩防止処理を実行する端末を提供することを目的とする。
【解決手段】
本発明の盗難状態判定端末における処理装置は、端末自身の稼働環境に関する情報と、ユーザによって操作された操作情報とを取得する。次に、稼働環境毎に操作特徴を抽出し、平常時の操作特徴とは異なる異常な操作を検出する。そして、検出結果に基づいて端末自身が盗難状態にあるかどうかを自動判定することにより、盗難による情報漏洩防止を実現する。
コンピュータ端末の盗難等による情報漏洩を防止するために、端末が使用されている状況の変化に応じて端末が盗難状態にあるかを自動的に判定し、情報漏洩防止処理を実行する端末を提供することを目的とする。
【解決手段】
本発明の盗難状態判定端末における処理装置は、端末自身の稼働環境に関する情報と、ユーザによって操作された操作情報とを取得する。次に、稼働環境毎に操作特徴を抽出し、平常時の操作特徴とは異なる異常な操作を検出する。そして、検出結果に基づいて端末自身が盗難状態にあるかどうかを自動判定することにより、盗難による情報漏洩防止を実現する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータ端末に記憶した情報の漏洩防止に関し、特にコンピュータ端末自体が盗難されることによって発生する情報漏洩を防止する技術に関する。
【背景技術】
【0002】
企業や学校等において、コンピュータ端末を用いて作業を行うことは一般的である。その際、作成した情報ファイルや参照資料等の各種データを、端末に内蔵されているハードディスク等の記憶装置に保存して管理するという方法がよく用いられる。この方法は、適宜必要な資料を容易に取り出して活用できるという利便性がある反面、保存している情報が外部に漏洩する可能性が高いという問題点もある。具体的には、ノートパソコン等の持ち運びしやすい端末を使用する際に、盗難や置き忘れ等によって端末自体を紛失した場合に発生する情報漏洩の問題である。
【0003】
上記の問題を解決する手段として、端末の盗難等による情報漏洩を防止する分野において、端末の起動時にサーバと通信し、サーバが認証を行って盗難状態ではないと判定した場合、サーバはその端末に対して、事前に暗号化していた保存データの復号回路を送信するという技術がある。この技術において、予めサーバ側に盗難状態にある端末リストを登録しておき、受信した端末の識別情報と盗難端末リストとを比較照合して、その端末が盗難状態にあるか否かの判定を行うという手段が用いられている。これにより、端末内に保存された機密情報が第三者によって漏洩する危険性を低減することができる。(特許文献1参照)
【0004】
また、同様の分野において、端末の起動時にサーバと通信を行い、サーバがその端末のユーザ認証を行って使用不可と判定した場合、端末内保存データの消去指示を出すという技術がある。この技術において、予めサーバ内に端末使用可能なユーザリストを保存しておき、端末起動時に、実際にログインしているユーザ情報とサーバ内の使用可能ユーザリストとを比較することによって、端末が盗難状態か否かの判定を行うという手段が用いられている。これにより、予め端末の状態に関する情報を登録しておかなくても、自動的に端末が盗難状態にあるか否かを判定することができる。(特許文献2参照)
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−293594号公報
【特許文献2】特開2006−163847号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1の技術を用いると、起動された端末が盗難状態にあるか否かを判定することはできる。しかし、管理対象となる端末全ての現在状態をリスト化してサーバに登録する必要がある。このため、リアルタイムに変化する状況に対応するためには、サーバに登録しているリストを随時更新しなければならず、手間が発生してしまう。
【0007】
特許文献2の技術を用いると、予めサーバ内に端末の現在状態リストを登録しておかなくても、端末が盗難状態にあるか否かを判定することができる。しかし、使用可能ユーザとして登録されている者が不正行為を行っている可能性までは判定することができない。
【0008】
本発明は、上記従来技術の問題点を解消することを課題とする。具体的には、端末の盗難等による情報漏洩を防止する分野において、端末が使用されている状況の変化に応じて端末が盗難状態であるかを判定し、判定結果に応じた情報漏洩防止処理を実行することを課題とする。
【課題を解決するための手段】
【0009】
上記の課題を解決するために、本発明の情報漏洩防止端末は、機密情報を含む情報を記憶する記憶装置と、端末が盗難状態であるかを判定する処理装置とを備えており、そのうちの処理装置は、端末の稼働環境に関する情報を生成する環境情報生成部と、ユーザが端末に対して実行した操作情報を生成する操作情報生成部と、生成した環境情報における操作情報の特徴を操作特徴として抽出し、環境情報毎にこの操作特徴を記憶領域に格納する操作特徴抽出部と、操作特徴抽出部において新たに抽出された新規操作特徴と記憶領域に既に記憶されている既存操作特徴とを比較し、端末の盗難危険性を判定する盗難状態判定部と、判定結果に応じて前記機密情報の情報漏洩防止処理を実行する制御部と、を備えることを特徴としている。
【0010】
本発明の構成を採用することにより、端末が動作する様々な稼働環境毎に実行される操作の特徴を把握し、平常時の操作特徴とは異なる異常な操作を検出することができる。これにより、端末が使用される様々な状況に応じて、その端末が盗難状態であるかを判定することが可能となる。
【0011】
本発明の情報漏洩防止端末の処理装置に含まれる盗難状態判定部は、新規操作特徴と既存操作特徴との差分を算出する差分算出手段と、算出した差分に基づき盗難状態にある危険性を示す危険度を判定する危険度判定手段とを有し、制御部は、危険度に応じて情報漏洩防止処理の内容を変化させて実行するという構成としてもよい。
【0012】
本発明の構成を採用することで、端末が盗難状態にある危険性を判定し、状況に応じた情報漏洩防止処理を実行することができる。これにより、ユーザの損害も最小限に抑えることが可能となる。
【0013】
本発明の情報漏洩防止端末の処理装置はさらに、記憶装置に記憶されている機密情報のデータ量を取得するデータ量取得部を備え、盗難状態判定部は、データ量に基づき盗難状態にある危険性を変更する危険度変更手段とを有し、制御部は、危険度に応じて情報漏洩防止処理の内容を変化させて実行するという構成としてもよい。
【0014】
本発明のように構成することにより、端末内に保存されているデータ量の情報も利用して、端末が盗難状態にある危険性を変更することができる。これにより、端末盗難によって漏洩する情報量やそれに伴う被害の大きさを考慮した盗難状態の判定、及び盗難による情報漏洩防止処理を実行することが可能となる。
【0015】
本発明の情報漏洩防止端末の処理装置に含まれる盗難状態判定部は、環境情報別に端末が盗難状態であるかを判定する環境別判定手段と、環境別判定結果を複数用いて総合的に盗難状態であるかを判定する総合判定手段とを有し、制御部は、総合的な判定結果に応じて情報漏洩防止処理を実行するという構成としてもよい。
【0016】
本発明の構成を採用することにより、複数の環境情報における操作特徴を利用して端末が盗難状態であるかを判定することができる。これにより、盗難状態であるかを判定する判定精度を向上させることが可能となる。
【0017】
また、本発明のプログラムを端末に読み込ませて実行することで、上述の特徴を実現させることも可能である。つまり、盗難状態判定端末に用いるプログラムであって、端末の稼働環境に関する情報を生成する環境情報生成機能と、ユーザが端末に対して実行した操作情報を生成するユーザ情報生成機能と、生成した環境情報における操作情報の特徴を操作特徴として抽出し、環境情報毎にその操作特徴を記憶領域に格納する操作特徴抽出機能と、操作特徴抽出部において新たに抽出された新規操作特徴と記憶領域に既に記憶されている既存操作特徴とを比較し、端末の盗難危険性を判定する盗難状態判定機能と、判定結果に応じて機密情報の情報漏洩防止処理を実行する制御機能とを処理装置に実現させるプログラム、として本発明を構成してもよい。
【0018】
この盗難状態判定プログラムも、上述の盗難状態判定端末と同様の作用効果を伴うものである。
【0019】
本発明における機密情報とは、ユーザが端末内に保存した情報ファイルやプログラム及びデータ等のことをいう。具体的には、各種情報が保存されたドキュメントファイルや表計算ファイル、及び特定のアプリケーションで利用可能なデータ等が一例として考えられる。また、機密情報は、端末内に保存された各種情報全てを指すのではなく、予め機密情報として定められたものとしてもよい。具体的には、保存されたドキュメントファイルのうち、予めファイル名に「機密情報」である旨指定されたもののみを限定して秘密情報として取り扱うという形式が一例として考えられる。また、予め定められたキーワードや内容を含むファイルを機密情報として取り扱うという形式も考えられる。具体的には、端末内のファイルを検索してキーワードを含むファイルを抽出する方法や、操作情報に含まれるファイル名にキーワードを含んでいるファイルを抽出する方法などが考えられる。
【0020】
本発明における稼働環境とは、端末稼動時における端末自身及び周囲の状況のことをいう。具体的には、端末自身のハードウェア構成を示すハードウェア情報、端末にログインしているユーザのログインユーザ識別情報、ネットワークの接続有無の情報、端末が接続しているネットワークや機器等に関する接続先情報、端末が使用されている時刻・時間帯を示す時刻情報、ソフトウェアやアプリケーションの起動状態、特定ソフトウェア又はWebサイトへの認証状態や閲覧状態などが一例として考えられる。
【0021】
さらに、上記のユーザ識別情報とは、ユーザ毎に一義的に設定されたログインIDやユーザID等がその一例として考えられる。
【0022】
本発明における操作情報とは、ユーザが端末に対して各種操作を実行した際に生成される情報のことをいう。具体的には、操作が実行された日時を示す日時情報、実行された操作の内容を示す処理内容及び処理対象(ファイル、フォルダ、アプリケーション等)、当該端末を使用しているユーザを一義的に特定するユーザ識別情報を少なくとも含む一連の情報などが一例として考えられる。
【0023】
本発明におけるデータ量とは、端末内に保存されている機密情報の量のことをいう。具体的には、保存されている情報ファイルの数を示すファイル数情報、保存されている情報全体の大きさを示すビット数やバイト数などが一例として考えられる。
【発明の効果】
【0024】
上述のように構成された本発明によれば、ネットワーク通信ができない稼働環境を含め、端末が稼動する様々な環境に応じて端末が盗難状態であるかを判定することができる。これにより、端末の盗難による情報漏洩を防止する処理を素早く実行することが可能となる。
【図面の簡単な説明】
【0025】
【図1】本発明の盗難状態判定端末のハードウェア構成の一例を示す概念図。
【図2】本発明の盗難状態判定端末を用いたシステムの構成例を示す概念図。
【図3】実施例1における端末構成の一例を示す機能ブロック図。
【図4】実施例1における処理プロセスの一例を示すフローチャート。
【図5】環境情報記憶部21に記憶される環境情報の一例を示す図。
【図6】操作情報記憶部22に記憶される操作情報の一例を示す図。
【図7】操作特徴記憶部23に記憶される既存操作特徴の一例を示す図。
【図8】状態判定手段16内部にある基準値テーブルの一例を示す図。
【図9】実施例1の表示装置4で表示される警告表示の一例を示す図。
【図10】実施例2における端末構成の一例を示す機能ブロック図。
【図11】実施例2における処理プロセスの一例を示すフローチャート。
【図12】危険度判定手段18aの内部にある危険度テーブルの一例を示す図。
【図13】制御部17内部にある処理内容テーブルの一例を示す図。
【図14】実施例3における端末構成の一例を示す機能ブロック図。
【図15】実施例3における処理プロセスの一例を示すフローチャート。
【図16】危険度変更手段18bの内部にある危険度変更テーブルの一例を示す図。
【図17】実施例4における端末構成の一例を示す機能ブロック図。
【図18】実施例4における処理プロセスの一例を示すフローチャート。
【図19】実施例4の操作情報記憶部22に記憶される操作情報の一例を示す図。
【図20】環境別判定手段20a内部にある基準値テーブルの一例を示す図。
【図21】実施例5におけるシステム構成の一例を示す機能ブロック図。
【発明を実施するための形態】
【0026】
以下、図面を用いて本発明の実施形態を説明する。本発明は基本的にスタンドアローン形式にて実施される。図1に本発明の盗難状態判定端末(以下、「端末A」という)のハードウェア構成の一例を概念的に示す。
【0027】
端末Aは、プログラムの演算処理を実行する演算装置6と、演算結果に基づいて各装置に対する制御指示を出力する制御装置7とを有するCPU等の処理装置1と、情報を記憶するRAMやハードディスク等の記憶装置2と、キーボード、マウス又はテンキー等の入力装置3と、ディスプレイ(画面)等の表示装置4と、処理装置1の処理結果や記憶装置2に記憶する情報をインターネットやLAN等のネットワークを介して送受信する通信装置5とを少なくとも有している。端末Aが実行する各機能(各手段)は、その処理を実行するプログラムが処理装置1に読み込まれることで実現される。
【実施例1】
【0028】
〔実施例1−構成〕
以下、図面を用いて本発明の第一実施例について説明する。実施形態はスタンドアローン形式を用いた場合を例に説明する。図3に、本発明の盗難状態判定端末を構成する端末Aの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。
【0029】
また、図3は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。
【0030】
端末Aは、入力装置3、表示装置4又は通信装置5と様々な情報を送受信するための制御インタフェース10を有している。
【0031】
端末Aの処理装置1は、端末Aが稼動している状況に関する情報を生成する環境情報生成部11、端末Aに対して行われた操作に関する情報を生成する操作情報生成部12、環境情報毎に操作情報の特徴を抽出する操作特徴抽出部13、抽出した新規操作特徴を用いて端末Aが盗難状態であるかを判定する盗難状態判定部14、端末内に記憶されている機密情報の情報漏洩防止処理を実行する制御部17を備えている。
【0032】
端末Aの記憶装置2は、環境情報生成部11で生成した環境情報を記憶する環境情報記憶部21、操作情報生成部12で取得した操作情報を記憶する操作情報記憶部22、操作特徴抽出部13で抽出した操作特徴を環境情報毎に記憶する操作特徴記憶部23、ユーザによって端末A内への保存指示が実行された機密情報を記憶する機密情報記憶部24を備えている。
【0033】
さらに、端末Aの処理装置1における判定部14は、操作特徴抽出部13にて抽出された新規操作特徴と、操作特徴記憶部23に記憶されている既存操作特徴とを比較し、その差分を算出する差分算出手段15と、算出した差分に基づいて端末が盗難状態であるか判定する状態判定手段16とを有している。
【0034】
以下、図3に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。
【0035】
環境情報生成部11は、制御インタフェース10及び端末A内に記憶されている各種情報から、端末Aの稼働環境に関する情報を環境情報として生成し、生成した環境情報を環境情報記憶部21に送信する。環境情報は、予め定められた所定のタイミング毎に生成するとしてもよいし、稼働環境に変化が発生したタイミングで都度生成するとしてもよい。本実施例では、所定のタイミング毎に環境情報を生成する形式を用いることとする。
【0036】
環境情報記憶部21には、環境情報生成部11が生成した環境情報が記憶される。その際の記憶形式は、端末Aが稼働している現在の環境情報が把握できる形式であればよい。例えば、記憶部に記憶されている既存の環境情報に対して新規に生成した環境情報上書きして記憶するという形式でもよいし、生成した環境情報を時系列的に記憶するという形式でもよい。また、環境情報を記憶する領域は、一時的な記憶領域としてもよい。本実施例では、上書きして記憶する形式を用いることとする。
【0037】
操作情報生成部12は、ユーザが端末に対して実行した操作に関する情報を制御インタフェース10を介して取得し、操作情報を生成する。そして、生成した操作情報を操作情報記憶部22に送信する。生成される操作情報の形式は、ユーザが実行した操作内容が把握できるものであればどのようなものでもよい。なお、操作情報に前述の環境情報を含める形式としても構わない。
【0038】
上記の操作情報について、本実施例では、端末Aの入力装置3を用いてユーザにより実行された制御処理の内容を示す情報が生成されることとする。具体的には、制御処理の内容を示す処理内容、処理を実行したユーザを一義的に特定するユーザ識別情報、及び処理が実行された日時を示す日時情報を含む一連の情報が生成されることとする。
【0039】
さらに、上記の処理内容とは、端末において実行された操作の内容を示す情報であって、ミドルウェアまたはOS等において処理されるアプリケーションやハードウェア等による制御を示す情報のことをいう。より具体的には、キー入力、ポインティングデバイスの操作(ボタン押下、移動など)、外部記憶媒体の着脱、外部機器(プリンタなど)との接続、ファイル操作(作成、削除、コピー、移動、フォルダ名変更等)、アプリケーション操作(起動、終了等)、ドライブの追加・削除・検知、IPアドレス変更、記憶媒体の書き込み、印刷、クリップボードへのコピー等を示す情報がある。なお、これらは一例であって限定されるものではない。
【0040】
操作情報記憶部22には、操作情報生成部12が生成した操作情報が記憶される。その際の記憶形式は、操作情報に含まれる日時情報を利用して時系列的に記憶するという形式にすると好適である。なお、操作情報に環境情報が含まれる場合は、前述の環境情報記憶部21を兼ねることができる。
【0041】
操作特徴抽出部13は、まず、環境情報記憶部21に記憶されている環境情報を取得する。次に、操作情報記憶部22から、所定時間分の操作情報を検索し、その特徴を抽出する。そして、取得した環境情報と、操作情報から抽出した特徴と、特徴を抽出した日時情報とを関連付けて操作特徴を生成し、判定部14に送信する。生成される特徴情報には、特定の操作の実行回数、実行間隔、又は実行時間帯等様々なものが考えられるが、本実施例では、特定の操作の実行回数を操作特徴として抽出することとする。
【0042】
上記の操作特徴抽出部13における操作特徴の抽出は、ユーザが予め定めた時間間隔毎に随時実施するという形式にすると好適である。また、環境情報記憶部21から抽出する環境情報についても、ユーザが予め定めた所定の環境情報のみを抽出するとしてもよいし、各々の環境情報について、所定時間隔毎に抽出するという形式としてもよい。本実施例では、各々の環境情報について、所定時間間隔毎に抽出するという形式を採用することとする。
【0043】
操作特徴記憶部23には、操作特徴抽出部13が過去に生成した操作特徴が既に記憶されている。その際の記憶形式は、操作特徴に含まれる環境情報別に記憶するという形式にすると好適である。また、操作特徴に含まれる日時情報を利用して時系列的に記憶するという形式にすると好適である。
【0044】
盗難状態判定部14は、まず、操作特徴抽出部13が新たに生成した新規操作特徴を取得する。次に、新規操作特徴に含まれる環境情報を用いて操作特徴記憶部23を検索し、同一の環境情報を含んでいる既存操作特徴を特定して抽出する。そして、新規操作特徴と既存操作特徴とを比較し、その差分の内容から端末Aが盗難状態かどうかを判定する。この判定処理を行うために、盗難状態判定部14の内部には、差分算出手段15と状態判定手段16が備えられている。
【0045】
本実施例において、比較対象として抽出される既存操作特徴は、新規操作特徴と同一の環境情報を含んでいるもののうち、操作特徴に含まれる日時情報が最も新しい操作特徴を抽出することとする。つまり、盗難状態判定部14では、同一の環境情報を有する操作特徴のうち、新規に生成された操作特徴と、過去に生成された操作特徴のうちで最新のものとを比較し、その差分の内容から端末Aの盗難危険性を判定するという処理が実行される。また、本実施例とは別の形式として、予め定められた所定期間以上前に生成された過去の操作特徴を、既存操作特徴として抽出するという形式を採用しても構わない。
【0046】
差分算出手段15は、操作情報抽出部13が新たに生成した新規操作特徴と操作特徴記憶部23から取得した既存操作特徴とを比較し、両者の差分を算出する。そして、算出した差分を状態判定手段16に送信する。
【0047】
状態判定手段16は、差分算出手段15が算出した差分を取得し、その差分の内容に基づき端末Aが盗難状態であるかを判定する。盗難状態の判定方法には様々なものが考えられるが、本実施例では、状態判定手段16の内部に、環境情報毎に予め定められた基準値を設定しておき、差分算出手段15から取得した差分と、対応する環境情報に基づいて予め定められている基準値とを比較することにより、端末Aが盗難状態である危険性を判定するという方法を用いることとする。判定の結果、盗難状態であるの場合は制御部17に通知を送信し、盗難状態ではない場合は、新規操作特徴を操作特徴記憶部23に送信して登録させる。
【0048】
上述の構成では、環境情報毎に予め基準値を設定しておくとしているが、操作特徴記憶部23において、操作特徴が日時情報を利用して時系列的に記憶されているという場合に、記憶されている複数の操作特徴から基準値を決定するという方法を採用しても構わない。具体的には、盗難状態判定部11内に基準値判定手段(図示せず)を設け、操作特徴記憶部23に記憶されている複数の操作特徴を抽出し、その抽出結果を用いて最大値、最小値、平均値などの統計的な値から基準値を決定するという方法が考えられる。
【0049】
制御部17は、盗難状態判定部14の状態判定手段16から取得した判定結果通知に応じて、端末Aに保存された機密情報が漏洩するのを防止するための処理を、機密情報記憶部24又は制御インタフェース10に対して実行する。
【0050】
機密情報記憶部24には、ユーザが入力装置3を操作することによって保存指示がなされた機密情報や、ユーザの操作に基づいて通信装置4がネットワーク上やネットワークに接続されたサーバや他の端末から取得した機密情報が記憶される。制御部17から機密情報に対する制御指示を受信した場合は、その制御指示の内容に従って機密情報に対する情報漏洩防止処理を実行する。
【0051】
上述の構成とすることにより、端末が盗難状態にあるか否かを判定し、盗難による機密情報の漏洩を防止することが可能となる。
【0052】
〔実施例1−処理プロセス〕
次に、本発明の盗難状態判定端末における処理プロセスの一例を、図3の機能ブロック図及び図4のフローチャート等を用いて説明する。
【0053】
環境情報生成部11は、端末Aの環境情報を生成し、環境情報記憶部21に記憶する(S101)。図5に、環境情報記憶部21に記憶される環境情報の一例を示す。図5に示すとおり、本実施例で取得する環境情報は、「ハードウェア情報」・「ログインID」・「ネットワーク接続」・「起動時間帯情報」の4項目に関する情報を取得することとする。本処理プロセスでは、所定の環境情報として「起動時間帯」中の「時間帯」を用いて判定する場合を例に説明することとする。
【0054】
操作情報生成部12は、端末Aの操作情報を生成し、操作情報記憶部21に記憶する(S102)。図6に、操作情報記憶部22に記憶される操作情報の一例を示す。図6に示すとおり、本実施例で取得する操作ログ情報は、「ユーザ識別情報」・「日時情報」・「処理内容」・「アプリケーション名」・「ファイル名」・「保存場所」・「デバイス名」の7項目に関する情報を取得することとする。
【0055】
操作特徴抽出部13は、環境情報記憶部21から所定の環境情報を取得する。本処理プロセスでは、所定の環境情報として「起動時間帯情報」中の「時間帯」を用いて判定することとする。ここでは、環境情報として端末Aの起動時間帯「業務時間外」が取得される。
【0056】
次に、操作特徴抽出部13は、所定の環境情報に応じて操作情報記憶部22から所定時間分の操作情報を検索し、その特徴を抽出する。本処理プロセスでは、「端末起動時間が業務時間外である」を所定の環境情報とし、「端末起動後1時間以内」の操作情報を検索して操作特徴を抽出することとする。ここでは、「2010年10月7日20時」から「2010年10月7日21時」までの操作情報が検索対象となる。さらに、その操作情報の中から特定の条件に従って特徴を抽出する。ここでは、操作情報の中の「処理内容」と「ファイル名」に関する情報を用いて操作特徴を抽出することとする。本実施例では、「ファイル名」に「機密」という文字を含んでいるファイル(以下、「機密ファイル」という。)に対する処理が実行された回数を抽出することとする。図6に示すとおりに操作情報が記憶されていた場合、機密ファイルに対する処理は「7回」と抽出される。
【0057】
そして、操作特徴抽出部13は、取得した環境情報と操作情報から抽出した特徴とを関連付けて操作特徴を生成し、判定部14に送信する(S103)。ここでは、端末Aの起動時間帯「業務時間外」と、機密ファイルへの処理「7回」と、操作特徴を生成した日時情報とを関連付けた情報を、新規操作特徴として生成する。
【0058】
盗難状態判定部14の差分情報算出手段15は、操作情報記憶部23に記憶されている既存操作特徴の中から、環境情報が「端末起動時間帯が業務時間外」のもののうち、日時情報(時間帯情報)が最新の操作特徴を抽出する。図7に操作特徴記憶部23に記憶されている既存操作特徴の一例を示す。図7に示すとおりに操作特徴が記憶されている場合、「2010年10月7日20時」に生成された操作特徴「機密ファイルへの処理2回」が、既存操作特徴として抽出されることとなる。
【0059】
次に、差分情報算出手段15は、操作特徴抽出部13が生成した新規操作特徴と、操作特徴記憶部23から抽出された既存操作特徴との差分を算出する(S104)。本処理プロセスの場合、新規操作特徴が機密ファイルへの処理「7回」であるのに対し、既存操作特徴は機密ファイルへの処理「2回」であるため、その差分は「5」と算出される。
【0060】
盗難状態判定部14の状態判定手段16は、その内部に、操作ログ情報に含まれる処理内容毎に予め定められた基準値を記憶する基準値テーブルを有しており、差分情報算出手段15によって算出された差分が基準値以上か否かを判定する(S105)。基準値以上であった場合、盗難状態であると判定する(S106)。図8に基準値テーブル内に記憶される基準値の一例を示す。この場合、差分情報算出手段15によって算出された差分は「5」で基準値以上と判定されるため、端末Aは盗難状態であると判定され、判定結果が制御部17に送信される。
【0061】
なお、状態判定手段16において盗難状態ではないと判定された場合、状態判定手段16は、操作特徴抽出部13が生成した新規操作特徴を操作特徴記憶部23に送信する。操作特徴記憶部23は、状態判定手段16から取得した新規操作特徴を既存操作特徴として記憶する(S107)。また、この場合において、日時情報と共に操作特徴を追加記憶するという処理を行うと好適である。
【0062】
制御部17は、状態判定手段16から受信した盗難状態であるとする判定結果通知に応じて、機密情報漏洩防止処理を実行する(S108)。
【0063】
上記の情報漏洩防止処理の内容について具体的に説明すると、例えば、機密情報記憶部24に対しては、その内部に記憶されている機密情報の消去指示、機密情報に対するアクセス制限指示や暗号化指示、また、端末Aのハードディスクに記憶されているデータの消去指示や端末Aの操作ロック指示を送信するといった制御処理が考えられる。
【0064】
上記の情報漏洩防止処理の内容について、制御インタフェース10に対しては、表示装置4で表示している内容の消去指示(ディスプレイのブラックアウト指示)や、表示装置4に端末盗難の警告文を表示させる指示を送信するといった制御処理が考えられる。この警告表示の一例を、図9に示す。また、通信装置5を介してネットワーク接続されている管理サーバや管理端末等に対して、端末Aが盗難状態にある旨の警告通知を送信するという制御処理も考えられる。また、制御インタフェース10に対して管理サーバへの接続指示を表示するといった制御処理も考えられる。
【0065】
上記のような構成とすることにより、端末とサーバとが行う必要がなく、通信不可能な状況の下においても情報漏洩を防止するための対応が可能となる。
【0066】
なお、上述の処理プロセスでは環境情報として同一の環境情報(「起動時間帯情報」中の「業務時間外」)を含む新規操作特徴と既存操作特徴とを用いて判定したが、異なる環境情報を用いて判定することもできる。ここでの異なる環境情報とは、環境情報の項目は同じだが状態が異なるもの(例えば「起動時間帯情報」中の「業務時間外」と「業務時間内」など)とする。具体的には、取得した新規操作特徴から環境情報の項目を抽出し、その環境情報の項目と一致する既存操作特徴を取得する。そして、それらの環境情報中の状態が異なる場合は、予め設定されている基準値を補正し新たな基準値を設定する基準値補正手段(図示せず)を設け、新規操作特徴と既存操作特徴との差と新たな基準値とを用いて盗難の危険性を判定する方法である。なお、環境情報中の状態が異なる場合の補正値を予め登録されているものとする。補正値は、環境情報中の状態が異なる場合は基準値をより大きい値に設定すると好適である。
【実施例2】
【0067】
〔実施例2−構成〕
以下、図面を用いて本発明の第二実施例について説明する。実施形態はスタンドアローン形式を用いた場合を例に説明する。図10に、本発明の盗難状態判定端末を構成する端末Aの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。
【0068】
また、図10は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。なお、〔実施例1−構成〕と同一の構成部等には同一の符号を付しており、同じ動作をする場合にはその詳細な説明は省略する。
【0069】
端末Aの処理装置1は、盗難状態判定部14の内部に、差分算出手段15が算出した差分に基づいて、端末Aが盗難状態にある危険性の程度を危険度として判定する危険度判定手段18aを備えているという点において、〔実施例1−構成〕と異なっている。
【0070】
以下、図10に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。なお、〔実施例1−構成〕と同様の構成部又は同様の動作については、その詳細な説明を省略する。
【0071】
盗難状態判定部14の危険度判定手段18aは、差分算出手段15が算出した差分を取得し、その差分の内容に基づき端末Aが盗難状態にあると予測される危険度を判定する。判定の結果、危険度が所定値以上の場合、危険度判定手段18aは、盗難状態にあるとして、制御部17に判定した危険度を送信する。危険度が所定値未満の場合は、盗難状態にはないとして、新規特徴情報を操作特徴記憶部23に送信して記憶させる。
【0072】
上記の危険度判定手段18aにおける、端末Aが盗難状態にあるか否かの判定処理について説明する。危険度判定手段18aは、差分算出手段15から取得した差分が大きければ大きいほど、端末Aが盗難されている危険性が高いとして危険度を判定する。危険度の判定方法には様々なものが考えられるが、本実施例では、危険度判定手段18aの内部に予め定められた基準値を設定しておき、取得した差分と基準値とを比較することにより危険度を判定するという方法を用いることとする。
【0073】
制御部17は、危険度判定手段18aから取得した危険度に応じて、端末Aに保存された機密情報の漏洩防止処理を、機密情報記憶部24又は制御インタフェース10に対して実行する。実行される情報漏洩防止処理は、危険度が高くなるに従って厳しい制御処理が実行されるという形式にすると好適である。
【0074】
上述の構成とすることにより、端末が盗難状態にある危険性考慮して、その危険性の大きさに応じて実行される制御を変化させて実行することが可能となる。これにより、情報漏洩事故を予測して、状況に応じた対応を行うことができる。
【0075】
〔実施例2−処理プロセス〕
次に、本発明の盗難状態判定端末における処理プロセスの一例を、図10の機能ブロック図及び図11のフローチャート等を用いて説明する。なお、図11のフローチャートにおける(S201)から(S204)、及び(S207)の動作については、〔実施例1−処理プロセス〕と同様のため、その詳細を省略する。
【0076】
盗難状態判定部14の危険度判定手段18aは、その内部に予め定められた基準値と危険度とを対応させた危険度テーブルを有しており、差分情報算出手段15によって算出された差分に対応している危険度を、端末Aが盗難状態にある危険性を示す危険度として判定する(S205)。図12に危険度テーブル内に記憶される内容の一例を示す。本処理プロセスの場合、差分は「5」なので、危険度は「1」と判定される。
【0077】
次に、危険度判定手段18aは、判定した危険度が所定値以上であった場合、盗難状態であると判定する(S206)。本処理プロセスでは、危険度が「1」以上であった場合、端末Aは盗難状態であると判断することとする。
【0078】
そして、危険度判定手段18aは、盗難状態であると判断した場合に、判定した危険度を制御部17に送信する。本処理プロセスの場合、危険度は「1」であるため、盗難状態であると判断され、危険度「1」が制御部17に送信されることとなる。
【0079】
制御部17は、その内部に危険度と情報漏洩防止処理内容とを関連付けた処理内容テーブルを有しており、危険度判定手段18aから受信した危険度に応じて、機密情報漏洩防止処理を実行する(S208)。図13に処理内容テーブル内に記憶される内容の一例を示す。本処理プロセスの場合、危険度「1」なので、制御インタフェース10に対して、表示装置4に警告通知を表示させる制御指示が送信される。
【0080】
上述の制御部17による制御処理について、危険度が2以上で判定された場合、判定された危険度未満の情報漏洩防止処理も累積的に実行されるとすると好適である。例えば、判定された危険度が「5」であった場合、制御部17は、制御インタフェース10に対して、表示装置4に警告通知を表示させる制御指示を送信し(危険度1の処理)、入力装置3からの操作制御指示を無効とする操作ロック指示を送信し(危険度2の処理)、表示装置4に表示された警告通知以外の部分をブラックアウトする制御指示を送信し(危険度3の処理)、機密情報記憶部23に記憶されている情報の消去指示を送信し(危険度4の処理)、端末Aの電源を強制的にOFFにする制御指示を送信する(危険度5の処理)という形で、累積的に情報漏洩防止処理を実行するという形式が考えられる。
【実施例3】
【0081】
〔実施例3−構成〕
以下、図面を用いて本発明の第三実施例について説明する。実施形態はスタンドアローン形式を用いた場合を例に説明する。図14に、本発明の盗難状態判定端末を構成する端末Aの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。
【0082】
また、図14は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。なお、〔実施例1−構成〕及び〔実施例2−構成〕と同一の構成部等には同一の符号を付しており、同じ動作をする場合にはその詳細な説明は省略する。
【0083】
端末Aの処理装置1は、機密情報記憶部24に記憶されている機密情報のデータ量を取得するデータ量取得部19と、盗難状態判定部14の危険度判定手段18aで判定した危険度を変更する危険度変更手段18bを備えているという点において、〔実施例1−構成〕及び〔実施例2−構成〕と異なっている。
【0084】
以下、図14に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。なお、〔実施例2−構成〕と同様の構成部又は同様の動作については、その詳細な説明を省略する。
【0085】
データ量取得部19は、機密情報記憶部24の内部に記憶されているデータ量を取得する。本実施例では、データ量として機密情報記憶部24内に記憶されている情報ファイル数を取得する場合について説明する。
【0086】
盗難状態判定部14の危険度判定手段18aは、差分算出手段15が算出した差分を取得し、その差分の内容に基づき端末Aが盗難状態にあると予測される危険度を判定する。判定の結果、危険度が所定値以上の場合、危険度判定手段18aは、盗難状態にあるとして、危険度変更手段18bに判定した危険度を送信する。危険度が所定値未満の場合は、盗難状態にはないとして、新規特徴情報を操作特徴記憶部23に送信して記憶させる。
【0087】
危険度変更手段18bは、危険度判定手段18aから危険度を受信すると、データ取得部19から機密情報のデータ量を取得する。そして、そのデータ量に基づき端末Aの盗難に伴って発生する情報漏洩損害の大きさを考慮して危険度を変更する。危険度の変更方法には様々なものが考えられるが、本実施例では、危険度変更手段18bの内部に予め定められた基準値を設定しておき、取得したデータ量と基準値とを比較することにより危険度を変更するという方法を用いることとする。変更した危険度は、制御部17に送信される。
【0088】
上述の構成とすることにより、端末の盗難危険性だけでなく、盗難によって漏洩する危険性のある機密情報の予測量、及びそれに伴って発生する損害の大きさも考慮した盗難状態を判定し、その判定した盗難状態に応じた適切な制御を実行することが可能となる。
【0089】
〔実施例3−処理プロセス〕
次に、本発明の盗難状態判定端末における処理プロセスの一例を、図14の機能ブロック図及び図15のフローチャート等を用いて説明する。なお、図15のフローチャートにおける(S301)から(S305)、(S307)、及び(S310)から(S311)の動作については、〔実施例1−処理プロセス〕及び〔実施例2−処理プロセス〕と同様のため、その詳細を省略する。
【0090】
盗難状態判定部14の危険度判定手段18aは、その内部に予め定められた基準値と危険度とを対応させた危険度テーブルを有しており、差分情報算出手段15によって算出された差分に対応している危険度を、端末Aが盗難状態にある危険性を示す危険度として判定する(S305)。図12に危険度テーブル内に記憶される内容の一例を示す。本処理プロセスの場合、差分は「5」なので、危険度は「1」と判定される。
【0091】
次に、危険度判定手段18aは、判定した危険度が所定値以上であった場合、盗難状態であると判定する(S306)。本処理プロセスでは、危険度が「1」以上であった場合、端末Aは盗難状態であると判断することとする。
【0092】
そして、危険度判定手段18aは、盗難状態であると判断した場合に、判定した危険度を危険度変更手段18bに送信する。本処理プロセスの場合、危険度は「1」であるため、盗難状態であると判断され、危険度「1」が危険度変更手段18bに送信されることとなる。
【0093】
データ量取得部19は、機密情報記憶部24内に記憶されている情報ファイルのファイル数をデータ量として取得する。本処理プロセスでは、取得したファイル数(データ量)が「20」であった場合を例に説明する。
【0094】
危険度変更手段18bは、その内部に基準値と危険度変更値とを対応させた危険度変更テーブルを有している。危険度判定手段18aから危険度を受信すると、データ量取得部19から機密情報記憶部24内に記憶されているファイル数(データ量)を取得する(S308)。次に、危険度変更手段18bは、取得したデータ量に対応する危険度変更値に従って危険度を変更する(S309)。図16に危険度変更テーブル内に記憶される内容の一例を示す。本処理プロセスの場合、ファイル数は「20」なので、危険度変更値は「+4」となるため、危険度は「5」に変更される。変更した危険度は制御部17に送信される。
【実施例4】
【0095】
〔実施例4−構成〕
以下、図面を用いて本発明の第四実施例について説明する。実施形態はスタンドアローン形式を用いた場合を例に説明する。図17に、本発明の盗難状態判定端末を構成する端末Aの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。
【0096】
また、図17は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。なお、〔実施例1−構成〕、〔実施例2−構成〕及び〔実施例3−構成〕と同一の構成部等には同一の符号を付しており、同じ動作をする場合にはその詳細な説明は省略する。
【0097】
端末Aの処理装置1は、盗難状態判定部14の内部に、差分算出手段15が算出した差分に基づいて、環境情報別に端末の盗難状態を判定する環境別判定手段20aと、環境情報別に判定された複数の判定結果を用いて総合的な盗難状態を判定する総合判定手段20bとを備えているという点において、〔実施例1−構成〕、〔実施例2−構成〕及び〔実施例3−構成〕と異なっている。
【0098】
以下、図17に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。なお、〔実施例1−構成〕、〔実施例2−構成〕及び〔実施例3−構成〕と同様の構成部又は同様の動作については、その詳細な説明を省略する。
【0099】
盗難状態判定部14の差分算出手段15は、操作情報抽出部13が新たに生成した新規操作特徴と操作特徴記憶部23から取得した既存操作特徴とを比較し、両者の差分を算出する。本実施例では、環境情報別に生成された操作特徴を用いて、環境情報毎に差分を算出することとする。そして、算出した差分を環境別判定手段20aに送信する。
【0100】
環境別判定手段20aは、差分算出手段15が算出した差分を取得し、その差分の内容に基づき環境情報別に端末Aの盗難状態を判定する。そして、環境情報別に判定された結果を総合判定手段20bに送信する。
【0101】
総合判定手段20bは、環境別判定手段20aから取得した環境情報別の判定結果を比較し、総合的な端末Aの盗難状態を判定する。判定の結果、盗難状態であるの場合は制御部17に通知を送信し、盗難状態ではない場合は、新規操作特徴を操作特徴記憶部23に送信して登録させる。
【0102】
上述の構成とすることにより、様々な環境情報に基づく判定結果を利用して、総合的な判定することが可能となる。これにより、盗難状態の判定精度を向上させることができる。
【0103】
〔実施例4−処理プロセス〕
次に、本発明の情報漏洩防止端末における処理プロセスの一例を、図17の機能ブロック図及び図18のフローチャート等を用いて説明する。なお、図18のフローチャートにおける(S401)から(S402)、及び(S408)から(S410)の動作については、〔実施例1−処理プロセス〕、〔実施例3−処理プロセス〕及び〔実施例3−処理プロセス〕と同様のため、その詳細を省略する。
【0104】
操作特徴抽出部13は、環境情報記憶部21から所定の環境情報を取得する。本処理プロセスでは、所定の環境情報として「起動時間帯情報」中の「時間帯」と、「ログインID」の「ユーザ識別情報」の二つの環境情報を用いて判定することとする。具体的には、環境情報記憶部21に記憶される情報が図5の通りであった場合、環境情報として端末Aの起動時間帯「業務時間外」と、ログインIDのユーザ識別情報「USER110」とが取得されることとする。
【0105】
次に、操作特徴抽出部13は、操作情報記憶部22から所定時間分の操作情報を検索し、環境情報別にその特徴を抽出する。本処理プロセスでは、所定時間として「端末起動後1時間以内」の操作ログ情報を用いて判定することとする。さらに、ここでは図19に示すとおりの操作ログ情報が操作情報記憶部22に記憶されていることとし、「2010年10月8日18時」から「2010年10月8日19時」までの操作ログ情報が検索対象となる。まず、〔実施例1−処理プロセス〕の手順と同様にして、環境情報として端末Aの起動時間帯「業務時間外」を用いた場合の操作特徴を抽出する。その結果、端末Aの起動時間帯「業務時間外」と機密ファイルへの処理「4回」とを関連付けた情報が、環境別操作特徴の一つとして生成される。
【0106】
さらに、操作特徴抽出部13は、環境情報としてログインIDのユーザ識別情報「USER110」を用いた場合の操作特徴も抽出する。ここでは、操作ログ情報の中の「処理内容」に関する情報を用いて操作特徴を抽出することとする。具体的には、処理内容として「デバイス追加」とが実行された回数を抽出することとする。図19に示すとおりに操作ログ情報が記憶されていた場合、デバイス追加が実行された回数は「3回」と抽出される。その結果、端末AのログインID「USER110」とデバイス追加「3回」とを関連付けた情報が、環境別操作特徴の二つ目として生成される。
【0107】
そして、操作特徴抽出部13は、生成した複数の環境別操作特徴をあわせて新規操作特徴として、盗難状態判定部14に送信する(S403)。
【0108】
盗難状態判定部14の差分情報算出手段15は、操作特徴抽出部13が生成した新規操作特徴と、操作特徴記憶部23内に記憶されている既存操作特徴との差分を算出する(S404)。その際の差分は、環境情報別に算出されることとする。まず、環境情報が端末Aの起動時間帯「業務時間外」の場合は〔実施例1−処理プロセス〕における手順と同様に差分が算出される。ここで、操作特徴記憶部23に記憶されている既存操作特徴が、機密ファイルへの処理「2回」だったとすると、差分は「2」と算出される。次に、環境情報が端末AのログインID「USER023」の場合について説明する、ここでは、操作特徴記憶部23に記憶されている既存操作特徴が、デバイス追加「1回」だったとする。この場合、新規操作特徴と既存操作特徴との差分は「2」と算出される。算出した環境情報別の差分は、環境別判定手段20aに送信される。
【0109】
盗難状態判定部14の環境別判定手段20aは、その内部に予め定められた基準値を記憶する基準値テーブルを有しており、差分情報算出手段15によって算出された差分が基準値以上か否かを判定し、環境情報別に盗難危険性を判定する(S405)。環境情報が端末Aの起動時間帯「業務時間外」の場合は〔実施例1−処理プロセス〕における手順と同様、図8に示す基準値テーブルを用いて判定を行い、盗難状態ではないと判定される。環境情報が端末AのログインID「USER110」の場合は、図20に示す基準値テーブルを用いて判定を行う。この場合において、端末Aを通常使用するユーザがユーザ識別情報「USER023」として登録されていたとすると、ログインID「USER110」は未登録IDということになる。図20に示すとおり未登録IDの基準値で判定すると、盗難状態であると判定される。上記の通り環境情報別に判定された判定結果は、総合判定手段20bに送信される。
【0110】
盗難状態判定部14の総合判定手段20bは、環境情報別に判定された複数の判定結果を比較し、盗難状態であるかどうかの総合的な判定を行う(S406)。総合的な判定方法の実施形態には様々なものが考えられる。例えば、取得した判定結果が全て「盗難状態である」であった場合に、総合判定結果も「盗難危状態である」とする方法や、環境別の判定結果が三つある場合に、二つ以上の判定結果が「盗難状態である」であった場合に、総合判定結果も「盗難状態である」とする過半数を占める判定結果を優先するという多数決的な手法を用いる形態も考えられる。本処理プロセスでは、取得した環境別の判定結果のうち、一つでも「盗難状態である」とする判定結果が出された場合には、総合判定結果も「盗難状態である」とする形態を用いることとする。その場合、環境情報に端末AのログインID「USER110」を用いた場合の判定結果が「盗難状態である」であるため、総合判定結果も「盗難状態である」となる。
【0111】
総合判定手段20bは、上述の通り実施された総合判定の結果が「盗難状態である」だった場合、その結果の通知を制御部17に送信する(S407)。
【実施例5】
【0112】
〔別実施形態〕
また、本発明は、複数の端末Aを用いたクライアントサーバ形式にて本発明を実施しても良い。実施形態は図2に示すように、複数の端末Aが、端末管理サーバB(以下、「管理サーバB」という)及び管理者用クライアント端末(以下、「管理端末C」という)と、通信ネットワーク(以下、「ネットワークN」という)とを介して接続されるという形で構成されている。
【0113】
管理サーバB及び管理端末Cのハードウェア構成も端末Aと同様で、図1に示したとおり、処理装置1、記憶装置2、通信装置5を少なくとも有しており、必要に応じて入力装置4及び表示装置5を有している。この実施形態において、管理サーバBは、ネットワークに接続される各端末Aが盗難状態にあるかどうかを管理し、管理端末Cに対してその管理している情報を送信するという形式にすると好適である。
【0114】
ネットワークNは、企業や学校等の限られた施設内において情報を物理的に送信するケーブルと、LANスイッチやハブ等でなる中継機器を備えたCSMA/CD(Carrier Sense Multiple Access With Collision Detection)方式のLANとして構成されたものであるが、このネットワークNとしてLAN以外に、インターネットの技術を用いたイントラネットで構成されたものや、WAN(Wide Area Network)の技術によって構築されるものでもよい。
【0115】
図21に、本発明の盗難状態判定システムを構成する管理サーバB、端末A及び管理端末Cの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。
【0116】
また、図21は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。さらに、図20は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。なお、〔実施例1−構成〕と同一の構成部等には同一の符号を付している。
【0117】
管理サーバBの処理装置1は、通信装置5を介して、ネットワークNに接続された端末Aが稼動している状況に関する情報を取得する環境情報取得部11b、端末Aに対して行われた操作に関する情報を取得する操作情報取得部12b、環境情報毎に操作情報の特徴を抽出する操作特徴抽出部13、抽出した新規操作特徴を用いて端末Aの盗難状態を判定する盗難状態判定部14、端末A内に記憶されている機密情報の情報漏洩防止処理を実行する制御部17を備えている。
【0118】
管理サーバBの記憶装置2は、環境情報取得部11bで生成した環境情報を記憶する環境情報記憶部21、操作情報取得部12bで取得した操作情報を記憶する操作情報記憶部22、操作特徴抽出部13で抽出した操作特徴を環境情報毎に記憶する操作特徴記憶部23を備えている。
【0119】
さらに、管理サーバBの処理装置1における盗難状態判定部14は、操作特徴抽出部13にて抽出された新規操作特徴と、操作特徴記憶部23に記憶されている既存操作特徴とを比較し、その差分を算出する差分算出手段15と、算出した差分に基づいて端末の盗難状態を判定する状態判定手段16とを有している。
【0120】
端末Aの処理装置1は、端末Aが稼働している状況に関する情報を生成する環境情報生成部11、端末Aに対して行われた操作に関する情報を生成する操作情報生成部12、端末Aに対して各種制御を実行する端末制御部31を備えている。
【0121】
クライアント端末Cの記憶装置2は、ユーザによってクライアント端末C内への保存指示が実行された機密情報を記憶する機密情報記憶部24を備えている。
【0122】
管理端末Cの処理装置1は、管理端末Cに対して各種制御を実行する管理端末制御部41を備えている。
【0123】
次に、本発明の情報漏洩防止システムを構成する各構成部及び各手段の内容について説明する。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。なお、〔実施例1−構成〕と同一の動作をする場合にはその詳細な説明は省略する。
【0124】
端末Aの環境情報生成部11は、制御インタフェース10及び端末A内に記憶されている各種情報から、端末Aの稼働環境に関する情報を環境情報として生成し、生成した環境情報を、通信装置5を介してネットワークNに接続されている管理サーバBに送信する。そして、管理サーバBの環境情報取得部11bは、ネットワークNに接続されている端末Aから送信された環境情報を、管理サーバBの通信装置5を介して取得する。
【0125】
端末Aの操作情報生成部12は、ユーザが端末Aに対して実行した操作に関する情報を制御インタフェース10を介して取得し、操作情報を生成する。そして、生成した操作情報を通信装置5を介してネットワークNに接続されている管理サーバBに送信する。そして、管理サーバBの操作情報取得部11bは、ネットワークNに接続されている端末Aから送信された環境情報を、管理サーバBの通信装置5を介して取得する。
【0126】
端末Aの端末制御部31は、管理サーバBから出力された制御情報を通信装置5を介して取得し、その制御情報の内容に従って端末Aに対する制御を実行する。具体的には、制御情報の内容が機密情報の消去であった場合、端末Aの内部にある機密情報記憶部24に記憶されている機密情報に対して消去を実行する。また、制御情報の内容が、情報漏洩を防止するための所定の表示をするというものであれば、制御インタフェース10を介して表示装置4に対して所定の表示を実行させる。
【0127】
管理端末Cの管理端末制御部41は、管理サーバBから出力された制御情報を、通信装置5を介して取得し、その制御情報の内容に従って管理端末Cに対する制御を実行する。具体的には、制御情報の内容が情報漏洩を防止するための所定の表示をするというものであれば、制御インタフェース10を介して表示装置4に対して所定の表示を実行させる。
【0128】
上述の構成とすることにより、本発明をクライアントサーバ形式によって構成されるシステムとして実施することが可能となる。
【符号の説明】
【0129】
A:端末
B:管理サーバ
C:管理端末
N:ネットワーク
1:処理装置
2:記憶装置
3:入力装置
4:表示装置
5:通信装置
6:演算装置
7:制御装置
10:制御インタフェース
11:環境情報生成部
11b:環境情報取得部
12:操作情報生成部
12b:操作情報取得部
13:操作特徴抽出部
14:盗難状態判定部
15:差分算出手段
16:状態判定手段
17:制御部
18a:危険度判定手段
18b:危険度変更手段
19:データ量取得部
20a:環境別判定手段
20b:総合判定手段
21:環境情報記憶部
22:操作情報記憶部
23:操作特徴記憶部
24:機密情報記憶部
31:端末制御部
41:管理端末制御部
【技術分野】
【0001】
本発明は、コンピュータ端末に記憶した情報の漏洩防止に関し、特にコンピュータ端末自体が盗難されることによって発生する情報漏洩を防止する技術に関する。
【背景技術】
【0002】
企業や学校等において、コンピュータ端末を用いて作業を行うことは一般的である。その際、作成した情報ファイルや参照資料等の各種データを、端末に内蔵されているハードディスク等の記憶装置に保存して管理するという方法がよく用いられる。この方法は、適宜必要な資料を容易に取り出して活用できるという利便性がある反面、保存している情報が外部に漏洩する可能性が高いという問題点もある。具体的には、ノートパソコン等の持ち運びしやすい端末を使用する際に、盗難や置き忘れ等によって端末自体を紛失した場合に発生する情報漏洩の問題である。
【0003】
上記の問題を解決する手段として、端末の盗難等による情報漏洩を防止する分野において、端末の起動時にサーバと通信し、サーバが認証を行って盗難状態ではないと判定した場合、サーバはその端末に対して、事前に暗号化していた保存データの復号回路を送信するという技術がある。この技術において、予めサーバ側に盗難状態にある端末リストを登録しておき、受信した端末の識別情報と盗難端末リストとを比較照合して、その端末が盗難状態にあるか否かの判定を行うという手段が用いられている。これにより、端末内に保存された機密情報が第三者によって漏洩する危険性を低減することができる。(特許文献1参照)
【0004】
また、同様の分野において、端末の起動時にサーバと通信を行い、サーバがその端末のユーザ認証を行って使用不可と判定した場合、端末内保存データの消去指示を出すという技術がある。この技術において、予めサーバ内に端末使用可能なユーザリストを保存しておき、端末起動時に、実際にログインしているユーザ情報とサーバ内の使用可能ユーザリストとを比較することによって、端末が盗難状態か否かの判定を行うという手段が用いられている。これにより、予め端末の状態に関する情報を登録しておかなくても、自動的に端末が盗難状態にあるか否かを判定することができる。(特許文献2参照)
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−293594号公報
【特許文献2】特開2006−163847号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1の技術を用いると、起動された端末が盗難状態にあるか否かを判定することはできる。しかし、管理対象となる端末全ての現在状態をリスト化してサーバに登録する必要がある。このため、リアルタイムに変化する状況に対応するためには、サーバに登録しているリストを随時更新しなければならず、手間が発生してしまう。
【0007】
特許文献2の技術を用いると、予めサーバ内に端末の現在状態リストを登録しておかなくても、端末が盗難状態にあるか否かを判定することができる。しかし、使用可能ユーザとして登録されている者が不正行為を行っている可能性までは判定することができない。
【0008】
本発明は、上記従来技術の問題点を解消することを課題とする。具体的には、端末の盗難等による情報漏洩を防止する分野において、端末が使用されている状況の変化に応じて端末が盗難状態であるかを判定し、判定結果に応じた情報漏洩防止処理を実行することを課題とする。
【課題を解決するための手段】
【0009】
上記の課題を解決するために、本発明の情報漏洩防止端末は、機密情報を含む情報を記憶する記憶装置と、端末が盗難状態であるかを判定する処理装置とを備えており、そのうちの処理装置は、端末の稼働環境に関する情報を生成する環境情報生成部と、ユーザが端末に対して実行した操作情報を生成する操作情報生成部と、生成した環境情報における操作情報の特徴を操作特徴として抽出し、環境情報毎にこの操作特徴を記憶領域に格納する操作特徴抽出部と、操作特徴抽出部において新たに抽出された新規操作特徴と記憶領域に既に記憶されている既存操作特徴とを比較し、端末の盗難危険性を判定する盗難状態判定部と、判定結果に応じて前記機密情報の情報漏洩防止処理を実行する制御部と、を備えることを特徴としている。
【0010】
本発明の構成を採用することにより、端末が動作する様々な稼働環境毎に実行される操作の特徴を把握し、平常時の操作特徴とは異なる異常な操作を検出することができる。これにより、端末が使用される様々な状況に応じて、その端末が盗難状態であるかを判定することが可能となる。
【0011】
本発明の情報漏洩防止端末の処理装置に含まれる盗難状態判定部は、新規操作特徴と既存操作特徴との差分を算出する差分算出手段と、算出した差分に基づき盗難状態にある危険性を示す危険度を判定する危険度判定手段とを有し、制御部は、危険度に応じて情報漏洩防止処理の内容を変化させて実行するという構成としてもよい。
【0012】
本発明の構成を採用することで、端末が盗難状態にある危険性を判定し、状況に応じた情報漏洩防止処理を実行することができる。これにより、ユーザの損害も最小限に抑えることが可能となる。
【0013】
本発明の情報漏洩防止端末の処理装置はさらに、記憶装置に記憶されている機密情報のデータ量を取得するデータ量取得部を備え、盗難状態判定部は、データ量に基づき盗難状態にある危険性を変更する危険度変更手段とを有し、制御部は、危険度に応じて情報漏洩防止処理の内容を変化させて実行するという構成としてもよい。
【0014】
本発明のように構成することにより、端末内に保存されているデータ量の情報も利用して、端末が盗難状態にある危険性を変更することができる。これにより、端末盗難によって漏洩する情報量やそれに伴う被害の大きさを考慮した盗難状態の判定、及び盗難による情報漏洩防止処理を実行することが可能となる。
【0015】
本発明の情報漏洩防止端末の処理装置に含まれる盗難状態判定部は、環境情報別に端末が盗難状態であるかを判定する環境別判定手段と、環境別判定結果を複数用いて総合的に盗難状態であるかを判定する総合判定手段とを有し、制御部は、総合的な判定結果に応じて情報漏洩防止処理を実行するという構成としてもよい。
【0016】
本発明の構成を採用することにより、複数の環境情報における操作特徴を利用して端末が盗難状態であるかを判定することができる。これにより、盗難状態であるかを判定する判定精度を向上させることが可能となる。
【0017】
また、本発明のプログラムを端末に読み込ませて実行することで、上述の特徴を実現させることも可能である。つまり、盗難状態判定端末に用いるプログラムであって、端末の稼働環境に関する情報を生成する環境情報生成機能と、ユーザが端末に対して実行した操作情報を生成するユーザ情報生成機能と、生成した環境情報における操作情報の特徴を操作特徴として抽出し、環境情報毎にその操作特徴を記憶領域に格納する操作特徴抽出機能と、操作特徴抽出部において新たに抽出された新規操作特徴と記憶領域に既に記憶されている既存操作特徴とを比較し、端末の盗難危険性を判定する盗難状態判定機能と、判定結果に応じて機密情報の情報漏洩防止処理を実行する制御機能とを処理装置に実現させるプログラム、として本発明を構成してもよい。
【0018】
この盗難状態判定プログラムも、上述の盗難状態判定端末と同様の作用効果を伴うものである。
【0019】
本発明における機密情報とは、ユーザが端末内に保存した情報ファイルやプログラム及びデータ等のことをいう。具体的には、各種情報が保存されたドキュメントファイルや表計算ファイル、及び特定のアプリケーションで利用可能なデータ等が一例として考えられる。また、機密情報は、端末内に保存された各種情報全てを指すのではなく、予め機密情報として定められたものとしてもよい。具体的には、保存されたドキュメントファイルのうち、予めファイル名に「機密情報」である旨指定されたもののみを限定して秘密情報として取り扱うという形式が一例として考えられる。また、予め定められたキーワードや内容を含むファイルを機密情報として取り扱うという形式も考えられる。具体的には、端末内のファイルを検索してキーワードを含むファイルを抽出する方法や、操作情報に含まれるファイル名にキーワードを含んでいるファイルを抽出する方法などが考えられる。
【0020】
本発明における稼働環境とは、端末稼動時における端末自身及び周囲の状況のことをいう。具体的には、端末自身のハードウェア構成を示すハードウェア情報、端末にログインしているユーザのログインユーザ識別情報、ネットワークの接続有無の情報、端末が接続しているネットワークや機器等に関する接続先情報、端末が使用されている時刻・時間帯を示す時刻情報、ソフトウェアやアプリケーションの起動状態、特定ソフトウェア又はWebサイトへの認証状態や閲覧状態などが一例として考えられる。
【0021】
さらに、上記のユーザ識別情報とは、ユーザ毎に一義的に設定されたログインIDやユーザID等がその一例として考えられる。
【0022】
本発明における操作情報とは、ユーザが端末に対して各種操作を実行した際に生成される情報のことをいう。具体的には、操作が実行された日時を示す日時情報、実行された操作の内容を示す処理内容及び処理対象(ファイル、フォルダ、アプリケーション等)、当該端末を使用しているユーザを一義的に特定するユーザ識別情報を少なくとも含む一連の情報などが一例として考えられる。
【0023】
本発明におけるデータ量とは、端末内に保存されている機密情報の量のことをいう。具体的には、保存されている情報ファイルの数を示すファイル数情報、保存されている情報全体の大きさを示すビット数やバイト数などが一例として考えられる。
【発明の効果】
【0024】
上述のように構成された本発明によれば、ネットワーク通信ができない稼働環境を含め、端末が稼動する様々な環境に応じて端末が盗難状態であるかを判定することができる。これにより、端末の盗難による情報漏洩を防止する処理を素早く実行することが可能となる。
【図面の簡単な説明】
【0025】
【図1】本発明の盗難状態判定端末のハードウェア構成の一例を示す概念図。
【図2】本発明の盗難状態判定端末を用いたシステムの構成例を示す概念図。
【図3】実施例1における端末構成の一例を示す機能ブロック図。
【図4】実施例1における処理プロセスの一例を示すフローチャート。
【図5】環境情報記憶部21に記憶される環境情報の一例を示す図。
【図6】操作情報記憶部22に記憶される操作情報の一例を示す図。
【図7】操作特徴記憶部23に記憶される既存操作特徴の一例を示す図。
【図8】状態判定手段16内部にある基準値テーブルの一例を示す図。
【図9】実施例1の表示装置4で表示される警告表示の一例を示す図。
【図10】実施例2における端末構成の一例を示す機能ブロック図。
【図11】実施例2における処理プロセスの一例を示すフローチャート。
【図12】危険度判定手段18aの内部にある危険度テーブルの一例を示す図。
【図13】制御部17内部にある処理内容テーブルの一例を示す図。
【図14】実施例3における端末構成の一例を示す機能ブロック図。
【図15】実施例3における処理プロセスの一例を示すフローチャート。
【図16】危険度変更手段18bの内部にある危険度変更テーブルの一例を示す図。
【図17】実施例4における端末構成の一例を示す機能ブロック図。
【図18】実施例4における処理プロセスの一例を示すフローチャート。
【図19】実施例4の操作情報記憶部22に記憶される操作情報の一例を示す図。
【図20】環境別判定手段20a内部にある基準値テーブルの一例を示す図。
【図21】実施例5におけるシステム構成の一例を示す機能ブロック図。
【発明を実施するための形態】
【0026】
以下、図面を用いて本発明の実施形態を説明する。本発明は基本的にスタンドアローン形式にて実施される。図1に本発明の盗難状態判定端末(以下、「端末A」という)のハードウェア構成の一例を概念的に示す。
【0027】
端末Aは、プログラムの演算処理を実行する演算装置6と、演算結果に基づいて各装置に対する制御指示を出力する制御装置7とを有するCPU等の処理装置1と、情報を記憶するRAMやハードディスク等の記憶装置2と、キーボード、マウス又はテンキー等の入力装置3と、ディスプレイ(画面)等の表示装置4と、処理装置1の処理結果や記憶装置2に記憶する情報をインターネットやLAN等のネットワークを介して送受信する通信装置5とを少なくとも有している。端末Aが実行する各機能(各手段)は、その処理を実行するプログラムが処理装置1に読み込まれることで実現される。
【実施例1】
【0028】
〔実施例1−構成〕
以下、図面を用いて本発明の第一実施例について説明する。実施形態はスタンドアローン形式を用いた場合を例に説明する。図3に、本発明の盗難状態判定端末を構成する端末Aの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。
【0029】
また、図3は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。
【0030】
端末Aは、入力装置3、表示装置4又は通信装置5と様々な情報を送受信するための制御インタフェース10を有している。
【0031】
端末Aの処理装置1は、端末Aが稼動している状況に関する情報を生成する環境情報生成部11、端末Aに対して行われた操作に関する情報を生成する操作情報生成部12、環境情報毎に操作情報の特徴を抽出する操作特徴抽出部13、抽出した新規操作特徴を用いて端末Aが盗難状態であるかを判定する盗難状態判定部14、端末内に記憶されている機密情報の情報漏洩防止処理を実行する制御部17を備えている。
【0032】
端末Aの記憶装置2は、環境情報生成部11で生成した環境情報を記憶する環境情報記憶部21、操作情報生成部12で取得した操作情報を記憶する操作情報記憶部22、操作特徴抽出部13で抽出した操作特徴を環境情報毎に記憶する操作特徴記憶部23、ユーザによって端末A内への保存指示が実行された機密情報を記憶する機密情報記憶部24を備えている。
【0033】
さらに、端末Aの処理装置1における判定部14は、操作特徴抽出部13にて抽出された新規操作特徴と、操作特徴記憶部23に記憶されている既存操作特徴とを比較し、その差分を算出する差分算出手段15と、算出した差分に基づいて端末が盗難状態であるか判定する状態判定手段16とを有している。
【0034】
以下、図3に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。
【0035】
環境情報生成部11は、制御インタフェース10及び端末A内に記憶されている各種情報から、端末Aの稼働環境に関する情報を環境情報として生成し、生成した環境情報を環境情報記憶部21に送信する。環境情報は、予め定められた所定のタイミング毎に生成するとしてもよいし、稼働環境に変化が発生したタイミングで都度生成するとしてもよい。本実施例では、所定のタイミング毎に環境情報を生成する形式を用いることとする。
【0036】
環境情報記憶部21には、環境情報生成部11が生成した環境情報が記憶される。その際の記憶形式は、端末Aが稼働している現在の環境情報が把握できる形式であればよい。例えば、記憶部に記憶されている既存の環境情報に対して新規に生成した環境情報上書きして記憶するという形式でもよいし、生成した環境情報を時系列的に記憶するという形式でもよい。また、環境情報を記憶する領域は、一時的な記憶領域としてもよい。本実施例では、上書きして記憶する形式を用いることとする。
【0037】
操作情報生成部12は、ユーザが端末に対して実行した操作に関する情報を制御インタフェース10を介して取得し、操作情報を生成する。そして、生成した操作情報を操作情報記憶部22に送信する。生成される操作情報の形式は、ユーザが実行した操作内容が把握できるものであればどのようなものでもよい。なお、操作情報に前述の環境情報を含める形式としても構わない。
【0038】
上記の操作情報について、本実施例では、端末Aの入力装置3を用いてユーザにより実行された制御処理の内容を示す情報が生成されることとする。具体的には、制御処理の内容を示す処理内容、処理を実行したユーザを一義的に特定するユーザ識別情報、及び処理が実行された日時を示す日時情報を含む一連の情報が生成されることとする。
【0039】
さらに、上記の処理内容とは、端末において実行された操作の内容を示す情報であって、ミドルウェアまたはOS等において処理されるアプリケーションやハードウェア等による制御を示す情報のことをいう。より具体的には、キー入力、ポインティングデバイスの操作(ボタン押下、移動など)、外部記憶媒体の着脱、外部機器(プリンタなど)との接続、ファイル操作(作成、削除、コピー、移動、フォルダ名変更等)、アプリケーション操作(起動、終了等)、ドライブの追加・削除・検知、IPアドレス変更、記憶媒体の書き込み、印刷、クリップボードへのコピー等を示す情報がある。なお、これらは一例であって限定されるものではない。
【0040】
操作情報記憶部22には、操作情報生成部12が生成した操作情報が記憶される。その際の記憶形式は、操作情報に含まれる日時情報を利用して時系列的に記憶するという形式にすると好適である。なお、操作情報に環境情報が含まれる場合は、前述の環境情報記憶部21を兼ねることができる。
【0041】
操作特徴抽出部13は、まず、環境情報記憶部21に記憶されている環境情報を取得する。次に、操作情報記憶部22から、所定時間分の操作情報を検索し、その特徴を抽出する。そして、取得した環境情報と、操作情報から抽出した特徴と、特徴を抽出した日時情報とを関連付けて操作特徴を生成し、判定部14に送信する。生成される特徴情報には、特定の操作の実行回数、実行間隔、又は実行時間帯等様々なものが考えられるが、本実施例では、特定の操作の実行回数を操作特徴として抽出することとする。
【0042】
上記の操作特徴抽出部13における操作特徴の抽出は、ユーザが予め定めた時間間隔毎に随時実施するという形式にすると好適である。また、環境情報記憶部21から抽出する環境情報についても、ユーザが予め定めた所定の環境情報のみを抽出するとしてもよいし、各々の環境情報について、所定時間隔毎に抽出するという形式としてもよい。本実施例では、各々の環境情報について、所定時間間隔毎に抽出するという形式を採用することとする。
【0043】
操作特徴記憶部23には、操作特徴抽出部13が過去に生成した操作特徴が既に記憶されている。その際の記憶形式は、操作特徴に含まれる環境情報別に記憶するという形式にすると好適である。また、操作特徴に含まれる日時情報を利用して時系列的に記憶するという形式にすると好適である。
【0044】
盗難状態判定部14は、まず、操作特徴抽出部13が新たに生成した新規操作特徴を取得する。次に、新規操作特徴に含まれる環境情報を用いて操作特徴記憶部23を検索し、同一の環境情報を含んでいる既存操作特徴を特定して抽出する。そして、新規操作特徴と既存操作特徴とを比較し、その差分の内容から端末Aが盗難状態かどうかを判定する。この判定処理を行うために、盗難状態判定部14の内部には、差分算出手段15と状態判定手段16が備えられている。
【0045】
本実施例において、比較対象として抽出される既存操作特徴は、新規操作特徴と同一の環境情報を含んでいるもののうち、操作特徴に含まれる日時情報が最も新しい操作特徴を抽出することとする。つまり、盗難状態判定部14では、同一の環境情報を有する操作特徴のうち、新規に生成された操作特徴と、過去に生成された操作特徴のうちで最新のものとを比較し、その差分の内容から端末Aの盗難危険性を判定するという処理が実行される。また、本実施例とは別の形式として、予め定められた所定期間以上前に生成された過去の操作特徴を、既存操作特徴として抽出するという形式を採用しても構わない。
【0046】
差分算出手段15は、操作情報抽出部13が新たに生成した新規操作特徴と操作特徴記憶部23から取得した既存操作特徴とを比較し、両者の差分を算出する。そして、算出した差分を状態判定手段16に送信する。
【0047】
状態判定手段16は、差分算出手段15が算出した差分を取得し、その差分の内容に基づき端末Aが盗難状態であるかを判定する。盗難状態の判定方法には様々なものが考えられるが、本実施例では、状態判定手段16の内部に、環境情報毎に予め定められた基準値を設定しておき、差分算出手段15から取得した差分と、対応する環境情報に基づいて予め定められている基準値とを比較することにより、端末Aが盗難状態である危険性を判定するという方法を用いることとする。判定の結果、盗難状態であるの場合は制御部17に通知を送信し、盗難状態ではない場合は、新規操作特徴を操作特徴記憶部23に送信して登録させる。
【0048】
上述の構成では、環境情報毎に予め基準値を設定しておくとしているが、操作特徴記憶部23において、操作特徴が日時情報を利用して時系列的に記憶されているという場合に、記憶されている複数の操作特徴から基準値を決定するという方法を採用しても構わない。具体的には、盗難状態判定部11内に基準値判定手段(図示せず)を設け、操作特徴記憶部23に記憶されている複数の操作特徴を抽出し、その抽出結果を用いて最大値、最小値、平均値などの統計的な値から基準値を決定するという方法が考えられる。
【0049】
制御部17は、盗難状態判定部14の状態判定手段16から取得した判定結果通知に応じて、端末Aに保存された機密情報が漏洩するのを防止するための処理を、機密情報記憶部24又は制御インタフェース10に対して実行する。
【0050】
機密情報記憶部24には、ユーザが入力装置3を操作することによって保存指示がなされた機密情報や、ユーザの操作に基づいて通信装置4がネットワーク上やネットワークに接続されたサーバや他の端末から取得した機密情報が記憶される。制御部17から機密情報に対する制御指示を受信した場合は、その制御指示の内容に従って機密情報に対する情報漏洩防止処理を実行する。
【0051】
上述の構成とすることにより、端末が盗難状態にあるか否かを判定し、盗難による機密情報の漏洩を防止することが可能となる。
【0052】
〔実施例1−処理プロセス〕
次に、本発明の盗難状態判定端末における処理プロセスの一例を、図3の機能ブロック図及び図4のフローチャート等を用いて説明する。
【0053】
環境情報生成部11は、端末Aの環境情報を生成し、環境情報記憶部21に記憶する(S101)。図5に、環境情報記憶部21に記憶される環境情報の一例を示す。図5に示すとおり、本実施例で取得する環境情報は、「ハードウェア情報」・「ログインID」・「ネットワーク接続」・「起動時間帯情報」の4項目に関する情報を取得することとする。本処理プロセスでは、所定の環境情報として「起動時間帯」中の「時間帯」を用いて判定する場合を例に説明することとする。
【0054】
操作情報生成部12は、端末Aの操作情報を生成し、操作情報記憶部21に記憶する(S102)。図6に、操作情報記憶部22に記憶される操作情報の一例を示す。図6に示すとおり、本実施例で取得する操作ログ情報は、「ユーザ識別情報」・「日時情報」・「処理内容」・「アプリケーション名」・「ファイル名」・「保存場所」・「デバイス名」の7項目に関する情報を取得することとする。
【0055】
操作特徴抽出部13は、環境情報記憶部21から所定の環境情報を取得する。本処理プロセスでは、所定の環境情報として「起動時間帯情報」中の「時間帯」を用いて判定することとする。ここでは、環境情報として端末Aの起動時間帯「業務時間外」が取得される。
【0056】
次に、操作特徴抽出部13は、所定の環境情報に応じて操作情報記憶部22から所定時間分の操作情報を検索し、その特徴を抽出する。本処理プロセスでは、「端末起動時間が業務時間外である」を所定の環境情報とし、「端末起動後1時間以内」の操作情報を検索して操作特徴を抽出することとする。ここでは、「2010年10月7日20時」から「2010年10月7日21時」までの操作情報が検索対象となる。さらに、その操作情報の中から特定の条件に従って特徴を抽出する。ここでは、操作情報の中の「処理内容」と「ファイル名」に関する情報を用いて操作特徴を抽出することとする。本実施例では、「ファイル名」に「機密」という文字を含んでいるファイル(以下、「機密ファイル」という。)に対する処理が実行された回数を抽出することとする。図6に示すとおりに操作情報が記憶されていた場合、機密ファイルに対する処理は「7回」と抽出される。
【0057】
そして、操作特徴抽出部13は、取得した環境情報と操作情報から抽出した特徴とを関連付けて操作特徴を生成し、判定部14に送信する(S103)。ここでは、端末Aの起動時間帯「業務時間外」と、機密ファイルへの処理「7回」と、操作特徴を生成した日時情報とを関連付けた情報を、新規操作特徴として生成する。
【0058】
盗難状態判定部14の差分情報算出手段15は、操作情報記憶部23に記憶されている既存操作特徴の中から、環境情報が「端末起動時間帯が業務時間外」のもののうち、日時情報(時間帯情報)が最新の操作特徴を抽出する。図7に操作特徴記憶部23に記憶されている既存操作特徴の一例を示す。図7に示すとおりに操作特徴が記憶されている場合、「2010年10月7日20時」に生成された操作特徴「機密ファイルへの処理2回」が、既存操作特徴として抽出されることとなる。
【0059】
次に、差分情報算出手段15は、操作特徴抽出部13が生成した新規操作特徴と、操作特徴記憶部23から抽出された既存操作特徴との差分を算出する(S104)。本処理プロセスの場合、新規操作特徴が機密ファイルへの処理「7回」であるのに対し、既存操作特徴は機密ファイルへの処理「2回」であるため、その差分は「5」と算出される。
【0060】
盗難状態判定部14の状態判定手段16は、その内部に、操作ログ情報に含まれる処理内容毎に予め定められた基準値を記憶する基準値テーブルを有しており、差分情報算出手段15によって算出された差分が基準値以上か否かを判定する(S105)。基準値以上であった場合、盗難状態であると判定する(S106)。図8に基準値テーブル内に記憶される基準値の一例を示す。この場合、差分情報算出手段15によって算出された差分は「5」で基準値以上と判定されるため、端末Aは盗難状態であると判定され、判定結果が制御部17に送信される。
【0061】
なお、状態判定手段16において盗難状態ではないと判定された場合、状態判定手段16は、操作特徴抽出部13が生成した新規操作特徴を操作特徴記憶部23に送信する。操作特徴記憶部23は、状態判定手段16から取得した新規操作特徴を既存操作特徴として記憶する(S107)。また、この場合において、日時情報と共に操作特徴を追加記憶するという処理を行うと好適である。
【0062】
制御部17は、状態判定手段16から受信した盗難状態であるとする判定結果通知に応じて、機密情報漏洩防止処理を実行する(S108)。
【0063】
上記の情報漏洩防止処理の内容について具体的に説明すると、例えば、機密情報記憶部24に対しては、その内部に記憶されている機密情報の消去指示、機密情報に対するアクセス制限指示や暗号化指示、また、端末Aのハードディスクに記憶されているデータの消去指示や端末Aの操作ロック指示を送信するといった制御処理が考えられる。
【0064】
上記の情報漏洩防止処理の内容について、制御インタフェース10に対しては、表示装置4で表示している内容の消去指示(ディスプレイのブラックアウト指示)や、表示装置4に端末盗難の警告文を表示させる指示を送信するといった制御処理が考えられる。この警告表示の一例を、図9に示す。また、通信装置5を介してネットワーク接続されている管理サーバや管理端末等に対して、端末Aが盗難状態にある旨の警告通知を送信するという制御処理も考えられる。また、制御インタフェース10に対して管理サーバへの接続指示を表示するといった制御処理も考えられる。
【0065】
上記のような構成とすることにより、端末とサーバとが行う必要がなく、通信不可能な状況の下においても情報漏洩を防止するための対応が可能となる。
【0066】
なお、上述の処理プロセスでは環境情報として同一の環境情報(「起動時間帯情報」中の「業務時間外」)を含む新規操作特徴と既存操作特徴とを用いて判定したが、異なる環境情報を用いて判定することもできる。ここでの異なる環境情報とは、環境情報の項目は同じだが状態が異なるもの(例えば「起動時間帯情報」中の「業務時間外」と「業務時間内」など)とする。具体的には、取得した新規操作特徴から環境情報の項目を抽出し、その環境情報の項目と一致する既存操作特徴を取得する。そして、それらの環境情報中の状態が異なる場合は、予め設定されている基準値を補正し新たな基準値を設定する基準値補正手段(図示せず)を設け、新規操作特徴と既存操作特徴との差と新たな基準値とを用いて盗難の危険性を判定する方法である。なお、環境情報中の状態が異なる場合の補正値を予め登録されているものとする。補正値は、環境情報中の状態が異なる場合は基準値をより大きい値に設定すると好適である。
【実施例2】
【0067】
〔実施例2−構成〕
以下、図面を用いて本発明の第二実施例について説明する。実施形態はスタンドアローン形式を用いた場合を例に説明する。図10に、本発明の盗難状態判定端末を構成する端末Aの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。
【0068】
また、図10は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。なお、〔実施例1−構成〕と同一の構成部等には同一の符号を付しており、同じ動作をする場合にはその詳細な説明は省略する。
【0069】
端末Aの処理装置1は、盗難状態判定部14の内部に、差分算出手段15が算出した差分に基づいて、端末Aが盗難状態にある危険性の程度を危険度として判定する危険度判定手段18aを備えているという点において、〔実施例1−構成〕と異なっている。
【0070】
以下、図10に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。なお、〔実施例1−構成〕と同様の構成部又は同様の動作については、その詳細な説明を省略する。
【0071】
盗難状態判定部14の危険度判定手段18aは、差分算出手段15が算出した差分を取得し、その差分の内容に基づき端末Aが盗難状態にあると予測される危険度を判定する。判定の結果、危険度が所定値以上の場合、危険度判定手段18aは、盗難状態にあるとして、制御部17に判定した危険度を送信する。危険度が所定値未満の場合は、盗難状態にはないとして、新規特徴情報を操作特徴記憶部23に送信して記憶させる。
【0072】
上記の危険度判定手段18aにおける、端末Aが盗難状態にあるか否かの判定処理について説明する。危険度判定手段18aは、差分算出手段15から取得した差分が大きければ大きいほど、端末Aが盗難されている危険性が高いとして危険度を判定する。危険度の判定方法には様々なものが考えられるが、本実施例では、危険度判定手段18aの内部に予め定められた基準値を設定しておき、取得した差分と基準値とを比較することにより危険度を判定するという方法を用いることとする。
【0073】
制御部17は、危険度判定手段18aから取得した危険度に応じて、端末Aに保存された機密情報の漏洩防止処理を、機密情報記憶部24又は制御インタフェース10に対して実行する。実行される情報漏洩防止処理は、危険度が高くなるに従って厳しい制御処理が実行されるという形式にすると好適である。
【0074】
上述の構成とすることにより、端末が盗難状態にある危険性考慮して、その危険性の大きさに応じて実行される制御を変化させて実行することが可能となる。これにより、情報漏洩事故を予測して、状況に応じた対応を行うことができる。
【0075】
〔実施例2−処理プロセス〕
次に、本発明の盗難状態判定端末における処理プロセスの一例を、図10の機能ブロック図及び図11のフローチャート等を用いて説明する。なお、図11のフローチャートにおける(S201)から(S204)、及び(S207)の動作については、〔実施例1−処理プロセス〕と同様のため、その詳細を省略する。
【0076】
盗難状態判定部14の危険度判定手段18aは、その内部に予め定められた基準値と危険度とを対応させた危険度テーブルを有しており、差分情報算出手段15によって算出された差分に対応している危険度を、端末Aが盗難状態にある危険性を示す危険度として判定する(S205)。図12に危険度テーブル内に記憶される内容の一例を示す。本処理プロセスの場合、差分は「5」なので、危険度は「1」と判定される。
【0077】
次に、危険度判定手段18aは、判定した危険度が所定値以上であった場合、盗難状態であると判定する(S206)。本処理プロセスでは、危険度が「1」以上であった場合、端末Aは盗難状態であると判断することとする。
【0078】
そして、危険度判定手段18aは、盗難状態であると判断した場合に、判定した危険度を制御部17に送信する。本処理プロセスの場合、危険度は「1」であるため、盗難状態であると判断され、危険度「1」が制御部17に送信されることとなる。
【0079】
制御部17は、その内部に危険度と情報漏洩防止処理内容とを関連付けた処理内容テーブルを有しており、危険度判定手段18aから受信した危険度に応じて、機密情報漏洩防止処理を実行する(S208)。図13に処理内容テーブル内に記憶される内容の一例を示す。本処理プロセスの場合、危険度「1」なので、制御インタフェース10に対して、表示装置4に警告通知を表示させる制御指示が送信される。
【0080】
上述の制御部17による制御処理について、危険度が2以上で判定された場合、判定された危険度未満の情報漏洩防止処理も累積的に実行されるとすると好適である。例えば、判定された危険度が「5」であった場合、制御部17は、制御インタフェース10に対して、表示装置4に警告通知を表示させる制御指示を送信し(危険度1の処理)、入力装置3からの操作制御指示を無効とする操作ロック指示を送信し(危険度2の処理)、表示装置4に表示された警告通知以外の部分をブラックアウトする制御指示を送信し(危険度3の処理)、機密情報記憶部23に記憶されている情報の消去指示を送信し(危険度4の処理)、端末Aの電源を強制的にOFFにする制御指示を送信する(危険度5の処理)という形で、累積的に情報漏洩防止処理を実行するという形式が考えられる。
【実施例3】
【0081】
〔実施例3−構成〕
以下、図面を用いて本発明の第三実施例について説明する。実施形態はスタンドアローン形式を用いた場合を例に説明する。図14に、本発明の盗難状態判定端末を構成する端末Aの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。
【0082】
また、図14は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。なお、〔実施例1−構成〕及び〔実施例2−構成〕と同一の構成部等には同一の符号を付しており、同じ動作をする場合にはその詳細な説明は省略する。
【0083】
端末Aの処理装置1は、機密情報記憶部24に記憶されている機密情報のデータ量を取得するデータ量取得部19と、盗難状態判定部14の危険度判定手段18aで判定した危険度を変更する危険度変更手段18bを備えているという点において、〔実施例1−構成〕及び〔実施例2−構成〕と異なっている。
【0084】
以下、図14に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。なお、〔実施例2−構成〕と同様の構成部又は同様の動作については、その詳細な説明を省略する。
【0085】
データ量取得部19は、機密情報記憶部24の内部に記憶されているデータ量を取得する。本実施例では、データ量として機密情報記憶部24内に記憶されている情報ファイル数を取得する場合について説明する。
【0086】
盗難状態判定部14の危険度判定手段18aは、差分算出手段15が算出した差分を取得し、その差分の内容に基づき端末Aが盗難状態にあると予測される危険度を判定する。判定の結果、危険度が所定値以上の場合、危険度判定手段18aは、盗難状態にあるとして、危険度変更手段18bに判定した危険度を送信する。危険度が所定値未満の場合は、盗難状態にはないとして、新規特徴情報を操作特徴記憶部23に送信して記憶させる。
【0087】
危険度変更手段18bは、危険度判定手段18aから危険度を受信すると、データ取得部19から機密情報のデータ量を取得する。そして、そのデータ量に基づき端末Aの盗難に伴って発生する情報漏洩損害の大きさを考慮して危険度を変更する。危険度の変更方法には様々なものが考えられるが、本実施例では、危険度変更手段18bの内部に予め定められた基準値を設定しておき、取得したデータ量と基準値とを比較することにより危険度を変更するという方法を用いることとする。変更した危険度は、制御部17に送信される。
【0088】
上述の構成とすることにより、端末の盗難危険性だけでなく、盗難によって漏洩する危険性のある機密情報の予測量、及びそれに伴って発生する損害の大きさも考慮した盗難状態を判定し、その判定した盗難状態に応じた適切な制御を実行することが可能となる。
【0089】
〔実施例3−処理プロセス〕
次に、本発明の盗難状態判定端末における処理プロセスの一例を、図14の機能ブロック図及び図15のフローチャート等を用いて説明する。なお、図15のフローチャートにおける(S301)から(S305)、(S307)、及び(S310)から(S311)の動作については、〔実施例1−処理プロセス〕及び〔実施例2−処理プロセス〕と同様のため、その詳細を省略する。
【0090】
盗難状態判定部14の危険度判定手段18aは、その内部に予め定められた基準値と危険度とを対応させた危険度テーブルを有しており、差分情報算出手段15によって算出された差分に対応している危険度を、端末Aが盗難状態にある危険性を示す危険度として判定する(S305)。図12に危険度テーブル内に記憶される内容の一例を示す。本処理プロセスの場合、差分は「5」なので、危険度は「1」と判定される。
【0091】
次に、危険度判定手段18aは、判定した危険度が所定値以上であった場合、盗難状態であると判定する(S306)。本処理プロセスでは、危険度が「1」以上であった場合、端末Aは盗難状態であると判断することとする。
【0092】
そして、危険度判定手段18aは、盗難状態であると判断した場合に、判定した危険度を危険度変更手段18bに送信する。本処理プロセスの場合、危険度は「1」であるため、盗難状態であると判断され、危険度「1」が危険度変更手段18bに送信されることとなる。
【0093】
データ量取得部19は、機密情報記憶部24内に記憶されている情報ファイルのファイル数をデータ量として取得する。本処理プロセスでは、取得したファイル数(データ量)が「20」であった場合を例に説明する。
【0094】
危険度変更手段18bは、その内部に基準値と危険度変更値とを対応させた危険度変更テーブルを有している。危険度判定手段18aから危険度を受信すると、データ量取得部19から機密情報記憶部24内に記憶されているファイル数(データ量)を取得する(S308)。次に、危険度変更手段18bは、取得したデータ量に対応する危険度変更値に従って危険度を変更する(S309)。図16に危険度変更テーブル内に記憶される内容の一例を示す。本処理プロセスの場合、ファイル数は「20」なので、危険度変更値は「+4」となるため、危険度は「5」に変更される。変更した危険度は制御部17に送信される。
【実施例4】
【0095】
〔実施例4−構成〕
以下、図面を用いて本発明の第四実施例について説明する。実施形態はスタンドアローン形式を用いた場合を例に説明する。図17に、本発明の盗難状態判定端末を構成する端末Aの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。
【0096】
また、図17は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。なお、〔実施例1−構成〕、〔実施例2−構成〕及び〔実施例3−構成〕と同一の構成部等には同一の符号を付しており、同じ動作をする場合にはその詳細な説明は省略する。
【0097】
端末Aの処理装置1は、盗難状態判定部14の内部に、差分算出手段15が算出した差分に基づいて、環境情報別に端末の盗難状態を判定する環境別判定手段20aと、環境情報別に判定された複数の判定結果を用いて総合的な盗難状態を判定する総合判定手段20bとを備えているという点において、〔実施例1−構成〕、〔実施例2−構成〕及び〔実施例3−構成〕と異なっている。
【0098】
以下、図17に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。なお、〔実施例1−構成〕、〔実施例2−構成〕及び〔実施例3−構成〕と同様の構成部又は同様の動作については、その詳細な説明を省略する。
【0099】
盗難状態判定部14の差分算出手段15は、操作情報抽出部13が新たに生成した新規操作特徴と操作特徴記憶部23から取得した既存操作特徴とを比較し、両者の差分を算出する。本実施例では、環境情報別に生成された操作特徴を用いて、環境情報毎に差分を算出することとする。そして、算出した差分を環境別判定手段20aに送信する。
【0100】
環境別判定手段20aは、差分算出手段15が算出した差分を取得し、その差分の内容に基づき環境情報別に端末Aの盗難状態を判定する。そして、環境情報別に判定された結果を総合判定手段20bに送信する。
【0101】
総合判定手段20bは、環境別判定手段20aから取得した環境情報別の判定結果を比較し、総合的な端末Aの盗難状態を判定する。判定の結果、盗難状態であるの場合は制御部17に通知を送信し、盗難状態ではない場合は、新規操作特徴を操作特徴記憶部23に送信して登録させる。
【0102】
上述の構成とすることにより、様々な環境情報に基づく判定結果を利用して、総合的な判定することが可能となる。これにより、盗難状態の判定精度を向上させることができる。
【0103】
〔実施例4−処理プロセス〕
次に、本発明の情報漏洩防止端末における処理プロセスの一例を、図17の機能ブロック図及び図18のフローチャート等を用いて説明する。なお、図18のフローチャートにおける(S401)から(S402)、及び(S408)から(S410)の動作については、〔実施例1−処理プロセス〕、〔実施例3−処理プロセス〕及び〔実施例3−処理プロセス〕と同様のため、その詳細を省略する。
【0104】
操作特徴抽出部13は、環境情報記憶部21から所定の環境情報を取得する。本処理プロセスでは、所定の環境情報として「起動時間帯情報」中の「時間帯」と、「ログインID」の「ユーザ識別情報」の二つの環境情報を用いて判定することとする。具体的には、環境情報記憶部21に記憶される情報が図5の通りであった場合、環境情報として端末Aの起動時間帯「業務時間外」と、ログインIDのユーザ識別情報「USER110」とが取得されることとする。
【0105】
次に、操作特徴抽出部13は、操作情報記憶部22から所定時間分の操作情報を検索し、環境情報別にその特徴を抽出する。本処理プロセスでは、所定時間として「端末起動後1時間以内」の操作ログ情報を用いて判定することとする。さらに、ここでは図19に示すとおりの操作ログ情報が操作情報記憶部22に記憶されていることとし、「2010年10月8日18時」から「2010年10月8日19時」までの操作ログ情報が検索対象となる。まず、〔実施例1−処理プロセス〕の手順と同様にして、環境情報として端末Aの起動時間帯「業務時間外」を用いた場合の操作特徴を抽出する。その結果、端末Aの起動時間帯「業務時間外」と機密ファイルへの処理「4回」とを関連付けた情報が、環境別操作特徴の一つとして生成される。
【0106】
さらに、操作特徴抽出部13は、環境情報としてログインIDのユーザ識別情報「USER110」を用いた場合の操作特徴も抽出する。ここでは、操作ログ情報の中の「処理内容」に関する情報を用いて操作特徴を抽出することとする。具体的には、処理内容として「デバイス追加」とが実行された回数を抽出することとする。図19に示すとおりに操作ログ情報が記憶されていた場合、デバイス追加が実行された回数は「3回」と抽出される。その結果、端末AのログインID「USER110」とデバイス追加「3回」とを関連付けた情報が、環境別操作特徴の二つ目として生成される。
【0107】
そして、操作特徴抽出部13は、生成した複数の環境別操作特徴をあわせて新規操作特徴として、盗難状態判定部14に送信する(S403)。
【0108】
盗難状態判定部14の差分情報算出手段15は、操作特徴抽出部13が生成した新規操作特徴と、操作特徴記憶部23内に記憶されている既存操作特徴との差分を算出する(S404)。その際の差分は、環境情報別に算出されることとする。まず、環境情報が端末Aの起動時間帯「業務時間外」の場合は〔実施例1−処理プロセス〕における手順と同様に差分が算出される。ここで、操作特徴記憶部23に記憶されている既存操作特徴が、機密ファイルへの処理「2回」だったとすると、差分は「2」と算出される。次に、環境情報が端末AのログインID「USER023」の場合について説明する、ここでは、操作特徴記憶部23に記憶されている既存操作特徴が、デバイス追加「1回」だったとする。この場合、新規操作特徴と既存操作特徴との差分は「2」と算出される。算出した環境情報別の差分は、環境別判定手段20aに送信される。
【0109】
盗難状態判定部14の環境別判定手段20aは、その内部に予め定められた基準値を記憶する基準値テーブルを有しており、差分情報算出手段15によって算出された差分が基準値以上か否かを判定し、環境情報別に盗難危険性を判定する(S405)。環境情報が端末Aの起動時間帯「業務時間外」の場合は〔実施例1−処理プロセス〕における手順と同様、図8に示す基準値テーブルを用いて判定を行い、盗難状態ではないと判定される。環境情報が端末AのログインID「USER110」の場合は、図20に示す基準値テーブルを用いて判定を行う。この場合において、端末Aを通常使用するユーザがユーザ識別情報「USER023」として登録されていたとすると、ログインID「USER110」は未登録IDということになる。図20に示すとおり未登録IDの基準値で判定すると、盗難状態であると判定される。上記の通り環境情報別に判定された判定結果は、総合判定手段20bに送信される。
【0110】
盗難状態判定部14の総合判定手段20bは、環境情報別に判定された複数の判定結果を比較し、盗難状態であるかどうかの総合的な判定を行う(S406)。総合的な判定方法の実施形態には様々なものが考えられる。例えば、取得した判定結果が全て「盗難状態である」であった場合に、総合判定結果も「盗難危状態である」とする方法や、環境別の判定結果が三つある場合に、二つ以上の判定結果が「盗難状態である」であった場合に、総合判定結果も「盗難状態である」とする過半数を占める判定結果を優先するという多数決的な手法を用いる形態も考えられる。本処理プロセスでは、取得した環境別の判定結果のうち、一つでも「盗難状態である」とする判定結果が出された場合には、総合判定結果も「盗難状態である」とする形態を用いることとする。その場合、環境情報に端末AのログインID「USER110」を用いた場合の判定結果が「盗難状態である」であるため、総合判定結果も「盗難状態である」となる。
【0111】
総合判定手段20bは、上述の通り実施された総合判定の結果が「盗難状態である」だった場合、その結果の通知を制御部17に送信する(S407)。
【実施例5】
【0112】
〔別実施形態〕
また、本発明は、複数の端末Aを用いたクライアントサーバ形式にて本発明を実施しても良い。実施形態は図2に示すように、複数の端末Aが、端末管理サーバB(以下、「管理サーバB」という)及び管理者用クライアント端末(以下、「管理端末C」という)と、通信ネットワーク(以下、「ネットワークN」という)とを介して接続されるという形で構成されている。
【0113】
管理サーバB及び管理端末Cのハードウェア構成も端末Aと同様で、図1に示したとおり、処理装置1、記憶装置2、通信装置5を少なくとも有しており、必要に応じて入力装置4及び表示装置5を有している。この実施形態において、管理サーバBは、ネットワークに接続される各端末Aが盗難状態にあるかどうかを管理し、管理端末Cに対してその管理している情報を送信するという形式にすると好適である。
【0114】
ネットワークNは、企業や学校等の限られた施設内において情報を物理的に送信するケーブルと、LANスイッチやハブ等でなる中継機器を備えたCSMA/CD(Carrier Sense Multiple Access With Collision Detection)方式のLANとして構成されたものであるが、このネットワークNとしてLAN以外に、インターネットの技術を用いたイントラネットで構成されたものや、WAN(Wide Area Network)の技術によって構築されるものでもよい。
【0115】
図21に、本発明の盗難状態判定システムを構成する管理サーバB、端末A及び管理端末Cの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。
【0116】
また、図21は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。さらに、図20は、本発明において必要となる最小限度の機器、構成部及び手段等のみを記載しており、その他の機器、構成部及び手段等についてはその記載を省略する。なお、〔実施例1−構成〕と同一の構成部等には同一の符号を付している。
【0117】
管理サーバBの処理装置1は、通信装置5を介して、ネットワークNに接続された端末Aが稼動している状況に関する情報を取得する環境情報取得部11b、端末Aに対して行われた操作に関する情報を取得する操作情報取得部12b、環境情報毎に操作情報の特徴を抽出する操作特徴抽出部13、抽出した新規操作特徴を用いて端末Aの盗難状態を判定する盗難状態判定部14、端末A内に記憶されている機密情報の情報漏洩防止処理を実行する制御部17を備えている。
【0118】
管理サーバBの記憶装置2は、環境情報取得部11bで生成した環境情報を記憶する環境情報記憶部21、操作情報取得部12bで取得した操作情報を記憶する操作情報記憶部22、操作特徴抽出部13で抽出した操作特徴を環境情報毎に記憶する操作特徴記憶部23を備えている。
【0119】
さらに、管理サーバBの処理装置1における盗難状態判定部14は、操作特徴抽出部13にて抽出された新規操作特徴と、操作特徴記憶部23に記憶されている既存操作特徴とを比較し、その差分を算出する差分算出手段15と、算出した差分に基づいて端末の盗難状態を判定する状態判定手段16とを有している。
【0120】
端末Aの処理装置1は、端末Aが稼働している状況に関する情報を生成する環境情報生成部11、端末Aに対して行われた操作に関する情報を生成する操作情報生成部12、端末Aに対して各種制御を実行する端末制御部31を備えている。
【0121】
クライアント端末Cの記憶装置2は、ユーザによってクライアント端末C内への保存指示が実行された機密情報を記憶する機密情報記憶部24を備えている。
【0122】
管理端末Cの処理装置1は、管理端末Cに対して各種制御を実行する管理端末制御部41を備えている。
【0123】
次に、本発明の情報漏洩防止システムを構成する各構成部及び各手段の内容について説明する。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していてもよい。なお、〔実施例1−構成〕と同一の動作をする場合にはその詳細な説明は省略する。
【0124】
端末Aの環境情報生成部11は、制御インタフェース10及び端末A内に記憶されている各種情報から、端末Aの稼働環境に関する情報を環境情報として生成し、生成した環境情報を、通信装置5を介してネットワークNに接続されている管理サーバBに送信する。そして、管理サーバBの環境情報取得部11bは、ネットワークNに接続されている端末Aから送信された環境情報を、管理サーバBの通信装置5を介して取得する。
【0125】
端末Aの操作情報生成部12は、ユーザが端末Aに対して実行した操作に関する情報を制御インタフェース10を介して取得し、操作情報を生成する。そして、生成した操作情報を通信装置5を介してネットワークNに接続されている管理サーバBに送信する。そして、管理サーバBの操作情報取得部11bは、ネットワークNに接続されている端末Aから送信された環境情報を、管理サーバBの通信装置5を介して取得する。
【0126】
端末Aの端末制御部31は、管理サーバBから出力された制御情報を通信装置5を介して取得し、その制御情報の内容に従って端末Aに対する制御を実行する。具体的には、制御情報の内容が機密情報の消去であった場合、端末Aの内部にある機密情報記憶部24に記憶されている機密情報に対して消去を実行する。また、制御情報の内容が、情報漏洩を防止するための所定の表示をするというものであれば、制御インタフェース10を介して表示装置4に対して所定の表示を実行させる。
【0127】
管理端末Cの管理端末制御部41は、管理サーバBから出力された制御情報を、通信装置5を介して取得し、その制御情報の内容に従って管理端末Cに対する制御を実行する。具体的には、制御情報の内容が情報漏洩を防止するための所定の表示をするというものであれば、制御インタフェース10を介して表示装置4に対して所定の表示を実行させる。
【0128】
上述の構成とすることにより、本発明をクライアントサーバ形式によって構成されるシステムとして実施することが可能となる。
【符号の説明】
【0129】
A:端末
B:管理サーバ
C:管理端末
N:ネットワーク
1:処理装置
2:記憶装置
3:入力装置
4:表示装置
5:通信装置
6:演算装置
7:制御装置
10:制御インタフェース
11:環境情報生成部
11b:環境情報取得部
12:操作情報生成部
12b:操作情報取得部
13:操作特徴抽出部
14:盗難状態判定部
15:差分算出手段
16:状態判定手段
17:制御部
18a:危険度判定手段
18b:危険度変更手段
19:データ量取得部
20a:環境別判定手段
20b:総合判定手段
21:環境情報記憶部
22:操作情報記憶部
23:操作特徴記憶部
24:機密情報記憶部
31:端末制御部
41:管理端末制御部
【特許請求の範囲】
【請求項1】
機密情報を含む情報を記憶する記憶装置と、
端末が盗難状態であるかを判定する処理装置と、
を備える盗難状態判定端末であって、
前記処理装置は、
前記端末の稼働環境に関する情報を取得する環境情報生成部と、
ユーザが前記端末に対して実行した操作情報を生成する操作情報生成部と、
前記生成した環境情報における前記操作情報の特徴を操作特徴として抽出し、環境情報毎に当該操作特徴を記憶領域に格納する操作特徴抽出部と、
前記操作特徴抽出部において新たに抽出された新規操作特徴と前記記憶領域に既に記憶されている既存操作特徴とを比較し、前記端末の盗難危険性を判定する盗難状態判定部と、
前記判定結果に応じて前記機密情報の情報漏洩防止処理を実行する制御部と、
を備えることを特徴とする盗難状態判定端末。
【請求項2】
前記処理装置における前記盗難状態判定部は、
前記新規操作特徴と前記既存操作特徴との差分を算出する差分算出手段と、
前記算出した差分に基づき盗難状態にある危険性を示す危険度を判定する危険度判定手段と、を有する
ことを特徴とする請求項1に記載の盗難状態判定端末。
【請求項3】
前記処理装置は、さらに、
前記記憶装置に記憶されている機密情報のデータ量を取得するデータ量取得部を備え、
前記盗難状態判定部は、前記データ量に基づき盗難状態にある危険性を示す危険度を変更する危険度変更手段と、を有する
ことを特徴とする請求項1及び請求項2に記載の盗難状態判定端末。
【請求項4】
前記処理装置における前記盗難状態判定部は、
前記環境情報別に前記端末が盗難状態であるかを判定する環境別判定手段と、
前記環境別判定結果を複数用いて総合的に盗難状態であるかを判定する総合判定手段と、を有する
ことを特徴とする請求項1及び請求項3に記載の盗難状態判定端末。
【請求項5】
機密情報を含む情報を記憶する記憶装置と、
端末が盗難状態であるかを判定する処理装置と、
を備える盗難状態判定端末に用いるプログラムであって、
前記処理装置に、
前記端末の稼働環境に関する情報を生成する環境情報生成機能と、
ユーザが前記端末に対して実行した操作情報を生成する操作情報生成機能と、
前記生成した環境情報における前記操作情報の特徴を操作特徴として抽出し、環境情報毎に当該操作特徴を記憶領域に格納する操作特徴抽出機能と、
前記操作特徴抽出部において新たに抽出された新規操作特徴と前記記憶領域に既に記憶されている既存操作特徴とを比較し、前記端末の盗難危険性を判定する盗難状態判定機能と、
前記判定結果に応じて前記機密情報の情報漏洩防止処理を実行する制御機能と、
を実現させることを特徴とする盗難状態判定単端末。
【請求項1】
機密情報を含む情報を記憶する記憶装置と、
端末が盗難状態であるかを判定する処理装置と、
を備える盗難状態判定端末であって、
前記処理装置は、
前記端末の稼働環境に関する情報を取得する環境情報生成部と、
ユーザが前記端末に対して実行した操作情報を生成する操作情報生成部と、
前記生成した環境情報における前記操作情報の特徴を操作特徴として抽出し、環境情報毎に当該操作特徴を記憶領域に格納する操作特徴抽出部と、
前記操作特徴抽出部において新たに抽出された新規操作特徴と前記記憶領域に既に記憶されている既存操作特徴とを比較し、前記端末の盗難危険性を判定する盗難状態判定部と、
前記判定結果に応じて前記機密情報の情報漏洩防止処理を実行する制御部と、
を備えることを特徴とする盗難状態判定端末。
【請求項2】
前記処理装置における前記盗難状態判定部は、
前記新規操作特徴と前記既存操作特徴との差分を算出する差分算出手段と、
前記算出した差分に基づき盗難状態にある危険性を示す危険度を判定する危険度判定手段と、を有する
ことを特徴とする請求項1に記載の盗難状態判定端末。
【請求項3】
前記処理装置は、さらに、
前記記憶装置に記憶されている機密情報のデータ量を取得するデータ量取得部を備え、
前記盗難状態判定部は、前記データ量に基づき盗難状態にある危険性を示す危険度を変更する危険度変更手段と、を有する
ことを特徴とする請求項1及び請求項2に記載の盗難状態判定端末。
【請求項4】
前記処理装置における前記盗難状態判定部は、
前記環境情報別に前記端末が盗難状態であるかを判定する環境別判定手段と、
前記環境別判定結果を複数用いて総合的に盗難状態であるかを判定する総合判定手段と、を有する
ことを特徴とする請求項1及び請求項3に記載の盗難状態判定端末。
【請求項5】
機密情報を含む情報を記憶する記憶装置と、
端末が盗難状態であるかを判定する処理装置と、
を備える盗難状態判定端末に用いるプログラムであって、
前記処理装置に、
前記端末の稼働環境に関する情報を生成する環境情報生成機能と、
ユーザが前記端末に対して実行した操作情報を生成する操作情報生成機能と、
前記生成した環境情報における前記操作情報の特徴を操作特徴として抽出し、環境情報毎に当該操作特徴を記憶領域に格納する操作特徴抽出機能と、
前記操作特徴抽出部において新たに抽出された新規操作特徴と前記記憶領域に既に記憶されている既存操作特徴とを比較し、前記端末の盗難危険性を判定する盗難状態判定機能と、
前記判定結果に応じて前記機密情報の情報漏洩防止処理を実行する制御機能と、
を実現させることを特徴とする盗難状態判定単端末。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2012−173991(P2012−173991A)
【公開日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願番号】特願2011−35408(P2011−35408)
【出願日】平成23年2月22日(2011.2.22)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
【公開日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願日】平成23年2月22日(2011.2.22)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
[ Back to top ]