説明

管理システム,管理サーバおよび管理プログラム

【課題】通常の使用には影響を与えず、セキュリティ上の重大事故の発生を防止する。
【解決手段】各利用者端末10における環境情報が、各利用者端末10から管理サーバ20に収集され、この管理サーバ20において、収集された各利用者端末10における環境情報とセキュリティに関するポリシ定義とが比較されてポリシ違反の利用者端末10および内容が特定され、ポリシ違反の件数や回数が所定以上の利用者端末10が管理強化対象端末10Aとして特定され、動作制限手段267により管理強化対象端末10Aにおいて所定のデータファイル以外のオープンが禁止される。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、例えば、企業等において構内通信網〔LAN(Local Area Network)〕等のネットワークを介して利用者端末やサーバ等を相互に通信可能に接続して構築された情報処理システムに適用される、セキュリティの管理技術に関する。
【背景技術】
【0002】
一般に、企業内等で構築される情報処理システム(内部システム)においては、各社員によって操作・使用されるPC(Personal Computer)等の利用者端末(情報処理装置;
以下単に「端末」という場合がある)が、LANを介し、他のクライアント端末と相互に通信可能に接続されるとともに、各種ファイルの管理を行なうファイルサーバと通信可能に接続され、このファイルサーバで管理される各種ファイルを利用することができるようになっている。また、内部システムにおける各利用者端末は、LANに接続されたプロキシサーバを介してインターネット等の外部通信網に接続可能になっており、インターネット上の各種サーバによるサービスの提供を受けることができる(例えば下記特許文献1参照)。
【0003】
このような情報処理システムにおいて、近年、セキュリティに対する意識は高くなっており、各企業等では、情報漏洩対策やセキュリティ対策が企業内システム(各端末)に施されている場合が多くなってきており、セキュリティ上の正しい設定や企業ポリシを利用者(社員)に徹底するために、eラーニング(e-learning;インターネットやイントラネットを使った電子教育システム)による社員教育を行なっている(例えば下記特許文献2参照)。
【特許文献1】再公表特許WO2003/038634号公報
【特許文献2】特開2004−77740号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、eラーニングによる社員教育等を行なっても、利用者の意識の問題もあって、全ての利用者端末における状態を各企業のポリシ定義に合致する状態にすることは困難である。ポリシ定義と合致しない状態(ポリシに違反した状態)の利用者端末は、そのポリシ違反の内容にもよるが、例えば個人情報や機密情報の漏洩,外部へのウイルスのばら撒きなどの、セキュリティ上の重大事故を招くおそれがある。
【0005】
このため、システム管理者からは、ポリシに違反し上述のごとき重大事故を引き起こす可能性の高い利用者端末を特定してそのような利用者端末を確実に管理下に置けるようにしたいという、強い要望がある。
【0006】
また、その要望に応えるべく、管理サーバが、情報処理システムに属する全ての利用者端末における操作状況等を、常時、操作ログとして記録しながら監視することも考えられるが、全ての利用者端末の操作ログを常時記録するとなると、その操作ログの量が膨大になって好ましくない。また、そのような膨大の操作ログを解析して重大事故を招くおそれのある操作等を特定するとなると、その解析処理に多大な時間を要し実用的ではない。
【0007】
また、操作ログを記録したとしても、事故発生を事後に解析することは可能になるものの、事前に事故発生を抑止することはできないという問題が残されていた。
さらに、利用者端末をネットワーク接続から外すことも考えられるが、そのような措置を実行した場合、通常の業務使用にも支障をきたすという新たな問題が発生することにな
る。
【0008】
本発明は、このような状況に鑑み創案されたもので、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えない状態のもとで、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定して管理できるようにして、セキュリティ上の重大事故の発生を確実に且つ未然に防止することを目的としている。
【課題を解決するための手段】
【0009】
以上の課題を達成する本発明は以下のように構成されている。
(1)請求項1記載の発明は、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、該環境情報収集手段によって収集された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、該比較手段による過去の比較結果を保存する保存手段と、該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段と、該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段と、該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段と、該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止する動作制限手段と、をそなえて構成されていることを特徴とする管理システムである。なお、ここで、該動作制限手段は、特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止する動作制限エージェントファイルを作成し、利用者端末に送信する手段を構成している。
【0010】
(2)請求項2記載の発明は、複数の利用者端末と、該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、該管理サーバが、該環境情報収集手段によって収集された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、該比較手段による過去の比較結果を保存する保存手段と、該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段と、該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段と、該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段と、該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止し、所定のプログラム以外の実行を禁止すると共に、実行が禁止されているプログラムを削除する動作制限手段と、をそなえて構成されていることを特徴とする管理システムである。なお、ここで、該動作制限手段は、特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止し、所定のプログラム以外の実行を禁止すると共に、実行が禁止されているプログラムを削除する動作制限エージェントファイルを作成し、利用者端末に送信する手段を構成している。
【0011】
(3)請求項3記載の発明は、前記特定手段によって特定された該管理強化対象端末を、該管理サーバとの接続状態を維持しながら、該複数の利用者端末の属するシステムから遮断する遮断手段と、該遮断手段によって遮断された状態で、該管理強化対象端末に、ポ
リシ違反についての電子教育を実行させる電子教育制御手段と、をさらにそなえて構成されていることを特徴とする請求項1または請求項2に記載の管理システムである。
【0012】
(4)請求項4記載の発明は、該電子教育制御手段によって該管理強化対象端末における電子教育が実行された後に該環境情報収集手段および該比較手段を動作させて該管理強化対象端末におけるポリシ違反が解消されているか否かを確認する確認手段と、該確認手段によって該管理強化対象端末におけるポリシ違反の解消が確認された場合に該管理強化対象端末を管理強化対象から除外する除外手段と、をさらに備え、前記監視手段は、所定時間経過しても該確認手段によって該管理強化対象端末におけるポリシ違反の解消が確認されない場合、もしくは、ポリシ違反の解消に伴い該除外手段によって管理強化対象から除外された利用者端末が該比較手段によって管理強化対象端末として再度特定された場合、当該管理強化対象者端末における操作状況を監視する、ことを特徴とする請求項3に記載の管理システムである。
【0013】
(5)請求項5記載の発明は、前記特定手段は、該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が1〜所定件数の利用者端末、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末を第1管理強化対象端末として特定する一方で、ポリシ違反の件数が前記所定件数を超えた利用者端末、もしくは、ポリシ違反の回数が前記所定回数を超えた利用者端末を第2管理強化対象端末として特定し、該特定手段によって特定された該第1管理強化対象端末に、ポリシ違反についての電子教育を実行させる電子教育制御手段と、該特定手段によって特定された該第2管理強化対象端末を該複数の利用者端末の属するシステムから遮断する遮断手段と、をそなえて構成されている、ことを特徴とする請求項3に記載の管理システムである。
【0014】
(6)請求項6記載の発明は、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段と、各利用者端末から送信された前記環境情報を受信する環境情報受信手段と、該環境情報受信手段によって受信された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、該比較手段による過去の比較結果を保存する保存手段と、該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段と、該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段と、該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段と、該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止する動作制限手段と、をそなえて構成されていることを特徴とする管理サーバである。
【0015】
(7)請求項7記載の発明は、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段と、各利用者端末から送信された前記環境情報を受信する環境情報受信手段と、該環境情報受信手段によって受信された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、該比較手段による過去の比較結果
を保存する保存手段と、該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段と、該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段と、該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段と、該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止し、所定のプログラム以外の実行を禁止すると共に、実行が禁止されているプログラムを削除する動作制限手段と、をそなえて構成されていることを特徴とする管理サーバである。なお、ここで、該動作制限手段は、特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止し、所定のプログラム以外の実行を禁止すると共に、実行が禁止されているプログラムを削除する動作制限エージェントファイルを作成し、利用者端末に送信する手段を構成している。
【0016】
(8)請求項8記載の発明は、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、各利用者端末から送信された前記環境情報を受信する環境情報受信手段、該環境情報受信手段によって受信された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段、該比較手段による過去の比較結果を保存する保存手段、該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段、該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段、該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段、および、該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止する動作制限手段、として、該コンピュータを機能させることを特徴とする管理プログラムである。
【0017】
(9)請求項9記載の発明は、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、各利用者端末から送信された前記環境情報を受信する環境情報受信手段、該環境情報受信手段によって受信された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段、該比較手段による過去の比較結果を保存する保存手段、該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段、該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段、該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段、および、該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止し、所定のプログラム以外の実行を禁止すると共に、実行が禁止されているプログラムを削除する動作制限手段、、として、該コンピュータを機能させることを特徴とする管理プログラムである。
【0018】
(10)請求項10記載の発明は、複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、各利用者端末から送信された前記環境情報を受信する環境情報受信手段、該環境情報受信手段によって受信された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段、該比較手段による過去の比較結果を保存する保存手段、該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段、および、該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止する動作制限手段、として、該コンピュータを機能させることを特徴とする管理プログラムである。
【発明の効果】
【0019】
本発明によれば、以下のような効果を得ることができる。
(1)請求項1記載の管理システムの発明によれば、複数の利用者端末のそれぞれにおける環境情報が、各利用者端末から管理サーバに収集され、この管理サーバにおいて、収集された各利用者端末における環境情報とセキュリティに関するポリシ定義とが比較されてポリシ違反の利用者端末および内容が特定され、最新および過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が管理強化対象端末として特定され、特定された管理強化対象端末における操作状況が監視されて操作ログとして記録される。そして、特定された該管理強化対象端末において、所定のデータファイル以外のオープンが管理サーバにより禁止される。
【0020】
これにより、全ての利用者端末を対象とするのではなく、管理強化対象端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なう必要がなくなり、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。さらに、管理強化対象端末においては、所定のデータファイル以外のオープンが禁じられるため、セキュリティ上の重大事故を未然に防止することができる。なお、ネットワーク接続や通常のプログラムの実行は禁止されないため、通常の使用には影響を与えず、セキュリティ上の重大事故を未然に防止することができる。
【0021】
つまり、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(管理強化対象端末)として特定され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0022】
(2)請求項2記載の管理システムの発明によれば、複数の利用者端末のそれぞれにおける環境情報が、各利用者端末から管理サーバに収集され、この管理サーバにおいて、収集された各利用者端末における環境情報とセキュリティに関するポリシ定義とが比較されてポリシ違反の利用者端末および内容が特定され、最新および過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が管理強化対象端末として特定され、特定された管理強化対象端末における操作状況が監視されて操作ログとして記録される。そして、特定された該管理強化対象
端末において、所定のデータファイル以外のオープンが禁止され、所定のプログラム以外の実行が管理サーバにより禁止され、さらに、実行が禁止されているプログラムは削除される。
【0023】
これにより、全ての利用者端末を対象とするのではなく、管理強化対象端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なう必要がなくなり、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。さらに、管理強化対象端末においては、所定のデータファイル以外のオープンが禁止され、所定のプログラム以外の実行が禁じられるため、セキュリティ上の重大事故を未然に防止することができる。
【0024】
これに加え、管理強化対象端末においては、所定のプログラム以外のプログラムが削除されるため、セキュリティ上の重大事故を確実かつ未然に防止することができる。
なお、ネットワーク接続や通常のプログラムの実行や所持は禁止されないため、通常の使用には影響を与えず、セキュリティ上の重大事故を未然に防止することができる。
【0025】
つまり、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(管理強化対象端末)として特定され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0026】
(3)請求項3記載の管理システムの発明によれば、管理強化対象端末の特定後、当該端末におけるポリシ違反の解消が確認されるまでの間、当該端末を、管理サーバとの接続状態を維持しながら、複数の利用者端末の属するシステムから遮断するとともに、ポリシ違反についての電子教育を実行させることで、当該端末を管理サーバの管理下に置きながら、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0027】
また、ポリシ違反についての電子教育を管理強化対象端末に実行させることにより、ポリシ違反を行なっている管理強化対象端末の利用者に、ポリシ違反についての電子教育を確実に実行させることができる。
【0028】
(4)請求項4記載の管理システムの発明では、管理強化対象端末における電子教育が実行された後に、該管理強化対象端末におけるポリシ違反が解消されているか否かを確認し、ポリシ違反の解消が確認された場合に該管理強化対象端末を管理強化対象から除外し、所定時間経過してもポリシ違反の解消が確認されない場合、もしくは、管理強化対象から除外された利用者端末が管理強化対象端末として再度特定された場合、当該管理強化対象者端末における操作状況を監視する。
【0029】
電子教育に応じてポリシ違反が解消されている場合に管理強化対象端末を管理強化対象から除外することにより、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(管理強化対象端末)は、電子教育に応じてポリシ違反が解消されるまで確実にシステム管理者等の管理下に置かれてその操作状況を記録できるので、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0030】
また、管理強化対象端末の特定後、当該端末におけるポリシ違反の解消が確認されるまでの間、当該端末による、複数の利用者端末の属するシステムにおけるサーバ/データベースに対するログイン/アクセスを禁止することにより、管理強化対象端末の利用者に、
電子教育/ポリシ違反解消をより徹底して実行させることが可能になるだけでなく、重大事故を引き起こす可能性の高い端末の利用者にポリシ違反を解消させるまで、その端末はサーバやデータベースにログイン/アクセスすることができないので、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0031】
また、全ての利用者端末を対象とするのではなく、所定時間経過してもポリシ違反の解消が確認されない管理強化対象端末や、管理強化対象端末として再度特定された利用者端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。つまり、所定時間経過してもポリシ違反の解消が確認されない管理強化対象端末や、管理強化対象端末として再度特定された利用者端末が、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末として認識され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0032】
(5)請求項5記載の管理システムの発明では、ポリシ違反の件数が1〜所定件数の利用者端末、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末を第1管理強化対象端末として特定し、ポリシ違反についての電子教育を実行させる一方で、ポリシ違反の件数が前記所定件数を超えた利用者端末、もしくは、ポリシ違反の回数が前記所定回数を超えた利用者端末を第2管理強化対象端末として特定し、該利用者端末をシステムから遮断している。
【0033】
ここでは、全ての利用者端末を対象とするのではなく、第1管理強化対象端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。つまり、ポリシ違反の件数が1〜所定件数の利用者端末、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末がセキュリティ上の重大事故を引き起こす可能性の高い利用者端末(第1管理強化対象端末)として特定され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。さらに、第1管理強化対象端末に、ポリシ違反についての電子教育を確実に実行させることができ、ポリシ遵守について利用者に確実に認識させることができる。
【0034】
一方、第1管理強化対象端末よりもポリシ違反件数/回数が多く、セキュリティ上の重大事故を引き起こす可能性のより高い第2管理強化対象端末については、複数の利用者端末の属するシステムから遮断することで、システムの安全を確実に維持することができる。このように遮断された第2管理強化対象端末については、管理者等が直接その端末(あるいはその利用者)を監査等してセキュリティ上の安全性が得られたことを確認し特別な許可が得られた場合にのみ、第2管理強化対象から除外され(もしくは第1管理強化対象端末に切り替えられ)、システムへの接続を可能にすることが望ましい。
【0035】
(6)請求項6記載の管理サーバの発明によれば、複数の利用者端末のそれぞれにおける環境情報が、各利用者端末から管理サーバに収集され、この管理サーバにおいて、収集された各利用者端末における環境情報とセキュリティに関するポリシ定義とが比較されてポリシ違反の利用者端末および内容が特定され、最新および過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返してい
る利用者端末が管理強化対象端末として特定され、特定された管理強化対象端末における操作状況が監視されて操作ログとして記録される。そして、特定された該管理強化対象端末において、所定のデータファイル以外のオープンが管理サーバにより禁止される。
【0036】
これにより、全ての利用者端末を対象とするのではなく、管理強化対象端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なう必要がなくなり、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。さらに、管理強化対象端末においては、所定のデータファイル以外のオープンが禁じられるため、セキュリティ上の重大事故を未然に防止することができる。なお、ネットワーク接続や通常のプログラムの実行は禁止されないため、通常の使用には影響を与えず、セキュリティ上の重大事故を未然に防止することができる。
【0037】
つまり、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(管理強化対象端末)として特定され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0038】
(7)請求項7記載の管理サーバの発明によれば、複数の利用者端末のそれぞれにおける環境情報が、各利用者端末から管理サーバに収集され、この管理サーバにおいて、収集された各利用者端末における環境情報とセキュリティに関するポリシ定義とが比較されてポリシ違反の利用者端末および内容が特定され、最新および過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が管理強化対象端末として特定され、特定された管理強化対象端末における操作状況が監視されて操作ログとして記録される。そして、特定された該管理強化対象端末において、所定のデータファイル以外のオープンが禁止され、所定のプログラム以外の実行が管理サーバにより禁止され、さらに、実行が禁止されているプログラムは削除される。
【0039】
これにより、全ての利用者端末を対象とするのではなく、管理強化対象端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なう必要がなくなり、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。さらに、管理強化対象端末においては、所定のデータファイル以外のオープンが禁止され、所定のプログラム以外の実行が禁じられるため、セキュリティ上の重大事故を未然に防止することができる。
【0040】
これに加え、管理強化対象端末においては、所定のプログラム以外のプログラムが削除されるため、セキュリティ上の重大事故を確実かつ未然に防止することができる。
なお、ネットワーク接続や通常のプログラムの実行や所持は禁止されないため、通常の使用には影響を与えず、セキュリティ上の重大事故を未然に防止することができる。
【0041】
つまり、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(管理強化対象端末)として特定され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0042】
なお、上記(6)または(7)において、管理強化対象端末の特定後、当該端末におけ
るポリシ違反の解消が確認されるまでの間、当該端末を、管理サーバとの接続状態を維持しながら、複数の利用者端末の属するシステムから遮断するとともに、ポリシ違反についての電子教育を実行させることで、当該端末を管理サーバの管理下に置きながら、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。また、ポリシ違反についての電子教育を管理強化対象端末に実行させることにより、ポリシ違反を行なっている管理強化対象端末の利用者に、ポリシ違反についての電子教育を確実に実行させることができる。
【0043】
なお、上記(6)または(7)において、管理強化対象端末における電子教育が実行された後に、該管理強化対象端末におけるポリシ違反が解消されているか否かを確認し、ポリシ違反の解消が確認された場合に該管理強化対象端末を管理強化対象から除外し、所定時間経過してもポリシ違反の解消が確認されない場合、もしくは、管理強化対象から除外された利用者端末が管理強化対象端末として再度特定された場合、当該管理強化対象者端末における操作状況を監視することが望ましい。電子教育に応じてポリシ違反が解消されている場合に管理強化対象端末を管理強化対象から除外することにより、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(管理強化対象端末)は、電子教育に応じてポリシ違反が解消されるまで確実にシステム管理者等の管理下に置かれてその操作状況を記録できるので、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。また、管理強化対象端末の特定後、当該端末におけるポリシ違反の解消が確認されるまでの間、当該端末による、複数の利用者端末の属するシステムにおけるサーバ/データベースに対するログイン/アクセスを禁止することにより、管理強化対象端末の利用者に、電子教育/ポリシ違反解消をより徹底して実行させることが可能になるだけでなく、重大事故を引き起こす可能性の高い端末の利用者にポリシ違反を解消させるまで、その端末はサーバやデータベースにログイン/アクセスすることができないので、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。また、全ての利用者端末を対象とするのではなく、所定時間経過してもポリシ違反の解消が確認されない管理強化対象端末や、管理強化対象端末として再度特定された利用者端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。つまり、所定時間経過してもポリシ違反の解消が確認されない管理強化対象端末や、管理強化対象端末として再度特定された利用者端末が、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末として認識され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0044】
なお、上記(6)または(7)において、ポリシ違反の件数が1〜所定件数の利用者端末、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末を第1管理強化対象端末として特定し、ポリシ違反についての電子教育を実行させる一方で、ポリシ違反の件数が前記所定件数を超えた利用者端末、もしくは、ポリシ違反の回数が前記所定回数を超えた利用者端末を第2管理強化対象端末として特定し、該利用者端末をシステムから遮断することが望ましい。
【0045】
ここでは、全ての利用者端末を対象とするのではなく、第1管理強化対象端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。つまり、ポリシ違反の件数が1〜所定件数の利用者端末、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末がセキュリティ上
の重大事故を引き起こす可能性の高い利用者端末(第1管理強化対象端末)として特定され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。さらに、第1管理強化対象端末に、ポリシ違反についての電子教育を確実に実行させることができ、ポリシ遵守について利用者に確実に認識させることができる。
【0046】
一方、第1管理強化対象端末よりもポリシ違反件数/回数が多く、セキュリティ上の重大事故を引き起こす可能性のより高い第2管理強化対象端末については、複数の利用者端末の属するシステムから遮断することで、システムの安全を確実に維持することができる。このように遮断された第2管理強化対象端末については、管理者等が直接その端末(あるいはその利用者)を監査等してセキュリティ上の安全性が得られたことを確認し特別な許可が得られた場合にのみ、第2管理強化対象から除外され(もしくは第1管理強化対象端末に切り替えられ)、システムへの接続を可能にすることが望ましい。
【0047】
(8)請求項8記載の管理プログラムの発明によれば、複数の利用者端末のそれぞれにおける環境情報が、各利用者端末から管理サーバに収集され、この管理サーバにおいて、収集された各利用者端末における環境情報とセキュリティに関するポリシ定義とが比較されてポリシ違反の利用者端末および内容が特定され、最新および過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が管理強化対象端末として特定され、特定された管理強化対象端末における操作状況が監視されて操作ログとして記録される。そして、特定された該管理強化対象端末において、所定のデータファイル以外のオープンが管理サーバにより禁止される。
【0048】
これにより、全ての利用者端末を対象とするのではなく、管理強化対象端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なう必要がなくなり、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。さらに、管理強化対象端末においては、所定のデータファイル以外のオープンが禁じられるため、セキュリティ上の重大事故を未然に防止することができる。なお、ネットワーク接続や通常のプログラムの実行は禁止されないため、通常の使用には影響を与えず、セキュリティ上の重大事故を未然に防止することができる。
【0049】
つまり、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(管理強化対象端末)として特定され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0050】
(9)請求項9記載の管理プログラムの発明によれば、複数の利用者端末のそれぞれにおける環境情報が、各利用者端末から管理サーバに収集され、この管理サーバにおいて、収集された各利用者端末における環境情報とセキュリティに関するポリシ定義とが比較されてポリシ違反の利用者端末および内容が特定され、最新および過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が管理強化対象端末として特定され、特定された管理強化対象端末における操作状況が監視されて操作ログとして記録される。そして、特定された該管理強化対象端末において、所定のデータファイル以外のオープンが禁止され、所定のプログラム以外の実行が管理サーバにより禁止され、さらに、実行が禁止されているプログラムは削除される。
【0051】
これにより、全ての利用者端末を対象とするのではなく、管理強化対象端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なう必要がなくなり、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。さらに、管理強化対象端末においては、所定のデータファイル以外のオープンが禁止され、所定のプログラム以外の実行が禁じられるため、セキュリティ上の重大事故を未然に防止することができる。
【0052】
これに加え、管理強化対象端末においては、所定のプログラム以外のプログラムが削除されるため、セキュリティ上の重大事故を確実かつ未然に防止することができる。
なお、ネットワーク接続や通常のプログラムの実行や所持は禁止されないため、通常の使用には影響を与えず、セキュリティ上の重大事故を未然に防止することができる。
【0053】
つまり、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(管理強化対象端末)として特定され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0054】
(10)請求項10記載の管理プログラムの発明によれば、複数の利用者端末のそれぞれにおける環境情報が、各利用者端末から管理サーバに収集され、この管理サーバにおいて、収集された各利用者端末における環境情報とセキュリティに関するポリシ定義とが比較されてポリシ違反の利用者端末および内容が特定され、最新および過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末やポリシ違反を所定回数以上繰り返している利用者端末が管理強化対象端末として特定され、特定された該管理強化対象端末において、所定のデータファイル以外のオープンが管理サーバにより禁止される。
【0055】
これにより、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。さらに、管理強化対象端末においては、所定のデータファイル以外のオープンが禁じられるため、セキュリティ上の重大事故を未然に防止することができる。なお、ネットワーク接続や通常のプログラムの実行は禁止されないため、通常の使用には影響を与えず、セキュリティ上の重大事故を未然に防止することができる。
【0056】
なお、上記(8)または(9)または(10)において、管理強化対象端末の特定後、当該端末におけるポリシ違反の解消が確認されるまでの間、当該端末を、管理サーバとの接続状態を維持しながら、複数の利用者端末の属するシステムから遮断するとともに、ポリシ違反についての電子教育を実行させることで、当該端末を管理サーバの管理下に置きながら、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。また、ポリシ違反についての電子教育を管理強化対象端末に実行させることにより、ポリシ違反を行なっている管理強化対象端末の利用者に、ポリシ違反についての電子教育を確実に実行させることができる。
【0057】
なお、上記(8)または(9)または(10)において、管理強化対象端末における電子教育が実行された後に、該管理強化対象端末におけるポリシ違反が解消されているか否かを確認し、ポリシ違反の解消が確認された場合に該管理強化対象端末を管理強化対象から除外し、所定時間経過してもポリシ違反の解消が確認されない場合、もしくは、管理強化対象から除外された利用者端末が管理強化対象端末として再度特定された場合、当該管理強化対象者端末における操作状況を監視することが望ましい。電子教育に応じてポリシ違反が解消されている場合に管理強化対象端末を管理強化対象から除外することにより、
セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(管理強化対象端末)は、電子教育に応じてポリシ違反が解消されるまで確実にシステム管理者等の管理下に置かれてその操作状況を記録できるので、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。また、管理強化対象端末の特定後、当該端末におけるポリシ違反の解消が確認されるまでの間、当該端末による、複数の利用者端末の属するシステムにおけるサーバ/データベースに対するログイン/アクセスを禁止することにより、管理強化対象端末の利用者に、電子教育/ポリシ違反解消をより徹底して実行させることが可能になるだけでなく、重大事故を引き起こす可能性の高い端末の利用者にポリシ違反を解消させるまで、その端末はサーバやデータベースにログイン/アクセスすることができないので、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。また、全ての利用者端末を対象とするのではなく、所定時間経過してもポリシ違反の解消が確認されない管理強化対象端末や、管理強化対象端末として再度特定された利用者端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。つまり、所定時間経過してもポリシ違反の解消が確認されない管理強化対象端末や、管理強化対象端末として再度特定された利用者端末が、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末として認識され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0058】
なお、上記(8)または(9)または(10)において、ポリシ違反の件数が1〜所定件数の利用者端末、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末を第1管理強化対象端末として特定し、ポリシ違反についての電子教育を実行させる一方で、ポリシ違反の件数が前記所定件数を超えた利用者端末、もしくは、ポリシ違反の回数が前記所定回数を超えた利用者端末を第2管理強化対象端末として特定し、該利用者端末をシステムから遮断することが望ましい。
【0059】
ここでは、全ての利用者端末を対象とするのではなく、第1管理強化対象端末を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。つまり、ポリシ違反の件数が1〜所定件数の利用者端末、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末がセキュリティ上の重大事故を引き起こす可能性の高い利用者端末(第1管理強化対象端末)として特定され、そのような利用者端末を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。さらに、第1管理強化対象端末に、ポリシ違反についての電子教育を確実に実行させることができ、ポリシ遵守について利用者に確実に認識させることができる。
【0060】
一方、第1管理強化対象端末よりもポリシ違反件数/回数が多く、セキュリティ上の重大事故を引き起こす可能性のより高い第2管理強化対象端末については、複数の利用者端末の属するシステムから遮断することで、システムの安全を確実に維持することができる。このように遮断された第2管理強化対象端末については、管理者等が直接その端末(あるいはその利用者)を監査等してセキュリティ上の安全性が得られたことを確認し特別な許可が得られた場合にのみ、第2管理強化対象から除外され(もしくは第1管理強化対象端末に切り替えられ)、システムへの接続を可能にすることが望ましい。
【0061】
なお、上記(1)〜(10」)で上述した管理システム、管理サーバ、管理プログラムにおいて電子教育を管理強化対象端末に実行させる際、ポリシ違反についての電子教育エージェントファイルを管理サーバから管理強化対象端末に送信し、その端末において電子教育エージェントファイルを実行させることでポリシ違反についての電子教育を当該端末の利用者に対して実行させることが可能である。従って、管理サーバは、ポリシ違反についての電子教育エージェントファイルを管理強化対象端末に対して送信するだけで、ポリシ違反についての電子教育を極めて容易に且つ的確に実行することができる。
【0062】
また、上述した各管理システム、管理サーバ、管理プログラムにおいて電子教育を管理強化対象端末に実行させる際、管理強化対象端末に対する電子教育が始めてである場合には管理強化対象端末におけるポリシ違反の内容に応じた電子教育を管理強化対象端末に実行させる一方、管理強化対象端末に対する電子教育が2回目以降である場合には管理強化対象端末におけるポリシ違反の内容を含むポリシ違反全般についての電子教育を管理強化対象端末に実行させることで、初めて管理強化対象端末となった利用者端末については、管理強化対象端末として特定される要因となったポリシ違反の内容のみについての電子教育を行ない、管理強化対象として特定されるのが2回以上の利用者端末については、セキュリティ上の重大事故を引き起こす可能性の極めて高い利用者端末と見なし、管理強化対象端末として特定される要因となったポリシ違反の内容だけでなくポリシ違反全般についての電子教育を行ない、ポリシ遵守を徹底させることが可能になる。
【0063】
さらに、上述した各管理システム、管理サーバ、管理システムにおいて各利用者端末から環境情報を収集する際、環境情報収集エージェントファイルを管理サーバから複数の利用者端末に送信し、各利用者端末において環境情報収集エージェントファイルを実行させることで当該利用者端末における環境情報を管理サーバに収集することが可能である。従って、管理サーバは、環境情報収集エージェントファイルを作成し、その環境情報収集エージェントファイルを複数の利用者端末に対して一斉に送信するだけで、複数の利用者端末における環境情報を極めて容易に収集することができる。
【0064】
また、複数の利用者端末に対して得られる最新および過去の比較結果に基づいて、複数の利用者端末の属するシステムにおけるセキュリティ上の重大事故の発生確率を推定し、その推定結果を複数の利用者端末の管理者や各利用者に通知することにより、そのシステムでセキュリティ上の重大事故が発生する危険度を管理者や利用者に知らしめ、管理者や利用者のセキュリティに対する意識を高めることができ、企業等における内部システムについて安全な環境を確保・維持することができる。
【0065】
このとき、複数の利用者端末に対して得られる最新および過去の比較結果に加え、複数の利用者端末の利用者に対する、システムのセキュリティについての電子教育結果に基づいて、複数の利用者端末の属するシステムにおけるセキュリティ上の重大事故の発生確率を推定することにより、重大事故の発生確率に、電子教育結果が考慮・反映され、重大事故発生確率の推定値の信頼度をより高めることができる。
【発明を実施するための最良の形態】
【0066】
以下、図面を参照して本発明の実施の形態を説明する。
〔1〕第1実施形態
〔1−1〕第1実施形態の構成:
図1は本発明の第1実施形態としての管理システム(管理サーバおよび利用者端末)の構成を示すブロック図で、この図1に示すように、第1実施形態の管理システム(企業内システム)1は、企業内等において、LAN40を介して、複数の利用者端末10や、管理サーバ20や、プロキシサーバ30を相互に通信可能に接続して構築された情報処理シ
ステムである。
【0067】
各利用者端末10は、当該企業における社員である利用者によって使用・携帯されるパーソナルコンピュータ等であり、ハードディスク等の記憶部(図示略)や、後述するエージェントファイルを含む各種プログラムを実行することにより後述する手段111,112として機能しうる処理部(CPU)11をそなえて構成されている。また、各利用者端末10は、LAN40およびプロキシサーバ30を介して外部通信網(図示略;例えばインターネット,公衆回線網などを含む)に接続されて外部の各種サーバと通信接続できるように構成されている。
【0068】
また、LAN40には、企業内システムにおける各種データファイルが格納されているファイルサーバ33や、企業内システムにおける電子メールを取り扱うメールサーバ35などが接続されており、利用者端末11などからアクセスすることが可能に構成されている。
【0069】
また、管理サーバ20は、上述したようにLAN30を介して各利用者端末10と相互に通信可能に接続され、各利用者端末10を管理するもので、環境情報収集エージェントファイル送信手段21,環境情報受信手段22,比較手段23,保存手段24,特定手段25および管理手段26としての機能を果たすものである。これらの手段21〜26としての機能は、管理サーバ20を構成する処理部(CPU;図示略)によって、記憶部(図示略)に予めインストールされている管理プログラムを実行することにより実現される。
【0070】
環境情報収集エージェントファイル送信手段21は、環境情報収集エージェントファイルを、電子メールに添付するなどして、LAN40を介し、企業内システム1に属する複数の利用者端末10のそれぞれに送信するものである。このとき、送信先の各利用者端末10に関する情報(メールアドレス等)は、企業内システム1の管理者等によって管理サーバ20に予め登録されている。環境情報収集エージェントファイル送信手段21による環境情報収集エージェントファイの送信は、図2を参照しながら後述するように利用者端末(PC)10の監査(環境情報チェック)を定期的に行なうべく、定期的(例えば一日1回あるいは一日2回)に行なわれるものとする。
【0071】
管理サーバ20では、各利用者端末10に実行させることを望む処理(タスク)がエージェントファイルとして予め作成されており、そのエージェントファイルが管理サーバ20における上記記憶部等に保存されている。ここで、環境情報収集エージェントファイルは、各利用者端末10における環境情報の収集処理とその収集結果の管理サーバ20への通知処理とを各利用者端末10に実行させるものである。
【0072】
各利用者端末10に送信された環境情報収集エージェントファイルは、自動的に、または、利用者がそのファイルに対する所定操作(例えばマウスによるダブルクリック操作)を行なった場合に、利用者端末10上の処理部11で実行される。つまり、処理部11が環境情報収集エージェントファイル実行手段111として機能し、その実行動作に伴って、当該利用者端末10における環境情報が収集され、その収集結果が、LAN40を通じて管理サーバ20へ送信・通知されるようになっている。
【0073】
ここで、各利用者端末10において収集される環境情報は、各利用者端末10における動作環境に関する情報(資産情報/インベントリ情報/実行環境情報)であり、後述するごとく比較手段23でポリシ定義と比較されるべき情報(例えば、セキュリティ設定に係る情報や、各利用者端末10にインストールされている全てのソフトウエアに関する情報など)を含んでいれば十分であるが、必要に応じて、以下のような、利用者端末10におけるハードウエア資源やソフトウエア資源に関する情報を環境情報として収集することも
可能である。
【0074】
ハードウエア資源に関する情報としては、例えば、コンピュータ名/OS/CPU/CPUスピード/キーボードタイプ/物理メモリ/利用可能メモリ/ビデオカード/解像度/プリンタ/スワップサイズ/ドメイン名/ログオンユーザ名/モデル名/ネットワークカード/MACアドレス/IPアドレス/ネットマスク/デフォルトゲートウェイ/DNSサーバ/ソケットバージョン/ローカルドライブ毎の総容量や空き容量/BIOSバージョン/BIOSメーカ/マシンメーカ/マシン名/マシンシリアルマシンUUID/マザーボードメーカ名/マザーボード名/CPU IDなどに関する情報が挙げられる。
【0075】
ソフトウエア資源に関する情報としては、利用者端末10に保有されているソフトウエア(各種アプリケーションプログラム)に関する情報(例えば、製品名,詳細バージョン,ファイルサイズ,ファイル更新日など)が挙げられる。OSのセキュリティホールを修復するためのセキュリティパッチ更新ソフトウエア〔例えば“Windows(登録商標) Update”等〕を利用者端末11が保有している場合には、セキュリティパッチの更新情報(最新であるか否か)も収集される。また、ウイルス対策ソフトウエア〔例えば“Norton AntiVilus(登録商標)”等〕を利用者端末11が保有している場合には、そのウイルス対策ソフトウエアにおけるウイルス定義ファイルの更新情報(最新であるか否か)も収集される。さらに、セキュリティパッチ更新ソフトウエア,ウイルス対策ソフトウエア,スパイウエア対策ソフトウエア等のセキュリティソフトウエアを利用者端末10が保有している場合には、その設定状況(セキュリティ設定;オン/オフ状態など)も収集される。
【0076】
上述のような情報のほかに、例えば、スクリーンセーバ・パスワードロックのタイムアウト時間や、プリンタの使用量や、個人情報探査プログラムによる定期探査履歴や、保有されているソフトウエアの使用状況なども環境情報として収集される。
【0077】
環境情報受信手段22は、各利用者端末10から送信された環境情報を受信し、比較手段23に受け渡すものである。
本実施形態の管理システム1では、管理サーバ20における環境情報収集エージェントファイル送信手段21および環境情報受信手段22と、各利用者端末10における環境情報収集エージェントファイル実行手段111とによって、複数の利用者端末10のそれぞれにおける環境情報を各利用者端末10から管理サーバ20に収集する環境情報収集手段が構成されている。
【0078】
比較手段23は、環境情報受信手段22によって受信・収集された各利用者端末10における環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、そのポリシ定義に違反している利用者端末10およびそのポリシ違反の内容を特定するものである。ここで、ポリシ定義は、企業毎に定義・設定され、管理サーバ20の上記記憶部等に予め登録されている。そのポリシ定義の内容としては、例えば下記項目(1)〜(5)のものが挙げられるが、本発明は、これらの項目(1)〜(5)に限定されるものではない。いずれのポリシ定義の内容も、利用者端末10においてそのポリシ定義が守られていない場合、セキュリティ上、若干の問題があるものとみなされる事項である。
【0079】
(1)各利用者端末10において保有や使用を禁止するアプリケーションの情報。例えば
仮想VPNソフトウエア,P2Pソフトウエア,スパイウエア,ファイル交換ソフトウエア(Winny等)などが挙げられる。
【0080】
(2)各利用者端末10において保有されるべきアプリケーションの情報。例えばセキュ
リティパッチ更新ソフトウエア,各種セキュリティソフトウエア,個人情報探査プログラムなどが挙げられる。
【0081】
(3)各利用者端末10において設定されるべきセキュリティ設定状況。例えば、各種セ
キュリティソフトウエアがオン設定になっていることや、スクリーンセーバ・パスワードロックのタイムアウト時間が所定時間(例えば10分)以内に設定することなどが挙げられる。
【0082】
(4)各利用者端末10において個人情報探査プログラムによる個人情報ファイルの定期
探査を行なっていること。
(5)プリンタの使用量が所定枚数(例えば1日100枚)以内であること(使用量が多
い利用者端末10は、情報漏洩の可能性が高いものとみなす)。
【0083】
本実施形態の比較手段23は、各利用者端末10から得られた環境情報とこれらの項目(1)〜(5)とを比較し、利用者端末10毎にその利用者端末10がポリシ定義を遵守しているか否かを判断し、遵守していない場合、ポリシ違反と見なし、ポリシ違反の内容を、利用者端末10を特定する情報(利用者端末識別情報等)に対応付け、比較結果として出力する。
【0084】
例えば、本実施形態の比較手段23は、
[i]利用者端末10が項目(1)の保有/使用禁止アプリケーションを一つ保有している場合には、その旨およびポリシ違反件数「1」をポリシ違反内容として出力し、
[ii]利用者端末10が項目(1)の保有/使用禁止アプリケーションを一つ保有して使用
している場合には、その旨およびポリシ違反件数「2」をポリシ違反内容として出力し、
[iii]利用者端末10が項目(1)の保有/使用禁止アプリケーションを二つ保有している場合には、その旨およびポリシ違反件数「2」をポリシ違反内容として出力し、
[iv]利用者端末10が項目(2)の必要なセキュリティソフトウエアの一つをインストー
ルしておらず且つスクリーンセーバ・パスワードロックのタイムアウト時間が30分に設定され〔項目(3)違反〕ている場合には、その旨およびポリシ違反件数「2」をポリシ違
反内容として出力し、
[v]利用者端末10がセキュリティソフトウエアの一つをオン設定にしておらず〔項目(3)違反〕且つ個人情報ファイルの定期探査を行なっておらず〔項目(4)違反〕且つプリン
タの一日の使用量が200枚である〔項目(5)違反〕場合には、その旨およびポリシ違反
件数「3」をポリシ違反内容として出力する。
【0085】
保存手段24は、比較手段23から上述のごとく出力された比較結果(ポリシ違反内容やポリシ違反件数)を、どの利用者端末10の比較結果であるか明確になるように利用者端末識別情報等に対応付け、過去の比較結果として保存するもので、その比較結果は、管理サーバ20を構成する記憶部(RAM,ハードディスク等)あるいは管理サーバ20に外付けされた記憶装置などに保存される。
【0086】
特定手段25は、比較手段23による最新の比較結果および保存手段24によって保存されている各利用者端末10についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上(例えば3件以上)の利用者端末10、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末10を特定するものである。ここで、後者の「ポリシ違反を所定回数以上繰り返している利用者端末10」としては、定期的な監査(環境情報収集およびポリシ定義比較)を行なっている場合に、同一の内容のポリシ違反を連続して所定回数繰り返しているものを特定してもよいし、異なる内容のポリシ違反を所定期間内に不連続に所定回数繰り返しているものを特定してもよい。
【0087】
管理手段26は、特定手段25によって特定された管理強化対象端末(利用者端末)10Aを管理するもので、監視手段261,警告手段262,記録手段263,電子教育制
御手段264,確認手段265,除外手段266,禁止手段(動作制限手段)267,推定手段268および通知手段269としての機能をそなえて構成されている。なお、本実施形態では、特定手段25によって特定された管理強化対象端末10Aに関する情報(当該端末10Aを特定する識別情報等)は、管理サーバ20を構成する記憶部(RAM,ハードディスク等)あるいは管理サーバ20に外付けされた記憶装置などのテーブル等に登録される。以下では、「管理強化対象端末」を「登録端末」と表記する場合がある。
【0088】
監視手段261は、管理強化対象端末10Aにおける操作状況を監視(モニタ)するものであり、警告手段262は、監視手段261によって監視される操作状況に応じて、管理強化対象端末10Aの管理者および利用者に警告を発するものであり、記録手段263は、監視手段261によって監視される操作状況を管理強化対象端末10Aにおける操作ログとして記録するものである。
【0089】
ここで、監視手段261によって監視される、管理強化対象端末10Aにおける操作状況としては、例えば、インターネットアクセス履歴や、保有/使用禁止アプリケーションの使用状況や、電子メールのログ/内容や、スクリーンショット(例えば5分に一回)などが挙げられる。これらの操作状況は、記録手段263によって、当該端末10Aを特定する識別情報等に対応付けられ、管理サーバ20を構成する記憶部(RAM,ハードディスク等)あるいは管理サーバ20に外付けされた記憶装置などに記録される。そして、警告手段262は、監視手段261による最新の監視結果(最新の操作状況)や記録手段263によって記録された監視結果を参照するとともに、必要に応じて、保存手段24によって保存されている当該端末10Aについてのポリシ違反内容を参照し、管理強化対象端末10Aが、重大事故を引き起こす可能性のある危険な操作を行なった場合に、管理者および利用者に対し直ちに警告を発するようになっている。
【0090】
なお、「重大事故を引き起こす可能性のある危険な操作」としては、例えば、Winny等のファイル交換ソフトウエアを保有する端末10Aにおいて問題のあるWEBサイトにアクセスするような操作(この場合、ウイルスに感染することによって情報漏洩という重大事故を招くおそれがある)や、個人情報ファイルの定期探査を行なっていない端末10Aにおいて個人情報ファイルであるか否か不明のファイルを電子メールに添付して送信しようとする操作(この場合、個人情報漏洩という重大事故を招くおそれがある)や、必要なセキュリティソフトウエアをインストールしていない端末10Aもしくはそのセキュリティソフトウエアをインストールしながらオン設定にしていない端末10Aにおいて問題のあるWEBサイトにアクセスするような操作(この場合、ウイルスに感染しウイルスをばら撒いたり情報漏洩したりするという重大事故を招くおそれがある)などが挙げられる。
【0091】
電子教育制御手段264は、ポリシ違反についての電子教育を管理強化対象端末10Aに実行させるもので、電子教育エージェントファイル作成/保持手段264aおよび電子教育エージェントファイル送信手段264bとしての機能を有している。
【0092】
電子教育エージェントファイル作成/保持手段264aは、ポリシ違反についての電子教育を管理強化対象端末10A(利用者端末10)に実行させる電子教育エージェントファイルを作成もしくは保持するものである。前述したように、管理サーバ20において、各利用者端末10に実行させることを望む処理(タスク)がエージェントファイルとして作成される。
【0093】
ここで、電子教育エージェントファイルは、ポリシ違反内容についての電子教育を管理強化対象端末10A(利用者端末10)の処理部11に実行させるもので、エージェントファイル送信直前に電子教育エージェントファイル作成/保持手段264aによって作成
されてもよいし、ポリシ違反についての電子教育エージェントファイルをポリシ違反内容毎に予め作成して電子教育エージェントファイル作成/保持手段264aに保持させておいてもよい。
【0094】
また、電子教育エージェントファイルにより管理強化対象端末10A(利用者端末10)の処理部11で実行される電子教育の内容は、その端末10Aにおけるポリシ違反の内容に応じたものとしてもよいし、そのポリシ違反の内容を含むポリシ違反全般としてもよい。
【0095】
特に、例えば図5を参照しながら後述するごとく、本実施形態における電子教育制御手段264は、管理強化対象端末10Aに対する電子教育が始めてである場合(始めてのポリシ違反に応じた1回目の電子教育である場合)もしくは1〜N回目(Nは2以上の自然数)である場合(1〜複数回目のポリシ違反に応じた1〜N回目の電子教育である場合)には、管理強化対象端末10Aにおけるポリシ違反の内容に応じた電子教育を管理強化対象端末10Aに実行させる一方、管理強化対象端末10Aに対する電子教育が2回目以降である場合もしくはN回目以降である場合には、管理強化対象端末10Aにおけるポリシ違反の内容を含むポリシ違反全般についての電子教育を管理強化対象端末に実行させるようになっている。
【0096】
つまり、電子教育制御手段264は、管理強化対象端末10Aに対する電子教育の回数に応じて、管理強化対象端末10Aにおけるポリシ違反の内容に応じた電子教育のみを行なうか、管理強化対象端末10Aにおけるポリシ違反の内容を含むポリシ違反全般についての電子教育を行なうかを切り替えるようになっており、電子教育エージェントファイル作成/保持手段264aに、その回数に応じた電子教育エージェントファイルを作成/保持させている。
【0097】
電子教育エージェントファイル送信手段264bは、電子教育エージェントファイル作成/保持手段264aにより作成/保持された、ポリシ違反についての電子教育エージェントファイルを、作成後または読出後に電子メールに添付するなどして、管理強化対象端末10Aに送信するものである。
【0098】
管理強化対象端末10Aに送信された電子教育エージェントファイルは、自動的に、または、利用者がそのファイルに対する所定操作(例えばマウスによるダブルクリック操作)を行なった場合に、管理強化対象端末10A上の処理部11で実行される。つまり、処理部11が電子教育エージェントファイル実行手段112として機能し、その実行動作に伴って、当該端末10Aにおいてポリシ違反内容に応じた電子教育が、当該端末10Aの利用者に対して実行される。
【0099】
このとき、管理強化対象端末10Aにおける電子教育エージェントファイル実行手段112は、管理強化対象端末10Aで電子教育を修了したか否かに関する情報〔電子教育に伴うテスト結果(試験結果;利用者によるテストに対する解答結果を含む)〕を、LAN40を通じて管理サーバ20へ送信・通知するようになっている。
【0100】
また、管理サーバ20における電子教育制御手段264は、管理強化対象端末10Aからの電子教育に伴うテスト結果を採点し、その採点結果を、当該端末10Aで収集された環境情報や比較結果23による比較結果(ポリシ違反内容等)などとともに、企業内システム1の管理者等(例えば利用者の所属する部門の部門長など)に通知するように構成されている。これにより、管理サーバ20や管理者等は、電子教育を行なった利用者(社員)/行なっていない利用者(社員)を把握することができ、より徹底した電子教育を行なうことが可能になる。
【0101】
また、管理強化対象端末10Aにおいて利用者が電子教育を履修して修了するまで(テストに対する解答を行なうまで)電子教育の動作を終了させないようにして電子教育を利用者に対して強制的に実行させるように構成してもよい。これにより、利用者の意志や意識に関係なく電子教育を確実かつ徹底して実行させることができる。
【0102】
さらに、電子教育を修了した管理強化対象端末10Aでは、そのデスクトップ上に、電子教育を修了した旨を示す完了デスクトップスタンプを刻印表示させる一方、電子教育を修了していない端末10A(10)では、そのデスクトップ上に、電子教育を修了していない旨を示す未完了デスクトップスタンプを刻印表示させるように構成してもよい。このデスクトップスタンプ(ビットマップ画像)は、端末10A(10)側では削除/移動不可能な状態で、デスクトップの壁紙上に貼り付けられるため、利用者が自分で操作を行なってデスクトップスタンプを削除したり移動させたりすることができず、デスクトップ上で常に表示され、利用者本人だけでなく他の人の目にもさらされることになる。従って、完了デスクトップスタンプや未完了デスクトップスタンプがデスクトップ上で刻印表示されることにより、利用者が自発的に電子教育を実行するように利用者の意志や意識に働きかけることができ、電子教育を確実にかつ徹底して実行させることができる。
【0103】
確認手段265は、電子教育制御手段264によって管理強化対象端末10Aにおける電子教育が実行された後に、上述した環境情報収集手段および比較手段23を動作させて管理強化対象端末10Aにおけるポリシ違反が解消されているか否かを確認するものである。
【0104】
除外手段266は、確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認された場合に、この管理強化対象端末10Aを管理強化対象から除外するものである。ただし、図3を参照しながら後述するごとく、本実施形態では、ポリシ違反解消の確認だけでなく、管理強化対象端末10Aの利用者がポリシ違反についての電子教育で基準点以上の成績を上げたことを条件に、除外手段266による管理強化対象からの除外が行なわれる。このとき、除外手段266は、上述のごとくテーブル等に登録された管理強化対象端末10Aに関する情報(当該端末10Aを特定する識別情報等)をそのテーブル等から削除することにより、管理強化対象端末(登録端末)10Aを管理強化対象から除外するようになっている。なお、除外手段266が管理強化対象端末(登録端末)10Aを管理強化対象から除外した場合、その管理強化対象端末(登録端末)10Aについて計数されているポリシ違反件数やポリシ違反回数は、ゼロにリセットしてもよいし、リセットすることなく維持し今後の管理強化対象端末の特定に際してそのまま用いてもよい。
【0105】
禁止手段(動作制限手段)267は、管理強化対象端末10Aが特定手段25によって特定されてから確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認されるまでの間、管理強化対象端末において所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行を禁止する動作制限エージェントファイルを作成し、電子メールに添付するなどして、管理強化対象端末10Aに送信するものである。すなわち、この禁止手段(動作制限手段)267は、請求項における動作制限手段を構成している。
【0106】
なお、プログラムの動作許可リストは、動作制限エージェントファイルに含まれていてもよいし、別途専用のデータファイルを用意して、管理サーバから利用者端末に送付してもよい。
【0107】
また、動作の制限としては、プログラムの実行以外に、管理強化対象端末において所定のデータファイル(ホワイトリスト掲載のデータファイル(ドキュメントファイル、表計
算データファイル、画像ファイル))以外のオープンを禁止するように、動作制限エージェントファイルで定めるようにしてもよい。
【0108】
また、動作の制限としては、プログラムの実行以外に、管理強化対象端末において所定の拡張子を有する各種ファイル(ホワイトリスト掲載の拡張子を有するファイル)以外の取り扱い(実行、オープン)を禁止するように、動作制限エージェントファイルで定めるようにしてもよい。
【0109】
なお、以下の実施形態では、ホワイトリスト掲載のプログラム以外の実行やデータファイル以外のオープンを禁止するとして説明するが、実行やオープンを禁止するプログラムやデータファイルなどをブラックリストに掲載しておいてもよい。
【0110】
また、以上のプログラム、データファイル、拡張子などを組み合わせた状態で、実行や取り扱いが可能なもの、不可能なものを定めるように、動作制限エージェントファイルで定めるようにしてもよい。たとえば、プログラムAとプログラムBを各種データファイルに対して使用許可、データファイルaについてはプログラムAでのみ閲覧許可、などの設定も可能である。
【0111】
また、この禁止手段(動作制限手段)267は、管理強化対象端末10Aが特定手段25によって特定されてから確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認されるまでの間、管理強化対象端末において所定のプログラム(ホワイトリスト掲載のプログラム)以外のプログラムの実行を禁止するとともに、実行が禁止されているプログラムを削除する動作制限エージェントファイルを作成し、電子メールに添付するなどして、管理強化対象端末10Aに送信するものである。
【0112】
また、禁止手段(動作制限手段)267は、管理強化対象端末10Aが特定手段25によって特定されてから確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認されるまでの間、管理強化対象端末10Aによる、企業内システム1におけるサーバ/データベース(図示略)に対するログイン/アクセスを禁止するものである。
【0113】
また、この禁止手段(動作制限手段)267は、企業内システム1におけるサーバ/データベースに対するログイン/アクセス禁止に代え、管理強化対象端末10Aが特定手段25によって特定されてから確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認されるまでの間、管理強化対象端末10Aを、管理サーバ20との接続状態(上述のごときエージェントファイルによるデータ送受信が可能な状態)を維持しながら、企業内システム1から遮断する遮断手段としての機能させてもよい。
【0114】
推定手段268は、複数の利用者端末10(企業内システム1に属する全ての利用者端末10)について得られる、比較手段23による最新の比較結果および保存手段24によって保存されている過去の比較結果と、利用者端末10(管理強化対象端末10A)の利用者に対する、企業内システム1のセキュリティについての電子教育結果とに基づいて、企業内システム1におけるセキュリティ上の重大事故の発生確率を、後述する手法に従って推定するものである。
【0115】
通知手段269は、推定手段268によって推定された発生確率を、企業内システム1の管理者等および企業内システム1に属する利用者端末10の利用者に、電子メール等を用いLAN40を介して通知し、その管理者等の端末や利用者端末10において表示させるものである。
【0116】
ここで、「重大事故」は、上述したごとく、例えば、ウイルス感染に伴う情報漏洩〔例えば個人情報や機密情報(暗号テーブルなど)の漏洩〕や、利用者の意識/無意識に係らず利用者の操作に伴う個人情報の漏洩や、ウイルス感染に伴うシステム1内外に対するウイルスのばら撒きなどである。
【0117】
また、推定手段268による、企業内システム1におけるセキュリティ上の重大事故の発生確率の推定に際しては、例えば、ハインリッヒの法則を用いることができる。ハインリッヒの法則は、アメリカ人技師ハインリッヒが発表した法則で、労働災害の事例の統計を分析した結果、導き出されたもので、重大災害の発生頻度を1とすると、軽傷事故(アクシデント)の発生頻度が29になり、無傷災害(インシデント)の発生頻度は300になるというものである。これをもとに「1件の重大災害(死亡・重傷)が発生する背景に、29件の軽傷事故と300件のヒヤリ・ハットがある。」という警告として、よく安全活動の中で用いられている。このようなハインリッヒの法則(「1:29:300」の比率)はビジネス上でも用いられており、ビジネス上では、例えば、致命的な失敗の発生頻度を1とすると、顧客から苦情(クレーム)がくる失敗の発生頻度が29になり、クレームにはならなかったが社内の当事者はヒヤッとした小さい失敗の発生頻度は300になるものとして、適用されている。
【0118】
このようなハインリッヒの法則を用いて、本実施形態の推定手段268では、例えば、上述のように情報漏洩やウイルスばら撒きといった、セキュリティ上の「重大事故」の発生頻度を1としたとき、軽傷事故(顧客から苦情がくる失敗)の発生頻度は29、無傷事故(ヒヤッとした小さい失敗)の発生度は300になるものと想定し、上述したポリシ違反のうち、利用者が電子教育を受け違反であることを認識しながら行なったポリシ違反の件数を軽症事故(顧客から苦情がくる失敗)の発生件数として計数する。また、上述したポリシ違反のうち、利用者がその違反についての電子教育を受けておらず知らずに行なったポリシ違反の件数を無傷故(ヒヤッとした小さい失敗)の発生件数として計数する。そして、例えば、無傷事故の発生件数が「150」になった場合、重大事故の発生確率が50%であると推定する。また、軽傷事故の発生件数が「29」になった場合あるいは無傷事故の発生件数が「300」になった場合、重大事故の発生確率が100%であると推定することになる。さらに、無傷事故の発生件数が「600」になった場合、重大事故が2件発生する可能性があると推定することになる。
【0119】
〔1−2〕第1実施形態の動作:
次に、上述のごとく構成された第1実施形態の動作について、図2〜図7を参照しながら説明する。
【0120】
まず、図2に示すフローチャート(ステップS101〜S119)に従って、本実施形態の管理サーバ20の動作について説明する。
この図2に示すように、管理サーバ20では、全ての利用者端末(PC)10について定期的な監査(環境情報収集およびポリシ定義比較)を行なっており、その監査タイミングになったか否かを監視しており(ステップS101)、監査タイミングになると(ステップS101のYESルート)、管理サーバ20に予め登録されている送信先の各利用者端末10に関する情報(メールアドレス等)に基づいて、環境情報収集エージェントファイル送信手段21により、環境情報収集エージェントファイルが、電子メールに添付するなどして、企業内システム1に属する全ての利用者端末10のそれぞれに送信される(ステップS102)。
【0121】
ここで、図6(a)に示すフローチャート(ステップS51〜S54)に従って、本実施形態の企業内システム1に属する各利用者端末10の環境情報収集動作について説明する。この図6(a)に示すように、各利用者端末10では、管理サーバ20から環境情報
収集エージェントファイルを受信したか否かを監視しており(ステップS51)、環境情報収集エージェントファイルを受信すると(ステップS51のYESルート)、自動的に、もしくは、利用者がそのファイルに対する所定操作(例えばマウスによるダブルクリック操作)を行なった場合に、その環境情報収集エージェントファイルが利用者端末10上の処理部11で実行される(ステップS52)。これにより、当該利用者端末10における環境情報(例えば、セキュリティ設定に係る情報や、各利用者端末10にインストールされている全てのソフトウエアに関する情報などを含む)が収集され(ステップS53)、その収集結果が、LAN40を通じて管理サーバ20へ送信・通知される(ステップS54)。
【0122】
管理サーバ20では、企業内システム1に属する各利用者端末10からの環境情報が受信され(ステップS103)、企業内システム1に属する全ての利用者端末10から環境情報が受信されると(ステップS104のYESルート)、複数の利用者端末10の中から一つを選択し(ステップS105)、以下の処理(ステップS106〜S119)を実行する。
【0123】
なお、ステップS104では、企業内システム1に属する全ての利用者端末10から環境情報が受信された場合に次の処理(ステップS106〜S119)に移行しているが、所定時間を経過しても全ての利用者端末10からの環境情報を受信できない場合には、その所定時間を経過時点で受信した環境情報に基づいて、次の処理(ステップS106〜S119)へ移行してもよい。また、企業内システム1に属する全ての利用者端末10から環境情報が受信された場合に次の処理(ステップS106〜S119)に移行するのではなく、一つの利用者端末10から環境情報を受信する都度、次の処理(ステップS106〜S116)を実行するようにしてもよい。
【0124】
ステップS105で、未処理の一利用者端末10が選択されると、管理サーバ20の記憶部(テーブル)を参照し、その利用者端末(以下、処理対象端末という場合がある)10が既に管理強化対象端末10Aとして登録されているか否かを判断する(ステップS106)。管理強化対象端末10Aとして登録されていない場合(ステップS106のNOルート)、比較手段23により、処理対象端末10について収集された環境情報を、予め設定されたセキュリティに関するポリシ定義〔上記項目(1)〜(5)参照〕と比較し、処理対象端末10がポリシ定義に違反しているか否か、違反している場合には、そのポリシ違反の内容(ポリシ違反件数を含む)が特定される(ステップS107)。比較手段23による比較結果(ポリシ違反内容やポリシ違反件数)は、保存手段24により、処理対象端末10を特定しうる識別情報等に対応付けられ、過去の比較結果として管理サーバ20の記憶部に保存される(ステップS108)。なお、処理対象端末10がポリシ違反をしていない場合には、その旨が比較結果として保存される。
【0125】
そして、処理対象端末10がポリシ違反をしている場合(ステップS109のYESルート)、特定手段25により、処理対象端末10についての過去の比較結果が読み出されてから(ステップS110)、比較手段23による最新の比較結果および保存手段24によって保存されている各利用者端末10についての過去の比較結果に基づいて、処理対象端末10が、ポリシ違反の件数が所定件数以上(例えば3件以上)の利用者端末10、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末10であるか否か、つまり処理対象端末10が管理強化対象端末10Aであるか否かが判断・特定される(ステップS111)。
【0126】
処理対象端末10が管理強化対象端末10Aである場合(ステップS112のYESルート)、特定手段25により、この処理対象端末10(管理強化対象端末10A)を特定する識別情報等がテーブル等に登録される(ステップS113)。
【0127】
さらに、禁止手段(動作制限手段)267により、管理強化対象端末10Aにおいて所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行を禁止する動作制限エージェントファイルが作成され、電子メールに添付するなどして管理強化対象端末10Aに送信され、この動作制限エージェントファイルを受信した管理強化対象端末10Aにおいては所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行が禁止される(ステップS114)。
【0128】
また、禁止手段(動作制限手段)267により、管理強化対象端末10Aにおいて所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行を禁止するとともに実行が禁止されているプログラムを削除する動作制限エージェントファイルが作成され、電子メールに添付するなどして管理強化対象端末10Aに送信され、この動作制限エージェントファイルを受信した管理強化対象端末10Aにおいては所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行が禁止されるとともに、実行が禁止されているプログラムが削除される(ステップS114)。
【0129】
また、登録された管理強化対象端末(登録端末)10Aによる、企業内システム1におけるサーバ/データベースなどに対するログイン/アクセスが禁止されるか、もしくは、登録された管理強化対象端末(登録端末)10Aが、管理サーバ20との接続状態(上記エージェントファイルによるデータ送受信が可能な状態)を維持しながら、企業内システム1から遮断される(ステップS114)。
【0130】
ただし、企業内システム1におけるサーバ/データベースに対するログイン/アクセスを禁止する場合も、管理強化対象端末10Aを企業内システム1から遮断する場合も、少なくとも管理強化対象端末10Aと管理サーバ20との間のやり取り(各種エージェントファイル,環境情報,電子教育結果,操作状況等の情報のやり取り)のみは可能な状態が維持されているものとする。
【0131】
一方、ステップS106で処理対象端末10が既に管理強化対象端末10Aとして登録されていると判定された場合(ステップS106のYESルート)、比較手段23により、その管理強化対象端末10Aである処理対象端末10について収集された環境情報を、予め設定されたセキュリティに関するポリシ定義〔上記項目(1)〜(5)参照〕と比較し、処理対象端末10がポリシ定義に違反しているか否か、違反している場合には、そのポリシ違反の内容(ポリシ違反件数を含む)が特定される(ステップS115)。比較手段23による比較結果(ポリシ違反内容やポリシ違反件数)は、保存手段24により、処理対象端末10を特定しうる識別情報等に対応付けられ、過去の比較結果として管理サーバ20の記憶部に保存されてから(ステップS116)、後述するステップS117へ移行する。
【0132】
なお、この時点で、処理対象端末10がポリシ違反をしていない場合には、その旨が比較結果として保存されるが、本実施形態では、ここの処理で処理対象端末10がポリシ違反をしていないと判断されても管理強化対象端末10Aを管理強化対象から除外しない。本実施形態では、図3を参照しながら後述するごとく、一旦、管理強化対象として特定された端末10の利用者については、ポリシ違反についての電子教育を受けて基準点以上の成績を上げ且つポリシ違反を解消した場合にのみ、管理強化対象から除外する。つまり、その利用者が、ポリシ違反についての電子教育を受けることなくポリシ違反を解消しても、管理強化対象から除外されず、必ずポリシ違反についての電子教育を受けさせ、ポリシ遵守を徹底させるようになっている。
【0133】
ステップS114の処理後、もしくは、ステップS116の処理後、もしくは、ステッ
プS109で処理対象端末10がポリシ違反をしていないと判定された場合(NOルート)、もしくは、ステップS112で処理対象端末10が管理強化対象端末10Aではないと判定された場合(NOルート)、全ての利用者端末10について監査処理を終了したか否かが判定され(ステップS117)、終了していない場合(ステップS117のNOルート)、ステップS105の処理へ戻り、未処理の利用者端末10に対して上述したステップS105〜S116の処理を実行する。
【0134】
全ての利用者端末10について監査処理を終了している場合(ステップS117のYESルート)、推定手段268により、複数の利用者端末10(企業内システム1に属する全ての利用者端末10)について得られる、比較手段23による最新の比較結果および保存手段24によって保存されている過去の比較結果と、利用者端末10(管理強化対象端末10A)の利用者に対する、企業内システム1のセキュリティについての電子教育結果とに基づいて、企業内システム1におけるセキュリティ上の重大事故の発生確率が、上述の手法に従って推定され(ステップS118)、その推定値が、通知手段269により、企業内システム1の管理者等および企業内システム1に属する利用者端末10の利用者に、電子メール等を用いLAN40を介して通知される(ステップS119)。
【0135】
ついで、上述のごとく管理強化対象端末10Aとして登録された端末に対する、管理サーバ20の管理手段26による管理動作について、図3〜図5を参照しながら説明する。
図3は本実施形態の管理サーバ20における管理手段26の動作を説明するためのフローチャート(ステップS21〜S28)であり、この図3に示すように、管理手段26では、管理強化対象端末10Aについての管理を定期的に行なうべく、管理タイミングになったか否かを監視しており(ステップS21)、管理タイミングになると(ステップS21のYESルート)、上記テーブル等に管理強化対象端末10Aが登録端末として登録されているか否かを判定する(ステップS22)。
【0136】
登録端末が有る場合(ステップS22のYESルート)、登録端末(管理強化対象端末)10Aの中から一つを選択し(ステップS23)、図4および図5をそれぞれ参照しながら説明するプログラム実行制限処理(ステップS24)および電子教育処理(ステップS25)を実行する。
【0137】
ここで、図4に示すフローチャート(ステップS31〜S34)に従って、図3のステップS24で実行されるプログラム実行制限処理、つまり管理手段26における監視手段261/記録手段263/警告手段262/禁止手段(動作制限手段)267の動作について説明する。
【0138】
プログラム実行制限ステップS24では、監視手段261により、管理強化対象端末10Aにおける操作状況が監視・モニタされ(ステップS31)、モニタされた操作状況は、記録手段263により、管理強化対象端末10Aにおける操作ログとして記録される(ステップS32)。ここで、監視・記録される操作状況は、上述した通り、例えば、インターネットアクセス履歴や、保有/使用禁止アプリケーションの使用状況や、電子メールのログ/内容や、スクリーンショット(例えば5分に一回)などである。
【0139】
この後、管理手段26により、モニタされた管理強化対象端末10Aにおける操作状況に問題が有るか否か、つまり、管理強化対象端末10Aにおいて、重大事故を引き起こす可能性のある危険な操作(上述)が行なわれたか否かが判定される(ステップS33)。上述のような危険な操作が行なわれた場合(ステップS33のYESルート)、警告手段262により、管理強化対象端末10Aの管理者および利用者に対し警告を直ちに発した後、禁止手段(動作制限手段)267により、動作制限エージェントファイルを管理強化対象端末10Aに送信して、管理強化対象端末10Aにおいて所定のプログラム(ホワイ
トリスト掲載のプログラム)以外の実行を禁止する(ステップS35)。そして、リターンして図3のステップS25の処理へ移行する。一方、上述のごとき危険な操作が行なわれていない場合(ステップS33のNOルート)、リターンして図3のステップS25の処理へ移行する。
【0140】
ここで、図7に示すフローチャート(ステップS71〜S74)に従って、本実施形態の管理システム10における管理強化対象端末10A側の動作制限状態の動作について説明する。この図7に示すように、管理強化対象端末10Aでは、管理サーバ20から動作制限エージェントファイルを受信したか否かを監視しており(ステップS71)、動作制限エージェントファイルを受信すると(ステップS71のYESルート)、自動的に、その動作制限エージェントファイルが管理強化対象端末10A上の処理部11で実行される(ステップS72)。これにより、当該管理強化対象端末10Aにおいては、所定のプログラム(ホワイトリスト掲載のプログラム)の実行が許可され(ステップS73)、所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行は禁止される(ステップS74)。また、所定のプログラム(ホワイトリスト掲載のプログラム)以外のプログラムを実行しようとする操作があれば、LAN40を通じて管理サーバ20へ送信・通知される(ステップS74)。さらに、その動作制限エージェントファイルが管理強化対象端末10A上の処理部11で実行されることにより、当該管理強化対象端末10Aにおいては、所定のプログラム(ホワイトリスト掲載のプログラム)以外のプログラムは削除される。
【0141】
なお、所定のプログラム以外のプログラムの実行が禁止されるとは、許可されていないインストールプログラムの実行も禁止されることを意味しており、すなわち、許可されていないインストールを実行できないことを意味している。
【0142】
また、図5に示すフローチャート(ステップS41〜S48)に従って、図3のステップS25で実行される電子教育処理、つまり管理手段26における電子教育制御手段264の動作について説明する。
【0143】
電子教育処理ステップS25では、まず、管理手段26により、管理用強化対象端末10Aに対する電子教育結果が参照され、その端末10Aの利用者に対する電子教育が全て完了し、基準点以上のテスト結果を獲得しているか否か、つまり必要な電子教育を完了したか否かの判定が行なわれ(ステップS41)、その電子教育を完了している場合(ステップS41のYESルート)、リターンして図3のステップS26の処理へ移行する。
【0144】
一方、電子教育を完了していない場合(ステップS42のNOルート)、管理強化対象端末10Aに対する電子教育が始めてであるか否か(始めてのポリシ違反に応じた1回目の電子教育であるか否か)、もしくは、1〜N回目(Nは2以上の自然数)であるか否か(1〜複数回目のポリシ違反に応じた1〜N回目の電子教育であるか否か)が判定される(ステップS42)。
【0145】
このステップS42でYES判定となった場合、つまり、管理強化対象端末10Aに対する電子教育が始めてである場合(始めてのポリシ違反に応じた1回目の電子教育である場合)もしくは1〜N回目(Nは2以上の自然数)である場合(1〜複数回目のポリシ違反に応じた1〜N回目の電子教育である場合)、処理対象端末10が管理強化対象端末10Aとして登録される契機となったポリシ違反の内容に応じた電子教育(eラーニング)を、当該端末10Aに実行させるべく、その電子教育用のエージェントファイルが、電子教育エージェントファイル作成/保持手段264aによって作成されるか、もしくは、電子教育エージェントファイル作成/保持手段264aから読み出される(ステップS42)。
【0146】
また、ステップS42でNO判定となった場合、つまり、管理強化対象端末10Aに対する電子教育が2回目以降である場合もしくはN回目以降である場合、処理対象端末10が管理強化対象端末10Aとして登録される契機となったポリシ違反の内容を含むポリシ違反全般についての電子教育(eラーニング)を、当該端末10Aに実行させるべく、その電子教育用のエージェントファイルが、電子教育エージェントファイル作成/保持手段264aによって作成されるか、もしくは、電子教育エージェントファイル作成/保持手段264aから読み出される(ステップS44)。
【0147】
なお、ポリシ違反内容に応じた電子教育を実行させるためのエージェントファイルや、そのポリシ違反の内容を含むポリシ違反全般についての電子教育を実行させるためのエージェントファイルが、電子教育エージェントファイル作成/保持手段264aに既に保持されていれば、そのエージェントファイルが電子教育エージェントファイルとして読み出される一方、保持されていなければ、電子教育エージェントファイル作成/保持手段264bによって作成されることになる。
【0148】
このようにして、電子教育エージェントファイル作成/保持手段264aから読み出されたエージェントファイル、もしくは、電子教育エージェントファイル作成/保持手段264aによって作成されたエージェントファイルは、電子教育エージェントファイル送信手段264bにより、電子メールに添付するなどして、管理強化対象端末10Aに送信される(ステップS45)。
【0149】
ここで、図6(b)に示すフローチャート(ステップS61〜S64)に従って、本実施形態の管理システム10における管理強化対象端末10Aの電子教育動作について説明する。この図6(b)に示すように、管理強化対象端末10Aでは、管理サーバ20から電子教育エージェントファイルを受信したか否かを監視しており(ステップS61)、電子教育エージェントファイルを受信すると(ステップS61のYESルート)、自動的に、もしくは、利用者がそのファイルに対する所定操作(例えばマウスによるダブルクリック操作)を行なった場合に、その電子教育エージェントファイルが管理強化対象端末10A上の処理部11で実行される(ステップS62)。これにより、当該管理強化対象端末10Aにおいてポリシ違反についての電子教育(テストを含む)が、当該管理強化対象端末10Aの利用者に対して実行され(ステップS63)、本実施形態では、その電子教育結果、例えば、各利用者端末11で電子教育を修了したか否かに関する情報、および、電子教育に伴うテスト結果(試験結果;利用者によるテストに対する解答結果を含む)が、LAN40を通じて管理サーバ20へ送信・通知される(ステップS64)。
【0150】
管理サーバ20では、評価対象システム10に属する各利用者端末11からの電子教育結果が受信され(ステップS46)、その電子教育結果に含まれる解答結果が、管理手段26の電子教育制御手段264により採点され(ステップS47)、その採点結果は、当該端末10Aについて収集された環境情報や比較結果23による比較結果(ポリシ違反内容等)などとともに、企業内システム1の管理者等に通知され、ポリシ違反の改善を促し(ステップS48)、その後、リターンして図3のステップS26の処理へ移行する。なお、所定期間が経過しても、管理強化対象端末10Aから電子教育結果が送信されてこない場合には、電子教育制御手段264は、管理強化対象端末10Aの利用者が必要な電子教育を実行していない旨を採点結果として環境情報や比較結果などとともに管理者等に通知する。
【0151】
このようにして、ステップS23で選択された登録端末10Aにおける電子教育を完了した後には、管理手段26により、その処理対象端末10に対する電子教育結果が参照され、処理対象端末10が管理強化対象端末10Aとして登録される契機となったポリシ違
反についての電子教育の受講(もしくは、そのポリシ違反についての内容を含むポリシ違反全般についての電子教育の受講)を、その端末10Aの利用者が全て終了し、基準点以上のテスト結果を獲得しているか否かが判断されるとともに、さらに、管理手段26の確認手段265により、環境情報収集手段および比較手段23を動作させ、当該登録端末10Aにおけるポリシ違反が解消されているか否かが確認される(ステップS26)。
【0152】
そして、基準点以上のテスト結果を獲得し且つポリシ違反が全て解消されている場合(ステップS26のYESルート)、管理手段26の除外手段266により、この登録端末10Aが管理強化対象から除外され、即ち、その処理対象端末10についての管理強化対象端末10Aとしての登録(識別情報等)がテーブル等から削除され、禁止手段(動作制限手段)267による処理対象端末10に対する動作制限/禁止/遮断状態が解除される(ステップS27)。一方、基準点以上のテスト結果を獲得していない場合、および/もしくは、全てのポリシ違反が解消されていない場合、つまりステップS26でNO判定となった場合は、ステップS27はスキップされる。
【0153】
この後、全ての登録端末(管理強化対象端末)10Aについて処理を終了したか否かが判定され(ステップS28)、終了していない場合(ステップS28のNOルート)、ステップS23の処理へ戻り、未処理の登録端末10Aに対してステップS23〜S27の処理を実行する。全ての登録端末10Aについて処理を終了している場合(ステップS28のYESルート)、もしくは、ステップS22で登録端末が無いと判定された場合(NOルート)、ステップS21の処理へ戻る。
【0154】
〔1−3〕第1実施形態の効果:
このように、本発明の第1実施形態としての管理システム1によれば、複数の利用者端末10のそれぞれにおける環境情報(例えば企業等の内部システムに属する複数の利用者端末10のそれぞれにおける環境情報)が、各利用者端末10から管理サーバ20に収集され、この管理サーバ20において、収集された各利用者端末10における環境情報とセキュリティに関するポリシ定義とが比較されてポリシ違反の利用者端末10およびそのポリシ違反の内容が特定され、最新および過去の比較結果(ポリシ違反の利用者端末10を特定する情報およびそのポリシ違反の内容の特定結果)に基づいて、ポリシ違反の件数が所定件数以上の利用者端末10やポリシ違反を所定回数以上繰り返している利用者端末10が管理強化対象端末10Aとして特定され、特定された管理強化対象端末10Aにおける操作状況が、監視手段261により監視されて、記録手段263により操作ログとして記録される。そして、特定された該管理強化対象端末10Aにおいて、所定のプログラム以外の実行が管理サーバ20により禁止される。
【0155】
これにより、全ての利用者端末10を対象とするのではなく、管理強化対象端末10Aを対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なうことなく、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。
【0156】
さらに、管理強化対象端末においては、所定のプログラム以外の実行が禁じられるため、セキュリティ上の重大事故を未然に防止することができる。なお、ネットワーク接続や通常のプログラムの実行は禁止されないため、通常の使用には影響を与えず、セキュリティ上の重大事故を未然に防止することができる。
【0157】
つまり、ポリシ違反の件数が所定件数以上の利用者端末10やポリシ違反を所定回数以上繰り返している利用者端末10が、セキュリティ上の重大事故を引き起こす可能性の高い管理強化対象端末10Aとして特定され、そのような端末10Aを確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作
ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0158】
このとき、環境情報収集エージェントファイルを管理サーバ20から複数の利用者端末10に送信し、各利用者端末10において環境情報収集エージェントファイルを実行させることで当該利用者端末10における環境情報を管理サーバ20に収集することが可能である。従って、管理サーバ20は、環境情報収集エージェントファイルを作成し、その環境情報収集エージェントファイルを複数の利用者端末10に対して一斉に送信するだけで、複数の利用者端末10における環境情報を極めて容易に収集することができる。
【0159】
また、管理強化対象端末10Aを操作状況の監視対象とし、その監視結果に応じて管理強化対象端末10Aの管理者や利用者に警告を発することにより、管理強化対象端末10Aが、重大事故を引き起こす可能性のある危険な操作を行なった場合に直ちに警告を発することが可能になり、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0160】
さらに、ポリシ違反についての電子教育を管理強化対象端末10Aに実行させることにより、ポリシ違反を行なっている管理強化対象端末10Aの利用者に対し、ポリシ違反についての電子教育を確実に実行させることができる。
【0161】
また、本実施形態の電子教育制御手段264では、管理強化対象端末10Aに対する電子教育の回数に応じて、管理強化対象端末10Aにおけるポリシ違反の内容に応じた電子教育のみを行なうか、管理強化対象端末10Aにおけるポリシ違反の内容を含むポリシ違反全般についての電子教育を行なうかを切り替えることで、初めて(もしくは1〜N回)管理強化対象端末10Aとなった利用者端末については、管理強化対象端末10Aとして特定される要因となったポリシ違反の内容のみについての電子教育を行ない、管理強化対象10Aとして特定されるのが2回(もしくはN回)以上の利用者端末10については、セキュリティ上の重大事故を引き起こす可能性の極めて高い利用者端末10と見なし、管理強化対象端末10Aとして特定される要因となったポリシ違反の内容だけでなくポリシ違反全般についての電子教育を行ない、ポリシ遵守を徹底させることが可能になる。
【0162】
このとき、ポリシ違反についての電子教育エージェントファイルを管理サーバ20から管理強化対象端末10Aに送信し、その端末10Aにおいて電子教育エージェントファイルを実行させることでポリシ違反についての電子教育を当該端末10Aの利用者に対して実行させることが可能である。従って、管理サーバ20は、ポリシ違反の内容に応じた電子教育エージェントファイルを管理強化対象端末10Aに対して送信するだけで、ポリシ違反の内容についての電子教育を極めて容易に且つ的確に実行することができる。
【0163】
電子教育後、確認手段265により、管理強化対象端末10Aにおいて電子教育に応じてポリシ違反が解消されたか否かを確認し、管理強化対象端末10Aにおけるポリシ違反が解消されている場合で且つ管理強化対象端末10Aの利用者がポリシ違反についての電子教育で基準点以上の成績を上げた場合に、除外手段266により、管理強化対象端末10Aを管理強化対象から除外することで、セキュリティ上の重大事故を引き起こす可能性の高い管理強化対象端末10Aは、電子教育に応じてポリシ違反が解消されるまで確実にシステム管理者等の管理下に置かれてその操作状況を記録できるので、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0164】
また、管理強化対象端末10Aの特定後、当該端末10Aにおけるポリシ違反の解消が確認されるまでの間、当該端末10Aによる、複数の利用者端末10の属するシステム1
におけるサーバやデータベースに対するログイン/アクセスを禁止することにより、管理強化対象端末10Aの利用者に、電子教育/ポリシ違反解消をより徹底して実行させることが可能になるだけでなく、重大事故を引き起こす可能性の高い端末10(10A)の利用者にポリシ違反を解消させるまで、その端末10(10A)はサーバやデータベースにログイン/アクセスすることができないので、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0165】
同様に、管理強化対象端末10Aの特定後、当該端末10Aにおけるポリシ違反の解消が確認されるまでの間、当該端末10Aを、管理サーバ20との接続状態を維持しながら、複数の利用者端末10の属するシステム1から遮断することにより、当該端末10Aを管理サーバ20の管理下に置きながら、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0166】
そして、本実施形態では、図3に従って説明した通り、管理強化対象端末10Aは、ポリシ違反についての電子教育を完了して基準点以上のテスト結果を獲得し、且つ、ポリシ違反が全て解消された状態になった場合にのみ、つまり、管理強化対象端末10Aの利用者がポリシ違反について認識し当該端末10Aの状態をポリシ定義に合致する状態に設定した場合にのみ、動作制限(プログラム実行制限)やログイン/アクセスの禁止状態やシステム1からの遮断状態が解除されるので、セキュリティ上の重大事故の発生をより確実に未然に防止しながら、システム1におけるセキュリティ(ポリシ定義)についての教育を利用者(社員等)に対し徹底して行ない、利用者のセキュリティに対する意識を高めることができる。
【0167】
また、上述したように、例えばハインリッヒの法則を用いることにより、複数の利用者端末10に対して得られる最新および過去の比較結果(ポリシ違反件数)に基づいて、複数の利用者端末10の属する企業内システム1におけるセキュリティ上の重大事故の発生確率を推定することが可能であり、その推定結果を複数の利用者端末10の管理者や各利用者に通知することにより、その企業内システム1でセキュリティ上の重大事故が発生する危険度を管理者や利用者に知らしめ、管理者や利用者のセキュリティに対する意識を高めることができ、企業内システム1について安全な環境を確保・維持することができる。
【0168】
このとき、複数の利用者端末10に対して得られる最新および過去の比較結果(ポリシ違反の利用者端末10を特定する情報およびそのポリシ違反の内容の特定結果)に加え、複数の利用者端末10の利用者に対する、企業内システム1のセキュリティについての電子教育結果に基づいて、企業内システム1におけるセキュリティ上の重大事故の発生確率を推定することにより、重大事故の発生確率に、電子教育結果(電子教育後の試験結果/各利用者のポリシ違反の認識度など)が考慮・反映され、重大事故発生確率の推定値の信頼度をより高めることができる。例えば、本実施形態の推定手段268では、ポリシ違反を電子教育により認識しながら行なった場合と認識せずに行なった場合とで、前者の場合について上述のごとくハインリッヒの法則における軽傷事故(アクシデント)として取り扱うことにより、重大事故の発生確率の推定値がより高くなるようにしている。
【0169】
〔2〕第2実施形態:
〔2−1〕第2実施形態の構成:
図8は本発明の第2実施形態としての管理システム(管理サーバおよび利用者端末)の構成を示すブロック図で、この図8に示すように、第2実施形態の管理システム(企業内システム)1Aも、第1実施形態と同様、企業内等において、LAN40を介して、複数の利用者端末10や、管理サーバ20Aや、プロキシサーバ30を相互に通信可能に接続して構築された情報処理システムである。なお、図中、既述の符号と同一の符号は、同一もしくはほぼ同一の部分を示しているので、その詳細な説明は省略する。
【0170】
第2実施形態の管理システム1Aにおける管理サーバ20Aは、上述したようにLAN30を介して各利用者端末10と相互に通信可能に接続され、各利用者端末10を管理するもので、環境情報収集エージェントファイル送信手段21,環境情報受信手段22,比較手段23a,保存手段24および管理手段26としての機能を果たすものである。これらの手段21,22,23a,24,26aとしての機能は、管理サーバ20Aを構成する処理部(CPU;図示略)によって、記憶部(図示略)に予めインストールされている管理プログラムを実行することにより実現される。
【0171】
環境情報収集エージェントファイル送信手段21および環境情報受信手段22は、第1実施形態と同様に機能するものであるので、その詳細な説明は省略する。
比較手段23aは、第1実施形態の比較手段23と同様の基準に従い、環境情報収集手段22によって受信・収集された各利用者端末10における環境情報と予め設定されたセキュリティに関するポリシ定義〔例えば前記(1)〜(5)〕とを比較することにより、該ポリシ定義に違反している利用者端末10を管理強化対象端末10Aとして特定するものである。つまり、第2実施形態の管理システム1Aでは、第1実施形態のような特定手段26はそなえられておらず、比較手段23aが、各利用者端末10における環境情報とポリシ定義とを比較した結果、1回(1件)でもポリシ定義に違反している利用者端末10を管理強化対象端末10Aとして特定するように構成されている。
【0172】
また、保存手段24も、比較手段23aによる比較結果(ポリシ違反内容やポリシ違反件数)を、第1実施形態と同様、どの利用者端末10の比較結果であるか明確になるように利用者端末識別情報等に対応付け、過去の比較結果として保存するもので、その比較結果は、管理サーバ20を構成する記憶部(RAM,ハードディスク等)あるいは管理サーバ20に外付けされた記憶装置などに保存される。
【0173】
第2実施形態の管理手段26aは、比較手段23aによって特定された管理強化対象端末(利用者端末)10Aを管理するもので、第1実施形態と同様、監視手段261,警告手段262,記録手段263,電子教育制御手段264,確認手段265,除外手段266,禁止手段(動作制限手段)267,推定手段268および通知手段269としての機能をそなえて構成されている。なお、本実施形態では、比較手段23aによって特定された管理強化対象端末10Aに関する情報(当該端末10Aを特定する識別情報等)は、管理サーバ20Aを構成する記憶部(RAM,ハードディスク等)あるいは管理サーバ20Aに外付けされた記憶装置などのテーブル等に登録される。
【0174】
そして、電子教育制御手段264は、比較手段23aによって特定された管理強化対象端末10Aに、ポリシ違反についての電子教育を実行させるもので、第1実施形態と同様の、電子教育エージェントファイル作成/保持手段264aおよび電子教育エージェントファイル送信手段264bとしての機能を有している。
【0175】
また、確認手段265は、第1実施形態と同様、電子教育制御手段264によって管理強化対象端末10Aにおける電子教育が実行された後に、上述した環境情報収集手段および比較手段23を動作させて管理強化対象端末10Aにおけるポリシ違反が解消されているか否かを確認するものであり、除外手段266は、第1実施形態と同様、確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認され且つ管理強化対象端末10Aの利用者がポリシ違反についての電子教育で基準点以上の成績を上げたことを条件に、この管理強化対象端末10Aを管理強化対象から除外するものである。
【0176】
さらに、第2実施形態の監視手段261は、所定時間(例えば、管理強化対象として登録されてから、数十分,数時間,1日)経過しても確認手段265によって管理強化対象
端末10Aにおけるポリシ違反の解消が確認されない場合、もしくは、ポリシ違反の解消に伴い除外手段266によって管理強化対象から除外された利用者端末10が比較手段23aによって管理強化対象端末10Aとして再度特定された場合、その管理強化対象端末10Aにおける操作状況を監視(モニタ)するものである。この監視手段261によって監視される、管理強化対象端末10Aにおける操作状況は、第1実施形態と同様であり、警告手段262は、監視手段261によって監視される操作状況に応じて、管理強化対象端末10Aの管理者および利用者に警告を発するものであり、記録手段263は、監視手段261によって監視される操作状況を管理強化対象端末10Aにおける操作ログとして記録するものである。
【0177】
また、第2実施形態の禁止手段(動作制限手段)267は、監視手段261によって監視される操作状況に応じて、管理強化対象端末10Aによる、企業内システム1Aにおけるサーバ/データベース(図示略)に対するログイン/アクセスを禁止する禁止手段としての機能と、監視手段261によって監視される操作状況に応じて、管理強化対象端末10Aを、管理サーバ20との接続状態(上述のごときエージェントファイルによるデータ送受信が可能な状態)を維持しながら、企業内システム1Aから遮断する遮断手段としての機能とを併せもつものである。
【0178】
また、禁止手段(動作制限手段)267は、管理強化対象端末10Aが特定手段25によって特定されてから確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認されるまでの間、管理強化対象端末において所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行を禁止する動作制限エージェントファイルを作成し、電子メールに添付するなどして、管理強化対象端末10Aに送信するものである。すなわち、この禁止手段(動作制限手段)267は、請求項における動作制限手段を構成している。
【0179】
また、この禁止手段(動作制限手段)267は、管理強化対象端末10Aが特定手段25によって特定されてから確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認されるまでの間、管理強化対象端末において所定のプログラム(ホワイトリスト掲載のプログラム)以外のプログラムの実行を禁止するとともに、実行が禁止されているプログラムを削除する動作制限エージェントファイルを作成し、電子メールに添付するなどして、管理強化対象端末10Aに送信するものである。
【0180】
〔2−2〕第2実施形態の動作:
次に、上述のごとく構成された第2実施形態の動作について、図9〜図11を参照しながら説明する。
【0181】
まず、図9に示すフローチャート(ステップS101〜S109,S113,S115,S116〜S119)に従って、第2実施形態の管理サーバ20Aの動作について説明する。この図9に示すように、管理サーバ20Aでは、全ての利用者端末(PC)10について定期的な監査(環境情報収集およびポリシ定義比較)を行なっており、その監査タイミングになったか否かを監視しており(ステップS101)、監査タイミングになると(ステップS101のYESルート)、管理サーバ20Aに予め登録されている送信先の各利用者端末10に関する情報(メールアドレス等)に基づいて、環境情報収集エージェントファイル送信手段21により、環境情報収集エージェントファイルが、電子メールに添付するなどして、企業内システム1Aに属する全ての利用者端末10のそれぞれに送信される(ステップS102)。ここで、各利用者端末10の環境情報収集動作は、第1実施形態において説明したもの(図6(a)参照)と同様であるので、その説明は省略する。
【0182】
管理サーバ20Aでは、企業内システム1Aに属する各利用者端末10からの環境情報が受信され(ステップS103)、企業内システム1Aに属する全ての利用者端末10から環境情報が受信されると(ステップS104のYESルート)、複数の利用者端末10の中から一つを選択し(ステップS105)、以下の処理(ステップS106〜S109,S113,S115〜S119)を実行する。
【0183】
なお、ステップS104では、企業内システム1Aに属する全ての利用者端末10から環境情報が受信された場合に次の処理(ステップS106〜S109,S113,S115〜S119)に移行しているが、所定時間を経過しても全ての利用者端末10からの環境情報を受信できない場合には、その所定時間を経過時点で受信した環境情報に基づいて、次の処理(ステップS106〜S109,S113,S115〜S119)へ移行してもよい。また、企業内システム1Aに属する全ての利用者端末10から環境情報が受信された場合に次の処理(ステップS106〜S109,S113,S115〜S119)に移行するのではなく、一つの利用者端末10から環境情報を受信する都度、次の処理(ステップS106〜S109,S113,S115,S116)を実行するようにしてもよい。
【0184】
ステップS105で、未処理の一利用者端末10が選択されると、管理サーバ20Aの記憶部(テーブル)を参照し、その利用者端末(以下、処理対象端末という場合がある)10が既に管理強化対象端末10Aとして登録されているか否かを判断する(ステップS106)。管理強化対象端末10Aとして登録されていない場合(ステップS106のNOルート)、比較手段23aにより、処理対象端末10について収集された環境情報を、予め設定されたセキュリティに関するポリシ定義〔上記項目(1)〜(5)参照〕と比較し、処理対象端末10がポリシ定義に違反しているか否か、違反している場合には、そのポリシ違反の内容(ポリシ違反件数を含む)が特定される(ステップS107)。比較手段23aによる比較結果(ポリシ違反内容やポリシ違反件数)は、保存手段24により、処理対象端末10を特定しうる識別情報等に対応付けられ、過去の比較結果として管理サーバ20Aの記憶部に保存される(ステップS108)。なお、処理対象端末10がポリシ違反をしていない場合には、その旨が比較結果として保存される。
【0185】
そして、処理対象端末10がポリシ違反をしている場合(ステップS109のYESルート)、比較手段23aにより、その処理対象端末10が管理強化対象端末10Aとして特定され、この処理対象端末10(管理強化対象端末10A)を特定する識別情報等がテーブル等に登録される(ステップS113)。
【0186】
一方、ステップS106で処理対象端末10が既に管理強化対象端末10Aとして登録されていると判定された場合(ステップS106のYESルート)、比較手段23aにより、その管理強化対象端末10Aである処理対象端末10について収集された環境情報を、予め設定されたセキュリティに関するポリシ定義〔上記項目(1)〜(5)参照〕と比較し、処理対象端末10がポリシ定義に違反しているか否か、違反している場合には、そのポリシ違反の内容(ポリシ違反件数を含む)が特定される(ステップS115)。比較手段23aによる比較結果(ポリシ違反内容やポリシ違反件数)は、保存手段24により、処理対象端末10を特定しうる識別情報等に対応付けられ、過去の比較結果として管理サーバ20Aの記憶部に保存されてから(ステップS116)、後述するステップS117へ移行する。
【0187】
なお、第1実施形態と同様、この時点で、処理対象端末10がポリシ違反をしていない場合には、その旨が比較結果として保存されるが、本実施形態では、ここの処理で処理対象端末10がポリシ違反をしていないと判断されても管理強化対象端末10Aを管理強化対象から除外しない。本実施形態では、図10を参照しながら後述するごとく、一旦、管
理強化対象として特定された端末10の利用者については、ポリシ違反についての電子教育を受けて基準点以上の成績を上げ且つポリシ違反を解消した場合にのみ、管理強化対象から除外する。つまり、その利用者が、ポリシ違反についての電子教育を受けることなくポリシ違反を解消しても、管理強化対象から除外されず、必ずポリシ違反についての電子教育を受けさせ、ポリシ遵守を徹底させるようになっている。
【0188】
ステップS113の処理後、もしくは、ステップS116の処理後、もしくは、ステップS109で処理対象端末10がポリシ違反をしていないと判定された場合(NOルート)、全ての利用者端末10について監査処理を終了したか否かが判定され(ステップS117)、終了していない場合(ステップS117のNOルート)、ステップS105の処理へ戻り、未処理の利用者端末10に対して上述したステップS105〜S109,S113,S115〜S116の処理を実行する。
【0189】
全ての利用者端末10について監査処理を終了している場合(ステップS117のYESルート)、第1実施形態と同様、推定手段268により、複数の利用者端末10(企業内システム1に属する全ての利用者端末10)について得られる、比較手段23aによる最新の比較結果および保存手段24によって保存されている過去の比較結果と、利用者端末10(管理強化対象端末10A)の利用者に対する、企業内システム1Aのセキュリティについての電子教育結果とに基づいて、企業内システム1Aにおけるセキュリティ上の重大事故の発生確率が、上述の手法に従って推定され(ステップS118)、その推定値が、通知手段269により、企業内システム1Aの管理者等および企業内システム1Aに属する利用者端末10の利用者に、電子メール等を用いLAN40を介して通知される(ステップS119)。
【0190】
ついで、上述のごとく管理強化対象端末10Aとして登録された端末に対する、管理サーバ20Aの管理手段26aによる管理動作について、図10および図11を参照しながら説明する。
【0191】
図10は本実施形態の管理サーバ20Aにおける管理手段26aの動作を説明するためのフローチャート(ステップS21〜S23,S201〜S206,S28)であり、この図10に示すように、管理手段26aでは、管理強化対象端末10Aについての管理を定期的に行なうべく、管理タイミングになったか否かを監視しており(ステップS21)、管理タイミングになると(ステップS21のYESルート)、上記テーブル等に管理強化対象端末10Aが登録端末として登録されているか否かを判定する(ステップS22)。
【0192】
登録端末が有る場合(ステップS22のYESルート)、登録端末(管理強化対象端末)10Aの中から一つを選択し(ステップS23)、まず、図5および図6(b)を参照しながら前述した、第1実施形態と同様の電子教育処理(ステップS201)を実行する。その手順は、第1実施形態と同様であるので、その説明は省略する。
【0193】
ステップS23で選択された登録端末10Aにおける電子教育を完了した後には、管理手段26aにより、その処理対象端末10に対する電子教育結果が参照され、処理対象端末10が管理強化対象端末10Aとして登録される契機となったポリシ違反についての電子教育の受講(もしくは、そのポリシ違反についての内容を含むポリシ違反全般についての電子教育の受講)を、その端末10Aの利用者が全て終了し、基準点以上のテスト結果を獲得しているか否かが判断されるとともに、さらに、管理手段26aの確認手段265により、環境情報収集手段および比較手段23aを動作させ、当該登録端末10Aにおけるポリシ違反が解消されているか否かが確認される(ステップS202)。
【0194】
そして、基準点以上のテスト結果を獲得し且つポリシ違反が全て解消されている場合(ステップS202のYESルート)、管理手段26aの除外手段266により、この登録端末10Aが管理強化対象から除外され、即ち、その処理対象端末10についての管理強化対象端末10Aとしての登録(識別情報等)がテーブル等から削除され(ステップS203)、ステップS28へ移行する。
【0195】
一方、基準点以上のテスト結果を獲得していない場合、および/もしくは、全てのポリシ違反が解消されていない場合、つまりステップS202でNO判定となった場合には、まず、その登録端末10Aについて、確認手段265によるポリシ違反の解消が確認されない状態が所定時間(例えば、管理強化対象として登録されてから、数十分,数時間,1日)以上継続しているか否かが判断されるとともに(ステップS204)、ポリシ違反の解消に伴い除外手段266によって管理強化対象から除外された利用者端末10が比較手段23aによって管理強化対象端末10Aとして再度特定された端末であるか否かが判断される(ステップS205)。
【0196】
所定時間経過しても確認手段265によってポリシ違反の解消が確認されない場合(ステップS204のYESルート)、もしくは、ポリシ違反の解消に伴い除外手段266によって管理強化対象から除外された利用者端末10が比較手段23aによって管理強化対象端末10Aとして再度特定された場合(ステップS204のNOルートからステップS205のYESルート)、プログラム実行制限処理(ステップS206)を実行する。なお、監視/記録/警告/禁止/遮断処理などを併せて実行してもよい。
【0197】
ここで、図11に示すフローチャート(ステップS31〜S33,S34a)に従って、図10のステップS206で実行されるプログラム実行制限処理や、監視/記録/警告/禁止/遮断処理、つまり管理手段26aにおける監視手段261/記録手段263/警告手段262/禁止手段(動作制限手段)267の動作について説明する。
【0198】
プログラム実行制限処理ステップS206では、監視手段261により、所定時間経過してもポリシ違反の解消が確認されない管理強化対象端末10Aや管理強化対象端末10Aとして再度特定された端末10における操作状況が監視・モニタされ(ステップS31)、モニタされた操作状況は、記録手段263により、管理強化対象端末10Aにおける操作ログとして記録される(ステップS32)。ここで、監視・記録される操作状況は、上述した通り、例えば、インターネットアクセス履歴や、保有/使用禁止アプリケーションの使用状況や、電子メールのログ/内容や、スクリーンショット(例えば5分に一回)などである。
【0199】
この後、管理手段26aにより、モニタされた管理強化対象端末10Aにおける操作状況に問題が有るか否か、つまり、管理強化対象端末10Aにおいて、重大事故を引き起こす可能性のある危険な操作(上述)が行なわれたか否かが判定される(ステップS33)。上述のような危険な操作が行なわれた場合(ステップS33のYESルート)、警告手段262により、管理強化対象端末10Aの管理者および利用者に対し警告を直ちに発したり、禁止手段(動作制限手段)267により、管理強化対象端末10Aによる、企業内システム1におけるサーバ/データベース(図示略)に対するログイン/アクセスを禁止したり、禁止手段(動作制限手段)267により、管理強化対象端末10Aを、管理サーバ20との接続状態(上述のごときエージェントファイルによるデータ送受信が可能な状態)を維持しながら、企業内システム1から遮断したりする(ステップS34a)。そして、禁止手段(動作制限手段)267により、動作制限エージェントファイルを管理強化対象端末10Aに送信して、管理強化対象端末10Aにおいて所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行を禁止する(ステップS35)。なお、これらの警告/禁止/遮断処理は、警告処理と禁止処理、もしくは、警告処理と遮断処理を組み合
わせて行なってもよいし、警告処理,禁止処理および遮断処理のいずれか一つを、上述した危険な操作のレベルに応じて選択して、プログラム実行制限処理と共に実行してもよい。
【0200】
このような処理を行なった後、リターンし図10のステップS28の処理へ移行する一方、上述のごとき危険な操作が行なわれていない場合(ステップS33のNOルート)、ステップS34aとステップS35をスキップしてリターンし図11のステップS25の処理へ移行する。また、ポリシ違反の解消確認されない状態が所定時間以上継続しておらず且つ管理強化対象端末10Aが再特定されたものでない場合(ステップS204のNOルートからステップS205のNOルート)も図10のステップS28の処理へ移行する。
【0201】
そして、ステップS28において、全ての登録端末(管理強化対象端末)10Aについて処理を終了したか否かが判定され、終了していない場合(NOルート)、ステップS23の処理へ戻り、未処理の登録端末10Aに対してステップS23,S201〜S206の処理を実行する。全ての登録端末10Aについて処理を終了している場合(ステップS28のYESルート)、もしくは、ステップS22で登録端末が無いと判定された場合(NOルート)、ステップS21の処理へ戻る。
【0202】
〔2−3〕第2実施形態の効果:
このように、本発明の第2実施形態としての管理システム1Aによれば、複数の利用者端末10のそれぞれにおける環境情報が、各利用者端末10から管理サーバ20Aに収集され、この管理サーバ20Aにおいて、収集された各利用者端末における環境情報とセキュリティに関するポリシ定義とが比較され、1回(1件)でもポリシ定義に違反している利用者端末10が管理強化対象端末10Aとして特定され、特定された管理強化対象端末10Aでは所定のプログラム以外の実行が禁止され、特定された管理強化対象端末10Aにポリシ違反についての電子教育を実行させ、電子教育後、管理強化対象端末10Aにおいて電子教育に応じてポリシ違反が解消されたか否かを確認手段265により確認し、管理強化対象端末10Aにおけるポリシ違反が解消されている場合にその管理強化対象端末10Aを除外手段266により管理強化対象から除外する。
【0203】
そして、所定時間経過してもポリシ違反の解消が確認されない場合、もしくは、ポリシ違反の解消に伴い管理強化対象から一旦除外された利用者端末10が管理強化対象端末10Aとして再度特定された場合、当該管理強化対象端末における操作状況が監視されて操作ログとして記録される。
【0204】
これにより、1回(1件)でもポリシ定義に違反している利用者端末10が管理強化対象端末10Aとして特定され、その管理強化対象端末10Aでは所定のプログラム以外の実行が禁止され、かつ、その管理強化対象端末10Aに電子教育を実行させることになるので、ポリシ違反を行なっている管理強化対象端末10Aの利用者に対し、ポリシ違反についての電子教育が直ちに行なわれ、ポリシ遵守について利用者に確実に認識させることができる。
【0205】
さらに、管理強化対象端末においては、所定のプログラム以外の実行が禁じられるため、セキュリティ上の重大事故を未然に防止することができる。なお、ネットワーク接続や通常のプログラムの実行は禁止されないため、通常の使用には影響を与えず、セキュリティ上の重大事故を未然に防止することができる。
【0206】
また、全ての利用者端末10を対象とするのではなく、所定時間経過してもポリシ違反の解消が確認されない管理強化対象端末10Aや、管理強化対象端末10Aとして再度特
定された利用者端末10を対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末10(10A)や操作を確実に特定することができる。つまり、所定時間経過してもポリシ違反の解消が確認されない管理強化対象端末10Aや、管理強化対象端末10Aとして再度特定された利用者端末10が、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末10(10A)として認識され、そのような利用者端末10(10A)を確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0207】
このとき、第1実施形態と同様、管理強化対象端末10Aの監視結果に応じて管理強化対象端末10Aの管理者や利用者に警告を発することにより、管理強化対象端末10Aが、重大事故を引き起こす可能性のある危険な操作を行なった場合に直ちに警告を発することが可能になり、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0208】
また、管理強化対象端末10Aの監視結果に応じて、管理強化対象端末10Aによる、複数の利用者端末10の属するシステム1Aにおけるサーバ/データベースに対するログイン/アクセスを禁止することにより、管理強化対象端末10Aで例えばセキュリティ上問題のある操作が行なわれた場合にその管理強化対象端末10Aについてサーバやデータベースに対するログイン/アクセスを禁止することができるので、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0209】
同様に、管理強化対象端末10Aの監視結果に応じて、管理強化対象端末10Aを、管理サーバ20Aとの接続状態を維持しながら、複数の利用者端末10の属するシステム1Aから遮断することにより、管理強化対象端末10Aで例えばセキュリティ上問題のある操作が行なわれた場合にその管理強化対象端末10Aについてシステム1Aから遮断することができるので、管理強化対象端末10Aを管理サーバ20Aの管理下に置きながら、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0210】
なお、第2実施形態では、所定時間(例えば数十分,数時間,1日)経過しても確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認されない場合、もしくは、ポリシ違反の解消に伴い除外手段266によって管理強化対象から除外された利用者端末10が比較手段23aによって管理強化対象端末10Aとして再度特定された場合、その管理強化対象端末10Aを、所定プログラム以外実行禁止/操作ログ収集・記録対象としているが、これに代え、その管理強化対象端末10Aを、遮断手段267により、管理サーバ20Aとの接続状態(上述のごときエージェントファイルによるデータ送受信が可能な状態)を維持しながら、企業内システム1Aから遮断するように構成することも考えられる。
【0211】
このようにシステム1Aから遮断された管理強化対象端末10Aについては、管理者等が直接その端末10A(あるいはその利用者)を監査等してセキュリティ上の安全性が得られたことを確認し特別な許可が得られた場合にのみ、管理強化対象から除外され、システム1Aへの接続を可能にする。これにより、ポリシ違反に対する認識の甘い端末10やその利用者についてポリシ遵守を徹底するよう認識させた上で、システム1Aへの接続を許可することができ、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0212】
〔3〕第3実施形態:
〔3−1〕第3実施形態の構成:
図12は本発明の第3実施形態としての管理システム(管理サーバおよび利用者端末)の構成を示すブロック図で、この図12に示すように、第3実施形態の管理システム(企業内システム)1Bも、第1実施形態と同様、企業内等において、LAN40を介して、複数の利用者端末10や、管理サーバ20Bや、プロキシサーバ30を相互に通信可能に接続して構築された情報処理システムである。なお、図中、既述の符号と同一の符号は、同一もしくはほぼ同一の部分を示しているので、その詳細な説明は省略する。
【0213】
第3実施形態の管理システム1Bにおける管理サーバ20Bは、上述したようにLAN30を介して各利用者端末10と相互に通信可能に接続され、各利用者端末10を管理するもので、環境情報収集エージェントファイル送信手段21,環境情報受信手段22,比較手段23,保存手段24,特定手段25aおよび管理手段26bとしての機能を果たすものである。これらの手段21,22,23,24,25a,26bとしての機能は、管理サーバ20Bを構成する処理部(CPU;図示略)によって、記憶部(図示略)に予めインストールされている管理プログラムを実行することにより実現される。
【0214】
環境情報収集エージェントファイル送信手段21,環境情報受信手段22,比較手段23および保存手段24は、第1実施形態と同様に機能するものであるので、その詳細な説明は省略する。
【0215】
特定手段25aは、比較手段23による最新の比較結果および保存手段24に保存されている各利用者端末10についての過去の比較結果に基づいて、ポリシ違反の件数が1〜所定件数の利用者端末10、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末10を第1管理強化対象端末10Bとして特定する一方で、ポリシ違反の件数が前記所定件数を超えた利用者端末10、もしくは、ポリシ違反の回数が前記所定回数を超えた利用者端末10を第2管理強化対象端末10Cとして特定するものである。第3実施形態においても、ポリシ違反の件数や回数は、第1実施形態と同様にして比較手段23から出力される。
【0216】
管理手段26bは、特定手段25aによって特定された管理強化対象端末(利用者端末)10B,10Cを管理するもので、監視手段261,警告手段262,記録手段263,電子教育制御手段264,確認手段265,除外手段266,禁止手段(動作制限手段),推定手段268,通知手段269aおよび遮断手段270としての機能をそなえて構成されている。なお、本実施形態では、特定手段25aによって特定された第1管理強化対象端末10Bおよび第2管理強化対象端末10Cに関する情報(当該端末10B,10Cを特定する識別情報等)は、管理サーバ20Bを構成する記憶部(RAM,ハードディスク等)あるいは管理サーバ20Bに外付けされた記憶装置などのテーブル等に登録される。
【0217】
第3実施形態の通知手段269aは、第1実施形態の通知手段269と同様、推定手段268によって推定された発生確率を、企業内システム1Bの管理者等および企業内システム1Bに属する利用者端末10の利用者に、電子メール等を用いLAN40を介して通知し、その管理者等の端末や利用者端末10において表示させるほか、特定手段25aによって特定された第1管理強化対象端末10Bの管理者および利用者の少なくとも一方に第1管理強化対象端末10Bとして特定された旨を通知する機能も果たしている。
【0218】
そして、監視手段261は、特定手段25aによって特定された第1管理強化対象端末10Bおよび第2管理強化対象端末10Cにおける操作状況を監視するものであり、警告手段262は、監視手段261によって監視される操作状況に応じて、管理強化対象端末10Aの管理者および利用者に警告を発するものであり、記録手段263は、監視手段2
61によって監視される操作状況を第1管理強化対象端末10Bおよび第2管理強化対象端末10Cにおける操作ログとして記録するものである。なお、警告手段262による警告や記録手段263による操作ログの記録は、第1管理強化対象端末10Bについて行ない第2管理強化対象端末10Cについては行なわなくてもよい。
【0219】
遮断手段270は、特定手段25aによって特定された第2管理強化対象端末10Cを、管理サーバ20Bとの接続状態(上述のごときエージェントファイルによるデータ送受信が可能な状態)を維持しながら企業内システム1Bから遮断するものであり、第3実施形態の電子教育制御手段264は、遮断手段270によって遮断された状態で、第2管理強化対象端末10Cに、ポリシ違反についての電子教育を実行させるもので、第1実施形態と同様の、電子教育エージェントファイル作成/保持手段264aおよび電子教育エージェントファイル送信手段264bとしての機能を有している。
【0220】
また、第3実施形態の禁止手段(動作制限手段)267aは、監視手段261によって監視される操作状況に応じて、第1管理強化対象端末10B,第2管理強化対象端末10Cによる、企業内システム1におけるサーバ/データベース(図示略)に対するログイン/アクセスを禁止するものである。
【0221】
また、第3実施形態の禁止手段(動作制限手段)267aは、監視手段261によって監視される操作状況に応じて、第1管理強化対象端末10B,第2管理強化対象端末10Cによる、企業内システム1Aにおけるサーバ/データベース(図示略)に対するログイン/アクセスを禁止する禁止手段としての機能と、監視手段261によって監視される操作状況に応じて、管理強化対象端末10Aを、管理サーバ20との接続状態(上述のごときエージェントファイルによるデータ送受信が可能な状態)を維持しながら、企業内システム1Bから遮断する遮断手段としての機能とを併せもつものである。
【0222】
また、禁止手段(動作制限手段)267は、第1管理強化対象端末10B,第2管理強化対象端末10Cが特定手段25によって特定されてから確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認されるまでの間、管理強化対象端末において所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行を禁止する動作制限エージェントファイルを作成し、電子メールに添付するなどして、第1管理強化対象端末10B,第2管理強化対象端末10Cに送信するものである。すなわち、この禁止手段(動作制限手段)267は、請求項における動作制限手段を構成している。
【0223】
また、この禁止手段(動作制限手段)267は、第1管理強化対象端末10B,第2管理強化対象端末10Cが特定手段25によって特定されてから確認手段265によって管理強化対象端末10Aにおけるポリシ違反の解消が確認されるまでの間、管理強化対象端末において所定のプログラム(ホワイトリスト掲載のプログラム)以外のプログラムの実行を禁止するとともに、実行が禁止されているプログラムを削除する動作制限エージェントファイルを作成し、電子メールに添付するなどして、第1管理強化対象端末10B,第2管理強化対象端末10Cに送信するものである。
【0224】
また、確認手段265は、第1実施形態と同様、電子教育制御手段264によって第2管理強化対象端末10Cにおける電子教育が実行された後に、上述した環境情報収集手段および比較手段23を動作させて第2管理強化対象端末10Cにおけるポリシ違反が解消されているか否かを確認するものであり、除外手段266は、第1実施形態と同様、確認手段265によって第2管理強化対象端末10Cにおけるポリシ違反の解消が確認され且つ第2管理強化対象端末10Cの利用者がポリシ違反についての電子教育で基準点以上の成績を上げたことを条件に、この第2管理強化対象端末10Cを管理強化対象から除外するものである。このとき、第2管理強化対象端末10Cを、管理強化対象から一切除外し
てもよいし、第2管理強化対象端末10Cを、第2管理強化対象端末10Cから第1管理強化対象端末10Bに切り替えてもよい。
【0225】
〔3−2〕第3実施形態の動作:
次に、上述のごとく構成された第3実施形態の動作について、図13および図14を参照しながら説明する。
【0226】
まず、図13に示すフローチャート(ステップS101〜S105,S106a,S107〜S110,S111a〜S114a,S115〜S119,S121〜S126)に従って、第3実施形態の管理サーバ20Bの動作について説明する。この図13に示すように、管理サーバ20Bでは、全ての利用者端末(PC)10について定期的な監査(環境情報収集およびポリシ定義比較)を行なっており、その監査タイミングになったか否かを監視しており(ステップS101)、監査タイミングになると(ステップS101のYESルート)、管理サーバ20Bに予め登録されている送信先の各利用者端末10に関する情報(メールアドレス等)に基づいて、環境情報収集エージェントファイル送信手段21により、環境情報収集エージェントファイルが、電子メールに添付するなどして、企業内システム1に属する全ての利用者端末10のそれぞれに送信される(ステップS102)。ここで、各利用者端末10の環境情報収集動作は、第1実施形態において説明したもの(図6(a)参照)と同様であるので、その説明は省略する。
【0227】
管理サーバ20Bでは、企業内システム1Bに属する各利用者端末10からの環境情報が受信され(ステップS103)、企業内システム1Bに属する全ての利用者端末10から環境情報が受信されると(ステップS104のYESルート)、複数の利用者端末10の中から一つを選択し(ステップS105)、以下の処理(ステップS106a,S107〜S110,S111a〜S114a,S115〜S119,S121〜S126)を実行する。
【0228】
なお、ステップS104では、企業内システム1Bに属する全ての利用者端末10から環境情報が受信された場合に次の処理(ステップS106a,S107〜S110,S111a〜S114a,S115〜S119,S121〜S126)に移行しているが、所定時間を経過しても全ての利用者端末10からの環境情報を受信できない場合には、その所定時間を経過時点で受信した環境情報に基づいて、次の処理(ステップS106a,S107〜S110,S111a〜S114a,S115〜S119,S121〜S126)へ移行してもよい。また、企業内システム1Bに属する全ての利用者端末10から環境情報が受信された場合に次の処理(ステップS106a,S107〜S110,S111a〜S114a,S115〜S119,S121〜S126)に移行するのではなく、一つの利用者端末10から環境情報を受信する都度、次の処理(ステップS106a,S107〜S110,S111a〜S114a,S115,S116,S121〜S126)を実行するようにしてもよい。
【0229】
ステップS105で、未処理の一利用者端末10が選択されると、管理サーバ20Bの記憶部(テーブル)を参照し、その利用者端末(以下、処理対象端末という場合がある)10が既に第1管理強化対象端末10Bもしくは第2管理強化対象端末10Cとして登録されているか否かを判断する(ステップS106a)。第1管理強化対象端末10Bおよび第2管理強化対象端末10Cのいずれにも登録されていない場合(ステップS106aのNOルート)、比較手段23により、処理対象端末10について収集された環境情報を、予め設定されたセキュリティに関するポリシ定義〔上記項目(1)〜(5)参照〕と比較し、処理対象端末10がポリシ定義に違反しているか否か、違反している場合には、そのポリシ違反の内容(ポリシ違反件数を含む)が特定される(ステップS107)。比較手段23による比較結果(ポリシ違反内容やポリシ違反件数)は、保存手段24により、処理対
象端末10を特定しうる識別情報等に対応付けられ、過去の比較結果として管理サーバ20Bの記憶部に保存される(ステップS108)。なお、処理対象端末10がポリシ違反をしていない場合には、その旨が比較結果として保存される。
【0230】
そして、処理対象端末10がポリシ違反をしている場合(ステップS109のYESルート)、特定手段25aにより、処理対象端末10についての過去の比較結果が読み出されてから(ステップS110)、比較手段23による最新の比較結果および保存手段24によって保存されている各利用者端末10についての過去の比較結果に基づいて、処理対象端末10が、ポリシ違反の件数が1〜所定件数もしくはポリシ違反の回数が1〜所定回数の第1管理強化対象端末10Bであるか、ポリシ違反の件数が前記所定件数を超えたもしくはポリシ違反の回数が前記所定回数を超えた第2管理強化対象端末10Cであるか否かが判断・特定される(ステップS111a)。
【0231】
処理対象端末10が第1管理強化対象端末10Bである場合(ステップS112の“第1”ルート)、特定手段25aにより、この処理対象端末10(第1管理強化対象端末10B)を特定する識別情報等がテーブル等に登録されるとともに(ステップS113a)、通知手段269aにより、特定手段25aによって特定された第1管理強化対象端末10Bの管理者および利用者の少なくとも一方に対し、第1管理強化対象端末10Bとして特定された旨が通知される(ステップS114a)。
【0232】
処理対象端末10が第2管理強化対象端末10Cである場合(ステップS112の“第2”ルート)、特定手段25aにより、この処理対象端末10(第2管理強化対象端末10C)を特定する識別情報等がテーブル等に登録されるとともに(ステップS125)、遮断手段270により、登録された第2管理強化対象端末10Cが、管理サーバ20Bとの接続状態(上記エージェントファイルによるデータ送受信が可能な状態)を維持しながら、企業内システム1Bから遮断される(ステップS126)。
【0233】
さらに、禁止手段(動作制限手段)267により、第2管理強化対象端末10Cにおいて所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行を禁止する動作制限エージェントファイルが作成され、電子メールに添付するなどして第2管理強化対象端末10Cに送信され、この動作制限エージェントファイルを受信した第2管理強化対象端末10Cにおいては所定のプログラム(ホワイトリスト掲載のプログラム)以外の実行が禁止される(ステップS126)。
【0234】
このように管理サーバ20Bとの接続状態を維持することで、第2管理強化対象端末10Cを企業内システム1から遮断しても、少なくとも第2管理強化対象端末10Cと管理サーバ20Bとの間のやり取り(各種エージェントファイル,環境情報,電子教育結果,操作状況等の情報のやり取り)のみは可能な状態が維持されることになる。なお、ステップS125において、登録を行なう際には、併せて、通知手段269aにより、特定手段25aによって特定された第2管理強化対象端末10Cの管理者および利用者の少なくとも一方に対し、第2管理強化対象端末10Cとして特定された旨が通知される。
【0235】
一方、ステップS106aで処理対象端末10が既に第1管理強化対象端末10Bもしくは第2管理強化対象端末10Cとして登録されていると判定された場合(ステップS106aのYESルート)、比較手段23により、その管理強化対象端末10Bもしくは10Cである処理対象端末10について収集された環境情報を、予め設定されたセキュリティに関するポリシ定義〔上記項目(1)〜(5)参照〕と比較し、処理対象端末10がポリシ定義に違反しているか否か、違反している場合には、そのポリシ違反の内容(ポリシ違反件数を含む)が特定される(ステップS115)。比較手段23による比較結果(ポリシ違反内容やポリシ違反件数)は、保存手段24により、処理対象端末10を特定しうる識別
情報等に対応付けられ、過去の比較結果として管理サーバ20Bの記憶部に保存される(ステップS116)。
【0236】
なお、第1実施形態と同様、この時点で、処理対象端末10がポリシ違反をしていない場合には、その旨が比較結果として保存されるが、本実施形態では、ここの処理で処理対象端末10がポリシ違反をしていないと判断されても管理強化対象端末10B,10Cを管理強化対象から除外しない。本実施形態では、図14を参照しながら後述するごとく、一旦、第1管理強化対象もしくは第2管理強化対象として特定された端末10の利用者については、第2管理強化対象端末10Cの状態でポリシ違反についての電子教育を受けて基準点以上の成績を上げ且つポリシ違反を解消した場合にのみ、管理強化対象から除外される。つまり、第1管理強化対象端末10Bもしくは第2管理強化対象端末10Cの利用者が、ポリシ違反についての電子教育を受けることなくポリシ違反を解消しても、管理強化対象から除外されず、必ずポリシ違反についての電子教育を受けさせ、ポリシ遵守を徹底させるようになっている。
【0237】
ステップS116で比較結果を保存した後、処理対象端末10が、第1管理強化対象端末10Bおよび第2管理強化対象端末10Cのうちのいずれであるかを判断し(ステップS121)、第1管理強化対象端末10Bである場合(ステップS121のYESルート)、特定手段25aにより、処理対象端末10についての過去の比較結果が読み出されてから(ステップS122)、比較手段23による最新の比較結果および保存手段24によって保存されている各利用者端末10についての過去の比較結果に基づいて、処理対象端末10が、第1管理強化対象端末10Bのままであるか、ポリシ違反の件数が前記所定件数を超えたもしくはポリシ違反の回数が前記所定回数を超えた第2管理強化対象端末10Cであるか否かが判断・特定される(ステップS123)。
【0238】
処理対象端末10が第1管理強化対象端末10Bのままである場合(ステップS124のNOルート)、通知手段269aにより、この第1管理強化対象端末10Bの管理者および利用者の少なくとも一方に対し、第1管理強化対象端末10Bとして特定されたままである旨が通知される(ステップS114a)。また、処理対象端末10が第1管理強化対象端末10Bから第2管理強化対象端末10Cとなった場合(ステップS124のYESルート)には上述したステップS125およびステップS126の処理が実行される。
【0239】
一方、処理対象端末10が第2管理強化対象端末10Cである場合(ステップS121のNOルート)、ステップS126へ移行し、第2管理強化対象端末10Cのシステム1Bからの遮断状態が維持される。
【0240】
ステップS114aの処理後、もしくは、ステップS126の処理後、もしくは、ステップS109で処理対象端末10がポリシ違反をしていないと判定された場合(NOルート)、もしくは、ステップS112aで処理対象端末10が管理強化対象端末10Bでも10Cでもないと判定された場合(NOルート)、全ての利用者端末10について監査処理を終了したか否かが判定され(ステップS117)、終了していない場合(ステップS117のNOルート)、ステップS105の処理へ戻り、未処理の利用者端末10に対して上述したステップS105,S106a,S107〜S110,S111a〜S114a,S115,S116,S121〜S126の処理を実行する。
【0241】
全ての利用者端末10について監査処理を終了している場合(ステップS117のYESルート)、第1実施形態と同様、推定手段268により、複数の利用者端末10(企業内システム1に属する全ての利用者端末10)について得られる、比較手段23による最新の比較結果および保存手段24によって保存されている過去の比較結果と、利用者端末10(管理強化対象端末10B,10C)の利用者に対する、企業内システム1Bのセキ
ュリティについての電子教育結果とに基づいて、企業内システム1Bにおけるセキュリティ上の重大事故の発生確率が、上述の手法に従って推定され(ステップS118)、その推定値が、通知手段269aにより、企業内システム1Bの管理者等および企業内システム1Bに属する利用者端末10の利用者に、電子メール等を用いLAN40を介して通知される(ステップS119)。
【0242】
ついで、上述のごとく管理強化対象端末10B,10Cとして登録された端末に対する、管理サーバ20Bの管理手段26bによる管理動作について、図14を参照しながら説明する。
【0243】
図14は本実施形態の管理サーバ20Bにおける管理手段26bの動作を説明するためのフローチャート(ステップS21〜S23,S211〜S216,S28)であり、この図14に示すように、管理手段26bでは、管理強化対象端末10B,10Cについての管理を定期的に行なうべく、管理タイミングになったか否かを監視しており(ステップS21)、管理タイミングになると(ステップS21のYESルート)、上記テーブル等に管理強化対象端末10B,10Cが登録端末として登録されているか否かを判定する(ステップS22)。
【0244】
登録端末が有る場合(ステップS22のYESルート)、登録端末(管理強化対象端末)10B,10Cの中から一つを選択し(ステップS23)、その登録端末が第1管理強化対象端末10Bであるか第2管理強化対象端末10Cであるかを判定し(ステップS211)、第1管理強化対象端末10Bである場合(ステップS211の“第1”ルート)、動作制限(所定プログラム以外実行禁止)/監視/記録/警告/禁止/遮断処理(ステップS212)を実行してから、ステップS28へ移行する。なお、ステップS212での動作制限(所定プログラム以外実行禁止)/監視/記録/警告/禁止/遮断処理は、図11を参照しながら前述した、第2実施形態の処理と同様であるので、その説明は省略する。
【0245】
登録端末が第2管理強化対象端末10Cである場合(ステップS211の“第2”ルート)、まず、所定プログラム以外実行禁止,監視/記録/警告処理(ステップS213)を実行する。第2管理強化対象端末10Cについては、登録時に既にシステム1Bから遮断されているので(図13のステップS126参照)、ここでは、図11を参照しながら前述した動作制限(所定プログラム以外実行禁止)/監視/記録/警告/禁止/遮断処理から、禁止/遮断処理を除いた処理を行なう。その手順は、図11に示した手順とほぼ同様であるので、その説明は省略する。
【0246】
この後、第2管理強化対象端末10Cに対し、図5および図6(b)を参照しながら前述した、第1実施形態と同様の電子教育処理(ステップS214)を実行する。その手順は、第1実施形態と同様であるので、その説明は省略する。
【0247】
第2管理強化対象端末10Cにおける電子教育を完了した後には、管理手段26bにより、その処理対象端末10に対する電子教育結果が参照され、処理対象端末10が第2管理強化対象端末10Cとして登録される契機となったポリシ違反についての電子教育の受講(もしくは、そのポリシ違反についての内容を含むポリシ違反全般についての電子教育の受講)を、その端末10Cの利用者が全て終了し、基準点以上のテスト結果を獲得しているか否かが判断されるとともに、さらに、管理手段26bの確認手段265により、環境情報収集手段および比較手段23を動作させ、当該登録端末10Cにおけるポリシ違反が解消されているか否かが確認される(ステップS215)。
【0248】
基準点以上のテスト結果を獲得し且つポリシ違反が全て解消されている場合(ステップ
S215のYESルート)、管理手段26bの除外手段266により、この登録端末10Cが管理強化対象から除外され、即ち、その処理対象端末10についての第2管理強化対象端末10Cとしての登録(識別情報等)がテーブル等から削除され、遮断手段270によるシステム1Bからの遮断状態が解除されてから(ステップS216)、ステップS28へ移行する。このとき、前述した通り、第2管理強化対象端末10Cを、管理強化対象から一切除外してもよいし、第2管理強化対象端末10Cを、第2管理強化対象端末10Cから第1管理強化対象端末10Bに切り替えてもよい。一方、基準点以上のテスト結果を獲得していない場合、および/もしくは、全てのポリシ違反が解消されていない場合、つまりステップS215でNO判定となった場合には、ステップS216をスキップしてステップS28へ移行する。
【0249】
そして、ステップS28において、全ての登録端末(管理強化対象端末)10B,10Cについて処理を終了したか否かが判定され、終了していない場合(NOルート)、ステップS23の処理へ戻り、未処理の登録端末10B,10Cに対してステップS23,S211〜S216の処理を実行する。全ての登録端末10B,10Cについて処理を終了している場合(ステップS28のYESルート)、もしくは、ステップS22で登録端末が無いと判定された場合(NOルート)、ステップS21の処理へ戻る。
【0250】
〔3−3〕第3実施形態の効果:
このように、本発明の第3実施形態としての管理システム1Bによれば、複数の利用者端末10のそれぞれにおける環境情報が、各利用者端末10から管理サーバ20Bに収集され、この管理サーバ20Bにおいて、収集された各利用者端末10における環境情報とセキュリティに関するポリシ定義とが比較されてポリシ違反の利用者端末10および内容が特定され、最新および過去の比較結果に基づいて、ポリシ違反の件数が1〜所定件数の利用者端末10、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末10が、第1管理強化対象端末10Bとして特定される一方、ポリシ違反の件数が前記所定件数を超えた利用者端末10、もしくは、ポリシ違反の回数が前記所定回数を超えた利用者端末10が第2管理強化対象端末10Cとして特定される。
【0251】
そして、第1管理強化対象端末10Bおよび第2管理強化対象端末10Cの管理者や利用者に対し、それぞれ、第1管理強化対象端末10Bおよび第2管理強化対象端末10Cとして特定された旨が通知されるとともに、第1管理強化対象端末10Bおよび第2管理強化対象端末10Cにおける操作状況が監視されて操作ログとして記録される。そして、特定された第1管理強化対象端末10B, 第2管理強化対象端末10Cにおいて、所定のプログラム以外の実行が管理サーバ20Bにより禁止される。
【0252】
また、第2管理強化対象端末10Cについては、管理サーバ20Bとの接続状態を維持しながら企業内システム1Bからは遮断された状態でポリシ違反についての電子教育を実行させる。
【0253】
このように、第1管理強化対象端末10Bおよび第2管理強化対象端末10Cの管理者や利用者に対する通知を行なうことで、管理者や利用者に第1管理強化対象端末10Bおよび第2管理強化対象端末10Cとして特定されている旨を認識させることができ、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0254】
さらに、管理強化対象端末においては、所定のプログラム以外の実行が禁じられるため、セキュリティ上の重大事故を未然に防止することができる。なお、ネットワーク接続や通常のプログラムの実行は禁止されないため、通常の使用には影響を与えず、セキュリティ上の重大事故を未然に防止することができる。
【0255】
また、全ての利用者端末10を対象とするのではなく、第1管理強化対象端末10Bおよび第2管理強化対象端末10Cを対象として操作ログの記録が行なわれ、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末や操作を確実に特定することができる。つまり、ポリシ違反の件数が1〜所定件数の利用者端末10、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末10と、ポリシ違反の件数が前記所定件数を超えた利用者端末10、もしくは、ポリシ違反の回数が前記所定回数を超えた利用者端末10がセキュリティ上の重大事故を引き起こす可能性の高い利用者端末(第1管理強化対象端末10Bおよび第2管理強化対象端末10C)として特定され、そのような利用者端末10B,10Cを確実にシステム管理者等の管理下に置きその操作状況を記録することが可能になる。従って、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。なお、操作ログ記録対象は、第1管理強化対象端末10Bのみとしてもよく、この場合、操作ログ記録対象がより絞られ、保存・解析すべき操作ログの量をより少なくすることができる。
【0256】
さらに、第1管理強化対象端末10Bよりもポリシ違反件数/回数が多く、セキュリティ上の重大事故を引き起こす可能性のより高い第2管理強化対象端末10Cについては、企業内システム1Bから遮断されてシステム1Bにセキュリティ上の影響を及ぼすことのない状態で、ポリシ違反についての電子教育を確実に実行させることができ、システム1Bの安全を確保しながらポリシ遵守について利用者に確実に認識させることができる。
【0257】
そして、電子教育後、第2管理強化対象端末10Cにおいて電子教育に応じてポリシ違反が解消されたか否かを確認し、第2管理強化対象端末10Cにおけるポリシ違反が解消されている場合に第2管理強化対象端末10Cを管理強化対象から除外する(もしくは第1管理強化対象端末10Bに切り替えてもよい)ことにより、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(第2管理強化対象端末10C)は、電子教育に応じてポリシ違反が解消されるまで確実にシステム管理者等の管理下に置かれるので、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0258】
なお、第1管理強化対象端末10Bにおいてポリシ違反が解消されたか否かを確認し、第1管理強化対象端末10Bにおけるポリシ違反が解消されている場合に第1管理強化対象端末10Bを管理強化対象から除外するように構成してもよく、この場合、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(第1管理強化対象端末10B)はポリシ違反が解消されるまで確実にシステム管理者等の管理下に置かれてその操作状況を記録できるので、膨大な量の操作ログの保存・解析を行なうことなく、通常の使用には影響を与えず、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0259】
また、管理強化対象端末10B,10Cの監視結果に応じて管理強化対象端末10B,10Cの管理者や利用者に警告を発することにより、管理強化対象端末10B,10Cが例えば重大事故を引き起こす可能性のある危険な操作を行なった場合やセキュリティ上問題のある操作が行なわれた場合に直ちに警告を発することが可能になり、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0260】
さらに、管理強化対象端末10B,10Cの監視結果に応じて、管理強化対象端末10B,10Cによる、企業内システム1Bにおけるサーバ/データベースに対するログイン/アクセスを禁止することで、管理強化対象端末10B,10Cが例えば重大事故を引き起こす可能性のある危険な操作を行なった場合やセキュリティ上問題のある操作が行なわれた場合にサーバやデータベースに対するログイン/アクセスを禁止することができるの
で、セキュリティ上の重大事故の発生をより確実に且つ未然に防止することができる。
【0261】
〔3−4〕第3実施形態の変形例:
上述した第3実施形態では、図13および図14を参照しながら説明したように、第1管理強化対象端末10Bに対し、通知処理(図13のステップ114a参照)および動作制限(所定プログラム以外実行禁止)/監視/記録/警告/禁止/遮断処理(図14のステップS212参照)を行ない、第2管理強化対象端末10Cに対し、遮断処理(図13のステップS126参照),通知処理(図13のステップ114a参照)および動作制限(所定プログラム以外実行禁止)/監視/記録/警告/禁止処理(図14のステップS213)を行なっているが、第1管理強化対象端末10Bや第2管理強化対象端末10Cに対して行なうべき管理処理はこれに限定されるものではない。
【0262】
例えば、第1管理強化対象端末10Bに対し、通知処理(図13のステップ114a参照),動作制限(所定プログラム以外実行禁止)/監視/記録/警告/禁止/遮断処理(図14のステップS212参照)および電子教育処理を行ない、第2管理強化対象端末10Cに対し、遮断処理(図13のステップS126参照),通知処理(図13のステップ114a)および動作制限(所定プログラム以外実行禁止)/監視/記録/警告/禁止処理(図14のステップS213)を行なってもよい。
【0263】
この変形例での管理サーバ20Bにおける、PC監査,環境情報収集,第1管理強化対象端末10B/第2管理強化対象端末10Cの特定・登録・通知,第2管理強化対象端末10Cの遮断,重大事故発生確率推定・通知などの動作は、図13に示すフローチャート(ステップS101〜S105,S106a,S107〜S110,S111a〜S114a,S115〜S119,S121〜S126)に従って説明した動作と同一であるので、その説明は省略する。
【0264】
ついで、図13に示す手順で管理強化対象端末10B,10Cとして登録された端末に対する、管理サーバ20Bの管理手段26bによる管理動作の変形例について、図15を参照しながら説明する。
【0265】
図15は本実施形態の管理サーバ20Bにおける管理手段26bの動作の変形例を説明するためのフローチャート(ステップS21〜S23,S221〜S228,S28)であり、この図15に示すように、管理手段26bでは、管理強化対象端末10B,10Cについての管理を定期的に行なうべく、管理タイミングになったか否かを監視しており(ステップS21)、管理タイミングになると(ステップS21のYESルート)、上記テーブル等に管理強化対象端末10B,10Cが登録端末として登録されているか否かを判定する(ステップS22)。
【0266】
登録端末が有る場合(ステップS22のYESルート)、登録端末(管理強化対象端末)10B,10Cの中から一つを選択し(ステップS23)、その登録端末が第1管理強化対象端末10Bであるか第2管理強化対象端末10Cであるかを判定し(ステップS211)、第1管理強化対象端末10Bである場合(ステップS221の“第1”ルート)、動作制限(所定プログラム以外実行禁止)/監視/記録/警告/禁止/遮断処理(ステップS222;図14のステップS212に対応)を実行してから、第1管理強化対象端末10Bに対し、図5および図6(b)を参照しながら前述した、第1実施形態と同様の電子教育処理(ステップS223)を実行する。その手順は、第1実施形態と同様であるので、その説明は省略する。
【0267】
第1管理強化対象端末10Bにおける電子教育を完了した後には、管理手段26bにより、その処理対象端末10に対する電子教育結果が参照され、処理対象端末10が第1管
理強化対象端末10Bとして登録される契機となったポリシ違反についての電子教育の受講(もしくは、そのポリシ違反についての内容を含むポリシ違反全般についての電子教育の受講)を、その端末10Bの利用者が全て終了し、基準点以上のテスト結果を獲得しているか否かが判断されるとともに、さらに、管理手段26bの確認手段265により、環境情報収集手段および比較手段23を動作させ、当該登録端末10Bにおけるポリシ違反が解消されているか否かが確認される(ステップS224)。
【0268】
そして、基準点以上のテスト結果を獲得し且つポリシ違反が全て解消されている場合(ステップS224のYESルート)、管理手段26bの除外手段266により、この登録端末10Bが管理強化対象から除外され、即ち、その処理対象端末10についての第1管理強化対象端末10Bとしての登録(識別情報等)がテーブル等から削除され(ステップS225)、ステップS28へ移行する。一方、基準点以上のテスト結果を獲得していない場合、および/もしくは、全てのポリシ違反が解消されていない場合、つまりステップS224でNO判定となった場合には、ステップS225をスキップしてステップS28へ移行する。
【0269】
登録端末が第2管理強化対象端末10Cである場合(ステップS221の“第2”ルート)、動作制限(所定プログラム以外実行禁止)/監視/記録/警告処理(ステップS226)を実行する。第2管理強化対象端末10Cについては、登録時に既にシステム1Bから遮断されているので(図13のステップS126参照)、ここでは、図11を参照しながら前述した動作制限(所定プログラム以外実行禁止)/監視/記録/警告/禁止/遮断処理から、禁止/遮断処理を除いた処理を行なう。その手順は、図11に示した手順とほぼ同様であるので、その説明は省略する。
【0270】
この後、処理対象の第2管理強化対象端末10Cについて、管理者等が直接その端末(あるいはその利用者)を監査等してセキュリティ上の安全性が得られたことを確認し特別な許可が得られているか否かを判断し(ステップS227)、前記許可が得られている場合(ステップS227のYESルート)、管理手段26bの除外手段266により、この登録端末10Cが管理強化対象から除外され、即ち、その処理対象端末10についての第2管理強化対象端末10Cとしての登録(識別情報等)がテーブル等から削除され、遮断手段270によるシステム1Bからの遮断状態が解除されてから(ステップS228)、ステップS28へ移行する。このとき、前述した通り、第2管理強化対象端末10Cを、管理強化対象から一切除外してもよいし、第2管理強化対象端末10Cを、第2管理強化対象端末10Cから第1管理強化対象端末10Bに切り替えてもよい。また、前記許可が得られていない場合(ステップS227のNOルート)、第2管理強化対象端末10Cとしての現状を維持したまま、ステップS28へ移行する。
【0271】
そして、ステップS28において、全ての登録端末(管理強化対象端末)10B,10Cについて処理を終了したか否かが判定され、終了していない場合(NOルート)、ステップS23の処理へ戻り、未処理の登録端末10B,10Cに対してステップS23,S221〜S228の処理を実行する。全ての登録端末10B,10Cについて処理を終了している場合(ステップS28のYESルート)、もしくは、ステップS22で登録端末が無いと判定された場合(NOルート)、ステップS21の処理へ戻る。
【0272】
このような本発明の第3実施形態の変形例によれば、上述した第3実施形態と同様の作用効果が得られるほか、この変形例では、第1管理強化対象端末10Bに対し、ポリシ違反についての電子教育を確実に実行させることができ、ポリシ遵守について利用者に確実に認識させることができる。
【0273】
一方、第1管理強化対象端末10Bよりもポリシ違反件数/回数が多く、セキュリティ
上の重大事故を引き起こす可能性のより高い第2管理強化対象端末10Cについては、企業内システム1Bから遮断することで、システム1Bの安全を確実に維持することができる。このように遮断された第2管理強化対象端末10Cについては、管理者等が直接その端末(あるいはその利用者)を監査等してセキュリティ上の安全性が得られたことを確認し特別な許可が得られた場合にのみ、第2管理強化対象から除外され(もしくは第1管理強化対象端末に切り替えられ)、システム1Bへの接続が可能にされるので、システム1Bの安全がより確実に維持される。
【0274】
そして、第1管理強化対象端末10Bに対する電子教育後、その第1管理強化対象端末10Bにおいて電子教育に応じてポリシ違反が解消されたか否かを確認し、第1管理強化対象端末10Bにおけるポリシ違反が解消されている場合に第1管理強化対象端末10Bを管理強化対象から除外することにより、セキュリティ上の重大事故を引き起こす可能性の高い利用者端末(第1管理強化対象端末10B)は、電子教育に応じてポリシ違反が解消されるまで確実にシステム管理者等の管理下に置かれるので、セキュリティ上の重大事故の発生を確実に且つ未然に防止することができる。
【0275】
〔4〕その他:
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
【0276】
また、上述した環境情報収集エージェントファイル送信手段21,環境情報受信手段22,比較手段23,23a,保存手段24,特定手段25,25aおよび管理手段26,26a,26b〔監視手段261,警告手段262,記録手段263,電子教育制御手段264,確認手段265,除外手段266,禁止手段(動作制限手段)267,禁止手段(動作制限手段)267a,推定手段268,通知手段269および遮断手段270を含む〕としての機能(各手段の全部もしくは一部の機能)は、コンピュータ(CPU,情報処理装置,各種端末を含む)が所定のアプリケーションプログラム(管理プログラム)を実行することによって実現される。
【0277】
そのプログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から管理プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。
【0278】
ここで、コンピュータとは、ハードウエアとOS(オペレーティングシステム)とを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたプログラムを読み取るための手段とをそなえている。上記管理プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、環境情報収集エージェントファイル送信手段21,環境情報受信手段22,比較手段23,23a,保存手段24,特定手段25,25aおよび管理手段26,26a,26bとしての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
【0279】
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスクのほか、ICカード,ROMカー
トリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。
【0280】
〔5〕付記:
(付記1)
複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
該環境情報収集手段によって収集された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、
該比較手段による過去の比較結果を保存する保存手段と、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段と、
該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段と、
該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段と、
該特定手段によって特定された該管理強化対象端末において所定のプログラム以外の実行を禁止する動作制限手段と、
をそなえて構成されていることを特徴とする、管理システム。
【0281】
(付記2)
該管理サーバが、
該監視手段によって監視される操作状況に応じて、該管理強化対象端末の管理者および利用者の少なくとも一方に警告を発する警告手段をそなえて構成されていることを特徴とする、付記1記載の管理システム。
【0282】
(付記3)
該管理サーバが、
該特定手段によって特定された該管理強化対象端末に、ポリシ違反についての電子教育を実行させる電子教育制御手段をそなえて構成されていることを特徴とする、付記1または付記2に記載の管理システム。
【0283】
(付記4)
該管理サーバが、
該電子教育制御手段によって該管理強化対象端末における電子教育が実行された後に該環境情報収集手段および該比較手段を動作させて該管理強化対象端末におけるポリシ違反が解消されているか否かを確認する確認手段と、
該確認手段によって該管理強化対象端末におけるポリシ違反の解消が確認された場合に該管理強化対象端末を管理強化対象から除外する除外手段とをそなえて構成されていることを特徴とする、付記3記載の管理システム。
【0284】
(付記5)
該管理サーバが、
該管理強化対象端末が該特定手段によって特定されてから該確認手段によって該管理強化対象端末におけるポリシ違反の解消が確認されるまでの間、該管理強化対象端末による、該複数の利用者端末の属するシステムにおけるサーバ/データベースに対するログイン/アクセスを禁止する禁止手段をそなえて構成されていることを特徴とする、付記4記載の管理システム。
【0285】
(付記6)
該管理サーバが、
該管理強化対象端末が該特定手段によって特定されてから該確認手段によって該管理強化対象端末におけるポリシ違反の解消が確認されるまでの間、該管理強化対象端末を、該管理サーバとの接続状態を維持しながら、該複数の利用者端末の属するシステムから遮断する遮断手段をそなえて構成されていることを特徴とする、付記4記載の管理システム。
【0286】
(付記7)
複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
該環境情報収集手段によって収集された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末を管理強化対象端末として特定する比較手段と、
該比較手段によって特定された該管理強化対象端末に、ポリシ違反についての電子教育を実行させる電子教育制御手段と、
該電子教育制御手段によって該管理強化対象端末における電子教育が実行された後に該環境情報収集手段および該比較手段を動作させて該管理強化対象端末におけるポリシ違反が解消されているか否かを確認する確認手段と、
該確認手段によって該管理強化対象端末におけるポリシ違反の解消が確認された場合に該管理強化対象端末を管理強化対象から除外する除外手段と、
所定時間経過しても該確認手段によって該管理強化対象端末におけるポリシ違反の解消が確認されない場合、もしくは、ポリシ違反の解消に伴い該除外手段によって管理強化対象から除外された利用者端末が該比較手段によって管理強化対象端末として再度特定された場合、当該管理強化対象端末における操作状況を監視する監視手段と、
該監視手段によって監視される操作状況を当該管理強化対象端末における操作ログとして記録する記録手段と、
該特定手段によって特定された該管理強化対象端末において所定のプログラム以外の実行を禁止する動作制限手段と、
をそなえて構成されていることを特徴とする、管理システム。
【0287】
(付記8)
該管理サーバが、
該監視手段によって監視される操作状況に応じて、当該管理強化対象端末の管理者および利用者の少なくとも一方に警告を発する警告手段をそなえて構成されていることを特徴とする、付記7記載の管理システム。
【0288】
(付記9)
該管理サーバが、
該監視手段によって監視される操作状況に応じて、当該管理強化対象端末による、該複
数の利用者端末の属するシステムにおけるサーバ/データベースに対するログイン/アクセスを禁止する禁止手段をそなえて構成されていることを特徴とする、付記7または付記8に記載の管理システム。
【0289】
(付記10)
該管理サーバが、
該監視手段によって監視される操作状況に応じて、当該管理強化対象端末を、該管理サーバとの接続状態を維持しながら、該複数の利用者端末の属するシステムから遮断する遮断手段をそなえて構成されていることを特徴とする、付記7〜付記9のいずれか一項に記載の管理システム。
【0290】
(付記11)
複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
該環境情報収集手段によって収集された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、
該比較手段による過去の比較結果を保存する保存手段と、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が1〜所定件数の利用者端末、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末を第1管理強化対象端末として特定する一方で、ポリシ違反の件数が前記所定件数を超えた利用者端末、もしくは、ポリシ違反の回数が前記所定回数を超えた利用者端末を第2管理強化対象端末として特定する特定手段と、
該特定手段によって特定された該第1管理強化対象端末の管理者および利用者の少なくとも一方に該第1管理強化対象端末として特定された旨を通知する通知手段と、
該特定手段によって特定された該第1管理強化対象端末における操作状況を監視する監視手段と、
該監視手段によって監視される操作状況を該第1管理強化対象端末における操作ログとして記録する記録手段と、
該特定手段によって特定された第1管理強化対象端末/第2管理強化対象端末において所定のプログラム以外の実行を禁止する動作制限手段と、
該特定手段によって特定された該第2管理強化対象端末を、該管理サーバとの接続状態を維持しながら、該複数の利用者端末の属するシステムから遮断する遮断手段と、
該遮断手段によって遮断された状態で、該第2管理強化対象端末に、ポリシ違反についての電子教育を実行させる電子教育制御手段と、
をそなえて構成されていることを特徴とする、管理システム。
【0291】
(付記12)
該管理サーバが、
該電子教育制御手段によって該第2管理強化対象端末における電子教育が実行された後に該環境情報収集手段および該比較手段を動作させて該第2管理強化対象端末におけるポリシ違反が解消されているか否かを確認する確認手段と、
該確認手段によって該第2管理強化対象端末におけるポリシ違反の解消が確認された場合に該第2管理強化対象端末を管理強化対象から除外する除外手段とをそなえて構成されていることを特徴とする、付記11記載の管理システム。
【0292】
(付記13)
該管理サーバが、
該監視手段によって監視される操作状況に応じて、該第1管理強化対象端末の管理者および利用者の少なくとも一方に警告を発する警告手段をそなえて構成されていることを特徴とする、付記11または付記12に記載の管理システム。
【0293】
(付記14)
該管理サーバが、
該監視手段によって監視される操作状況に応じて、該第1管理強化対象端末による、該複数の利用者端末の属するシステムにおけるサーバ/データベースに対するログイン/アクセスを禁止する禁止手段をそなえて構成されていることを特徴とする、付記11〜付記13のいずれか一項に記載の管理システム。
【0294】
(付記15)
複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
該環境情報収集手段によって収集された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、
該比較手段による過去の比較結果を保存する保存手段と、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が1〜所定件数の利用者端末、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末を第1管理強化対象端末として特定する一方で、ポリシ違反の件数が前記所定件数を超えた利用者端末、もしくは、ポリシ違反の回数が前記所定回数を超えた利用者端末を第2管理強化対象端末として特定する特定手段と、
該特定手段によって特定された該第1管理強化対象端末の管理者および利用者の少なくとも一方に該第1管理強化対象端末として特定された旨を通知する通知手段と、
該特定手段によって特定された該第1管理強化対象端末における操作状況を監視する監視手段と、
該監視手段によって監視される操作状況を該第1管理強化対象端末における操作ログとして記録する記録手段と、
該特定手段によって特定された第1管理強化対象端末/第2管理強化対象端末において所定のプログラム以外の実行を禁止する動作制限手段と、
該特定手段によって特定された該第1管理強化対象端末に、ポリシ違反についての電子教育を実行させる電子教育制御手段と、
該特定手段によって特定された該第2管理強化対象端末を該複数の利用者端末の属するシステムから遮断する遮断手段とをそなえて構成されていることを特徴とする、管理システム。
【0295】
(付記16)
該管理サーバが、
該電子教育制御手段によって該第1管理強化対象端末における電子教育が実行された後に該環境情報収集手段および該比較手段を動作させて該第1管理強化対象端末におけるポリシ違反が解消されているか否かを確認する確認手段と、
該確認手段によって該第1管理強化対象端末におけるポリシ違反の解消が確認された場合に該第1管理強化対象端末を管理強化対象から除外する除外手段とをそなえて構成されていることを特徴とする、付記15記載の管理システム。
【0296】
(付記17)
該管理サーバが、
該監視手段によって監視される操作状況に応じて、該第1管理強化対象端末の管理者および利用者の少なくとも一方に警告を発する警告手段をそなえて構成されていることを特徴とする、付記15または付記16に記載の管理システム。
【0297】
(付記18)
該管理サーバが、
該監視手段によって監視される操作状況に応じて、該第1管理強化対象端末による、該複数の利用者端末の属するシステムにおけるサーバ/データベースに対するログイン/アクセスを禁止する禁止手段をそなえて構成されていることを特徴とする、付記15〜付記17のいずれか一項に記載の管理システム。
【0298】
(付記19)
該電子教育制御手段が、
ポリシ違反についての電子教育を該管理強化対象端末に実行させる電子教育エージェントファイルを作成もしくは保持する電子教育エージェントファイル作成/保持手段と、
該電子教育エージェントファイル作成/保持手段により作成/保持された、前記評価結果に応じた電子教育エージェントファイルを、該管理強化対象端末に送信する電子教育エージェントファイル送信手段とから構成され、
該管理強化対象端末が、
該管理サーバから送信された該電子教育エージェントファイルを実行することにより、該管理強化対象端末においてポリシ違反についての電子教育を該管理強化対象端末の利用者に対して実行する電子教育エージェントファイル実行手段をそなえていることを特徴とする、付記3〜付記18のいずれか一項に記載の管理システム。
【0299】
(付記20)
該電子教育制御手段が、
該管理強化対象端末に対する電子教育が始めてである場合には該管理強化対象端末におけるポリシ違反の内容に応じた電子教育を該管理強化対象端末に実行させる一方、該管理強化対象端末に対する電子教育が2回目以降である場合には該管理強化対象端末におけるポリシ違反の内容を含むポリシ違反全般についての電子教育を該管理強化対象端末に実行させることを特徴とする、付記3〜付記19のいずれか一項に記載の管理システム。
【0300】
(付記21)
該環境情報収集手段が、該管理サーバにおける環境情報収集エージェントファイル送信手段および環境情報受信手段と、該複数の利用者端末のそれぞれにおける環境情報収集エージェントファイル実行手段とから構成され、
該管理サーバにおける該環境情報収集エージェントファイル送信手段が、該複数の利用者端末のそれぞれに前記環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信し、
各利用者端末における該環境情報収集エージェントファイル実行手段が、該管理サーバから送信された該環境情報収集エージェントファイルを実行することにより、当該利用者端末における前記環境情報を収集し、その収集結果を該管理サーバへ送信して通知し、
該管理サーバにおける該環境情報受信手段が、各利用者端末から送信された前記環境情報を受信し、該比較手段に受け渡すことを特徴とする、付記1〜付記20のいずれか一項
に記載の管理システム。
【0301】
(付記22)
該管理サーバが、
該複数の利用者端末に対して得られる、該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、該複数の利用者端末の属するシステムにおけるセキュリティ上の重大事故の発生確率を推定する推定手段と、
該推定手段によって推定された前記発生確率を該複数の利用者端末の管理者および利用者の少なくとも一方に通知する通知手段とをそなえて構成されていることを特徴とする、付記1〜付記21のいずれか一項に記載の管理システム。
【0302】
(付記23)
該推定手段が、
該複数の利用者端末に対して得られる、該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果とともに、該複数の利用者端末の利用者に対する、該システムのセキュリティについての電子教育結果に基づいて、前記発生確率を推定することを特徴とする、付記22記載の管理システム。
【0303】
(付記24)
該動作制限手段は、特定された該管理強化対象端末において所定のプログラム以外の実行を禁止する動作制限エージェントファイルを作成し、利用者端末に送信する手段を構成している、
ことを特徴とする付記1〜付記22のいずれかに記載の管理システム。
【0304】
(付記25)
上記付記1〜付記24の管理システムとしてコンピュータを動作させる、
ことを特徴とする管理プログラム。
【図面の簡単な説明】
【0305】
【図1】本発明の第1実施形態としての管理システム(管理サーバおよび利用者端末)の構成を示すブロック図である。
【図2】図1に示す管理サーバの動作を説明するためのフローチャートである。
【図3】図1に示す管理サーバにおける管理手段の動作を説明するためのフローチャートである。
【図4】図1に示す管理サーバにおける管理手段(監視/記録/警告手段)の動作を説明するためのフローチャートである。
【図5】図1に示す管理サーバにおける管理手段(電子教育制御手段)の動作を説明するためのフローチャートである。
【図6】図1に示す管理システムにおける各利用者端末の環境情報収集動作と、電子教育動作を説明するためのフローチャートである。
【図7】図1に示す管理システムにおける管理強化対象端末(利用者端末)の動作制限を説明するためのフローチャートである。
【図8】本発明の第2実施形態としての管理システム(管理サーバおよび利用者端末)の構成を示すブロック図である。
【図9】図8に示す管理サーバの動作を説明するためのフローチャートである。
【図10】図8に示す管理サーバにおける管理手段の動作を説明するためのフローチャートである。
【図11】図8に示す管理サーバにおける管理手段(監視/記録/警告手段)の動作を説明するためのフローチャートである。
【図12】本発明の第3実施形態としての管理システム(管理サーバおよび利用者端末)の構成を示すブロック図である。
【図13】図12に示す管理サーバの動作を説明するためのフローチャートである。
【図14】図12に示す管理サーバにおける管理手段の動作を説明するためのフローチャートである。
【図15】図12に示す管理サーバにおける管理手段の動作の変形例を説明するためのフローチャートである。
【符号の説明】
【0306】
1,1A,1B 管理システム(企業内システム)
10 利用者端末
10A 管理強化対象端末(利用者端末)
10B 第1管理強化対象端末(利用者端末)
10C 第2管理強化対象端末(利用者端末)
11 処理部(CPU)
111 環境情報収集エージェントファイル実行手段(環境情報収集手段)
112 電子教育エージェントファイル実行手段
20,20A,20B 管理サーバ
21 環境情報収集エージェントファイル送信手段(環境情報収集手段)
22 環境情報受信手段(環境情報収集手段)
23,23a 比較手段
24 保存手段
25,25a 特定手段
26,26a,26b 管理手段
261 監視手段
262 警告手段
263 記録手段
264 電子教育制御手段
264a 電子教育エージェントファイル作成/保持手段
264b 電子教育エージェントファイル送信手段
265 確認手段
266 除外手段
267 禁止手段(動作制限手段)
267a 禁止手段(動作制限)
268 推定手段
269,269a 通知手段
270 遮断手段
30 プロキシサーバ
40 構内通信網(LAN)

【特許請求の範囲】
【請求項1】
複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
該環境情報収集手段によって収集された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、
該比較手段による過去の比較結果を保存する保存手段と、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段と、
該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段と、
該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段と、
該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止する動作制限手段と、
をそなえて構成されていることを特徴とする管理システム。
【請求項2】
複数の利用者端末と、
該複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバと、
該複数の利用者端末のそれぞれにおける環境情報を、各利用者端末から該管理サーバに収集する環境情報収集手段とをそなえ、
該管理サーバが、
該環境情報収集手段によって収集された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、
該比較手段による過去の比較結果を保存する保存手段と、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段と、
該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段と、
該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段と、
該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止し、所定のプログラム以外の実行を禁止すると共に、実行が禁止されているプログラムを削除する動作制限手段と、
をそなえて構成されていることを特徴とする管理システム。
【請求項3】
前記特定手段によって特定された該管理強化対象端末を、該管理サーバとの接続状態を維持しながら、該複数の利用者端末の属するシステムから遮断する遮断手段と、
該遮断手段によって遮断された状態で、該管理強化対象端末に、ポリシ違反についての
電子教育を実行させる電子教育制御手段と、
をさらにそなえて構成されていることを特徴とする請求項1または請求項2に記載の管理システム。
【請求項4】
該電子教育制御手段によって該管理強化対象端末における電子教育が実行された後に該環境情報収集手段および該比較手段を動作させて該管理強化対象端末におけるポリシ違反が解消されているか否かを確認する確認手段と、
該確認手段によって該管理強化対象端末におけるポリシ違反の解消が確認された場合に該管理強化対象端末を管理強化対象から除外する除外手段と、をさらに備え、
前記監視手段は、所定時間経過しても該確認手段によって該管理強化対象端末におけるポリシ違反の解消が確認されない場合、もしくは、ポリシ違反の解消に伴い該除外手段によって管理強化対象から除外された利用者端末が該比較手段によって管理強化対象端末として再度特定された場合、当該管理強化対象者端末における操作状況を監視する、
ことを特徴とする請求項3に記載の管理システム。
【請求項5】
前記特定手段は、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が1〜所定件数の利用者端末、もしくは、ポリシ違反の回数が1〜所定回数の利用者端末を第1管理強化対象端末として特定する一方で、ポリシ違反の件数が前記所定件数を超えた利用者端末、もしくは、ポリシ違反の回数が前記所定回数を超えた利用者端末を第2管理強化対象端末として特定し、
該特定手段によって特定された該第1管理強化対象端末に、ポリシ違反についての電子教育を実行させる電子教育制御手段と、
該特定手段によって特定された該第2管理強化対象端末を該複数の利用者端末の属するシステムから遮断する遮断手段と、
をそなえて構成されている、
ことを特徴とする請求項3に記載の管理システム。
【請求項6】
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段と、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段と、
該環境情報受信手段によって受信された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、
該比較手段による過去の比較結果を保存する保存手段と、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段と、
該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段と、
該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段と、
該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止する動作制限手段と、
をそなえて構成されていることを特徴とする管理サーバ。
【請求項7】
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段と、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段と、
該環境情報受信手段によって受信された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段と、
該比較手段による過去の比較結果を保存する保存手段と、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段と、
該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段と、
該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段と、
該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止し、所定のプログラム以外の実行を禁止すると共に、実行が禁止されているプログラムを削除する動作制限手段と、
をそなえて構成されていることを特徴とする管理サーバ。
【請求項8】
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段、
該環境情報受信手段によって受信された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段、
該比較手段による過去の比較結果を保存する保存手段、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段、
該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段、
該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段、および、
該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止する動作制限手段、
として、該コンピュータを機能させることを特徴とする管理プログラム。
【請求項9】
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段、
該環境情報受信手段によって受信された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段、
該比較手段による過去の比較結果を保存する保存手段、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段、
該特定手段によって特定された該管理強化対象端末における操作状況を監視する監視手段、
該監視手段によって監視される操作状況を該管理強化対象端末における操作ログとして記録する記録手段、および、
該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止し、所定のプログラム以外の実行を禁止すると共に、実行が禁止されているプログラムを削除する動作制限手段、
として、該コンピュータを機能させることを特徴とする管理プログラム。
【請求項10】
複数の利用者端末と相互に通信可能に接続され、該複数の利用者端末を管理する管理サーバとして、コンピュータを機能させる管理プログラムであって、
該複数の利用者端末のそれぞれに環境情報の収集とその収集結果の該管理サーバへの通知とを実行させる環境情報収集エージェントファイルを、該複数の利用者端末に送信する環境情報収集エージェントファイル送信手段、
各利用者端末から送信された前記環境情報を受信する環境情報受信手段、
該環境情報受信手段によって受信された各利用者端末における前記環境情報と予め設定されたセキュリティに関するポリシ定義とを比較することにより、該ポリシ定義に違反している利用者端末およびポリシ違反の内容を特定する比較手段、
該比較手段による過去の比較結果を保存する保存手段、
該比較手段による最新の比較結果および該保存手段に保存されている各利用者端末についての過去の比較結果に基づいて、ポリシ違反の件数が所定件数以上の利用者端末、もしくは、ポリシ違反を所定回数以上繰り返している利用者端末を管理強化対象端末として特定する特定手段、および、
該特定手段によって特定された該管理強化対象端末において所定のデータファイル以外のオープンを禁止する動作制限手段、
として、該コンピュータを機能させることを特徴とする管理プログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate

【図15】
image rotate


【公開番号】特開2009−98969(P2009−98969A)
【公開日】平成21年5月7日(2009.5.7)
【国際特許分類】
【出願番号】特願2007−270554(P2007−270554)
【出願日】平成19年10月17日(2007.10.17)
【特許番号】特許第4092666号(P4092666)
【特許公報発行日】平成20年5月28日(2008.5.28)
【出願人】(592112938)クオリティ株式会社 (121)
【Fターム(参考)】