適応的透過暗号化
コンピュータ・ファイルなどのディジタル資産の適応的暗号化の技術(102、102−1、104−1)に関する。このシステム・モデルは、アクセス権の悪用の可能性を示しうる管理されないリムーバブル記憶媒体(204、214)へのファイルの通過、またはネットワーク接続など(108)を通じてのファイルの通過を監視する。好ましい実施形態によれば、クライアントのオペレーティング・システムのカーネル・バックグラウンド・プロセスなど、使用点(102)において動作している自律型の独立のエージェント・プロセス(622)が、リソースへのアクセス要求(603−1)に割り込む。エージェント・プロセスが、低レベル・システム・イベントを検出し、フィルタ処理し、集合させる(530)。ポリシー・エンジン(590)が、集合イベントの順序を分析し、暗号化(612)を適用するか否かを判断(595)する。
【発明の詳細な説明】
【背景技術】
【0001】
本願は、2003年12月31日に出願された米国特許出願第10/750,321号の優先権を主張する継続出願であり、この米国特許出願第10/750,321号は、2003年1月23日に出願された「所有する電子情報の適応的識別および適応的保護の方法およびシステム(Method and System for Adaptive Identification and Protection of Proprietary Electronic Information)」という名称の米国特許仮出願第60/442,464号の利益を主張している。本願は、また、同時係属の2003年11月12日に出願された「ディジタル資産の管理された配布(Managed Distribution of Digital Assets)」という名称の米国特許出願第10/706,871号に関連し、さらに同時係属の2003年11月18日に出願された「イベント・ジャーナル化によるディジタル資産使用アカウンタビリティ(Digital Asset Usage Accountability Via Event Journaling)」という名称の米国特許出願第10/716,336号に関連する。上記出願の教示の全体は、ここでの言及によって本明細書に組み込まれたものとする。
【0002】
インターネット、ウェブサイト、エクストラネット、およびイントラネットへの安価かつどこからでも利用できるアクセスによって、大部分の新しい組織がお互いに通信し、ビジネスを行なうやり方に、変革がもたらされた。今や、あらゆる種類の情報が、より自由に流れるようになっており、極めて多くが利用できるようになっている。しかしながら、これらネットワークの中枢における情報リソースに容易にアクセスできるということは、同時に、そこに接続されるあらゆるシステムのセキュリティを脅かしてもいる。情報をオンラインに置くということは、少なくともある程度の情報管理を失うことを意味するため、暗黙的に、企業の機密に属するデータのほとんどすべてが、今や暴露の危険にさらされている。
【0003】
セキュリティは、データ処理システムの管理者が直面する重大な問題であり続けている。今や、企業の最も価値ある資産である知的財産は、ディジタル形式に属する何らかの方法で保存されるのが、ほぼ確実である。これらのディジタル資産には、製品計画および製品設計、顧客データ、顧客および製造供給元とのやり取り、契約条件、財務データ、法令遵守データ、ならびに特注のソフトウェア・アプリケーションなどが含まれうる。
【0004】
さらに複雑な問題は、最高経営責任者および役員さえも含む、組織において高い責任のレベルにある管理者が、監督機関と株主の両方によって、機密に属する情報の秘密性、セキュリティおよび完全性を維持する法律上および財務上の責任を今や課される点にある。
【0005】
組織のデータ処理インフラを、特定の外部の者たちによる脅威から保護するために、多種多様な解決手段がすでに存在している。これらには、物理的なアクセス制御、ファイアウォール、スニファーおよび他のネットワーク監視、侵入検知システムならびにその他の解決手段が含まれる。これらの技術は、大抵の場合、権限のない外部の者たちからの攻撃に対して有効である。
【0006】
しかし、やはりセキュリティ上の脅威をもたらす第2の種類のコンピュータ・ユーザが存在する。これら権限のない内部の者からの保護には、やはりよく知られている別の取り組みが必要とされる。ディスクに基づくストレージ・システムが始まったほぼそのとき以来、一部のユーザについて一部の重要なファイルへのアクセス資格を制限するために、アクセス制御の考え方が適用されてきた。これらの技術を使用し、今やほとんどすべてのオペレーティング・システム(OS)、デスクトップ、および/またはネットワーク・ファイル・サーバの一般的な特徴として、個々のユーザに与えられた許可に応じて、ファイルやディレクトリ構造などに関する読み出し、書き込み、パブリック、プライベート、およ
びその他の種類のアクセス制限を提供することができる。システム管理者によって、必要事項、およびユーザが属している組織内の部門などに基づいて、ユーザ・アカウントに許可を付与することができる。
【0007】
しかしながら、ユーザがシステムの一部についてしかアクセスできない場合であっても、依然としてさまざまな技術を使用して情報を盗み出し、さらに/あるいは情報に損傷を加えることができる。これらには、ネットワーク中の保全されていない情報の単純な閲覧、および/またはセキュリティの実施が不十分なために利用可能になっている情報の取り出しまたは削除が含まれる。より高度な内部不正者は、ネットワーク・パケット・スニファおよび/またはスパイウェアを使用する。
【0008】
公開鍵基盤(PKI)を使用するもののような暗号化技法によって、企業は、当該企業のアプリケーションおよびデータに関する認証、アクセス制御、および機密保持の実現が可能になる。PKIシステムは、電子メールおよびその他の通信、顧客とのビジネス上のやり取りのセキュリティを保護するために使用されるほか、ネットワーク・サーバに保存されたデータの保護にも使用される。PKIは、通常、企業全体のネットワークにおいて、ディジタル証明書の発行および追跡、証明機関、および公開鍵暗号化要素を必要とする。
【0009】
ディジタル資産について何らかの制御を提供するために、種々のPKIに基づく取り組みが中央集中型の文書保存をいわゆるディジタル権利管理(DRM)ツールと組み合わせている。これらのシステムにおいて、ファイル・サーバ上または別個のポリシー・サーバ上で動作するポリシー行使プロセスが、ファイルの使用に対して暗号化ポリシーを行使する。このようなシステムでは、ファイル・サーバ上のファイルへのアクセスが、暗号化のための中央集中管理の鍵を使用するポリシー・サーバによって最初に制御される。ポリシー・サーバそのものは、情報の保存および取り出しを担当しないが、通常は、アクセス・ポリシー(すなわち、いずれのユーザがいずれの種類の文書へのアクセスを許されているか)のリストの保持、ユーザ認証の管理、クライアントからサーバへの通信の保全、および暗号鍵の配布を担当する。情報へのアクセスに先立ち、受取人は、まずポリシー・サーバで認証しなければならない。次いで、ポリシー・サーバが、受取人が情報を復号化できるように必要とされる鍵のコピーを発行する。
【0010】
例えば、ダニエリ(Danieli)に特許され、マイクロソフト社(Microsoft Corporation)に譲渡された米国特許第6,510,513号には、電子セキュリティ証明を用いてサーバとクライアントとの間の一連のトランザクションを活用するセキュリティおよびポリシー行使システムが記載されている。第1のクライアントがダイジェストを含むセキュリティ証明を信頼された審査サーバ(arbitrator server)に提出することによって、データへのアクセス要求を生成する。信頼された審査サーバが、第1のクライアントの資格を証明し、セキュリティ証明を返送する。次いで、データおよびセキュリティ証明が組み合わされて配布され、第2のクライアントによって取得される。第2のクライアントは、配布データからセキュリティ証明を抽出し、ダイジェストを生成する。第2のクライアントからのダイジェストが第1のクライアントからのダイジェストと一致する場合、データは正当であると考えられる。証明の種類およびポリシー・レベルに応じて、信頼された審査サーバは不適切な使用の通知などのサービスを提供できる。
【発明の開示】
【0011】
このように、DRMシステムは、エンドユーザからの情報の保護における複雑さの多くを隠すことができるが、欠点と無縁ではない。DRMサーバは、ディジタル証明書、アクセス権、暗号鍵、およびその他のPKIインフラ要素を発行および追跡する必要性を生むことによって、情報技術環境に新たな管理上の問題を持ち込む。このオーバヘッドを維持
することが、数百万とはいわずとも数千の文書および数ダースの異なるセキュリティ・ポリシーを有する小さな企業においてさえも、わずらわしいものになりうる。
【0012】
さらに、既存のDRMサーバ・システムは、通常、ファイル・サーバに保存されている文書へのアクセスが生じるたびに、さらなるオーバヘッドを生じさせる。ファイルが使用可能になる前に、そのアクセス・ポリシーが突き止められなければならず、ユーザ認証が得られなければならず、適切な鍵が特定されなければならず、さらに復号化アルゴリズムが適用されなければならない。このサーバにおけるオーバヘッドの処理は、特に機密ではないファイルの場合にさえも課される。
【0013】
例えば、進行中の企業合併の計画に関連する財務部門の文書には、通常は高いセキュリティ分類が与えられ、常に暗号化されなければならない。しかしながら、企業の夏の行楽のスケジュールなどのその他の文書は、特に機密に属するものではなく、複雑なDRMの仕組みのオーバヘッドの対象とすべきではない。より良好な解決手段は、ユーザにとって透過な方法で、真に暗号化する必要がある文書のみを、場当たりではなく確立されたポリシーに従って使用点において判断して、選択的に暗号化することであろう。
【0014】
改善された取り組みは、文書内に保存された情報の機密性を単に判断することによるのみでなく、その文書に対して行なおうとされるアクションに依存して、暗号化ポリシーを実施する。例えば、行なおうとするアクションが、機密文書を編集して、この文書の取り出し元である同一の保全されたローカル・ファイル・サーバに編集済みコピーを再保存するために当該機密文書にアクセスしようとするものである場合、組織にとって適切なポリシーは暗号化要件をまったく課さないことである。一方で、より機密性の低い文書であっても、ウェブで電子メールサービスによって当該同一組織の外部に送信されようとする場合には、たとえ企業の行楽のスケジュールであっても、送り先の管理が不可能であるため当該文書を暗号化する必要がある。
【0015】
既存のDRM解決手段はいずれも、権限を与えられた内部の者による情報の悪用を防止するのにほとんど役立たない。この種類のユーザは、割り当てられた業務を実行するために重要なデータ・ファイルにアクセスすると考えられるため、信頼された状態にある。したがって、彼らは、このような情報を使用する許可を日々、日常的に与えられている。したがって、彼らが機密に属するデータにアクセスすることは、通常は疑わしいものではない。問題は、この種の信頼されているユーザが、機密情報をコピーし、次いで部外者またはその他権限のない人々に配布することによって、信頼を悪用する場合に生じる。このような事態は、不満のある従業員や離職しようとする従業員が組織に打撃を与えたいと考える場合に、きわめて容易に生じる可能性があり、かつ高い頻度で生じるようになってきている。
【0016】
従来技術のセキュリティ・システムの欠点は、機密情報へのアクセスがひとたび与えられると、権限を与えられたユーザがこの情報を極めて容易に多種の方法で配布できるという事実に対処できないことである。インターネット接続、電子メール、インスタント・メッセージ、コンパクト・ディスク読み書き(CD−RW)ドライブなどのリムーバブル・メディア記憶装置、ユニバーサル・シリアル・バス(USB)型のメモリおよび記憶装置などの普及が、極めて大量の情報をほぼ瞬時にコピーすることを簡単な作業にしている。さらに、無線モデム、無線ローカル・ネットワーク・カード、ポータブル・コンピュータ、携帯情報端末(PDA)、およびネットワーク・トンネルなどのその他周辺機器があまりに便利な伝達手段であるため、権限を与えられたユーザが信頼されたシステム環境の外にファイルのコピーを配布できる。
【0017】
最も高度なファイル管理システムであっても、現在のところ、このような悪用を防ぐこ
とはできない。この問題の根源は、権限を与えられたユーザがひとたびファイルを開くと、その中身はもはや管理されないという事実にある。特に、ファイルの中身のコピーは、ネットワークまたはファイル管理システムの管理下にある環境の「外に」あまりにも容易に持ち出される。
【0018】
本発明は、権限を与えられたユーザが自らの権限を悪用したときに生じるセキュリティ問題の解決を目的とするものである。本発明はこれを、単にファイル・サーバおよび/またはアクセス・ストレージにおいてではなく、ファイルの使用点において暗号化ポリシーを選択的に適用することによって達成する。
【0019】
さらに詳細には、クライアントのオペレーティング・システム(OS)のカーネルのバックグラウンドで動作するような、自律的な個別のエージェント・プロセスが、リソースへのアクセス要求に割り込む。リソースへのこのようなアクセス要求は、例えば、ファイルの読み出し要求、ネットワーク接続を開く要求、およびリムーバブル媒体装置の装着要求などを含むことができる。使用点においてOSカーネル割り込み手段でアクセスが検出されるので、元来の直接のアクセス要求が、エンドユーザによって実行されたアプリケーション・プログラムによるものか、ユーザの代わりに間接的にアプリケーションによって実行されたアプリケーション・プログラムによるものか、あるいはアプリケーション・ソフトウェアとは無関係にシステム要求によって実行されたかにかかわらず、リソース利用の追跡が発生する。
【0020】
低レベルのシステム・イベントを捕らえるセンサを使用して、自律的な個別のエージェント・プロセスは、リソースへのアクセス要求を検出する。これら低レベルのシステム・イベントは、ファイル読み出し、ファイル書き込み、ファイルのコピー、クリップボード・カット、クリップボード・コピー、CD−RWアクセス、TCP/IPネットワーク・メッセージの到着、およびTCP/IPネットワーク・メッセージの送出などの操作を含んでもよい。
【0021】
例えば、集合「ファイル編集(FileEdit)」イベントは、ユーザが機密の財務文書を開いて変更し、その後、このユーザがこの文書を新たに取り付けたUSBポータブル・ハード・ドライブに保存しようと試みたときに、報告される。
【0022】
さらに別の集合イベントは、ファイル、アプリケーション、ネットワーク、および周辺装置バス・インターフェイスにユーザがアクセスしようと試みたときに常に判断される。このような集合イベントは、一般的に、システム・リソースについて許可される使用を規定しているポリシーを積極的に行使するために、システム管理者によって確定されている。
【0023】
このように、適応的暗号化ポリシーの行使は、情報アクセスの時点および場所においてエージェント・プロセスによって行なわれる。例えば、システム管理者が、機密に属する文書への暗号化の適応的な適用を、当該文書について要求されたアクションに応じて制御することを望むかもしれない。そのようなポリシーの1つの例は、文書がユニバーサル・シリアル・バス(USB)ハードディスク・ドライブもしくはコンパクト・ディスク読み書き(CD−RW)焼き付け機などのリムーバブル・メディア周辺装置に保存されようとする場合、またはインスタント・メッセージ(IM)アプリケーションまたはファイル転送プロトコル(FTP)もしくはその他ピア・トゥ・ピア・ネットワーク接続などのネットワーク接続を介して送信されようとする場合に、常に暗号化を適用することである。
【0024】
これらリソースの使用を規定する暗号化ポリシーは、組織の要求するとおりに詳細に定めることができる。例えば、機密文書であっても、編集されて次いで管理下の内部のファ
イル・サーバ上に保存されるのであれば、暗号化は不要であるかもしれない。一方、比較的機密性の低い文書であっても、それらを組織の外に移動させる企てがなされるときは常に、暗号化が行なわれるかもしれない。この場合、ファイルは保全されていないネットワークおよび/または信頼されていない外部の者に暗号化された形式で伝えられる。
【0025】
エージェント・プロセスは、さらに、暗号化ポリシーの実装を別の方法で容易にする。例えば、電子メール・メッセージまたはファイル転送の受信側に位置する権限を与えられたユーザは、管理されたファイルを暗号化された形式で受信する。しかしながら、権限を与えられた受信者は、好ましくは、自身のOSカーネル内で動作している自律的かつ独立のエージェント・プロセスを有する。暗号化されている(例えば、ファイル・ヘッダを調べることによって判断される)そのようなファイルを受信したとき、宛先の対応するポリシー・サーバを介して提供されるPKIへのアクセスを使用して、受信側のエージェントが組織の暗号化ポリシーを適用することができる。このプロセスも再度エンドユーザにとって透過な方法で宛先マシンのOSカーネル内で生じる。
【0026】
このように、受信が承認されると、文書がエージェント・プロセスによって復号化される。受信者が承認されない場合には、エージェント・プロセスは文書を復号化しない。当然ながら、動作中のエージェント・プロセスをまったく有しない受信側ではやはり文書を復号化することはできない。
【0027】
さらに、暗号化が自律的で、接続を要さず、透過であることにより、誤検知(正当なものを不正なものであると判断してしまう)の可能性があるという問題が除かれる。すなわち、発信元におけるエージェント・プロセスが、暗号化するまでもない文書を暗号化することによって暗号化ポリシーを積極的に適用し過ぎても、少なくとも宛先のエージェント・プロセスがエンドユーザにとって透過な方法で文書を復号化する。
【0028】
本発明の前記の目的、特徴および利点、ならびに他の目的、特徴および利点は、添付の図面に示した本発明の好ましい実施形態に関する以下のさらに詳しい説明から明らかになるであろう。添付の図面においては、異なる図であっても同一参照符号は同一部分を指している。図面は必ずしも縮尺どおりではなく、本発明の原理を示すことに重点がおかれている。
【発明を実施するための最良の形態】
【0029】
図1は一般的なコンピュータ・ネットワーク100の図であり、このコンピュータ・ネットワーク100は、クライアント装置102ならびにローカル・エリア・ネットワークおよび/またはLAN間接続設備を介して接続されたサーバ104から構成される。インターネット108などの外部のネットワークへの接続が、ルータまたはゲートウェイ106などの装置を介して実現されている。さらに、インターネット108を介した接続は、外部のコンピュータ110に対して行なうことも可能である。
【0030】
従来からのセキュリティ・モデルは、保護されているネットワーク100内の装置102および/またはファイル・サーバ104に対する信頼できない外部の者110によるアクセスを防止しようと試みている。すなわち、ネットワーク境界120が、ルータ106などにより、詳細にはファイアウォール107において、ネットワークのアクセス点に用いられている。このようにして、ファイアウォール107が、サーバ104に保存された情報にアクセスしようとしたり、またはローカル・コンピュータ102を操作しようとしたりする外部のコンピュータ110の権限のないユーザの企てを阻止することができる。さらに、ファイアウォール107は、例えば制限されあるいは有害であるウェブサイトおよびゲーム・サーバなどを含む一部の望ましくない外部のコンピュータ110にアクセスしようと試みるユーザによるものなど、外向きのアクセスについても境界120を確立で
きる。
【0031】
ネットワークへの物理的なアクセスの外側の点に境界を確立するよりもむしろ、本発明は、ファイル使用についてのアカウンタビリティの境界を使用点(使用時点および使用場所)において確立する。このアカウンタビリティ・モデルは、ローカル・サーバ104に保存されたファイルにアクセスするコンピュータ102の権限を与えられたユーザを追跡できるのみでなく、さらに重要なことには、そのようなファイルへのアクセスまたは情報を配布もしくは記録する周辺機器へのそのようなファイルの移動の企て、あるいは他に生じうる不正なイベントを監視することができる。
【0032】
生じうる不正なイベントを検出すると、当該文書の機密性ならびに当該文書について企てられたアクションに基づいて、暗号化ポリシーが選択的に適用される。
【0033】
このような生じうる不正なイベントは、ローカル・ファイル・サーバ104またはファイアウォール107には見ることも制御することもできない装置にユーザがアクセスするときに常に生じうる。これらのイベントには、コンパクト・ディスク読み書き(CD−RW)ドライブ204、携帯情報端末(PDA)206、ユニバーサル・シリアル・バス(USB)記憶装置208、無線装置212、ディジタル・ビデオ記録装置214などの管理不可能な媒体へのファイルの書き込みが含まれ、さらにはファイルの印刷さえも含まれる。他の疑わしいイベントには、外部ピア・トゥ・ピア(P2P)アプリケーション201の実行、外部の電子メール・アプリケーション202を介してのファイルの送信、インスタント・メッセージ(IM)アプリケーションの実行、およびインターネット108を介してのウェブサイトへのファイルのアップロードなどが含まれる。
【0034】
直ぐに理解されるとおり、この取り組みの核心は、デスクトップ102などの使用点において生じるユーザの行為を特徴付けて、次いで所定のポリシーに従って適応的に暗号化を適用する高レベルのコンテキスト・ストリーム(contextual stream)から構成される。
【0035】
次に図2を用いて、ディジタル資産の適応的暗号化のためのプロセスをより詳細に説明する。エージェント・プロセス300と呼ばれる第1のシステム構成要素がオペレーティング・システム(OS)301およびアプリケーション308の間に介装されている。ここで、エージェント・プロセス300、オペレーティング・システム(OS)301およびアプリケーション308は、ネットワーク101内のクライアント102および/またはサーバ104上で動作する。エージェント・プロセス300は、ファイルの読み出しまたは書き込み動作など、ファイル、印刷、クリップボード、およびI/O装置の動作の検出および追跡のために、センサまたはシム(shim)を有する。これらのセンサは、これらに限られるわけではないが、ファイル・システム・センサ502(CD/DVD焼き付けセンサ510を含む)、ネットワーク・センサ504、印刷センサ505、クリップボード・センサ506、APIスパイ508、およびプロセス・スパイ509を含むことができる。
【0036】
クライアントは、通常、ローカル・ネットワーク101への直接の有線(または無線)接続109を有するデスクトップ102−1を含むが、エージェント300は、ラップトップ102−2などの接続されていないクライアント・コンピュータ上で実行されてもよく、この場合、イベントの報告は、ネットワーク101への接続がいずれなされた時点に行なわれる。
【0037】
エージェント300は、原子イベント350を、通常はアクティビティ・ジャーナル・サーバ104−2上で動作するアクティビティ・ジャーナル化プロセスに報告する。ジャ
ーナル・サーバ104−2(本明細書においては、Digital Guardian(商標)とも称する)は、原子イベント・データを処理し、いわゆる集合イベント360に合体させる。集合イベント360は、ある所定の一連の原子イベント、すなわち時間系列の原子イベントが生じたときに検出される。これより、各集合イベント360は、監視すべきアクティビティを表わす所定のパターンに適合する1つ以上の原子イベント350で構成される。
【0038】
集合イベント360となる特定の種類の原子イベント350および/または一連の原子イベント350については、後で詳細に説明する。しかし、当然のことながらここでは、報告される特定のイベントおよびそれらの集合の種類が、監視しようとする特定のアクティビティによって決まることを理解すべきである。
【0039】
さらに、行使ポリシーを規定する述語370が、エージェント・プロセス300に送出される。これら述語は、管理用コンソール102−5において入力される設定コマンドから生じ、ディジタル・ガーディアン・サーバ104−2を介して送信される。
【0040】
ネットワークを完全に保護するために、一般的に、エージェント・プロセス300は企業のネットワークに接続されたすべてのデスクトップ102およびファイル・サーバ104上に常駐する。アクティビティ・ジャーナル・・サーバ104とエージェント・プロセス300は、マイクロソフト社の「.NET」インフラやその他の安全なネットワーク・システムのような安全なネットワーク・ベースのアプリケーションを介して通信できる。さらに、管理用コンソール102−5によって、ディジタル・ガーディアン・サーバ104−2に保存されたデータベースへのアクセスが可能であり、管理用コンソール102−5は、特にリスク・コンプライアンス、フォレンジック報告、および同様の報告310をシステムの管理ユーザに提供するために使用される。
【0041】
ジャーナル・サーバ104−2は、一般に、安全な.NETフレームワークを有するウインドウズ2000サーバ(Windows(登録商標) 2000 Server)環境内で動作することができる。さらに、ジャーナル・サーバ104−2は、レコードの保存および取り出しの機能を提供するために、例えばマイクロソフトSQLサーバ2000(Microsoft SQL Server
2000)などのデータベースへのアクセスを有している。当然ながら、ここに説明するプロセスを、他の種類のオペレーティング・システム、サーバ・プラットフォーム、データベース・システム、および安全なネットワーク環境上に実装できることを理解すべきである。
【0042】
図3は、クライアント・エージェント300をさらに詳しく示した図である。エージェント300の構成要素は、特に、1つ以上のセンサ500、ファイル・フィルタ520、イベント合体/集合530、イベント・バス580、1つ以上のポリシー述語585、ポリシー行使エンジン590、およびI/O要求パケット(IRP)フィルタ595で構成されている。さらに、エージェント・プロセス300は、規則のリアル・タイム評価および可能性を有する行使を設けてもよい点に、注目すべきである。
【0043】
エージェント300は、好ましくはクライアントのオペレーティング・システム(OS)においてカーネル・プロセスとして動作する。例えば、エージェント300は、マイクロソフト社のウインドウズ2000(Windows 2000)またはウインドウズXP(Windows XP)のカーネル内で動作できる。エージェント300の自律的な動作によって、たとえクライアント102がネットワーク100から切り離されている場合でも、原子イベント350の検出を行うことができる。このようなイベントはすべて、クライアント102が再度接続されてディジタル・ガーディアン・サーバ104−2と通信できるようになったときに報告される。
【0044】
好ましい実施形態においては、悪意のあるユーザによって1つのサービスが停止させられた場合でも、他のサービスが別のプロセスを再開できるように、エージェント300がウインドウズのもとで複数のサービスを実行する。さらに、このプロセスは、完全な保護を保証するために、オペレーティング・システムのタスク・マネージャまたは同様のプロセスから隠されており、セーフモード起動手段においても機能することができる。
【0045】
原子イベント・センサ500は、主として入力/出力(I/O)ドライバに関連する動作がOSカーネルにおいて捕捉されたときに、出力として原子イベントを報告する。したがって、エージェント・プロセス300は、エンドユーザには透過であり、改ざんされにくい。捕捉は、例えば、割り込み可能カーネルのI/O要求パケット(IRP)において生じる。イベントは、また、ウインドウズ・サービスおよびカーネル・レベルのドライバによって提供されてもよい。
【0046】
センサ500は、ファイル操作センサ502(CD/DVD焼き付けセンサ510を含む)、ネットワーク操作センサ504、印刷待ち行列センサ505、クリップボード・センサ506、アプリケーション・プログラミング・インターフェイス(API)スパイ・センサ508、およびプロセス・スパイ509のようなその他のセンサを有することができる。
【0047】
イベントに集められるデータはイベントの種類によるが、以下に示すものも含むことができる。
・アプリケーションの呼び出しの場合には、呼び出しプロセスの識別、実行可能な名前、開始時間、終了時間、およびプロセス所有者
・ログオンまたはログオフなどのユーザ操作の場合には、時刻およびユーザ識別子(ID)
・ファイル操作の場合には、元/先のファイル名、操作の種類(オープン、書き込み、削除、名前の変更、ゴミ箱への移動)、装置の種類、最初および最後のアクセス時刻
・ネットワーク操作の場合には、発信元/宛先のアドレス、ポートおよびホスト名、開始/終了時刻のスタンプ、送信および受信したバイト数、入力および出力のデータ伝送時間
・CD−RWの操作の場合には、ファイル名、開始/終了時刻および転送されたデータ量
・印刷操作の場合には、フルパスまたはファイル名、イベント開始時刻またはプリント・ジョブ名、
・クリップボード操作の場合には、宛先プロセスID、イベント開始時刻、関係するファイル名のフルパス
・リムーバブル記憶媒体へのアクセスのようなその他の高レベルの操作の場合には、ファイル名、装置ID、日時、転送されたバイト数、など
【0048】
承認されたファイル・フィルタ520は、システム・ファイルへの標準の呼び出しによって生成される多数の重要度の低いイベントを自動的にフィルタ処理するように動作する。例えば、マイクロソフト・ウインドウズのアプリケーションの典型的な実行において、多種多様な.EXEおよび.DLLオペレーティング・システム・ファイルが開かれて繰り返しアクセスされるのがきわめて通常である。ジャーナル・サーバ104−2へのデータの流れを少なくするために、ファイル・フィルタ520が承認されたファイルのリスト522を使用して、原子センサ・イベント(生のセンサ・イベント)510をフィルタ処理する。
【0049】
承認されたファイルのリスト522は、イベントに関連するファイル名のリストとして実装される。しかしながら、好ましい実施形態においては、よく知られているMD5アルゴリズムが各ファイル名に対するハッシュ・コードを生成するように使用される。次いで
、フィルタ処理プロセスの高速化のために、完全なファイル・ハンドルではなく、イベントに関連するファイル名のMD5ハッシュ・コードが、承認されたリスト522と比較される。これより、承認されていないファイルに関するイベントのみが、合体工程530に送られる。
【0050】
次の工程は、原子イベント510を集合させようと試みる原子イベント合体工程530である。合体工程530は、さらに、エージェント300とディジタル・ガーディアン・サーバ104の間において、単一のユーザ・アクションに対応した原子イベント510または関連する原子イベント510をフィルタ処理する。一般には、アプリケーションは、ファイル全体を同時に読み出すのではなく、ファイルの小さいチャンクごとを何回にも分けて読み出す。例えば、ユーザが2メガバイト(MB)の表計算ファイルを読み出すとする。しかしながら、OSは、所定のある時点においては、例えば一度に5または10キロバイト(KB)など、実際にはこれよりもはるかに小さい表計算ファイルの一部分にしかアクセスしないであろう。このように、典型的なアクセスのパターンにおいては、ファイル・オープンの原子イベントに続いて同一ファイルに対する複数回のリード(読み出し)の原子イベントが見られる。このような一連の原子イベントが、同一スレッドIDおよび同一ファイル・ハンドルで同一実効可能プロセスから見られた場合には、イベント合体工程530は、単一の「ファイル・オープン」イベントのみをカウントする。好ましい実施形態においては、通常分単位で測定する時間制限を超えた場合、生のレベルのイベント間に少なくとも1つのイベントが報告されるように、イベント合体工程530に対応する時刻属性が存在する。
【0051】
典型的な高レベル・イベント・パターンの包括的なリストが、図4Aおよび図4Bに示されている。例えば、好ましい実施形態においては、43種類のアクションが定義されており、そのうちのいくつかは低レベル原子イベントであり、その他は高レベル集合イベントである。所定のイベントは、おそらくはアクション種類571、レベル572、イベントのカテゴリ573、イベント名574、イベント・テーブルID575、アクション詳細576、アクション詳細値577、および判別式578を有するデータベース内のいくつかのフィールドで構成されている。
【0052】
イベント・カテゴリは、各イベント種類に対応する。例えば、イベント・カテゴリ「ファイル(File)」において、イベント名は、ファイル・リード(ファイル読み出し(FileRead))、ファイル・ライト(ファイル書き込み(FileWrite))、ファイル・リライト(ファイル書き換え(FileRewrite))、ファイル・コピー(FileCopy)、ファイル・リネーム(ファイル名変更(FileRename))、ファイル・デリート(ファイル削除(FileDelete))、ファイル・ムーブ(ファイル移動(FileMove))、ファイル・リサイクル(ファイル再利用(FileRecycle))、ファイル・リストア(ファイルの復活(FileRestor))を含む。同様に、ネットワークに関連するイベントは、TCP/IPの到着(TCPIPInbound)、TCP/IPの送出(TCPIPOutbound)、UDPの到着(UDPInbound)などである。
【0053】
スコープ(scope)も、各イベント種類に対応する。スコープは、スレッド、プロセス、ログイン、マシン、またはすべての種類のスコープのいずれかであるとして定義される。例えば、「プロセス」スコープは、同一プロセス内の高レベル・イベントに統合されるイベントであるが、同一スレッドを実行する必要はない。「マシン」は、同一マシン上で生じる2つのイベントの間で再起動が起きてもよいことを意味している。
【0054】
すべての高レベル・イベントに通常記録される属性は、アクションの種類、イベント・カウント、バイト読み出しカウント、バイト書き込みカウント、イベント開始、イベント終了、およびその他の生じうるアクションを含む。元および先は、当該イベントを実行し
た、ファイル、パス、プロセス、スレッド、およびアプリケーションの識別情報を含む多数のその他の属性を保持する。
【0055】
その他の種類のシステム・イベントは、印刷(Print)イベント、ディスク書き込み(CD)イベント、クリップボード(Clipboard)、ユーザ(User)およびマシン(Machine)イベントを含む。最後に、低レベル・イベントとして、プロセス開始(ProcessStart)およびプロセス終了(ProcessEnd)を含むプロセス・イベントがあってもよい。
【0056】
高レベル集合イベントは、低レベル・イベントの発生の組み合わせを検知することによって生成される。さらに詳しくは、高レベル集合イベント(アクション・タイプ26〜43)は、低レベル・イベント(アクション・タイプ1〜25)が特定の順序で見られた後に確定される。例えば、アクション・タイプ26は、「ファイル編集(FileEdited)」と呼ばれる高レベル・イベントである。これは、ファイルが編集された際に確定される集合イベントである。表が示すように、特定のプロセス、スレッド、およびファイルが特定のファイル・ハンドルに対して1つ以上の読み出しを実行し、続いて同一プロセス、スレッドおよびファイル・ハンドルに書き込み操作が起こったことを高レベル・イベント集合プロセス570が検出すると、このイベントは集合「ファイル編集」イベントとして確定される。
【0057】
集合イベントは、図5A〜図5Dにさらに詳しく定義されている。例えば、「ファイルへのクリップボード(ClipboardToFile)」集合イベント510は、クリップボードのカットまたはコピーに続いてファイルへのクリップボードのペーストが検出された際に確定される。
【0058】
同様に、「ファイル焼き付け(BurnFile)」イベントは、CD書き込み(CDWrite)の原子イベントに続いてファイル読み出し(FileRead)の原子イベントが検出されるものである。このように、1つのファイル・ハンドルから一連のファイル読み出し(FileRead)が検出され、同一プロセスで一連のCD書き込み(CDWrite)イベントが続いた場合、アプリケーションはCD−RWにファイルを書き込むものと認識される。
【0059】
その他にも多数の集合イベントが可能であり、図5A〜図5Dのリストは、多数の可能性のうちのいくつかを例示しようとするものにすぎない。
【0060】
イベント・バス580は、1つ以上の集合イベントを述語ルール585−1、…、585−nに分配するように機能する。さらに、イベント・キャッシュ582が、述語585で使用するために、特定の時間間隔の間に生じるイベントを共有してもよい。このようにして、ポリシー論理を実装するように機能する1つ以上の述語585にイベントが供給される。述語の一例として、ピア・トゥ・ピアのファイル転送アプリケーションによって送信される「中程度」以上の機密度レベルを有するすべての文書を暗号化するように論理が実装される。すなわち、述語585−nは、ファイルの機密度レベルをチェックしながら、「ネットワークを開く(network open)」イベントおよびそれに続く「ハードディスク・ドライブ読み出し(read hard disk drive)」イベントを検出するように構成されている。すでに述べたとおり、述語585を実現するコードは、ユーザ100のブート・プロセスの起動のように、通常はディジタル・ガーディアン・サーバ104−2からダウンロードされる。
【0061】
複数イベント制御の述語585のその他の例は、特定のサーバで生成されたファイルが当該マシンから取り出されることを防止するものである。これは、派生するすべてのファイルの名前の変更、コピーなどを監視するための追跡リストに当該ファイルを載せ、取り出しのアクションが試みられたときに、これら派生する名前ならびにユーザが最初に元を
識別した場所を記録することを含む。
【0062】
述語585−nが有効になると、暗号化ポリシー行使エンジン590に通知が伝えられる。次いで、ポリシー行使エンジン590が、使用場所すなわちユーザ・カーネル内で所望のポリシーを行使する処理を実行する。このような行使の手段の1つは、カーネルIRP制御によるものでもよい。すなわち、IRP要求を生じさせるイベントをカーネルによって捕捉し、ポリシー行使エンジン590によって調べてもよい。要求されたIRPがさらなるアクションを必要としない場合、ポリシー行使エンジン590は、IRPフィルタ595を通じて、要求されたアクションの通常どおりの手続きを許可する。
【0063】
一方、要求されたアクションが、ポリシーに従った暗号化を必要とする可能性がある場合、ポリシー・エンジン590は、当該要求に関係するファイルへのアクセスを制御し、あるいは当該要求に関係するファイルを暗号化さえもするように、追加の適切なアクションをとるであろう。
【0064】
図3に戻って、ポリシー行使エンジン590が、特定のアクションを実装してもよい。要求されたアクセス自体がポリシー違反の可能性を有する場合、ポリシー・エンジン590が、追加の適切なアクションをとるであろう。第1のアクションは、アクション601のように、単にOSにIRPを失敗させることでもよい。これより、ユーザおよび/またはアプリケーションは、特定のオペレーティング・システム・サービスまたは当該要求に関係のあるハードウェア・デバイスの障害として解釈する。
【0065】
しかしながら、その他の種類のアクションを行なうことが可能である。例えば、オペレーティング・システムは、要求されたアクションがポリシーに違反する旨の通常の警告をユーザに対して生成してもよい。これは、警報アクション602のように、メッセージを送信するが、要求の続行を許すことによって生じることができる。
【0066】
理由要求警報アクション603も同様であるが、さらにユーザに対して、ポリシー違反の理由を明らかにする入力を行うように要求する。
【0067】
通知阻止アクション604では、要求がポリシーに違反しアクションが阻止されたことが、ユーザに知らされる。
【0068】
サーバ警告アクション605では、ユーザの識別子および関係するファイルなどのさらなる情報を提供して、ポリシー違反が生じたことを示すためにジャーナル・サーバ104−2に警告する。これらのアクションの詳細が、図6に示されている。例えば、企業のポリシーが、特定の企業アプリケーション700から生じる指定された種類の印刷のみを許可するものでもよい。このポリシーは、通知阻止アクション604−1に適切に実装される。次いで、アクション604−1が、許可されたポリシーから外れている印刷の要求を阻止する。
【0069】
同様に、クリップボード・コピー阻止アクション604−2が、内部の企業アプリケーション700で生じたクリップボード・コピー操作の防止を実行できる。
【0070】
ファイルをUSBタイプの装置にコピーしようとした際にも、ユーザ102−1に警告するファイル・コピー警報アクション602−1が実装される。この警報アクション602−1は、ユーザにメッセージを送信するが、その後にコピーの要求の続行を許可することができる。
【0071】
さらに、ユーザがファイルをCDに焼き付けようと企てる際に、ビジネス目的であるこ
とを促すために、理由要求警報アクション603−1を実行するようにポリシーを実装してもよい。アクション603−1が、ユーザ102−1において通知ボックス622を表示し、応答を求める。ボックスにポリシー違反の理由が記入されると、焼き付けの要求の続行が許可される。
【0072】
インスタント・メッセージ(IM)ファイル転送を管理するために警告アクション605を実装してもよい。ここで、ポリシー違反が生じたことをユーザの識別子や関係するファイルなどの追加の情報を提供して示すために、ユーザにとって完全に透過な方法で、企てられたアクティビティに関する情報をジャーナル・サーバ104−2に供給することができる。
【0073】
とられるアクションは、選択的に暗号化を実装するために、さらなる一連の処理を含んでもよい。図3の第1工程610に示されているように、アクションに関連するファイル識別子の機密度が判断される。次の工程611において、要求されたアクションの種類が判断される。指示された機密度のファイルを指示されたアクションに対して暗号化するようにポリシーが指定している場合(例えば、機密度が「中程度」であるファイルをピア・トゥ・ピア・ネットワーク接続を介して転送する場合は暗号化が必要である)、ステップ612にて暗号化が適用される。
【0074】
暗号化を適用する方法は、本発明にとって重要ではない。例えば、文書を暗号化するために、公開鍵基盤(PKI)またはその他の公知の暗号化の仕組みを適用することができる。これは、必要とされるあらゆるディジタル署名、認証、および/または必要とされる鍵の交換を実行するために、ポリシー・サーバ104と連関して動作するエージェント・プロセス300によって行なわれる。
【0075】
図7は、使用点において実装できる、考えられる暗号化ポリシーのいくつかを示す。例えば、ファイルの機密度が「低」であり、アクションが「ファイル・コピー」である場合、適用される暗号化ポリシー620は、当該ファイルがリムーバブルな(取り出し可能である)CD−ROM媒体にコピーされる場合であっても、暗号化を要求しなくてもよい。一方、ファイルの機密度が「高」である場合には、ポリシー621が、行なわれようとするアクションのいかんにかかわらず、例えばアクションが低リスクのローカル・コピー・アクションであったとしても、ファイルが暗号化されることを要求してもよい。ポリシー622は、「ホットメール(Hotmail)」メッセージなど企業内メールではないメールに添付されるすべてのファイルが機密度にかかわらず暗号化されるように、要求することができる。
【0076】
高い機密度のファイルについてのUSBメモリ装置へのコピーのように、高リスクのアクションは、一般には、ビジネス上の目的であることを促し、次いでファイルの暗号化を要求するポリシー625を有する。さらに他のポリシー626は、IMファイル転送に対して、その機密度にかかわらずに常に暗号化を要求してもよい。
【0077】
このプロセスによって、組織の使用場所境界の外に移動された、保護されているあらゆるファイルは、暗号化された形態にある。これは、ディジタル資産の許可なき使用を防止するという点、ならびに誤検知、すなわち権限あるユーザによるアクセスを誤って拒否することを防止する点で、極めて重要である。
【0078】
図8に示す典型的な状況について検討する。企業が2つ以上の場所を有し、少なくとも発信元の場所800および宛先の場所870、890を含む。ポリシー・サーバ104−1が、非武装地帯(DMZ)型の接続によって、企業のファイアウォール820を介して接続されている。ポリシー・サーバ104−1は、特定の施設内の構内通信網に接続され
ているような、自身の各ドメイン内のファイルについて使用の境界の保護を担うとともに、企業による使用において暗号化の仕組みの実装を担う。(しかしながら、ポリシー・サーバ104と保護されるドメインとの間に一対一の対応が必要なわけではない。すなわち、公知のPKIネットワーク・プロトコルを使用する単一のマスタ・ポリシー・サーバ104−1が2つ以上の場所を担当してもよいことを、理解すべきである)。
【0079】
発信元の場所800において、ユーザ102−1が、文書810について電子メールの添付としてインターネット850を介して伝送するようなアクションをとることを要求する。発信元800におけるエージェント300−1がこの要求を捕捉し、ポリシー・サーバ104−1によって指示されるとおり適用するポリシーを決定する。次いで、エージェントは、電子メールによる送信を許可する前に、文書810に対して暗号化を選択的に適用する。
【0080】
第1の例(図8には、詳しくは示されていない)においては、文書810の機密度が低く、暗号化の対象とされていない。したがって、電子メールは通常どおりに処理されることが許可され、文書は意図された宛先の場所870および具体的には電子メールで指定されたユーザ102−2に到着する。これより、宛先のエージェント300−2によるさらなる介在はなく、文書はともかく通常どおりユーザ102−2がアクセス可能である。
【0081】
企業の境界の外にある別の従業員のホーム・オフィスのような信用されていない場所890に電子メールが宛てられる場合にも、同一の結果が生じる。添付の文書は、ともかく通常どおりに、ポリシー・サーバ104−1の存在なく暗号化されずにユーザ102−3に到着する。
【0082】
第2の例(シナリオ2)においては、文書810がより機密度の高いものであり、ポリシー・サーバ104−1はエージェント300−1が文書810を暗号化することを要求する。暗号化の後、信用されていない宛先890に文書810はインターネット上を移動する。信用されていない送り先890には、当該企業において課されているPKIまたはその他の暗号化基盤へのアクセスが存在しないため、文書を復号化することはできない。
【0083】
一方、同じ暗号化された文書が、信頼された宛先870のユーザ102−2に送られた場合の結果を検討する。まず電子メールがユーザ102−2のOSカーネルにおいて動作しているエージェント300−2によって捕捉される。エージェント300−2は、例えば発信元800においてエージェント300−1によって暗号化されたときに文書に挿入されたファイル・ヘッダ812を調べて、文書810が企業のポリシーに従って暗号化されていることを認識する。対応するポリシー・サーバ104−1を介して使用されているPKIまたは他の基盤にアクセスし、文書810を復号化することができて、ユーザ102−2による使用が可能になる。
【0084】
暗号化された文書が信用されていない宛先890に送られた場合、いかに文書810を取り扱うかを了解しているエージェント300またはポリシー・サーバ104へのアクセスの可能性がなく、文書は暗号化されたままに保たれる。
【0085】
この仕組みが、誤検知の危険の大部分を除去することに注目すべきである。すなわち、発信元800におけるエージェント300−1が恐らく必要がないのに文書810を暗号化すると、ユーザ102−1および102−2のいずれもが文書が暗号化されたことを全く知らずに、信用された宛先870におけるエージェント300−2が当該文書を復号化するため、全く被害はない。
【0086】
以上、本発明を、本発明の好ましい実施形態を参照しつつ詳しく示して説明したが、添
付の特許請求の範囲に包含される本発明の技術的範囲から外れることなく、形態や詳細においてさまざまな変更が可能であることを、当業者であれば理解できるであろう。
【図面の簡単な説明】
【0087】
【図1】データ処理システムにおける従来からのセキュリティ境界、および本発明で実施される暗号化ポリシー境界の使用点を示した図である。
【図2】Digital Guardian(商標)サーバがいかにポリシー述語を提供するかを示した図である(Digital Guardianは、マサチューセッツ州ウォルサムのVerdaSys,Inc.の商標である)。
【図3】本発明をさらに詳細に示した処理流れ図である。
【図4A】低レベルの原子イベントの一覧を示す表である。
【図4B】図4Aの続きの表である。
【図5A】高レベルの集合イベントを示す表である。
【図5B】図5Aの続きの表である。
【図5C】図5Bの続きの表である。
【図5D】図5Cの続きの表である。
【図6】ポリシー行使の使用点を示す図である。
【図7】暗号化ポリシー行使の使用点を示す図である。
【図8】信用された宛先および信用されていない宛先のそれぞれにおいて文書がいかに扱われるかを示す図である。
【背景技術】
【0001】
本願は、2003年12月31日に出願された米国特許出願第10/750,321号の優先権を主張する継続出願であり、この米国特許出願第10/750,321号は、2003年1月23日に出願された「所有する電子情報の適応的識別および適応的保護の方法およびシステム(Method and System for Adaptive Identification and Protection of Proprietary Electronic Information)」という名称の米国特許仮出願第60/442,464号の利益を主張している。本願は、また、同時係属の2003年11月12日に出願された「ディジタル資産の管理された配布(Managed Distribution of Digital Assets)」という名称の米国特許出願第10/706,871号に関連し、さらに同時係属の2003年11月18日に出願された「イベント・ジャーナル化によるディジタル資産使用アカウンタビリティ(Digital Asset Usage Accountability Via Event Journaling)」という名称の米国特許出願第10/716,336号に関連する。上記出願の教示の全体は、ここでの言及によって本明細書に組み込まれたものとする。
【0002】
インターネット、ウェブサイト、エクストラネット、およびイントラネットへの安価かつどこからでも利用できるアクセスによって、大部分の新しい組織がお互いに通信し、ビジネスを行なうやり方に、変革がもたらされた。今や、あらゆる種類の情報が、より自由に流れるようになっており、極めて多くが利用できるようになっている。しかしながら、これらネットワークの中枢における情報リソースに容易にアクセスできるということは、同時に、そこに接続されるあらゆるシステムのセキュリティを脅かしてもいる。情報をオンラインに置くということは、少なくともある程度の情報管理を失うことを意味するため、暗黙的に、企業の機密に属するデータのほとんどすべてが、今や暴露の危険にさらされている。
【0003】
セキュリティは、データ処理システムの管理者が直面する重大な問題であり続けている。今や、企業の最も価値ある資産である知的財産は、ディジタル形式に属する何らかの方法で保存されるのが、ほぼ確実である。これらのディジタル資産には、製品計画および製品設計、顧客データ、顧客および製造供給元とのやり取り、契約条件、財務データ、法令遵守データ、ならびに特注のソフトウェア・アプリケーションなどが含まれうる。
【0004】
さらに複雑な問題は、最高経営責任者および役員さえも含む、組織において高い責任のレベルにある管理者が、監督機関と株主の両方によって、機密に属する情報の秘密性、セキュリティおよび完全性を維持する法律上および財務上の責任を今や課される点にある。
【0005】
組織のデータ処理インフラを、特定の外部の者たちによる脅威から保護するために、多種多様な解決手段がすでに存在している。これらには、物理的なアクセス制御、ファイアウォール、スニファーおよび他のネットワーク監視、侵入検知システムならびにその他の解決手段が含まれる。これらの技術は、大抵の場合、権限のない外部の者たちからの攻撃に対して有効である。
【0006】
しかし、やはりセキュリティ上の脅威をもたらす第2の種類のコンピュータ・ユーザが存在する。これら権限のない内部の者からの保護には、やはりよく知られている別の取り組みが必要とされる。ディスクに基づくストレージ・システムが始まったほぼそのとき以来、一部のユーザについて一部の重要なファイルへのアクセス資格を制限するために、アクセス制御の考え方が適用されてきた。これらの技術を使用し、今やほとんどすべてのオペレーティング・システム(OS)、デスクトップ、および/またはネットワーク・ファイル・サーバの一般的な特徴として、個々のユーザに与えられた許可に応じて、ファイルやディレクトリ構造などに関する読み出し、書き込み、パブリック、プライベート、およ
びその他の種類のアクセス制限を提供することができる。システム管理者によって、必要事項、およびユーザが属している組織内の部門などに基づいて、ユーザ・アカウントに許可を付与することができる。
【0007】
しかしながら、ユーザがシステムの一部についてしかアクセスできない場合であっても、依然としてさまざまな技術を使用して情報を盗み出し、さらに/あるいは情報に損傷を加えることができる。これらには、ネットワーク中の保全されていない情報の単純な閲覧、および/またはセキュリティの実施が不十分なために利用可能になっている情報の取り出しまたは削除が含まれる。より高度な内部不正者は、ネットワーク・パケット・スニファおよび/またはスパイウェアを使用する。
【0008】
公開鍵基盤(PKI)を使用するもののような暗号化技法によって、企業は、当該企業のアプリケーションおよびデータに関する認証、アクセス制御、および機密保持の実現が可能になる。PKIシステムは、電子メールおよびその他の通信、顧客とのビジネス上のやり取りのセキュリティを保護するために使用されるほか、ネットワーク・サーバに保存されたデータの保護にも使用される。PKIは、通常、企業全体のネットワークにおいて、ディジタル証明書の発行および追跡、証明機関、および公開鍵暗号化要素を必要とする。
【0009】
ディジタル資産について何らかの制御を提供するために、種々のPKIに基づく取り組みが中央集中型の文書保存をいわゆるディジタル権利管理(DRM)ツールと組み合わせている。これらのシステムにおいて、ファイル・サーバ上または別個のポリシー・サーバ上で動作するポリシー行使プロセスが、ファイルの使用に対して暗号化ポリシーを行使する。このようなシステムでは、ファイル・サーバ上のファイルへのアクセスが、暗号化のための中央集中管理の鍵を使用するポリシー・サーバによって最初に制御される。ポリシー・サーバそのものは、情報の保存および取り出しを担当しないが、通常は、アクセス・ポリシー(すなわち、いずれのユーザがいずれの種類の文書へのアクセスを許されているか)のリストの保持、ユーザ認証の管理、クライアントからサーバへの通信の保全、および暗号鍵の配布を担当する。情報へのアクセスに先立ち、受取人は、まずポリシー・サーバで認証しなければならない。次いで、ポリシー・サーバが、受取人が情報を復号化できるように必要とされる鍵のコピーを発行する。
【0010】
例えば、ダニエリ(Danieli)に特許され、マイクロソフト社(Microsoft Corporation)に譲渡された米国特許第6,510,513号には、電子セキュリティ証明を用いてサーバとクライアントとの間の一連のトランザクションを活用するセキュリティおよびポリシー行使システムが記載されている。第1のクライアントがダイジェストを含むセキュリティ証明を信頼された審査サーバ(arbitrator server)に提出することによって、データへのアクセス要求を生成する。信頼された審査サーバが、第1のクライアントの資格を証明し、セキュリティ証明を返送する。次いで、データおよびセキュリティ証明が組み合わされて配布され、第2のクライアントによって取得される。第2のクライアントは、配布データからセキュリティ証明を抽出し、ダイジェストを生成する。第2のクライアントからのダイジェストが第1のクライアントからのダイジェストと一致する場合、データは正当であると考えられる。証明の種類およびポリシー・レベルに応じて、信頼された審査サーバは不適切な使用の通知などのサービスを提供できる。
【発明の開示】
【0011】
このように、DRMシステムは、エンドユーザからの情報の保護における複雑さの多くを隠すことができるが、欠点と無縁ではない。DRMサーバは、ディジタル証明書、アクセス権、暗号鍵、およびその他のPKIインフラ要素を発行および追跡する必要性を生むことによって、情報技術環境に新たな管理上の問題を持ち込む。このオーバヘッドを維持
することが、数百万とはいわずとも数千の文書および数ダースの異なるセキュリティ・ポリシーを有する小さな企業においてさえも、わずらわしいものになりうる。
【0012】
さらに、既存のDRMサーバ・システムは、通常、ファイル・サーバに保存されている文書へのアクセスが生じるたびに、さらなるオーバヘッドを生じさせる。ファイルが使用可能になる前に、そのアクセス・ポリシーが突き止められなければならず、ユーザ認証が得られなければならず、適切な鍵が特定されなければならず、さらに復号化アルゴリズムが適用されなければならない。このサーバにおけるオーバヘッドの処理は、特に機密ではないファイルの場合にさえも課される。
【0013】
例えば、進行中の企業合併の計画に関連する財務部門の文書には、通常は高いセキュリティ分類が与えられ、常に暗号化されなければならない。しかしながら、企業の夏の行楽のスケジュールなどのその他の文書は、特に機密に属するものではなく、複雑なDRMの仕組みのオーバヘッドの対象とすべきではない。より良好な解決手段は、ユーザにとって透過な方法で、真に暗号化する必要がある文書のみを、場当たりではなく確立されたポリシーに従って使用点において判断して、選択的に暗号化することであろう。
【0014】
改善された取り組みは、文書内に保存された情報の機密性を単に判断することによるのみでなく、その文書に対して行なおうとされるアクションに依存して、暗号化ポリシーを実施する。例えば、行なおうとするアクションが、機密文書を編集して、この文書の取り出し元である同一の保全されたローカル・ファイル・サーバに編集済みコピーを再保存するために当該機密文書にアクセスしようとするものである場合、組織にとって適切なポリシーは暗号化要件をまったく課さないことである。一方で、より機密性の低い文書であっても、ウェブで電子メールサービスによって当該同一組織の外部に送信されようとする場合には、たとえ企業の行楽のスケジュールであっても、送り先の管理が不可能であるため当該文書を暗号化する必要がある。
【0015】
既存のDRM解決手段はいずれも、権限を与えられた内部の者による情報の悪用を防止するのにほとんど役立たない。この種類のユーザは、割り当てられた業務を実行するために重要なデータ・ファイルにアクセスすると考えられるため、信頼された状態にある。したがって、彼らは、このような情報を使用する許可を日々、日常的に与えられている。したがって、彼らが機密に属するデータにアクセスすることは、通常は疑わしいものではない。問題は、この種の信頼されているユーザが、機密情報をコピーし、次いで部外者またはその他権限のない人々に配布することによって、信頼を悪用する場合に生じる。このような事態は、不満のある従業員や離職しようとする従業員が組織に打撃を与えたいと考える場合に、きわめて容易に生じる可能性があり、かつ高い頻度で生じるようになってきている。
【0016】
従来技術のセキュリティ・システムの欠点は、機密情報へのアクセスがひとたび与えられると、権限を与えられたユーザがこの情報を極めて容易に多種の方法で配布できるという事実に対処できないことである。インターネット接続、電子メール、インスタント・メッセージ、コンパクト・ディスク読み書き(CD−RW)ドライブなどのリムーバブル・メディア記憶装置、ユニバーサル・シリアル・バス(USB)型のメモリおよび記憶装置などの普及が、極めて大量の情報をほぼ瞬時にコピーすることを簡単な作業にしている。さらに、無線モデム、無線ローカル・ネットワーク・カード、ポータブル・コンピュータ、携帯情報端末(PDA)、およびネットワーク・トンネルなどのその他周辺機器があまりに便利な伝達手段であるため、権限を与えられたユーザが信頼されたシステム環境の外にファイルのコピーを配布できる。
【0017】
最も高度なファイル管理システムであっても、現在のところ、このような悪用を防ぐこ
とはできない。この問題の根源は、権限を与えられたユーザがひとたびファイルを開くと、その中身はもはや管理されないという事実にある。特に、ファイルの中身のコピーは、ネットワークまたはファイル管理システムの管理下にある環境の「外に」あまりにも容易に持ち出される。
【0018】
本発明は、権限を与えられたユーザが自らの権限を悪用したときに生じるセキュリティ問題の解決を目的とするものである。本発明はこれを、単にファイル・サーバおよび/またはアクセス・ストレージにおいてではなく、ファイルの使用点において暗号化ポリシーを選択的に適用することによって達成する。
【0019】
さらに詳細には、クライアントのオペレーティング・システム(OS)のカーネルのバックグラウンドで動作するような、自律的な個別のエージェント・プロセスが、リソースへのアクセス要求に割り込む。リソースへのこのようなアクセス要求は、例えば、ファイルの読み出し要求、ネットワーク接続を開く要求、およびリムーバブル媒体装置の装着要求などを含むことができる。使用点においてOSカーネル割り込み手段でアクセスが検出されるので、元来の直接のアクセス要求が、エンドユーザによって実行されたアプリケーション・プログラムによるものか、ユーザの代わりに間接的にアプリケーションによって実行されたアプリケーション・プログラムによるものか、あるいはアプリケーション・ソフトウェアとは無関係にシステム要求によって実行されたかにかかわらず、リソース利用の追跡が発生する。
【0020】
低レベルのシステム・イベントを捕らえるセンサを使用して、自律的な個別のエージェント・プロセスは、リソースへのアクセス要求を検出する。これら低レベルのシステム・イベントは、ファイル読み出し、ファイル書き込み、ファイルのコピー、クリップボード・カット、クリップボード・コピー、CD−RWアクセス、TCP/IPネットワーク・メッセージの到着、およびTCP/IPネットワーク・メッセージの送出などの操作を含んでもよい。
【0021】
例えば、集合「ファイル編集(FileEdit)」イベントは、ユーザが機密の財務文書を開いて変更し、その後、このユーザがこの文書を新たに取り付けたUSBポータブル・ハード・ドライブに保存しようと試みたときに、報告される。
【0022】
さらに別の集合イベントは、ファイル、アプリケーション、ネットワーク、および周辺装置バス・インターフェイスにユーザがアクセスしようと試みたときに常に判断される。このような集合イベントは、一般的に、システム・リソースについて許可される使用を規定しているポリシーを積極的に行使するために、システム管理者によって確定されている。
【0023】
このように、適応的暗号化ポリシーの行使は、情報アクセスの時点および場所においてエージェント・プロセスによって行なわれる。例えば、システム管理者が、機密に属する文書への暗号化の適応的な適用を、当該文書について要求されたアクションに応じて制御することを望むかもしれない。そのようなポリシーの1つの例は、文書がユニバーサル・シリアル・バス(USB)ハードディスク・ドライブもしくはコンパクト・ディスク読み書き(CD−RW)焼き付け機などのリムーバブル・メディア周辺装置に保存されようとする場合、またはインスタント・メッセージ(IM)アプリケーションまたはファイル転送プロトコル(FTP)もしくはその他ピア・トゥ・ピア・ネットワーク接続などのネットワーク接続を介して送信されようとする場合に、常に暗号化を適用することである。
【0024】
これらリソースの使用を規定する暗号化ポリシーは、組織の要求するとおりに詳細に定めることができる。例えば、機密文書であっても、編集されて次いで管理下の内部のファ
イル・サーバ上に保存されるのであれば、暗号化は不要であるかもしれない。一方、比較的機密性の低い文書であっても、それらを組織の外に移動させる企てがなされるときは常に、暗号化が行なわれるかもしれない。この場合、ファイルは保全されていないネットワークおよび/または信頼されていない外部の者に暗号化された形式で伝えられる。
【0025】
エージェント・プロセスは、さらに、暗号化ポリシーの実装を別の方法で容易にする。例えば、電子メール・メッセージまたはファイル転送の受信側に位置する権限を与えられたユーザは、管理されたファイルを暗号化された形式で受信する。しかしながら、権限を与えられた受信者は、好ましくは、自身のOSカーネル内で動作している自律的かつ独立のエージェント・プロセスを有する。暗号化されている(例えば、ファイル・ヘッダを調べることによって判断される)そのようなファイルを受信したとき、宛先の対応するポリシー・サーバを介して提供されるPKIへのアクセスを使用して、受信側のエージェントが組織の暗号化ポリシーを適用することができる。このプロセスも再度エンドユーザにとって透過な方法で宛先マシンのOSカーネル内で生じる。
【0026】
このように、受信が承認されると、文書がエージェント・プロセスによって復号化される。受信者が承認されない場合には、エージェント・プロセスは文書を復号化しない。当然ながら、動作中のエージェント・プロセスをまったく有しない受信側ではやはり文書を復号化することはできない。
【0027】
さらに、暗号化が自律的で、接続を要さず、透過であることにより、誤検知(正当なものを不正なものであると判断してしまう)の可能性があるという問題が除かれる。すなわち、発信元におけるエージェント・プロセスが、暗号化するまでもない文書を暗号化することによって暗号化ポリシーを積極的に適用し過ぎても、少なくとも宛先のエージェント・プロセスがエンドユーザにとって透過な方法で文書を復号化する。
【0028】
本発明の前記の目的、特徴および利点、ならびに他の目的、特徴および利点は、添付の図面に示した本発明の好ましい実施形態に関する以下のさらに詳しい説明から明らかになるであろう。添付の図面においては、異なる図であっても同一参照符号は同一部分を指している。図面は必ずしも縮尺どおりではなく、本発明の原理を示すことに重点がおかれている。
【発明を実施するための最良の形態】
【0029】
図1は一般的なコンピュータ・ネットワーク100の図であり、このコンピュータ・ネットワーク100は、クライアント装置102ならびにローカル・エリア・ネットワークおよび/またはLAN間接続設備を介して接続されたサーバ104から構成される。インターネット108などの外部のネットワークへの接続が、ルータまたはゲートウェイ106などの装置を介して実現されている。さらに、インターネット108を介した接続は、外部のコンピュータ110に対して行なうことも可能である。
【0030】
従来からのセキュリティ・モデルは、保護されているネットワーク100内の装置102および/またはファイル・サーバ104に対する信頼できない外部の者110によるアクセスを防止しようと試みている。すなわち、ネットワーク境界120が、ルータ106などにより、詳細にはファイアウォール107において、ネットワークのアクセス点に用いられている。このようにして、ファイアウォール107が、サーバ104に保存された情報にアクセスしようとしたり、またはローカル・コンピュータ102を操作しようとしたりする外部のコンピュータ110の権限のないユーザの企てを阻止することができる。さらに、ファイアウォール107は、例えば制限されあるいは有害であるウェブサイトおよびゲーム・サーバなどを含む一部の望ましくない外部のコンピュータ110にアクセスしようと試みるユーザによるものなど、外向きのアクセスについても境界120を確立で
きる。
【0031】
ネットワークへの物理的なアクセスの外側の点に境界を確立するよりもむしろ、本発明は、ファイル使用についてのアカウンタビリティの境界を使用点(使用時点および使用場所)において確立する。このアカウンタビリティ・モデルは、ローカル・サーバ104に保存されたファイルにアクセスするコンピュータ102の権限を与えられたユーザを追跡できるのみでなく、さらに重要なことには、そのようなファイルへのアクセスまたは情報を配布もしくは記録する周辺機器へのそのようなファイルの移動の企て、あるいは他に生じうる不正なイベントを監視することができる。
【0032】
生じうる不正なイベントを検出すると、当該文書の機密性ならびに当該文書について企てられたアクションに基づいて、暗号化ポリシーが選択的に適用される。
【0033】
このような生じうる不正なイベントは、ローカル・ファイル・サーバ104またはファイアウォール107には見ることも制御することもできない装置にユーザがアクセスするときに常に生じうる。これらのイベントには、コンパクト・ディスク読み書き(CD−RW)ドライブ204、携帯情報端末(PDA)206、ユニバーサル・シリアル・バス(USB)記憶装置208、無線装置212、ディジタル・ビデオ記録装置214などの管理不可能な媒体へのファイルの書き込みが含まれ、さらにはファイルの印刷さえも含まれる。他の疑わしいイベントには、外部ピア・トゥ・ピア(P2P)アプリケーション201の実行、外部の電子メール・アプリケーション202を介してのファイルの送信、インスタント・メッセージ(IM)アプリケーションの実行、およびインターネット108を介してのウェブサイトへのファイルのアップロードなどが含まれる。
【0034】
直ぐに理解されるとおり、この取り組みの核心は、デスクトップ102などの使用点において生じるユーザの行為を特徴付けて、次いで所定のポリシーに従って適応的に暗号化を適用する高レベルのコンテキスト・ストリーム(contextual stream)から構成される。
【0035】
次に図2を用いて、ディジタル資産の適応的暗号化のためのプロセスをより詳細に説明する。エージェント・プロセス300と呼ばれる第1のシステム構成要素がオペレーティング・システム(OS)301およびアプリケーション308の間に介装されている。ここで、エージェント・プロセス300、オペレーティング・システム(OS)301およびアプリケーション308は、ネットワーク101内のクライアント102および/またはサーバ104上で動作する。エージェント・プロセス300は、ファイルの読み出しまたは書き込み動作など、ファイル、印刷、クリップボード、およびI/O装置の動作の検出および追跡のために、センサまたはシム(shim)を有する。これらのセンサは、これらに限られるわけではないが、ファイル・システム・センサ502(CD/DVD焼き付けセンサ510を含む)、ネットワーク・センサ504、印刷センサ505、クリップボード・センサ506、APIスパイ508、およびプロセス・スパイ509を含むことができる。
【0036】
クライアントは、通常、ローカル・ネットワーク101への直接の有線(または無線)接続109を有するデスクトップ102−1を含むが、エージェント300は、ラップトップ102−2などの接続されていないクライアント・コンピュータ上で実行されてもよく、この場合、イベントの報告は、ネットワーク101への接続がいずれなされた時点に行なわれる。
【0037】
エージェント300は、原子イベント350を、通常はアクティビティ・ジャーナル・サーバ104−2上で動作するアクティビティ・ジャーナル化プロセスに報告する。ジャ
ーナル・サーバ104−2(本明細書においては、Digital Guardian(商標)とも称する)は、原子イベント・データを処理し、いわゆる集合イベント360に合体させる。集合イベント360は、ある所定の一連の原子イベント、すなわち時間系列の原子イベントが生じたときに検出される。これより、各集合イベント360は、監視すべきアクティビティを表わす所定のパターンに適合する1つ以上の原子イベント350で構成される。
【0038】
集合イベント360となる特定の種類の原子イベント350および/または一連の原子イベント350については、後で詳細に説明する。しかし、当然のことながらここでは、報告される特定のイベントおよびそれらの集合の種類が、監視しようとする特定のアクティビティによって決まることを理解すべきである。
【0039】
さらに、行使ポリシーを規定する述語370が、エージェント・プロセス300に送出される。これら述語は、管理用コンソール102−5において入力される設定コマンドから生じ、ディジタル・ガーディアン・サーバ104−2を介して送信される。
【0040】
ネットワークを完全に保護するために、一般的に、エージェント・プロセス300は企業のネットワークに接続されたすべてのデスクトップ102およびファイル・サーバ104上に常駐する。アクティビティ・ジャーナル・・サーバ104とエージェント・プロセス300は、マイクロソフト社の「.NET」インフラやその他の安全なネットワーク・システムのような安全なネットワーク・ベースのアプリケーションを介して通信できる。さらに、管理用コンソール102−5によって、ディジタル・ガーディアン・サーバ104−2に保存されたデータベースへのアクセスが可能であり、管理用コンソール102−5は、特にリスク・コンプライアンス、フォレンジック報告、および同様の報告310をシステムの管理ユーザに提供するために使用される。
【0041】
ジャーナル・サーバ104−2は、一般に、安全な.NETフレームワークを有するウインドウズ2000サーバ(Windows(登録商標) 2000 Server)環境内で動作することができる。さらに、ジャーナル・サーバ104−2は、レコードの保存および取り出しの機能を提供するために、例えばマイクロソフトSQLサーバ2000(Microsoft SQL Server
2000)などのデータベースへのアクセスを有している。当然ながら、ここに説明するプロセスを、他の種類のオペレーティング・システム、サーバ・プラットフォーム、データベース・システム、および安全なネットワーク環境上に実装できることを理解すべきである。
【0042】
図3は、クライアント・エージェント300をさらに詳しく示した図である。エージェント300の構成要素は、特に、1つ以上のセンサ500、ファイル・フィルタ520、イベント合体/集合530、イベント・バス580、1つ以上のポリシー述語585、ポリシー行使エンジン590、およびI/O要求パケット(IRP)フィルタ595で構成されている。さらに、エージェント・プロセス300は、規則のリアル・タイム評価および可能性を有する行使を設けてもよい点に、注目すべきである。
【0043】
エージェント300は、好ましくはクライアントのオペレーティング・システム(OS)においてカーネル・プロセスとして動作する。例えば、エージェント300は、マイクロソフト社のウインドウズ2000(Windows 2000)またはウインドウズXP(Windows XP)のカーネル内で動作できる。エージェント300の自律的な動作によって、たとえクライアント102がネットワーク100から切り離されている場合でも、原子イベント350の検出を行うことができる。このようなイベントはすべて、クライアント102が再度接続されてディジタル・ガーディアン・サーバ104−2と通信できるようになったときに報告される。
【0044】
好ましい実施形態においては、悪意のあるユーザによって1つのサービスが停止させられた場合でも、他のサービスが別のプロセスを再開できるように、エージェント300がウインドウズのもとで複数のサービスを実行する。さらに、このプロセスは、完全な保護を保証するために、オペレーティング・システムのタスク・マネージャまたは同様のプロセスから隠されており、セーフモード起動手段においても機能することができる。
【0045】
原子イベント・センサ500は、主として入力/出力(I/O)ドライバに関連する動作がOSカーネルにおいて捕捉されたときに、出力として原子イベントを報告する。したがって、エージェント・プロセス300は、エンドユーザには透過であり、改ざんされにくい。捕捉は、例えば、割り込み可能カーネルのI/O要求パケット(IRP)において生じる。イベントは、また、ウインドウズ・サービスおよびカーネル・レベルのドライバによって提供されてもよい。
【0046】
センサ500は、ファイル操作センサ502(CD/DVD焼き付けセンサ510を含む)、ネットワーク操作センサ504、印刷待ち行列センサ505、クリップボード・センサ506、アプリケーション・プログラミング・インターフェイス(API)スパイ・センサ508、およびプロセス・スパイ509のようなその他のセンサを有することができる。
【0047】
イベントに集められるデータはイベントの種類によるが、以下に示すものも含むことができる。
・アプリケーションの呼び出しの場合には、呼び出しプロセスの識別、実行可能な名前、開始時間、終了時間、およびプロセス所有者
・ログオンまたはログオフなどのユーザ操作の場合には、時刻およびユーザ識別子(ID)
・ファイル操作の場合には、元/先のファイル名、操作の種類(オープン、書き込み、削除、名前の変更、ゴミ箱への移動)、装置の種類、最初および最後のアクセス時刻
・ネットワーク操作の場合には、発信元/宛先のアドレス、ポートおよびホスト名、開始/終了時刻のスタンプ、送信および受信したバイト数、入力および出力のデータ伝送時間
・CD−RWの操作の場合には、ファイル名、開始/終了時刻および転送されたデータ量
・印刷操作の場合には、フルパスまたはファイル名、イベント開始時刻またはプリント・ジョブ名、
・クリップボード操作の場合には、宛先プロセスID、イベント開始時刻、関係するファイル名のフルパス
・リムーバブル記憶媒体へのアクセスのようなその他の高レベルの操作の場合には、ファイル名、装置ID、日時、転送されたバイト数、など
【0048】
承認されたファイル・フィルタ520は、システム・ファイルへの標準の呼び出しによって生成される多数の重要度の低いイベントを自動的にフィルタ処理するように動作する。例えば、マイクロソフト・ウインドウズのアプリケーションの典型的な実行において、多種多様な.EXEおよび.DLLオペレーティング・システム・ファイルが開かれて繰り返しアクセスされるのがきわめて通常である。ジャーナル・サーバ104−2へのデータの流れを少なくするために、ファイル・フィルタ520が承認されたファイルのリスト522を使用して、原子センサ・イベント(生のセンサ・イベント)510をフィルタ処理する。
【0049】
承認されたファイルのリスト522は、イベントに関連するファイル名のリストとして実装される。しかしながら、好ましい実施形態においては、よく知られているMD5アルゴリズムが各ファイル名に対するハッシュ・コードを生成するように使用される。次いで
、フィルタ処理プロセスの高速化のために、完全なファイル・ハンドルではなく、イベントに関連するファイル名のMD5ハッシュ・コードが、承認されたリスト522と比較される。これより、承認されていないファイルに関するイベントのみが、合体工程530に送られる。
【0050】
次の工程は、原子イベント510を集合させようと試みる原子イベント合体工程530である。合体工程530は、さらに、エージェント300とディジタル・ガーディアン・サーバ104の間において、単一のユーザ・アクションに対応した原子イベント510または関連する原子イベント510をフィルタ処理する。一般には、アプリケーションは、ファイル全体を同時に読み出すのではなく、ファイルの小さいチャンクごとを何回にも分けて読み出す。例えば、ユーザが2メガバイト(MB)の表計算ファイルを読み出すとする。しかしながら、OSは、所定のある時点においては、例えば一度に5または10キロバイト(KB)など、実際にはこれよりもはるかに小さい表計算ファイルの一部分にしかアクセスしないであろう。このように、典型的なアクセスのパターンにおいては、ファイル・オープンの原子イベントに続いて同一ファイルに対する複数回のリード(読み出し)の原子イベントが見られる。このような一連の原子イベントが、同一スレッドIDおよび同一ファイル・ハンドルで同一実効可能プロセスから見られた場合には、イベント合体工程530は、単一の「ファイル・オープン」イベントのみをカウントする。好ましい実施形態においては、通常分単位で測定する時間制限を超えた場合、生のレベルのイベント間に少なくとも1つのイベントが報告されるように、イベント合体工程530に対応する時刻属性が存在する。
【0051】
典型的な高レベル・イベント・パターンの包括的なリストが、図4Aおよび図4Bに示されている。例えば、好ましい実施形態においては、43種類のアクションが定義されており、そのうちのいくつかは低レベル原子イベントであり、その他は高レベル集合イベントである。所定のイベントは、おそらくはアクション種類571、レベル572、イベントのカテゴリ573、イベント名574、イベント・テーブルID575、アクション詳細576、アクション詳細値577、および判別式578を有するデータベース内のいくつかのフィールドで構成されている。
【0052】
イベント・カテゴリは、各イベント種類に対応する。例えば、イベント・カテゴリ「ファイル(File)」において、イベント名は、ファイル・リード(ファイル読み出し(FileRead))、ファイル・ライト(ファイル書き込み(FileWrite))、ファイル・リライト(ファイル書き換え(FileRewrite))、ファイル・コピー(FileCopy)、ファイル・リネーム(ファイル名変更(FileRename))、ファイル・デリート(ファイル削除(FileDelete))、ファイル・ムーブ(ファイル移動(FileMove))、ファイル・リサイクル(ファイル再利用(FileRecycle))、ファイル・リストア(ファイルの復活(FileRestor))を含む。同様に、ネットワークに関連するイベントは、TCP/IPの到着(TCPIPInbound)、TCP/IPの送出(TCPIPOutbound)、UDPの到着(UDPInbound)などである。
【0053】
スコープ(scope)も、各イベント種類に対応する。スコープは、スレッド、プロセス、ログイン、マシン、またはすべての種類のスコープのいずれかであるとして定義される。例えば、「プロセス」スコープは、同一プロセス内の高レベル・イベントに統合されるイベントであるが、同一スレッドを実行する必要はない。「マシン」は、同一マシン上で生じる2つのイベントの間で再起動が起きてもよいことを意味している。
【0054】
すべての高レベル・イベントに通常記録される属性は、アクションの種類、イベント・カウント、バイト読み出しカウント、バイト書き込みカウント、イベント開始、イベント終了、およびその他の生じうるアクションを含む。元および先は、当該イベントを実行し
た、ファイル、パス、プロセス、スレッド、およびアプリケーションの識別情報を含む多数のその他の属性を保持する。
【0055】
その他の種類のシステム・イベントは、印刷(Print)イベント、ディスク書き込み(CD)イベント、クリップボード(Clipboard)、ユーザ(User)およびマシン(Machine)イベントを含む。最後に、低レベル・イベントとして、プロセス開始(ProcessStart)およびプロセス終了(ProcessEnd)を含むプロセス・イベントがあってもよい。
【0056】
高レベル集合イベントは、低レベル・イベントの発生の組み合わせを検知することによって生成される。さらに詳しくは、高レベル集合イベント(アクション・タイプ26〜43)は、低レベル・イベント(アクション・タイプ1〜25)が特定の順序で見られた後に確定される。例えば、アクション・タイプ26は、「ファイル編集(FileEdited)」と呼ばれる高レベル・イベントである。これは、ファイルが編集された際に確定される集合イベントである。表が示すように、特定のプロセス、スレッド、およびファイルが特定のファイル・ハンドルに対して1つ以上の読み出しを実行し、続いて同一プロセス、スレッドおよびファイル・ハンドルに書き込み操作が起こったことを高レベル・イベント集合プロセス570が検出すると、このイベントは集合「ファイル編集」イベントとして確定される。
【0057】
集合イベントは、図5A〜図5Dにさらに詳しく定義されている。例えば、「ファイルへのクリップボード(ClipboardToFile)」集合イベント510は、クリップボードのカットまたはコピーに続いてファイルへのクリップボードのペーストが検出された際に確定される。
【0058】
同様に、「ファイル焼き付け(BurnFile)」イベントは、CD書き込み(CDWrite)の原子イベントに続いてファイル読み出し(FileRead)の原子イベントが検出されるものである。このように、1つのファイル・ハンドルから一連のファイル読み出し(FileRead)が検出され、同一プロセスで一連のCD書き込み(CDWrite)イベントが続いた場合、アプリケーションはCD−RWにファイルを書き込むものと認識される。
【0059】
その他にも多数の集合イベントが可能であり、図5A〜図5Dのリストは、多数の可能性のうちのいくつかを例示しようとするものにすぎない。
【0060】
イベント・バス580は、1つ以上の集合イベントを述語ルール585−1、…、585−nに分配するように機能する。さらに、イベント・キャッシュ582が、述語585で使用するために、特定の時間間隔の間に生じるイベントを共有してもよい。このようにして、ポリシー論理を実装するように機能する1つ以上の述語585にイベントが供給される。述語の一例として、ピア・トゥ・ピアのファイル転送アプリケーションによって送信される「中程度」以上の機密度レベルを有するすべての文書を暗号化するように論理が実装される。すなわち、述語585−nは、ファイルの機密度レベルをチェックしながら、「ネットワークを開く(network open)」イベントおよびそれに続く「ハードディスク・ドライブ読み出し(read hard disk drive)」イベントを検出するように構成されている。すでに述べたとおり、述語585を実現するコードは、ユーザ100のブート・プロセスの起動のように、通常はディジタル・ガーディアン・サーバ104−2からダウンロードされる。
【0061】
複数イベント制御の述語585のその他の例は、特定のサーバで生成されたファイルが当該マシンから取り出されることを防止するものである。これは、派生するすべてのファイルの名前の変更、コピーなどを監視するための追跡リストに当該ファイルを載せ、取り出しのアクションが試みられたときに、これら派生する名前ならびにユーザが最初に元を
識別した場所を記録することを含む。
【0062】
述語585−nが有効になると、暗号化ポリシー行使エンジン590に通知が伝えられる。次いで、ポリシー行使エンジン590が、使用場所すなわちユーザ・カーネル内で所望のポリシーを行使する処理を実行する。このような行使の手段の1つは、カーネルIRP制御によるものでもよい。すなわち、IRP要求を生じさせるイベントをカーネルによって捕捉し、ポリシー行使エンジン590によって調べてもよい。要求されたIRPがさらなるアクションを必要としない場合、ポリシー行使エンジン590は、IRPフィルタ595を通じて、要求されたアクションの通常どおりの手続きを許可する。
【0063】
一方、要求されたアクションが、ポリシーに従った暗号化を必要とする可能性がある場合、ポリシー・エンジン590は、当該要求に関係するファイルへのアクセスを制御し、あるいは当該要求に関係するファイルを暗号化さえもするように、追加の適切なアクションをとるであろう。
【0064】
図3に戻って、ポリシー行使エンジン590が、特定のアクションを実装してもよい。要求されたアクセス自体がポリシー違反の可能性を有する場合、ポリシー・エンジン590が、追加の適切なアクションをとるであろう。第1のアクションは、アクション601のように、単にOSにIRPを失敗させることでもよい。これより、ユーザおよび/またはアプリケーションは、特定のオペレーティング・システム・サービスまたは当該要求に関係のあるハードウェア・デバイスの障害として解釈する。
【0065】
しかしながら、その他の種類のアクションを行なうことが可能である。例えば、オペレーティング・システムは、要求されたアクションがポリシーに違反する旨の通常の警告をユーザに対して生成してもよい。これは、警報アクション602のように、メッセージを送信するが、要求の続行を許すことによって生じることができる。
【0066】
理由要求警報アクション603も同様であるが、さらにユーザに対して、ポリシー違反の理由を明らかにする入力を行うように要求する。
【0067】
通知阻止アクション604では、要求がポリシーに違反しアクションが阻止されたことが、ユーザに知らされる。
【0068】
サーバ警告アクション605では、ユーザの識別子および関係するファイルなどのさらなる情報を提供して、ポリシー違反が生じたことを示すためにジャーナル・サーバ104−2に警告する。これらのアクションの詳細が、図6に示されている。例えば、企業のポリシーが、特定の企業アプリケーション700から生じる指定された種類の印刷のみを許可するものでもよい。このポリシーは、通知阻止アクション604−1に適切に実装される。次いで、アクション604−1が、許可されたポリシーから外れている印刷の要求を阻止する。
【0069】
同様に、クリップボード・コピー阻止アクション604−2が、内部の企業アプリケーション700で生じたクリップボード・コピー操作の防止を実行できる。
【0070】
ファイルをUSBタイプの装置にコピーしようとした際にも、ユーザ102−1に警告するファイル・コピー警報アクション602−1が実装される。この警報アクション602−1は、ユーザにメッセージを送信するが、その後にコピーの要求の続行を許可することができる。
【0071】
さらに、ユーザがファイルをCDに焼き付けようと企てる際に、ビジネス目的であるこ
とを促すために、理由要求警報アクション603−1を実行するようにポリシーを実装してもよい。アクション603−1が、ユーザ102−1において通知ボックス622を表示し、応答を求める。ボックスにポリシー違反の理由が記入されると、焼き付けの要求の続行が許可される。
【0072】
インスタント・メッセージ(IM)ファイル転送を管理するために警告アクション605を実装してもよい。ここで、ポリシー違反が生じたことをユーザの識別子や関係するファイルなどの追加の情報を提供して示すために、ユーザにとって完全に透過な方法で、企てられたアクティビティに関する情報をジャーナル・サーバ104−2に供給することができる。
【0073】
とられるアクションは、選択的に暗号化を実装するために、さらなる一連の処理を含んでもよい。図3の第1工程610に示されているように、アクションに関連するファイル識別子の機密度が判断される。次の工程611において、要求されたアクションの種類が判断される。指示された機密度のファイルを指示されたアクションに対して暗号化するようにポリシーが指定している場合(例えば、機密度が「中程度」であるファイルをピア・トゥ・ピア・ネットワーク接続を介して転送する場合は暗号化が必要である)、ステップ612にて暗号化が適用される。
【0074】
暗号化を適用する方法は、本発明にとって重要ではない。例えば、文書を暗号化するために、公開鍵基盤(PKI)またはその他の公知の暗号化の仕組みを適用することができる。これは、必要とされるあらゆるディジタル署名、認証、および/または必要とされる鍵の交換を実行するために、ポリシー・サーバ104と連関して動作するエージェント・プロセス300によって行なわれる。
【0075】
図7は、使用点において実装できる、考えられる暗号化ポリシーのいくつかを示す。例えば、ファイルの機密度が「低」であり、アクションが「ファイル・コピー」である場合、適用される暗号化ポリシー620は、当該ファイルがリムーバブルな(取り出し可能である)CD−ROM媒体にコピーされる場合であっても、暗号化を要求しなくてもよい。一方、ファイルの機密度が「高」である場合には、ポリシー621が、行なわれようとするアクションのいかんにかかわらず、例えばアクションが低リスクのローカル・コピー・アクションであったとしても、ファイルが暗号化されることを要求してもよい。ポリシー622は、「ホットメール(Hotmail)」メッセージなど企業内メールではないメールに添付されるすべてのファイルが機密度にかかわらず暗号化されるように、要求することができる。
【0076】
高い機密度のファイルについてのUSBメモリ装置へのコピーのように、高リスクのアクションは、一般には、ビジネス上の目的であることを促し、次いでファイルの暗号化を要求するポリシー625を有する。さらに他のポリシー626は、IMファイル転送に対して、その機密度にかかわらずに常に暗号化を要求してもよい。
【0077】
このプロセスによって、組織の使用場所境界の外に移動された、保護されているあらゆるファイルは、暗号化された形態にある。これは、ディジタル資産の許可なき使用を防止するという点、ならびに誤検知、すなわち権限あるユーザによるアクセスを誤って拒否することを防止する点で、極めて重要である。
【0078】
図8に示す典型的な状況について検討する。企業が2つ以上の場所を有し、少なくとも発信元の場所800および宛先の場所870、890を含む。ポリシー・サーバ104−1が、非武装地帯(DMZ)型の接続によって、企業のファイアウォール820を介して接続されている。ポリシー・サーバ104−1は、特定の施設内の構内通信網に接続され
ているような、自身の各ドメイン内のファイルについて使用の境界の保護を担うとともに、企業による使用において暗号化の仕組みの実装を担う。(しかしながら、ポリシー・サーバ104と保護されるドメインとの間に一対一の対応が必要なわけではない。すなわち、公知のPKIネットワーク・プロトコルを使用する単一のマスタ・ポリシー・サーバ104−1が2つ以上の場所を担当してもよいことを、理解すべきである)。
【0079】
発信元の場所800において、ユーザ102−1が、文書810について電子メールの添付としてインターネット850を介して伝送するようなアクションをとることを要求する。発信元800におけるエージェント300−1がこの要求を捕捉し、ポリシー・サーバ104−1によって指示されるとおり適用するポリシーを決定する。次いで、エージェントは、電子メールによる送信を許可する前に、文書810に対して暗号化を選択的に適用する。
【0080】
第1の例(図8には、詳しくは示されていない)においては、文書810の機密度が低く、暗号化の対象とされていない。したがって、電子メールは通常どおりに処理されることが許可され、文書は意図された宛先の場所870および具体的には電子メールで指定されたユーザ102−2に到着する。これより、宛先のエージェント300−2によるさらなる介在はなく、文書はともかく通常どおりユーザ102−2がアクセス可能である。
【0081】
企業の境界の外にある別の従業員のホーム・オフィスのような信用されていない場所890に電子メールが宛てられる場合にも、同一の結果が生じる。添付の文書は、ともかく通常どおりに、ポリシー・サーバ104−1の存在なく暗号化されずにユーザ102−3に到着する。
【0082】
第2の例(シナリオ2)においては、文書810がより機密度の高いものであり、ポリシー・サーバ104−1はエージェント300−1が文書810を暗号化することを要求する。暗号化の後、信用されていない宛先890に文書810はインターネット上を移動する。信用されていない送り先890には、当該企業において課されているPKIまたはその他の暗号化基盤へのアクセスが存在しないため、文書を復号化することはできない。
【0083】
一方、同じ暗号化された文書が、信頼された宛先870のユーザ102−2に送られた場合の結果を検討する。まず電子メールがユーザ102−2のOSカーネルにおいて動作しているエージェント300−2によって捕捉される。エージェント300−2は、例えば発信元800においてエージェント300−1によって暗号化されたときに文書に挿入されたファイル・ヘッダ812を調べて、文書810が企業のポリシーに従って暗号化されていることを認識する。対応するポリシー・サーバ104−1を介して使用されているPKIまたは他の基盤にアクセスし、文書810を復号化することができて、ユーザ102−2による使用が可能になる。
【0084】
暗号化された文書が信用されていない宛先890に送られた場合、いかに文書810を取り扱うかを了解しているエージェント300またはポリシー・サーバ104へのアクセスの可能性がなく、文書は暗号化されたままに保たれる。
【0085】
この仕組みが、誤検知の危険の大部分を除去することに注目すべきである。すなわち、発信元800におけるエージェント300−1が恐らく必要がないのに文書810を暗号化すると、ユーザ102−1および102−2のいずれもが文書が暗号化されたことを全く知らずに、信用された宛先870におけるエージェント300−2が当該文書を復号化するため、全く被害はない。
【0086】
以上、本発明を、本発明の好ましい実施形態を参照しつつ詳しく示して説明したが、添
付の特許請求の範囲に包含される本発明の技術的範囲から外れることなく、形態や詳細においてさまざまな変更が可能であることを、当業者であれば理解できるであろう。
【図面の簡単な説明】
【0087】
【図1】データ処理システムにおける従来からのセキュリティ境界、および本発明で実施される暗号化ポリシー境界の使用点を示した図である。
【図2】Digital Guardian(商標)サーバがいかにポリシー述語を提供するかを示した図である(Digital Guardianは、マサチューセッツ州ウォルサムのVerdaSys,Inc.の商標である)。
【図3】本発明をさらに詳細に示した処理流れ図である。
【図4A】低レベルの原子イベントの一覧を示す表である。
【図4B】図4Aの続きの表である。
【図5A】高レベルの集合イベントを示す表である。
【図5B】図5Aの続きの表である。
【図5C】図5Bの続きの表である。
【図5D】図5Cの続きの表である。
【図6】ポリシー行使の使用点を示す図である。
【図7】暗号化ポリシー行使の使用点を示す図である。
【図8】信用された宛先および信用されていない宛先のそれぞれにおいて文書がいかに扱われるかを示す図である。
【特許請求の範囲】
【請求項1】
データ処理環境においてディジタル資産へのアクセスを管理するエージェント・プロセスであって、
ユーザのクライアント装置内のオペレーティング・システム・カーネル内に位置し、原子レベル資産アクセス・イベントを検出する検出工程と、
複数の原子レベル・イベントを集合させて結合イベントを決定する集合工程と、
予め定めたディジタル資産使用リスク・ポリシーに適合する少なくとも1つの結合イベントが生じた場合に、暗号化ポリシーを行使する行使工程とを備えた、エージェント・プロセス。
【請求項2】
請求項1において、前記暗号化ポリシーを行使する行使工程が、前記クライアント・ユーザ装置のオペレーティング・システム・カーネル内で実行される、エージェント・プロセス。
【請求項3】
請求項1において、さらに、
対応するディジタル資産を暗号化する工程を備えた、エージェント・プロセス。
【請求項4】
請求項1において、前記結合イベントが複数の原子レベル・イベントの時間系列である。エージェント・プロセス。
【請求項5】
請求項2において、アプリケーション・ソフトウェアとは個別に動作する、エージェント・プロセス。
【請求項6】
請求項1において、前記検出工程、集合工程、および行使工程がリアル・タイムに動作する、エージェント・プロセス。
【請求項7】
請求項1において、さらに、
資産アクセス・イベントにおいて特定のディジタル資産の機密度を判断する判断工程と、
前記特定のディジタル資産の機密度に選択的に応じて、前記ディジタル資産に適応的に暗号化を加える暗号化工程とを備えた、エージェント・プロセス。
【請求項8】
請求項1において、前記結合イベントが、ディジタル資産について行なわれようとするアクションを明示している、エージェント・プロセス。
【請求項9】
請求項2において、さらに、
前記クライアント装置において、暗号化されるディジタル資産を指定した暗号化ポリシーの暗号化を適用する適用工程を備えた、エージェント・プロセス。
【請求項10】
請求項9において、さらに、
前記ディジタル資産を第2のユーザのクライアント装置に送出する工程と、
この第2のユーザのクライアント装置において暗号化ポリシーを行使する工程とを備えた、エージェント・プロセス。
【請求項11】
請求項10において、さらに、
前記第2のユーザのクライアント装置において復号化を適用する工程を備えた、エージェント・プロセス。
【請求項12】
請求項9において、さらに、
前記ディジタル資産を第2のユーザのクライアント装置に送出する工程と、
暗号化ポリシーが暗号化を指定した場合に、前記第2のユーザのクライアント装置においてディジタル資産が読まれないように、前記第2のユーザのクライアント装置において暗号化ポリシーを行使しない工程とを備えた、エージェント・プロセス。
【請求項1】
データ処理環境においてディジタル資産へのアクセスを管理するエージェント・プロセスであって、
ユーザのクライアント装置内のオペレーティング・システム・カーネル内に位置し、原子レベル資産アクセス・イベントを検出する検出工程と、
複数の原子レベル・イベントを集合させて結合イベントを決定する集合工程と、
予め定めたディジタル資産使用リスク・ポリシーに適合する少なくとも1つの結合イベントが生じた場合に、暗号化ポリシーを行使する行使工程とを備えた、エージェント・プロセス。
【請求項2】
請求項1において、前記暗号化ポリシーを行使する行使工程が、前記クライアント・ユーザ装置のオペレーティング・システム・カーネル内で実行される、エージェント・プロセス。
【請求項3】
請求項1において、さらに、
対応するディジタル資産を暗号化する工程を備えた、エージェント・プロセス。
【請求項4】
請求項1において、前記結合イベントが複数の原子レベル・イベントの時間系列である。エージェント・プロセス。
【請求項5】
請求項2において、アプリケーション・ソフトウェアとは個別に動作する、エージェント・プロセス。
【請求項6】
請求項1において、前記検出工程、集合工程、および行使工程がリアル・タイムに動作する、エージェント・プロセス。
【請求項7】
請求項1において、さらに、
資産アクセス・イベントにおいて特定のディジタル資産の機密度を判断する判断工程と、
前記特定のディジタル資産の機密度に選択的に応じて、前記ディジタル資産に適応的に暗号化を加える暗号化工程とを備えた、エージェント・プロセス。
【請求項8】
請求項1において、前記結合イベントが、ディジタル資産について行なわれようとするアクションを明示している、エージェント・プロセス。
【請求項9】
請求項2において、さらに、
前記クライアント装置において、暗号化されるディジタル資産を指定した暗号化ポリシーの暗号化を適用する適用工程を備えた、エージェント・プロセス。
【請求項10】
請求項9において、さらに、
前記ディジタル資産を第2のユーザのクライアント装置に送出する工程と、
この第2のユーザのクライアント装置において暗号化ポリシーを行使する工程とを備えた、エージェント・プロセス。
【請求項11】
請求項10において、さらに、
前記第2のユーザのクライアント装置において復号化を適用する工程を備えた、エージェント・プロセス。
【請求項12】
請求項9において、さらに、
前記ディジタル資産を第2のユーザのクライアント装置に送出する工程と、
暗号化ポリシーが暗号化を指定した場合に、前記第2のユーザのクライアント装置においてディジタル資産が読まれないように、前記第2のユーザのクライアント装置において暗号化ポリシーを行使しない工程とを備えた、エージェント・プロセス。
【図1】
【図2】
【図3】
【図6】
【図7】
【図8】
【図2】
【図3】
【図6】
【図7】
【図8】
【公表番号】特表2007−524878(P2007−524878A)
【公表日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願番号】特願2006−501065(P2006−501065)
【出願日】平成16年1月21日(2004.1.21)
【国際出願番号】PCT/US2004/001529
【国際公開番号】WO2004/066541
【国際公開日】平成16年8月5日(2004.8.5)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ウィンドウズ
【出願人】(505277738)ヴァーダシス・インコーポレーテッド (6)
【氏名又は名称原語表記】VERDASYS,INC.
【Fターム(参考)】
【公表日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願日】平成16年1月21日(2004.1.21)
【国際出願番号】PCT/US2004/001529
【国際公開番号】WO2004/066541
【国際公開日】平成16年8月5日(2004.8.5)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ウィンドウズ
【出願人】(505277738)ヴァーダシス・インコーポレーテッド (6)
【氏名又は名称原語表記】VERDASYS,INC.
【Fターム(参考)】
[ Back to top ]