電子メールによる情報漏洩の防止システム、方法、コンピュータプログラム
【課題】誤送信や悪意のメール送信者による情報漏洩を防止するシステムを提供する。
【解決手段】電子メールの送信元と送信先との間に管理サーバ10を設け、ドメインのツリー状の階層構造、ポリシー情報、送信不可指定ドメイン名、同時送信可能ドメイン数等の、電子メールの送信の制約条件を管理サーバ10に保持しておく。送信元端末A30は、送信予定の電子メールのチェックを管理サーバ10に依頼する。管理サーバ10は、送信予定の電子メールが制約条件に適合するかどうかをチェックし、適合する場合は適合証明を送信元端末A30に返信する。送信元端末A30は、この適合証明をもとに送信予定の電子メールの送信処理を開始する。
【解決手段】電子メールの送信元と送信先との間に管理サーバ10を設け、ドメインのツリー状の階層構造、ポリシー情報、送信不可指定ドメイン名、同時送信可能ドメイン数等の、電子メールの送信の制約条件を管理サーバ10に保持しておく。送信元端末A30は、送信予定の電子メールのチェックを管理サーバ10に依頼する。管理サーバ10は、送信予定の電子メールが制約条件に適合するかどうかをチェックし、適合する場合は適合証明を送信元端末A30に返信する。送信元端末A30は、この適合証明をもとに送信予定の電子メールの送信処理を開始する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子メールのセキュリティ対策技術に関する。特に、誤送信を含む情報漏洩を効果的に防止する情報漏洩の防止システム及びその関連技術に関する。
【背景技術】
【0002】
電子メールの受け渡しは、今や、ビジネスに欠かせないものになっている。しかし、電子メールには、ネットワーク上やサーバ上での盗聴、改竄による、情報漏洩の脅威が存在する。情報漏洩は、また、宛先誤りの誤送信、悪意の者によるなりすまし等によっても生じる。このような脅威に対する情報漏洩防止対策として、電子メールの暗号化が行われている。暗号化には、例えば、PGP(Pretty Good Privacy)、S/MIME(Secure MIME)が利用されている。コンテンツフィルタリングによる送受信メールの内容チェックによって、情報が漏洩されたかどうかを知るという手法もある。
特許出願されている先行技術としては、例えば以下のようなものがある。
【0003】
【特許文献1】特開2005−92525
【特許文献2】特開2004−302693
【特許文献3】特開2003−157216
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した情報漏洩対策は、現状では浸透していない。これは、以下の理由による。
(1)PGPやS/MIMEの運用は、エンドユーザへの運用の徹底が難しい。
(2)エンドユーザが暗号化を行うと、監査用に記録しても解読できない場合がある。
(3)コンテンツフィルタリングは、メール内のキーワード一致等による検査のため、精度に限界がある。
(4)コンテンツフィルタリングによる機械的なチェックでは、悪意をもって操作された場合のチェックが不可能になる。
(5)先行する特許出願に開示された内容では、誤送信による機密情報漏洩には対応できない。
本発明は、このような問題点を解消する電子メールによる情報漏洩の防止システム、方法、及びコンピュータプログラムを提供することを主たる課題とする。
【課題を解決するための手段】
【0005】
本発明の情報漏洩の防止システムは、電子メールの送信の制約条件を定めた条件情報を保持する条件情報保持手段と、送信予定の電子メールについて当該電子メールの送信元及び送信先の情報を含む属性情報を当該電子メールの送信前に取得する属性情報取得手段と、この属性情報取得手段で取得した属性情報と前記条件情報保持手段に保持されている条件情報とを比較することにより、前記送信予定の電子メールが前記制約条件に適合するかどうかを判定し、適合する場合は適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を出力する判定手段と、この判定手段により出力された適合証明又は制限情報を当該電子メールを送信しようとする端末へ伝達する情報伝達手段と、を備えて成る。
【0006】
前記条件情報保持手段は、例えば、メール送信が許容される正当な送信先のアドレスの一致性と、送信元と送信先との間でメールの受け渡しが許容されるセキュリティポリシーの関係又は組織上のつながりの一致性を制約条件とする条件情報を保持しており、前記判定手段は、前記取得した属性情報に、正当な送信先のアドレスが含まれており、かつ、前記関係又はつながりが記述されているときに前記適合証明を出力し、それ以外は前記制限情報を出力する。前記制約条件に適合しない電子メールの属性情報を適合するものに修正して前記端末へ伝達する属性情報修正手段をさらに備えたものとすることができる。また、前記修正を制限する修正制限手段をさらに備えたものにしても良い。
電子メールの暗号化モジュールを備えたものとし、前記条件情報保持手段が、電子メールをその送信先で解読可能な形式で暗号化することを制約条件とする条件情報を保持し、前記属性情報修正手段が、前記制約条件に適合しないことが暗号化メールでないときに前記暗号化モジュールで当該電子メールを暗号化して前記端末へ伝達するような運用形態も可能である。
【0007】
本発明は、また、上記の情報漏洩の防止システムでの実施に適した通信端末を提供する。この通信端末は、電子メールの送信の制約条件を定めた所定の条件情報とチェック対象となる電子メールの送信元及び送信先の情報を含む属性情報との比較により当該対象となる電子メールが前記条件情報と適合することを表す適合証明又は適合しないことを表す制限情報を出力する管理サーバと接続可能な通信端末であって、送信予定の電子メールの属性情報を前記管理サーバへ送信するとともに前記管理サーバから前記適合証明又は制限情報を受信する事前チェック手段と、前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する制御手段とを備えたものである。この通信端末において、前記適合証明を受信した電子メールに含まれるコンテンツと予め所定のメモリ領域に保持されている送信制約情報とを比較し、前記コンテンツに前記送信制約情報が含まれるときに当該電子メールの送信を制限する機密性チェック手段をさらに備えるようにしても良い。
【0008】
本発明は、また、通信端末と管理サーバとを含む情報漏洩防止システムにより実行される、電子メールによる情報漏洩の防止方法を提供する。この方法は、前記通信端末が、送信予定の電子メールの機密レベルを表す機密レベルデータの取得を含む初期チェックを行い、良好であれば、取得した機密レベルデータと電子メールの送信元及び送信先の情報を含む属性情報を伴うチェック要求を前記管理サーバに送信する段階と、前記管理サーバが、前記属性情報と、電子メールの送信の制約条件を定めた条件情報とを比較することにより前記送信予定の電子メールの送信先が正当か否かをチェックし、正当であれば、前記機密レベルデータに基づく秘密漏洩防止のための機密性チェックを行い、正当であれば、適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を前記通信端末へ伝達する段階と、前記通信端末が、前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する段階とを有することを特徴とする方法である。
【0009】
本発明は、また、コンピュータを上記の防止システムとして機能させるための第1のコンピュータプログラムと、コンピュータを上記の通信端末として機能させるための第2のコンピュータプログラムを提供する。
第1のコンピュータプログラムは、コンピュータを、電子メールの送信の制約条件を定めた条件情報を保持する条件情報保持手段、送信予定の電子メールについて当該電子メールの送信元及び送信先の情報を含む属性情報を当該電子メールの送信前に取得する属性情報取得手段、この属性情報取得手段で取得した属性情報と前記条件情報保持手段に保持されている条件情報とを比較することにより、前記送信予定の電子メールが前記制約条件に適合するかどうかを判定し、適合する場合は適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を出力する判定手段、及び、この判定手段により出力された適合証明又は制限情報を当該電子メールを送信しようとする端末へ伝達する情報伝達手段、として機能させるためのコンピュータプログラムである。
【0010】
第2のコンピュータプログラムは、通信機能付きのコンピュータを、電子メールの送信の制約条件を定めた所定の条件情報とチェック対象となる電子メールの送信元及び送信先の情報を含む属性情報との比較により当該対象となる電子メールが前記条件情報と適合することを表す適合証明又は適合しないことを表す制限情報を出力する管理サーバと接続可能な通信端末として動作させるためのコンピュータプログラムであって、前記コンピュータを、送信予定の電子メールの属性情報を前記管理サーバへ送信するとともに前記管理サーバから前記適合証明又は制限情報を受信する事前チェック手段、及び、前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する制御手段として機能させるコンピュータプログラムである。
【発明の効果】
【0011】
本発明によれば、送信元端末を操作するエンドユーザがシステムの運用ルールを意識する必要がなく、組織的に統一したセキュリティポリシーを徹底させることができ、既存のシステム構成や設定に殆ど影響を与えずに、電子メールに対する情報漏洩防止が可能になる。特に、誤送信や悪意に基づく情報漏洩の防止を図ることができる。
【発明を実施するための最良の形態】
【0012】
[全体図]
図1は、本発明の実施の一形態となる情報漏洩の防止システムの全体図である。
この実施形態の防止システムは、管理サーバ10を主たる構成要素として含んでいる。
この管理サーバ10は、電子メールの通信端末である送信元端末A30と接続可能になっている。図示の例では、送信元端末B20は、平文の電子メールを送信する通信端末である。他方、送信元端末A30は、前述のS/MIMEの暗号メールを送信する。各暗号メールには、それぞれ当該メールの送信元(ドメイン、アドレス)、送信先(ドメイン、アドレス)、その他当該メールを受信した側で、メールの内容とか性質を理解できるようにするための属性情報がヘッダとして含まれる。
【0013】
これらの送信元端末20,30から送信される電子メールは、メールサーバML1、プロキシサーバPX1に到達する。プロキシサーバPX1は、管理サーバ10から出力される適合証明又は制限情報をもとに、入力された電子メールの通過を一部制限させる。図示の例では、送信元端末B20から送信される平文の電子メールについては、パスワード付の暗号メールに変換して通過させる。
【0014】
また、事前にチェックを行った送信元端末A30からのS/MIMEの暗号メールは、そのまま通過させる。これらの暗号メールは、ネットワークL、メールサーバML2を介して送信先端末B40,送信先端末A50に伝達される。パスワード付暗号メールは、送信先端末B40に到達し、S/MIMEの暗号メールは、送信先端末A50に到達する。
【0015】
管理サーバ10は、サーバ機能を有するコンピュータであり、プロセッサ部と外部記憶装置とを備えている。外部記憶装置には、情報漏洩防止用の所定のコンピュータプログラムが格納されており、コンピュータのプロセッサ部がこのコンピュータプログラムを読み込んで実行することにより、図2に例示される機能を当該コンピュータに形成する。
【0016】
すなわち、管理サーバ10は、プロセッサ部11内に、送信元端末A30やメールサーバML1との通信を制御する送受信制御部111、送信先が正当化どうかをチェックする送信先チェック部112、送信先のポリシー情報が正当かどうかをチェックするポリシーチェック部113、送信先のドメインが正当化どうかをチェックするドメインチェック部114、電子メールのコンテンツ等の機密性をチェックするとともに、必要に応じて監査用証明書や監査用送信先を生成する機密性チェック部115、送信先情報を電子メールの属性情報に付加する送信先情報付加部116の機能を形成する。上記の各チェックは、電子メールの送信の制約条件を表す条件情報とチェック対象となる電子メールの属性情報との比較を行うことにより行われる。
【0017】
また、外部記憶装置に、所定の監査機関に備えられる端末のアドレスや、送信先及び送信元のユーザの関係をメールアドレスのつながりとして記録したアドレスDB(DBはデータベースの略、以下同じ)12と、セキュリティポリシーのレベルを記録したポリシー情報DB13、ユーザが所属する組織上の関係及び電子メールの経路を記録したドメインDB14、エラー情報を記録したエラー情報DB15及び後述するチェックメールを格納したチェックメールファイル16を形成する。プロセッサ部11におけるこれらの機能ブロックは、バスB11を介して各DB12〜14、ファイル15,16に接続される。各DB12〜14に格納される情報が上記の条件情報の一例となるものである。
【0018】
送信元端末A30は、通信機能を有するコンピュータであり、外部記憶装置を備えている。外部記憶装置には、通信端末用の所定のコンピュータプログラムが格納されており、コンピュータのプロセッサ部がこのコンピュータプログラムを読み込んで実行することにより、図3に例示される機能を当該コンピュータに形成する。すなわち、送信元端末A30は、プロセッサ部31内に、管理サーバ10やメールサーバML1との通信を制御する送受信制御部311、初期チェックを行う初期チェック部312、電子メールのコンテンツを含む実体面のチェックを行うコンテンツ等チェック部313、S/MIME等の暗号化・復号化部314、送信元端末A30を操作するユーザへのメッセージを生成したり、所定の監査機関宛のメッセージを生成して送信させるメッセージ処理部315、及び、端末内の動作を統括的に制御する主制御部316の機能を形成する。
また、外部記憶装置に、管理サーバ10が備えるものと同じ構造のアドレスDB32、ポリシーDB33、ドメインDB34、及び暗号化・復号化部314が使用する鍵を記録した鍵DB35を形成する。プロセッサ部31におけるこれらの機能ブロックは、バスB12を介して各DB32〜35に接続される。
【0019】
次に、本実施形態の情報漏洩の防止システムの動作例を説明する。以後の説明では、送信元端末B30を「クライアント」と称する。
【0020】
[処理概要]
図4は、電子メールを送信しようとするクライアントの処理手順図である。
クライアントは、メール送信イベントが発生すると、初期チェック部312で初期チェックを行う(ステップS101)。初期チェックは、クライアント側で、管理サーバ10に問い合わせる前に可能なチェックを行う処理である。ここでは、チェック可能なものとして、送信内容を確認できるかどうか、Subject又は本文中に機密レベルを表すキーワードが存在するかどうかとする。送信内容が確認できれば正当(OK)、それ以外は不当(NG)とする。例えば、送信しようとする電子メールが、操作者によって既に暗号化されている場合は、送信内容を確認できないため、NGとする。機密レベルを表すキーワードは、例えば、「秘密」、「社外秘」等である。このようなキーワードが存在する場合は、これを機密レベルデータとしてメモリ領域に保存する。機密レベルを表すキーワードを見つけることができなかった場合は、機密レベルを「不明」とする。
【0021】
初期チェックの結果、正当であれば、主制御部316が、チェック要求を管理サーバ10に送信する(ステップS102)。チェック要求には、対象となる送信先メールアドレス、送信元メールアドレス、機密レベルデータを含む属性情報を伴う。
【0022】
クライアント(主制御部316)は、チェック要求後は、チェック結果を受け取るまで待機する(ステップS103)。受け取るべきチェック結果は、適合証明、制限情報、監査用証明書や監査用送信先の情報等である。適合証明は、当該電子メールが正当に送信先端末へ送信できることを証明する情報であり、制限情報は、当該電子メールの送信を何らかの形で制限することを表す情報である。最も厳しい制限は、電子メールの送信禁止である。なお、形式的には適合証明であっても、電子メールのコンテンツの内容に疑義があるときは、「要確認」のような情報が付加される。
【0023】
クライアント(主制御部316)は、このようなチェック結果を受信すると(ステップS104)、チェック結果が良好かどうかを判定する(ステップS105)。良好のときはコンテンツ等チェック部313で、コンテンツチェックを行う(ステップS106)。コンテンツチェックは、具体的には、送信しようとする電子メールの機密レベルの判定、電子証明書の添付の有無の判定、個人情報かどうかの判定等である。機密レベルは、上記のメモリ領域に記録された機密レベルデータを用いる。
【0024】
機密レベルが相対的に高いと判定したときは(ステップS106:高)電子証明書の有無を判定する(ステップS107)。電子証明書があるときは、暗号化・復号化部314を起動して鍵DB35に記録された鍵を用いてS/MIMEによる暗号メール(電子署名付)を作成する(ステップS108)。そして、メッセージ処理部315を起動して、監査用メッセージを生成し、これを所定の監査機関に送信する(ステップS113)。監査用メッセージは、監査用に電子メールを監査用証明書でS/MIMEで暗号化し、監査用の送信先に送信させる。監査用証明書や監査用送信先は、管理サーバのチェック結果に含まれている。
【0025】
ステップS107において電子証明書が無いときは、パスワードによる暗号メール(電子署名付)を作成し(ステップS109)、クライアントの操作者、つまり送信者にパスワード通知メールを作成し(ステップS112)、上述した監査用メッセージの生成・送信を行わせた後(ステップS113)、メール送信する(ステップS114)。
【0026】
ステップS106におけるコンテンツチェックの結果、機密レベルが低いと判定したときは(ステップS106:低)、平文(電子署名付)のまま監査用メッセージの生成・送信を行わせた後(ステップS113)、メール送信する(ステップS114)。
【0027】
ステップS101の初期チェックの結果、NGであった場合は、送信者に送信不可の情報を伝達して(ステップS111)処理を終える。送信不可の情報は、自己宛のメール送信でそれを行っても良く、図示しないディスプレイ等への表示であっても良い。
【0028】
なお、管理サーバ10から受信したチェック結果が良好であるが、「要確認」の情報が含まれていた場合、クライアントのコンテンツ等チェック部313は、確認処理を実行する。確認処理は、例えば公知のチェック用Webサービスにアクセスして、自己の電子メールの内容をチェックし、個人情報の可能性の有無、暗号化要否、送信可否等を確認する処理である。個人情報の確認の有無は、電子メールの内容に、例えば、「東京都」、「大阪府」その他の個人で使用するような情報などが含まれているかどうかをキーワードチェックにより判定する。個人で使用する情報が発見されたときに、エラーを出力する。この確認処理は、システムの設定により、強制的に実施することもできる。この確認処理により、ネットワーク上に流通する電子メールの機密性を保護することが可能になる。
【0029】
上記のクライアントと連携して情報漏洩の防止を図る管理サーバ10は、図5に例示される手順で、制約条件に基づくチェック動作を行う。
すなわち、管理サーバ10は、クライアントからチェック要求を受信すると、送信先チェック部111で送信先チェックを行う(ステップS201)。送信先チェックは、誤送信及び機密情報送信を防止するためのもので、制約条件の一例となるアドレスDB12に記録されている送信先アドレス及びドメインDB14に記録されているドメインと、チェック対象となる電子メールの照合を行う。そして、例えば送信先のドメインが送信不可指定のドメインの場合は、エラーとする。また、送信先に、別途指定した同時送信可能ドメイン数以上のドメインが存在する場合は、メーリングリスト等のメールアドレス漏洩防止のため、エラーとする。
【0030】
以上のような送信先チェックの結果、正当(OK)であれば、ポリシーチェック部113でポリシーチェックを行う(ステップS202)。ポリシーチェックは、具体的には、ポリシーDB33に記録されている送信者(FROM)と送信先(TO)のセキュリティポリシーのレベルチェックにより、同一ドメイン内における宛先の正当性をチェックし、誤送信を防止する。このセキュリティポリシーのレベルもまた、制約条件の一つとなる。
【0031】
本例では、送信先のセキュリティポリシーのレベルがすべて同一の場合は、送信可能にする。例えば、図6のような階層構造の組織で、A課長から電子メールを送信する場合を例にすると、以下のようになる。
(1−1)送信先がA社員、B社員の場合は送信可能。
(1−2)送信先がA本部長、B本部長の場合は送信可能。
(1−3)送信先がX社の場合は、ポリシー範囲外なのでエラー。
(1−4)送信先がC部長、C課長の場合はエラー。
【0032】
また、図6においてA社長から電子メールを送信する場合を例にすると、以下のようになる。
(2−1)送信先がA社員、B社員、C社員、D社員であれば、送信可能。
(2−2)送信先がA社員、A課長の場合は、ポリシーが違うのでエラー。
【0033】
上記のポリシーチェックがNGのとき、つまりエラーのときは、ドメインチェック部114でドメインチェックを行う(ステップS203)。ドメインチェックは、制約条件の一例となるドメインDB34に記録されている送信者(FROM)と送信先(TO)の組織上の関係により、宛先の正当性をチェックし、誤送信及び外部への機密情報漏洩を防止する処理である。例えば、以下のチェックを行う。
(3−1)送信者は送信先の経路上に存在する人を必ず送信先に入れなければならない。
(3−2)経路上に存在しない人に電子メールを送る場合は、必ず自分の上長を送信先に含めなければならない。
但し、一度送信した電子メールについては、送信先の中で最上位のセキュリティポリシーをもつ人は、同一送信先の電子メールについては、次回以降、連絡不要と設定することにより、次回以降は、宛先として追加されないようにすることができる。
【0034】
例えば図7の組織構造において、A課長から電子メールを送信する場合を例にする。
(4−1)送信先がA社員、B社員、B課長、A部長の場合は送信可能。
(4−2)送信先がX社の場合は、A部長を送信先に含める必要がある。
(4−3)送信先がC部長、C課長の場合は、A部長、A本部長、B本部長を送信先に含める必要がある。
(4−4)A本部長とB本部長は、連絡不要設定を行うことにより、次回以降、送信先自動追加機能によるA課長からC部長、C課長宛の電子メールを受け取らなくなる。
(4−5)A部長は、連絡不要設定を行うことにより、次回以降、送信先自動追加機能によるA課長からC部長、C課長への電子メールを受け取らなくなる。
【0035】
また、図7において、A社長から電子メールを送信する場合を例にすると、以下のようになる。
(5−1)送信先がA本部長、B本部長の場合は送信可能。
(5−2)送信先がA社員、A課長の場合は、A本部長、A部長を送信先に含める必要がある。
【0036】
図5に戻り、上記のドメインチェックがNGであれば、送信先情報付加部116で送信先自動追加を行う(ステップS204)。送信先自動追加は、電子メールの属性情報の修正、具体的には送信先の追加が必要と判断された場合に該当する送信先の情報をその電子メールの属性情報の一つとして自動的に追加設定する処理である。この処理により、個人が関係のない人間に機密情報を送信することを防止することができる。例えば、図7のような組織構造において、A課長から送信先にX社しか指定していなかった場合は、以下のように、送信先の自動追加を行う。
【0037】
追加前は FROM:A課長
TO :X社
ポリシーチェック、ドメインチェックの結果により、A部長がBCCに追加される。
追加後 FROM:A課長
TO :X社
BCC :A部長
【0038】
A社長から送信先にA社員、A課長しか指定していなかった場合
追加前は FROM:A社長
TO :A社員、A課長
ポリシーチェック、ドメインチェックの結果により、A本部長、A部長がBCCに追加される。
追加後 FROM:A社長
TO :A社員、A課長
BCC :A本部長、A部長
【0039】
ポリシーチェックがOK、ドメインチェックがOK、又は、送信先自動追加が終了すると、管理サーバは、機密性チェック部115で機密性チェックを行う(ステップS205)。管理サーバ10における機密性チェックは、送信先と送信データの正当性をチェックし、誤送信及び機密情報送信を防止する処理である。具体的には以下の処理を行う。
【0040】
(6−1)例えばシステムの設定等によって、電子メールの確認要のように設定されている場合、送信先の中で、送信者の直属の階層の最上位のポリシーレベルの者宛に、チェックメールファイル16に格納されているコンテンツチェックメールを読み出して送信する。コンテンツチェックメールは、チェック対象となった電子メールを伴うコンテンツチェックの依頼を内容とするメールである。チェックの主体は、上記のポリシーレベルの者以外の専門家であっても良い。管理サーバ10に配備される管理者又はコンテンツチェック者が確認できるように、電子メールの属性情報及びコンテンツ内容を提示させるようにしても良い。なお、電子メールの確認不要のように設定されている場合、以降のチェックにより結果的に確認要になっても、コンテンツチェックメールは送信しない。
機密性チェックの結果、コンテンツチェックが不要のときは、チェック結果、送信先メールアドレス、送信者メールアドレス、送信先証明書、機密レベル、監査用メールアドレス、監査用証明書をクライアントに送信する。
【0041】
(6−2)送信先が送信履歴にない場合は、初めて送信する送信先と判定し、当該電子メールについて必ず管理者等によるチェックを行うために、上記の手動確認要のための提示を行う。
【0042】
(6−3)送信先と機密レベルデータと一致しない場合は、上記の手動確認要のための提示を行う。機密レベルデータとが一致しない場合の例としては、「社外秘」なのに社外のドメインが含まれている等が挙げられる。
【0043】
(6−4)クライアントが行った初期チェックの結果、機密レベルが「不明」の場合にも上記の確認要とする。
【0044】
なお、管理サーバにおいて、送信先チェックがNGだった場合、あるいは、機密性チェックの結果、コンテンツチェック要と判定した場合は、エラー情報を作成し(ステップS206)、コンテンツチェックメールをコンテンツチェック者に送信する(ステップS207)。コンテンツチェック者は、その結果をクライアントに送り、コンテンツチェックに使用させる。
【0045】
以上のように、本実施形態の情報漏洩の防止システムでは、電子メールの送信元と送信先との間に、管理サーバ10を設け、自ドメインのツリー状の階層構造、ポリシー情報、送信不可指定ドメイン名、同時送信可能ドメイン数等を管理サーバ10でDB形式で保持しておき、電子メールの送信可否のチェックに際して、(1)送信先チェック、すなわち、送信先のドメインが送信不可指定のドメインに含まれていないこと、送信先に指定したドメイン数が、同時送信可能ドメイン数以下であること、(2)ポリシーチェック、すなわち、同一階層の者のみが送信先であること、あるいは、送信先が自ドメインの階層構造に属していること、(3)ドメインチェック、すなわち、送信先の経路上に存在する者を必ず送信先に入れていること、経路上に存在しない人に電子メールを送る場合は、必ず自分の上長を送信先に含めていることを考慮するようにしたので、エンドユーザがシステムの運用ルールを意識する必要がなく、組織的に統一したセキュリティポリシーを徹底させることが可能になる。また、既存のシステム構成や設定に殆ど影響を与えずに、電子メールに対する情報漏洩防止が可能になる。特に、誤送信や悪意に基づく情報漏洩の防止を図ることができる。
【0046】
なお、本発明は、上記の実施形態の構成に限定されるものではなく、種々の構成上の変更も可能である。例えば、本実施形態では、送信元端末A30であるクライアントとプロキシサーバPX1とを分離した場合の例を示したが、プロキシサーバPX1の機能をクライアント側に集中させても良い。この場合、プロキシサーバPX1は不要となる。
また、送信元端末A30の機能を管理サーバ10側に集中させ、送信元端末A30には、そのブラウザを通じて管理サーバ10にアクセスするだけで、管理サーバ10で図4に示した動作を行う用にすることもできる。
また、図3に示す各DB32〜35は、これらをクライアント側ではなく管理サーバ10におき、管理サーバ10にアクセスする際に利用する構成にすることにより、省くことができる。
【産業上の利用可能性】
【0047】
本発明は、PCにインストールするメーラとメールサーバにおいて利用することができる。
【図面の簡単な説明】
【0048】
【図1】本発明の実施の一形態となる情報漏洩の防止システムの全体図。
【図2】管理サーバの機能ブロック構成図。
【図3】通信端末であるクライアントの機能ブロック構成図。
【図4】クライアントにおける情報漏洩防止のための処理手順図。
【図5】管理サーバにおける情報漏洩防止のための処理手順図。
【図6】セキュリティポリシーレベルの説明図。
【図7】本実施形態のシステムを採用する組織上の関係の説明図。
【符号の説明】
【0049】
10 管理サーバ
112 送信先チェック部
113 ポリシーチェック部
114 ドメインチェック部
115 機密性チェック部
116 送信先情報付加部
12 アドレスDB
13 ポリシーDB
14 ドメインDB
15 エラー情報ファイル
16 チェックメールファイル
20,30 送信元端末(通信端末)
40,50 送信先端末(通信端末)
ML1,ML2 メールサーバ
PX1 プロキシサーバ
L ネットワーク
【技術分野】
【0001】
本発明は、電子メールのセキュリティ対策技術に関する。特に、誤送信を含む情報漏洩を効果的に防止する情報漏洩の防止システム及びその関連技術に関する。
【背景技術】
【0002】
電子メールの受け渡しは、今や、ビジネスに欠かせないものになっている。しかし、電子メールには、ネットワーク上やサーバ上での盗聴、改竄による、情報漏洩の脅威が存在する。情報漏洩は、また、宛先誤りの誤送信、悪意の者によるなりすまし等によっても生じる。このような脅威に対する情報漏洩防止対策として、電子メールの暗号化が行われている。暗号化には、例えば、PGP(Pretty Good Privacy)、S/MIME(Secure MIME)が利用されている。コンテンツフィルタリングによる送受信メールの内容チェックによって、情報が漏洩されたかどうかを知るという手法もある。
特許出願されている先行技術としては、例えば以下のようなものがある。
【0003】
【特許文献1】特開2005−92525
【特許文献2】特開2004−302693
【特許文献3】特開2003−157216
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した情報漏洩対策は、現状では浸透していない。これは、以下の理由による。
(1)PGPやS/MIMEの運用は、エンドユーザへの運用の徹底が難しい。
(2)エンドユーザが暗号化を行うと、監査用に記録しても解読できない場合がある。
(3)コンテンツフィルタリングは、メール内のキーワード一致等による検査のため、精度に限界がある。
(4)コンテンツフィルタリングによる機械的なチェックでは、悪意をもって操作された場合のチェックが不可能になる。
(5)先行する特許出願に開示された内容では、誤送信による機密情報漏洩には対応できない。
本発明は、このような問題点を解消する電子メールによる情報漏洩の防止システム、方法、及びコンピュータプログラムを提供することを主たる課題とする。
【課題を解決するための手段】
【0005】
本発明の情報漏洩の防止システムは、電子メールの送信の制約条件を定めた条件情報を保持する条件情報保持手段と、送信予定の電子メールについて当該電子メールの送信元及び送信先の情報を含む属性情報を当該電子メールの送信前に取得する属性情報取得手段と、この属性情報取得手段で取得した属性情報と前記条件情報保持手段に保持されている条件情報とを比較することにより、前記送信予定の電子メールが前記制約条件に適合するかどうかを判定し、適合する場合は適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を出力する判定手段と、この判定手段により出力された適合証明又は制限情報を当該電子メールを送信しようとする端末へ伝達する情報伝達手段と、を備えて成る。
【0006】
前記条件情報保持手段は、例えば、メール送信が許容される正当な送信先のアドレスの一致性と、送信元と送信先との間でメールの受け渡しが許容されるセキュリティポリシーの関係又は組織上のつながりの一致性を制約条件とする条件情報を保持しており、前記判定手段は、前記取得した属性情報に、正当な送信先のアドレスが含まれており、かつ、前記関係又はつながりが記述されているときに前記適合証明を出力し、それ以外は前記制限情報を出力する。前記制約条件に適合しない電子メールの属性情報を適合するものに修正して前記端末へ伝達する属性情報修正手段をさらに備えたものとすることができる。また、前記修正を制限する修正制限手段をさらに備えたものにしても良い。
電子メールの暗号化モジュールを備えたものとし、前記条件情報保持手段が、電子メールをその送信先で解読可能な形式で暗号化することを制約条件とする条件情報を保持し、前記属性情報修正手段が、前記制約条件に適合しないことが暗号化メールでないときに前記暗号化モジュールで当該電子メールを暗号化して前記端末へ伝達するような運用形態も可能である。
【0007】
本発明は、また、上記の情報漏洩の防止システムでの実施に適した通信端末を提供する。この通信端末は、電子メールの送信の制約条件を定めた所定の条件情報とチェック対象となる電子メールの送信元及び送信先の情報を含む属性情報との比較により当該対象となる電子メールが前記条件情報と適合することを表す適合証明又は適合しないことを表す制限情報を出力する管理サーバと接続可能な通信端末であって、送信予定の電子メールの属性情報を前記管理サーバへ送信するとともに前記管理サーバから前記適合証明又は制限情報を受信する事前チェック手段と、前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する制御手段とを備えたものである。この通信端末において、前記適合証明を受信した電子メールに含まれるコンテンツと予め所定のメモリ領域に保持されている送信制約情報とを比較し、前記コンテンツに前記送信制約情報が含まれるときに当該電子メールの送信を制限する機密性チェック手段をさらに備えるようにしても良い。
【0008】
本発明は、また、通信端末と管理サーバとを含む情報漏洩防止システムにより実行される、電子メールによる情報漏洩の防止方法を提供する。この方法は、前記通信端末が、送信予定の電子メールの機密レベルを表す機密レベルデータの取得を含む初期チェックを行い、良好であれば、取得した機密レベルデータと電子メールの送信元及び送信先の情報を含む属性情報を伴うチェック要求を前記管理サーバに送信する段階と、前記管理サーバが、前記属性情報と、電子メールの送信の制約条件を定めた条件情報とを比較することにより前記送信予定の電子メールの送信先が正当か否かをチェックし、正当であれば、前記機密レベルデータに基づく秘密漏洩防止のための機密性チェックを行い、正当であれば、適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を前記通信端末へ伝達する段階と、前記通信端末が、前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する段階とを有することを特徴とする方法である。
【0009】
本発明は、また、コンピュータを上記の防止システムとして機能させるための第1のコンピュータプログラムと、コンピュータを上記の通信端末として機能させるための第2のコンピュータプログラムを提供する。
第1のコンピュータプログラムは、コンピュータを、電子メールの送信の制約条件を定めた条件情報を保持する条件情報保持手段、送信予定の電子メールについて当該電子メールの送信元及び送信先の情報を含む属性情報を当該電子メールの送信前に取得する属性情報取得手段、この属性情報取得手段で取得した属性情報と前記条件情報保持手段に保持されている条件情報とを比較することにより、前記送信予定の電子メールが前記制約条件に適合するかどうかを判定し、適合する場合は適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を出力する判定手段、及び、この判定手段により出力された適合証明又は制限情報を当該電子メールを送信しようとする端末へ伝達する情報伝達手段、として機能させるためのコンピュータプログラムである。
【0010】
第2のコンピュータプログラムは、通信機能付きのコンピュータを、電子メールの送信の制約条件を定めた所定の条件情報とチェック対象となる電子メールの送信元及び送信先の情報を含む属性情報との比較により当該対象となる電子メールが前記条件情報と適合することを表す適合証明又は適合しないことを表す制限情報を出力する管理サーバと接続可能な通信端末として動作させるためのコンピュータプログラムであって、前記コンピュータを、送信予定の電子メールの属性情報を前記管理サーバへ送信するとともに前記管理サーバから前記適合証明又は制限情報を受信する事前チェック手段、及び、前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する制御手段として機能させるコンピュータプログラムである。
【発明の効果】
【0011】
本発明によれば、送信元端末を操作するエンドユーザがシステムの運用ルールを意識する必要がなく、組織的に統一したセキュリティポリシーを徹底させることができ、既存のシステム構成や設定に殆ど影響を与えずに、電子メールに対する情報漏洩防止が可能になる。特に、誤送信や悪意に基づく情報漏洩の防止を図ることができる。
【発明を実施するための最良の形態】
【0012】
[全体図]
図1は、本発明の実施の一形態となる情報漏洩の防止システムの全体図である。
この実施形態の防止システムは、管理サーバ10を主たる構成要素として含んでいる。
この管理サーバ10は、電子メールの通信端末である送信元端末A30と接続可能になっている。図示の例では、送信元端末B20は、平文の電子メールを送信する通信端末である。他方、送信元端末A30は、前述のS/MIMEの暗号メールを送信する。各暗号メールには、それぞれ当該メールの送信元(ドメイン、アドレス)、送信先(ドメイン、アドレス)、その他当該メールを受信した側で、メールの内容とか性質を理解できるようにするための属性情報がヘッダとして含まれる。
【0013】
これらの送信元端末20,30から送信される電子メールは、メールサーバML1、プロキシサーバPX1に到達する。プロキシサーバPX1は、管理サーバ10から出力される適合証明又は制限情報をもとに、入力された電子メールの通過を一部制限させる。図示の例では、送信元端末B20から送信される平文の電子メールについては、パスワード付の暗号メールに変換して通過させる。
【0014】
また、事前にチェックを行った送信元端末A30からのS/MIMEの暗号メールは、そのまま通過させる。これらの暗号メールは、ネットワークL、メールサーバML2を介して送信先端末B40,送信先端末A50に伝達される。パスワード付暗号メールは、送信先端末B40に到達し、S/MIMEの暗号メールは、送信先端末A50に到達する。
【0015】
管理サーバ10は、サーバ機能を有するコンピュータであり、プロセッサ部と外部記憶装置とを備えている。外部記憶装置には、情報漏洩防止用の所定のコンピュータプログラムが格納されており、コンピュータのプロセッサ部がこのコンピュータプログラムを読み込んで実行することにより、図2に例示される機能を当該コンピュータに形成する。
【0016】
すなわち、管理サーバ10は、プロセッサ部11内に、送信元端末A30やメールサーバML1との通信を制御する送受信制御部111、送信先が正当化どうかをチェックする送信先チェック部112、送信先のポリシー情報が正当かどうかをチェックするポリシーチェック部113、送信先のドメインが正当化どうかをチェックするドメインチェック部114、電子メールのコンテンツ等の機密性をチェックするとともに、必要に応じて監査用証明書や監査用送信先を生成する機密性チェック部115、送信先情報を電子メールの属性情報に付加する送信先情報付加部116の機能を形成する。上記の各チェックは、電子メールの送信の制約条件を表す条件情報とチェック対象となる電子メールの属性情報との比較を行うことにより行われる。
【0017】
また、外部記憶装置に、所定の監査機関に備えられる端末のアドレスや、送信先及び送信元のユーザの関係をメールアドレスのつながりとして記録したアドレスDB(DBはデータベースの略、以下同じ)12と、セキュリティポリシーのレベルを記録したポリシー情報DB13、ユーザが所属する組織上の関係及び電子メールの経路を記録したドメインDB14、エラー情報を記録したエラー情報DB15及び後述するチェックメールを格納したチェックメールファイル16を形成する。プロセッサ部11におけるこれらの機能ブロックは、バスB11を介して各DB12〜14、ファイル15,16に接続される。各DB12〜14に格納される情報が上記の条件情報の一例となるものである。
【0018】
送信元端末A30は、通信機能を有するコンピュータであり、外部記憶装置を備えている。外部記憶装置には、通信端末用の所定のコンピュータプログラムが格納されており、コンピュータのプロセッサ部がこのコンピュータプログラムを読み込んで実行することにより、図3に例示される機能を当該コンピュータに形成する。すなわち、送信元端末A30は、プロセッサ部31内に、管理サーバ10やメールサーバML1との通信を制御する送受信制御部311、初期チェックを行う初期チェック部312、電子メールのコンテンツを含む実体面のチェックを行うコンテンツ等チェック部313、S/MIME等の暗号化・復号化部314、送信元端末A30を操作するユーザへのメッセージを生成したり、所定の監査機関宛のメッセージを生成して送信させるメッセージ処理部315、及び、端末内の動作を統括的に制御する主制御部316の機能を形成する。
また、外部記憶装置に、管理サーバ10が備えるものと同じ構造のアドレスDB32、ポリシーDB33、ドメインDB34、及び暗号化・復号化部314が使用する鍵を記録した鍵DB35を形成する。プロセッサ部31におけるこれらの機能ブロックは、バスB12を介して各DB32〜35に接続される。
【0019】
次に、本実施形態の情報漏洩の防止システムの動作例を説明する。以後の説明では、送信元端末B30を「クライアント」と称する。
【0020】
[処理概要]
図4は、電子メールを送信しようとするクライアントの処理手順図である。
クライアントは、メール送信イベントが発生すると、初期チェック部312で初期チェックを行う(ステップS101)。初期チェックは、クライアント側で、管理サーバ10に問い合わせる前に可能なチェックを行う処理である。ここでは、チェック可能なものとして、送信内容を確認できるかどうか、Subject又は本文中に機密レベルを表すキーワードが存在するかどうかとする。送信内容が確認できれば正当(OK)、それ以外は不当(NG)とする。例えば、送信しようとする電子メールが、操作者によって既に暗号化されている場合は、送信内容を確認できないため、NGとする。機密レベルを表すキーワードは、例えば、「秘密」、「社外秘」等である。このようなキーワードが存在する場合は、これを機密レベルデータとしてメモリ領域に保存する。機密レベルを表すキーワードを見つけることができなかった場合は、機密レベルを「不明」とする。
【0021】
初期チェックの結果、正当であれば、主制御部316が、チェック要求を管理サーバ10に送信する(ステップS102)。チェック要求には、対象となる送信先メールアドレス、送信元メールアドレス、機密レベルデータを含む属性情報を伴う。
【0022】
クライアント(主制御部316)は、チェック要求後は、チェック結果を受け取るまで待機する(ステップS103)。受け取るべきチェック結果は、適合証明、制限情報、監査用証明書や監査用送信先の情報等である。適合証明は、当該電子メールが正当に送信先端末へ送信できることを証明する情報であり、制限情報は、当該電子メールの送信を何らかの形で制限することを表す情報である。最も厳しい制限は、電子メールの送信禁止である。なお、形式的には適合証明であっても、電子メールのコンテンツの内容に疑義があるときは、「要確認」のような情報が付加される。
【0023】
クライアント(主制御部316)は、このようなチェック結果を受信すると(ステップS104)、チェック結果が良好かどうかを判定する(ステップS105)。良好のときはコンテンツ等チェック部313で、コンテンツチェックを行う(ステップS106)。コンテンツチェックは、具体的には、送信しようとする電子メールの機密レベルの判定、電子証明書の添付の有無の判定、個人情報かどうかの判定等である。機密レベルは、上記のメモリ領域に記録された機密レベルデータを用いる。
【0024】
機密レベルが相対的に高いと判定したときは(ステップS106:高)電子証明書の有無を判定する(ステップS107)。電子証明書があるときは、暗号化・復号化部314を起動して鍵DB35に記録された鍵を用いてS/MIMEによる暗号メール(電子署名付)を作成する(ステップS108)。そして、メッセージ処理部315を起動して、監査用メッセージを生成し、これを所定の監査機関に送信する(ステップS113)。監査用メッセージは、監査用に電子メールを監査用証明書でS/MIMEで暗号化し、監査用の送信先に送信させる。監査用証明書や監査用送信先は、管理サーバのチェック結果に含まれている。
【0025】
ステップS107において電子証明書が無いときは、パスワードによる暗号メール(電子署名付)を作成し(ステップS109)、クライアントの操作者、つまり送信者にパスワード通知メールを作成し(ステップS112)、上述した監査用メッセージの生成・送信を行わせた後(ステップS113)、メール送信する(ステップS114)。
【0026】
ステップS106におけるコンテンツチェックの結果、機密レベルが低いと判定したときは(ステップS106:低)、平文(電子署名付)のまま監査用メッセージの生成・送信を行わせた後(ステップS113)、メール送信する(ステップS114)。
【0027】
ステップS101の初期チェックの結果、NGであった場合は、送信者に送信不可の情報を伝達して(ステップS111)処理を終える。送信不可の情報は、自己宛のメール送信でそれを行っても良く、図示しないディスプレイ等への表示であっても良い。
【0028】
なお、管理サーバ10から受信したチェック結果が良好であるが、「要確認」の情報が含まれていた場合、クライアントのコンテンツ等チェック部313は、確認処理を実行する。確認処理は、例えば公知のチェック用Webサービスにアクセスして、自己の電子メールの内容をチェックし、個人情報の可能性の有無、暗号化要否、送信可否等を確認する処理である。個人情報の確認の有無は、電子メールの内容に、例えば、「東京都」、「大阪府」その他の個人で使用するような情報などが含まれているかどうかをキーワードチェックにより判定する。個人で使用する情報が発見されたときに、エラーを出力する。この確認処理は、システムの設定により、強制的に実施することもできる。この確認処理により、ネットワーク上に流通する電子メールの機密性を保護することが可能になる。
【0029】
上記のクライアントと連携して情報漏洩の防止を図る管理サーバ10は、図5に例示される手順で、制約条件に基づくチェック動作を行う。
すなわち、管理サーバ10は、クライアントからチェック要求を受信すると、送信先チェック部111で送信先チェックを行う(ステップS201)。送信先チェックは、誤送信及び機密情報送信を防止するためのもので、制約条件の一例となるアドレスDB12に記録されている送信先アドレス及びドメインDB14に記録されているドメインと、チェック対象となる電子メールの照合を行う。そして、例えば送信先のドメインが送信不可指定のドメインの場合は、エラーとする。また、送信先に、別途指定した同時送信可能ドメイン数以上のドメインが存在する場合は、メーリングリスト等のメールアドレス漏洩防止のため、エラーとする。
【0030】
以上のような送信先チェックの結果、正当(OK)であれば、ポリシーチェック部113でポリシーチェックを行う(ステップS202)。ポリシーチェックは、具体的には、ポリシーDB33に記録されている送信者(FROM)と送信先(TO)のセキュリティポリシーのレベルチェックにより、同一ドメイン内における宛先の正当性をチェックし、誤送信を防止する。このセキュリティポリシーのレベルもまた、制約条件の一つとなる。
【0031】
本例では、送信先のセキュリティポリシーのレベルがすべて同一の場合は、送信可能にする。例えば、図6のような階層構造の組織で、A課長から電子メールを送信する場合を例にすると、以下のようになる。
(1−1)送信先がA社員、B社員の場合は送信可能。
(1−2)送信先がA本部長、B本部長の場合は送信可能。
(1−3)送信先がX社の場合は、ポリシー範囲外なのでエラー。
(1−4)送信先がC部長、C課長の場合はエラー。
【0032】
また、図6においてA社長から電子メールを送信する場合を例にすると、以下のようになる。
(2−1)送信先がA社員、B社員、C社員、D社員であれば、送信可能。
(2−2)送信先がA社員、A課長の場合は、ポリシーが違うのでエラー。
【0033】
上記のポリシーチェックがNGのとき、つまりエラーのときは、ドメインチェック部114でドメインチェックを行う(ステップS203)。ドメインチェックは、制約条件の一例となるドメインDB34に記録されている送信者(FROM)と送信先(TO)の組織上の関係により、宛先の正当性をチェックし、誤送信及び外部への機密情報漏洩を防止する処理である。例えば、以下のチェックを行う。
(3−1)送信者は送信先の経路上に存在する人を必ず送信先に入れなければならない。
(3−2)経路上に存在しない人に電子メールを送る場合は、必ず自分の上長を送信先に含めなければならない。
但し、一度送信した電子メールについては、送信先の中で最上位のセキュリティポリシーをもつ人は、同一送信先の電子メールについては、次回以降、連絡不要と設定することにより、次回以降は、宛先として追加されないようにすることができる。
【0034】
例えば図7の組織構造において、A課長から電子メールを送信する場合を例にする。
(4−1)送信先がA社員、B社員、B課長、A部長の場合は送信可能。
(4−2)送信先がX社の場合は、A部長を送信先に含める必要がある。
(4−3)送信先がC部長、C課長の場合は、A部長、A本部長、B本部長を送信先に含める必要がある。
(4−4)A本部長とB本部長は、連絡不要設定を行うことにより、次回以降、送信先自動追加機能によるA課長からC部長、C課長宛の電子メールを受け取らなくなる。
(4−5)A部長は、連絡不要設定を行うことにより、次回以降、送信先自動追加機能によるA課長からC部長、C課長への電子メールを受け取らなくなる。
【0035】
また、図7において、A社長から電子メールを送信する場合を例にすると、以下のようになる。
(5−1)送信先がA本部長、B本部長の場合は送信可能。
(5−2)送信先がA社員、A課長の場合は、A本部長、A部長を送信先に含める必要がある。
【0036】
図5に戻り、上記のドメインチェックがNGであれば、送信先情報付加部116で送信先自動追加を行う(ステップS204)。送信先自動追加は、電子メールの属性情報の修正、具体的には送信先の追加が必要と判断された場合に該当する送信先の情報をその電子メールの属性情報の一つとして自動的に追加設定する処理である。この処理により、個人が関係のない人間に機密情報を送信することを防止することができる。例えば、図7のような組織構造において、A課長から送信先にX社しか指定していなかった場合は、以下のように、送信先の自動追加を行う。
【0037】
追加前は FROM:A課長
TO :X社
ポリシーチェック、ドメインチェックの結果により、A部長がBCCに追加される。
追加後 FROM:A課長
TO :X社
BCC :A部長
【0038】
A社長から送信先にA社員、A課長しか指定していなかった場合
追加前は FROM:A社長
TO :A社員、A課長
ポリシーチェック、ドメインチェックの結果により、A本部長、A部長がBCCに追加される。
追加後 FROM:A社長
TO :A社員、A課長
BCC :A本部長、A部長
【0039】
ポリシーチェックがOK、ドメインチェックがOK、又は、送信先自動追加が終了すると、管理サーバは、機密性チェック部115で機密性チェックを行う(ステップS205)。管理サーバ10における機密性チェックは、送信先と送信データの正当性をチェックし、誤送信及び機密情報送信を防止する処理である。具体的には以下の処理を行う。
【0040】
(6−1)例えばシステムの設定等によって、電子メールの確認要のように設定されている場合、送信先の中で、送信者の直属の階層の最上位のポリシーレベルの者宛に、チェックメールファイル16に格納されているコンテンツチェックメールを読み出して送信する。コンテンツチェックメールは、チェック対象となった電子メールを伴うコンテンツチェックの依頼を内容とするメールである。チェックの主体は、上記のポリシーレベルの者以外の専門家であっても良い。管理サーバ10に配備される管理者又はコンテンツチェック者が確認できるように、電子メールの属性情報及びコンテンツ内容を提示させるようにしても良い。なお、電子メールの確認不要のように設定されている場合、以降のチェックにより結果的に確認要になっても、コンテンツチェックメールは送信しない。
機密性チェックの結果、コンテンツチェックが不要のときは、チェック結果、送信先メールアドレス、送信者メールアドレス、送信先証明書、機密レベル、監査用メールアドレス、監査用証明書をクライアントに送信する。
【0041】
(6−2)送信先が送信履歴にない場合は、初めて送信する送信先と判定し、当該電子メールについて必ず管理者等によるチェックを行うために、上記の手動確認要のための提示を行う。
【0042】
(6−3)送信先と機密レベルデータと一致しない場合は、上記の手動確認要のための提示を行う。機密レベルデータとが一致しない場合の例としては、「社外秘」なのに社外のドメインが含まれている等が挙げられる。
【0043】
(6−4)クライアントが行った初期チェックの結果、機密レベルが「不明」の場合にも上記の確認要とする。
【0044】
なお、管理サーバにおいて、送信先チェックがNGだった場合、あるいは、機密性チェックの結果、コンテンツチェック要と判定した場合は、エラー情報を作成し(ステップS206)、コンテンツチェックメールをコンテンツチェック者に送信する(ステップS207)。コンテンツチェック者は、その結果をクライアントに送り、コンテンツチェックに使用させる。
【0045】
以上のように、本実施形態の情報漏洩の防止システムでは、電子メールの送信元と送信先との間に、管理サーバ10を設け、自ドメインのツリー状の階層構造、ポリシー情報、送信不可指定ドメイン名、同時送信可能ドメイン数等を管理サーバ10でDB形式で保持しておき、電子メールの送信可否のチェックに際して、(1)送信先チェック、すなわち、送信先のドメインが送信不可指定のドメインに含まれていないこと、送信先に指定したドメイン数が、同時送信可能ドメイン数以下であること、(2)ポリシーチェック、すなわち、同一階層の者のみが送信先であること、あるいは、送信先が自ドメインの階層構造に属していること、(3)ドメインチェック、すなわち、送信先の経路上に存在する者を必ず送信先に入れていること、経路上に存在しない人に電子メールを送る場合は、必ず自分の上長を送信先に含めていることを考慮するようにしたので、エンドユーザがシステムの運用ルールを意識する必要がなく、組織的に統一したセキュリティポリシーを徹底させることが可能になる。また、既存のシステム構成や設定に殆ど影響を与えずに、電子メールに対する情報漏洩防止が可能になる。特に、誤送信や悪意に基づく情報漏洩の防止を図ることができる。
【0046】
なお、本発明は、上記の実施形態の構成に限定されるものではなく、種々の構成上の変更も可能である。例えば、本実施形態では、送信元端末A30であるクライアントとプロキシサーバPX1とを分離した場合の例を示したが、プロキシサーバPX1の機能をクライアント側に集中させても良い。この場合、プロキシサーバPX1は不要となる。
また、送信元端末A30の機能を管理サーバ10側に集中させ、送信元端末A30には、そのブラウザを通じて管理サーバ10にアクセスするだけで、管理サーバ10で図4に示した動作を行う用にすることもできる。
また、図3に示す各DB32〜35は、これらをクライアント側ではなく管理サーバ10におき、管理サーバ10にアクセスする際に利用する構成にすることにより、省くことができる。
【産業上の利用可能性】
【0047】
本発明は、PCにインストールするメーラとメールサーバにおいて利用することができる。
【図面の簡単な説明】
【0048】
【図1】本発明の実施の一形態となる情報漏洩の防止システムの全体図。
【図2】管理サーバの機能ブロック構成図。
【図3】通信端末であるクライアントの機能ブロック構成図。
【図4】クライアントにおける情報漏洩防止のための処理手順図。
【図5】管理サーバにおける情報漏洩防止のための処理手順図。
【図6】セキュリティポリシーレベルの説明図。
【図7】本実施形態のシステムを採用する組織上の関係の説明図。
【符号の説明】
【0049】
10 管理サーバ
112 送信先チェック部
113 ポリシーチェック部
114 ドメインチェック部
115 機密性チェック部
116 送信先情報付加部
12 アドレスDB
13 ポリシーDB
14 ドメインDB
15 エラー情報ファイル
16 チェックメールファイル
20,30 送信元端末(通信端末)
40,50 送信先端末(通信端末)
ML1,ML2 メールサーバ
PX1 プロキシサーバ
L ネットワーク
【特許請求の範囲】
【請求項1】
電子メールの送信の制約条件を定めた条件情報を保持する条件情報保持手段と、
送信予定の電子メールについて当該電子メールの送信元及び送信先の情報を含む属性情報を当該電子メールの送信前に取得する属性情報取得手段と、
この属性情報取得手段で取得した属性情報と前記条件情報保持手段に保持されている条件情報とを比較することにより、前記送信予定の電子メールが前記制約条件に適合するかどうかを判定し、適合する場合は適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を出力する判定手段と、
この判定手段により出力された適合証明又は制限情報を当該電子メールを送信しようとする端末へ伝達する情報伝達手段と、
を備えて成る、電子メールによる情報漏洩の防止システム。
【請求項2】
前記条件情報保持手段は、メール送信が許容される正当な送信先のアドレスの一致性と、送信元と送信先との間でメールの受け渡しが許容されるセキュリティポリシーの関係又は組織上のつながりの一致性を制約条件とする条件情報を保持しており、
前記判定手段は、前記取得した属性情報に、正当な送信先のアドレスが含まれており、かつ、前記関係又はつながりが記述されているときに前記適合証明を出力し、それ以外は前記制限情報を出力する、
請求項1記載の防止システム。
【請求項3】
前記制約条件に適合しない電子メールの属性情報を適合するものに修正して前記端末へ伝達する属性情報修正手段をさらに備えて成る、
請求項2記載の防止システム。
【請求項4】
前記修正を制限する修正制限手段をさらに備えて成る、
請求項3記載の防止システム。
【請求項5】
電子メールの暗号化モジュールを備えており、
前記条件情報保持手段は、電子メールをその送信先で解読可能な形式で暗号化することを制約条件とする条件情報を保持しており、
前記属性情報修正手段は、前記制約条件に適合しないことが暗号化メールでないときに前記暗号化モジュールで当該電子メールを暗号化して前記端末へ伝達する、
請求項3記載の防止システム。
【請求項6】
電子メールの送信の制約条件を定めた所定の条件情報とチェック対象となる電子メールの送信元及び送信先の情報を含む属性情報との比較により当該対象となる電子メールが前記条件情報と適合することを表す適合証明又は適合しないことを表す制限情報を出力する管理サーバと接続可能な通信端末であって、
送信予定の電子メールの属性情報を前記管理サーバへ送信するとともに前記管理サーバから前記適合証明又は制限情報を受信する事前チェック手段と、
前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する制御手段とを備えて成る、
電子メールの通信端末。
【請求項7】
前記適合証明を受信した電子メールに含まれるコンテンツと予め所定のメモリ領域に保持されている送信制約情報とを比較し、前記コンテンツに前記送信制約情報が含まれるときに当該電子メールの送信を制限する機密性チェック手段をさらに備えてなる、
請求項6記載の通信端末。
【請求項8】
通信端末と管理サーバとを含む情報漏洩防止システムにより実行される方法であって、
前記通信端末が、送信予定の電子メールの機密レベルを表す機密レベルデータの取得を含む初期チェックを行い、良好であれば、取得した機密レベルデータと電子メールの送信元及び送信先の情報を含む属性情報を伴うチェック要求を前記管理サーバに送信する段階と、
前記管理サーバが、前記属性情報と、電子メールの送信の制約条件を定めた条件情報とを比較することにより前記送信予定の電子メールの送信先が正当か否かをチェックし、正当であれば、前記機密レベルデータに基づく秘密漏洩防止のための機密性チェックを行い、正当であれば、適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を前記通信端末へ伝達する段階と、
前記通信端末が、
前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する段階とを有する、
電子メールによる情報漏洩の防止方法。
【請求項9】
コンピュータを、電子メールの送信の制約条件を定めた条件情報を保持する条件情報保持手段、送信予定の電子メールについて当該電子メールの送信元及び送信先の情報を含む属性情報を当該電子メールの送信前に取得する属性情報取得手段、この属性情報取得手段で取得した属性情報と前記条件情報保持手段に保持されている条件情報とを比較することにより、前記送信予定の電子メールが前記制約条件に適合するかどうかを判定し、適合する場合は適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を出力する判定手段、及び、この判定手段により出力された適合証明又は制限情報を当該電子メールを送信しようとする端末へ伝達する情報伝達手段、として機能させるためのコンピュータプログラム。
【請求項10】
通信機能付きのコンピュータを、電子メールの送信の制約条件を定めた所定の条件情報とチェック対象となる電子メールの送信元及び送信先の情報を含む属性情報との比較により当該対象となる電子メールが前記条件情報と適合することを表す適合証明又は適合しないことを表す制限情報を出力する管理サーバと接続可能な通信端末として動作させるためのコンピュータプログラムであって、
前記コンピュータを、送信予定の電子メールの属性情報を前記管理サーバへ送信するとともに前記管理サーバから前記適合証明又は制限情報を受信する事前チェック手段、及び、前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する制御手段として機能させる、コンピュータプログラム。
【請求項1】
電子メールの送信の制約条件を定めた条件情報を保持する条件情報保持手段と、
送信予定の電子メールについて当該電子メールの送信元及び送信先の情報を含む属性情報を当該電子メールの送信前に取得する属性情報取得手段と、
この属性情報取得手段で取得した属性情報と前記条件情報保持手段に保持されている条件情報とを比較することにより、前記送信予定の電子メールが前記制約条件に適合するかどうかを判定し、適合する場合は適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を出力する判定手段と、
この判定手段により出力された適合証明又は制限情報を当該電子メールを送信しようとする端末へ伝達する情報伝達手段と、
を備えて成る、電子メールによる情報漏洩の防止システム。
【請求項2】
前記条件情報保持手段は、メール送信が許容される正当な送信先のアドレスの一致性と、送信元と送信先との間でメールの受け渡しが許容されるセキュリティポリシーの関係又は組織上のつながりの一致性を制約条件とする条件情報を保持しており、
前記判定手段は、前記取得した属性情報に、正当な送信先のアドレスが含まれており、かつ、前記関係又はつながりが記述されているときに前記適合証明を出力し、それ以外は前記制限情報を出力する、
請求項1記載の防止システム。
【請求項3】
前記制約条件に適合しない電子メールの属性情報を適合するものに修正して前記端末へ伝達する属性情報修正手段をさらに備えて成る、
請求項2記載の防止システム。
【請求項4】
前記修正を制限する修正制限手段をさらに備えて成る、
請求項3記載の防止システム。
【請求項5】
電子メールの暗号化モジュールを備えており、
前記条件情報保持手段は、電子メールをその送信先で解読可能な形式で暗号化することを制約条件とする条件情報を保持しており、
前記属性情報修正手段は、前記制約条件に適合しないことが暗号化メールでないときに前記暗号化モジュールで当該電子メールを暗号化して前記端末へ伝達する、
請求項3記載の防止システム。
【請求項6】
電子メールの送信の制約条件を定めた所定の条件情報とチェック対象となる電子メールの送信元及び送信先の情報を含む属性情報との比較により当該対象となる電子メールが前記条件情報と適合することを表す適合証明又は適合しないことを表す制限情報を出力する管理サーバと接続可能な通信端末であって、
送信予定の電子メールの属性情報を前記管理サーバへ送信するとともに前記管理サーバから前記適合証明又は制限情報を受信する事前チェック手段と、
前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する制御手段とを備えて成る、
電子メールの通信端末。
【請求項7】
前記適合証明を受信した電子メールに含まれるコンテンツと予め所定のメモリ領域に保持されている送信制約情報とを比較し、前記コンテンツに前記送信制約情報が含まれるときに当該電子メールの送信を制限する機密性チェック手段をさらに備えてなる、
請求項6記載の通信端末。
【請求項8】
通信端末と管理サーバとを含む情報漏洩防止システムにより実行される方法であって、
前記通信端末が、送信予定の電子メールの機密レベルを表す機密レベルデータの取得を含む初期チェックを行い、良好であれば、取得した機密レベルデータと電子メールの送信元及び送信先の情報を含む属性情報を伴うチェック要求を前記管理サーバに送信する段階と、
前記管理サーバが、前記属性情報と、電子メールの送信の制約条件を定めた条件情報とを比較することにより前記送信予定の電子メールの送信先が正当か否かをチェックし、正当であれば、前記機密レベルデータに基づく秘密漏洩防止のための機密性チェックを行い、正当であれば、適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を前記通信端末へ伝達する段階と、
前記通信端末が、
前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する段階とを有する、
電子メールによる情報漏洩の防止方法。
【請求項9】
コンピュータを、電子メールの送信の制約条件を定めた条件情報を保持する条件情報保持手段、送信予定の電子メールについて当該電子メールの送信元及び送信先の情報を含む属性情報を当該電子メールの送信前に取得する属性情報取得手段、この属性情報取得手段で取得した属性情報と前記条件情報保持手段に保持されている条件情報とを比較することにより、前記送信予定の電子メールが前記制約条件に適合するかどうかを判定し、適合する場合は適合証明を出力し、他方、適合しない場合は電子メールの送信を制限させるための制限情報を出力する判定手段、及び、この判定手段により出力された適合証明又は制限情報を当該電子メールを送信しようとする端末へ伝達する情報伝達手段、として機能させるためのコンピュータプログラム。
【請求項10】
通信機能付きのコンピュータを、電子メールの送信の制約条件を定めた所定の条件情報とチェック対象となる電子メールの送信元及び送信先の情報を含む属性情報との比較により当該対象となる電子メールが前記条件情報と適合することを表す適合証明又は適合しないことを表す制限情報を出力する管理サーバと接続可能な通信端末として動作させるためのコンピュータプログラムであって、
前記コンピュータを、送信予定の電子メールの属性情報を前記管理サーバへ送信するとともに前記管理サーバから前記適合証明又は制限情報を受信する事前チェック手段、及び、前記適合証明を受信したときは前記送信予定の電子メールの送信準備を行い、他方、前記制限情報を受信したときは当該電子メールの送信を制限する制御手段として機能させる、コンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2007−102334(P2007−102334A)
【公開日】平成19年4月19日(2007.4.19)
【国際特許分類】
【出願番号】特願2005−288377(P2005−288377)
【出願日】平成17年9月30日(2005.9.30)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成19年4月19日(2007.4.19)
【国際特許分類】
【出願日】平成17年9月30日(2005.9.30)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]