電子メールシステム
【課題】
電子メールシステムを提供することを目的とする。
【解決手段】
ユーザ情報保存部と、キーワード機密レベル保存部と、あらかじめ定められた想定操作が行われたかを判定する操作判定部と、想定操作が行われたことを判定した場合に、電子メールの送信先となる電子メールアドレスに基づいてユーザ情報保存部を検索することにより、該電子メールアドレスに対応する機密レベルを取得する機密レベル取得部と、一時記憶領域に記憶した貼り付け対象となるデータに含まれるキーワードを検索し、該データに含まれるキーワードに対する機密レベルと、電子メールアドレスに対応する機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、貼り付け対象となるデータを電子メールに貼り付ける制御部と、を有する電子メールシステムである。
電子メールシステムを提供することを目的とする。
【解決手段】
ユーザ情報保存部と、キーワード機密レベル保存部と、あらかじめ定められた想定操作が行われたかを判定する操作判定部と、想定操作が行われたことを判定した場合に、電子メールの送信先となる電子メールアドレスに基づいてユーザ情報保存部を検索することにより、該電子メールアドレスに対応する機密レベルを取得する機密レベル取得部と、一時記憶領域に記憶した貼り付け対象となるデータに含まれるキーワードを検索し、該データに含まれるキーワードに対する機密レベルと、電子メールアドレスに対応する機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、貼り付け対象となるデータを電子メールに貼り付ける制御部と、を有する電子メールシステムである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子メールシステムに関する。
【背景技術】
【0002】
近年、企業などの組織からの個人情報や企業秘密の漏洩などが相次いだことから、情報管理の徹底が求められている。そして情報漏洩が発生する原因の一つとして、故意または過失で個人情報や企業秘密などの機密情報を電子メールの本文に貼り付けたり、添付ファイルとして添付してしまい、それを本来ならば見ることのできない送信先に送信してしまうことによるものがある。
【0003】
このようなことを防止するために様々な対策が採られており、例えば下記特許文献1乃至特許文献3に記載のシステムがある。これらは電子メールの送信先によって、添付ファイルの添付を許可・不許可とする発明である。
【0004】
また特許文献4では、ファイルのコピー制御を行うシステムが開示されている。当該発明では、ファイルについて処理を行うユーザのアクセス権限と、ファイルのコピー元の機密度レベルと、ファイルのコピー先の機密度レベルとを比較することによって、機密度レベルが低いファイルに当該ファイルがコピーされないように制御するセキュリティシステムが開示されている。
【0005】
また上述のほかにも電子メールの本文自体を解析して機密キーワードに該当する用語を含む電子メールは送信できないようにする技術も存在する。
【0006】
【特許文献1】特開2005−267087号公報
【特許文献2】特開2002−149574号公報
【特許文献3】特開平11−212884号公報
【特許文献4】特開2000−194591号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
特許文献1乃至特許文献3に記載のようなシステムを用いた場合、電子メールの送信先のユーザが、電子メールに添付するファイルに対してアクセス権限を有しているか、を判定することによって電子メールの送信制限処理を実行している。しかしこれらの発明を用いた場合、添付ファイルの許可・不許可は判定できたとしても、電子メールの本文に、機密ファイルのデータが貼り付けられた場合には、対応することが出来ない。
【0008】
そこで電子メール本文に対する文字解析を行うことで機密キーワードに該当する用語を含む電子メールを送信できないようにするシステムも存在するが、機密情報を含むファイルから、特定の機密データをコピーして電子メールの本文に貼り付けた後、その機密データにおける機密キーワードに該当しそうな用語に「.」を打ったり、スペースを打ったりすることで、機密キーワードの検索の際にヒットしないようにすることも出来る。そのため電子メール本文の機密キーワードを用いた検索では対応できない場合も数多い。
【0009】
更に特許文献4に記載のシステムを用いることで、ファイルのコピー元の機密度レベルと、コピー先の機密度レベルとを比較することで、上記の電子メールの本文に機密キーワード検索で検索できないようなシステムを構築することも出来る。しかし特許文献4のシステムは、そもそも処理対象が「ファイル」そのものである。そのため、機密情報を含むファイルから機密データをコピーして、電子メールの本文に貼り付けた場合には、特許文献4のシステムでは対応することが出来ない。対応させる場合には上述のように、新規作成する電子メールに予め機密度レベルを設定しておく必要があるが、このような設定を電子メールの送信の度にユーザ自らが行うのはユーザにとって極めて煩雑であるし、悪意のあるユーザがわざわざ的確な機密度レベルを設定するとも考えられない。
【0010】
また、現在の一般的なコンピュータ端末ではクリップボードと呼ばれる一時記憶領域(データをコピーしたり、貼り付ける場合に一時的に使用される記憶領域)にコピーしたいデータをコピーし、その後、貼り付けたいファイルを特定して、そこにクリップボードに貼り付けたいデータを選択した上で貼り付けの処理を実行することとなるが、特許文献4の発明では、ファイルそのものが処理単位となっているので、そのデータがどのファイルのデータであるのかを特定することが出来ない。これは特許文献4の発明が、ファイルそのものを処理対象としていることに起因している。
【0011】
そのため特許文献4を用いた場合であっても、機密度が高いファイルにおけるデータの一部または全部を、例えば誤って外部向けの電子メールに貼り付け、情報の漏洩の可能性がある。なぜならばユーザがコピーの権限を持ったファイルであるならば当該ユーザはそのファイルに対してアクセス権限を持っているので、そのファイルのデータがどれだけ機密度が高いかは、当該ユーザが意識しなければなかなか分かりにくいものだからである。例えば顧客情報のようなデータの場合には明らかに機密度が高いことが分かるので、意識しなくても外部向けの電子メールに貼り付ける可能性は低いであろうが、自社における他社との共同プロジェクトを行っている場合に、自社技術に係るノウハウなどは、どこまでがノウハウか否かは、意識をしないと判別しにくいこともある。そのような場合には本来自社内におけるノウハウとして外部に公開してはいけないデータを、その共同プロジェクトを行っている他社向けの電子メール本文に貼り付けて載せてしまう可能性も否定できない。
【0012】
このように、特許文献4のシステムを用いただけでは、ファイルそのものを処理対象としているに過ぎないので、上記のような場合に対応できない課題が存在する。
【課題を解決するための手段】
【0013】
請求項1の発明は、電子メールにデータを貼り付ける際に用いる電子メールシステムであって、前記電子メールシステムは、電子メールアドレスと機密レベルとを保存するユーザ情報保存部と、キーワードと該キーワードに対応する機密レベルとを保存するキーワード機密レベル保存部と、あらかじめ定められた想定操作が行われたかを判定する操作判定部と、前記想定操作が行われたことを判定した場合に、電子メールの送信先となる電子メールアドレスに基づいて前記ユーザ情報保存部を検索することにより、該電子メールアドレスに対応する機密レベルを取得する機密レベル取得部と、一時記憶領域に記憶した貼り付け対象となるデータに含まれるキーワードを検索し、該データに含まれるキーワードに対する機密レベルと、前記電子メールアドレスに対応する機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、前記貼り付け対象となるデータを前記電子メールに貼り付ける制御部と、を有する電子メールシステムである。
【0014】
本発明のように構成することで、データを貼り付けた電子メールには、貼り付け対象のデータのうち、送信先の機密レベルよりも高いキーワードは、所定の表示処理が施された上で貼り付けられるか、あるいは削除処理された上で貼り付けられる。従って、データ自体の貼り付けは出来たとしても、電子メールからはその機密レベルよりも高いキーワードは含まれない(あるいは見ることができない)。そのため貼り付けた電子メールからの情報漏洩を防止することが出来る。
【0015】
請求項8の発明は、記憶装置に、電子メールアドレスと機密レベルとを保存するユーザ情報保存部、キーワードと該キーワードに対応する機密レベルとを保存するキーワード機密レベル保存部、とを備えているコンピュータを、あらかじめ定められた想定操作が行われたかを判定する操作判定部、前記想定操作が行われたことを判定した場合に、電子メールの送信先となる電子メールアドレスに基づいて前記ユーザ情報保存部を検索することにより、該電子メールアドレスに対応する機密レベルを取得する機密レベル取得部、一時記憶領域に記憶した貼り付け対象となるデータに含まれるキーワードを検索し、該データに含まれるキーワードに対する機密レベルと、前記電子メールアドレスに対応する機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、前記貼り付け対象となるデータを前記電子メールに貼り付ける制御部、として機能させる電子メールプログラムである。
【0016】
本発明のプログラムをコンピュータに読み込ませて実行することで、請求項1の発明の電子メールシステムが実現できる。
【発明の効果】
【0017】
本発明のように構成することで、電子メール本文にデータが貼り付けられる場合であっても、貼り付ける際のキーワードの機密レベルと送信先の機密レベルとを比較した上で制御を行うこととなる。そのため、悪意のユーザが機密キーワードに該当しそうな用語に「.」を打ったりして検索回避の措置を採ることに対応することが出来る。
【図面の簡単な説明】
【0018】
【図1】本発明の全体の概念を示す概念図である。
【図2】本発明のシステム構成の概念図である。
【図3】本発明のハードウェア構成の一例を示す概念図である。
【図4】本発明の処理プロセスの一例を示すフローチャートである。
【図5】ファイル識別情報と機密レベルとの対応関係を示す概念図である。
【図6】操作ログ情報の一例である。
【図7】想定操作に対応づけて設定されている事前操作が対応する操作ログ情報を検索することを模式的に示す図である。
【図8】ユーザ情報保存部の一例を模式的に示す概念図である。
【図9】送信先となる電子メールアドレスのユーザの機密レベルと、貼り付け元のファイル(データ元のファイル)の機密レベルの比較と、機密制御を模式的に示す図である。
【図10】送信先となる電子メールアドレスのユーザの機密レベルと、貼り付け元のファイル(データ元のファイル)の機密レベルの比較と、機密制御の他の例を模式的に示す図である。
【図11】キーワードと機密レベルとの対応関係を示す概念図である。
【図12】実施例1の処理を模式的に示す図である。
【発明を実施するための最良の形態】
【0019】
本発明の電子メールシステム1の全体の概念図を図1に示す。
【0020】
一般的にデータの貼り付け操作を行う際には、貼り付け元のファイルから対象となるデータを選択し、その後、「コピー」または「移動」などの操作を行うと、クリップボード(一時記憶領域)に当該選択したデータが記憶される。そして貼り付け先となる電子メールを選択後、クリップボードから貼り付けるデータを選択することによって、貼り付け先となる電子メールにデータが「コピー」または「移動」する。この際にクリップボードには、貼り付け元となったファイルからデータを「コピー」または「移動」した際にその順番が当該データに対応づけられている(すなわち最初にクリップボードにコピーまたは移動したデータから順位付けされている)。なおこの順番のほかに、貼り付け元となったファイルのファイル名などのファイル識別情報や、当該操作の日時情報が当該データに対応づけられていても良い。
【0021】
図1の電子メールシステム1は、各クライアント端末3を監視する管理者が利用する管理サーバ2とファイルサーバ4とクライアント端末3とにより構成されている場合を説明しているが、ファイルサーバ4を設けずともその機能を管理サーバ2で実現しても良い。また管理サーバ2の機能は複数のサーバなどに分散されていても良い。また管理サーバ2の機能をクライアント端末3で実現しても良い。また管理サーバ2では、電子メールサーバの機能を果たしていても良い。
【0022】
なお管理サーバ2、ファイルサーバ4、クライアント端末3は通常のコンピュータ端末(サーバも含む)が備えるべき通常のハードウェア構成を適宜備えている。また管理サーバ2、ファイルサーバ4、クライアント端末3には所定のプログラムが読み込まれ、処理されることにより実現される。管理サーバ2は、複数のクライアント端末3においてどのようなプログラムや操作が実行されているのか、を保存、監視する。従って、各クライアント端末3には、当該クライアント端末3において実行されているプログラム名、ファイル名などのファイル識別情報や、当該クライアント端末3の入力装置23で入力された情報、クライアント端末3における処理や操作などがリアルタイムで、或いは定期的に、あるいは新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングでクライアント端末3から管理サーバ2にその操作ログの情報を送信する機能を備えている。操作ログを送信する機能は、クライアント端末3の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出したり、当該クライアント端末3の入力装置23で入力された、あるいは操作された情報などを送信すればよい。
【0023】
管理サーバ2、ファイルサーバ4、クライアント端末3は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24と、を少なくとも有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該管理サーバ2、ファイルサーバ4、クライアント端末3には、キーボードやマウスやテンキーなどの入力装置23、ディスプレイなどの表示装置22を有していても良い。図3にこれらのハードウェア構成の一例を模式的に示す。
【0024】
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。
【0025】
ファイルサーバ4は、クライアント端末3が業務で使用するファイルが、そのファイルを識別する情報(ファイル識別情報)とその機密レベルと共に保存されている。この機密レベルは、ファイル内に含まれる情報に応じて、ファイル作成時に設定される。図5にファイルサーバ4で管理しているファイル識別情報と機密レベルとの対応関係を模式的に示す。なおファイル識別情報にはファイル名のほか、ファイルを識別する情報であれば何でもよく、固有のIDなどであっても良い。
【0026】
管理サーバ2は、操作ログ情報受付部5と操作ログ情報保存部6と操作判定部7とファイル識別情報取得部8と機密レベル取得部9とユーザ情報保存部10と機密レベル比較部11と機密制御部12とを有している。
【0027】
操作ログ情報受付部5は、各クライアント端末3から、好ましくはリアルタイムで、または定期的に或いは不定期に、当該クライアント端末3における操作ログ情報を受け取る。受け取った操作ログ情報は、後述する操作ログ情報保存部6に、その日時、どのクライアント端末3における操作ログ情報であるかを識別する情報と共に記憶させる。この対応付けはクライアント端末3で行われても良いし、操作ログ情報受付部5で受け取ったタイミングで行っても良いし、操作ログ情報保存部6に保存するタイミング、或いはその後で行っても良い。また操作ログ情報としては、各クライアント端末3における操作内容を示す情報であればよく、例えば「データコピー」、「ファイル選択」、「ドライブ追加」など、当該クライアント端末3のユーザの操作を示す情報が該当する。
【0028】
操作ログ情報保存部6は、操作ログ情報受付部5が各クライアント端末3から受け取った操作ログ情報を保存する。操作ログ情報の一例を模式的に図6に示す。図6の操作ログ情報の場合、使用したクライアント端末識別情報(ネットワークにおいてクライアント端末を識別するコンピュータ名などの識別情報)、操作日時、ログイン名、操作内容、ファイル名(ファイル識別情報)・アプリケーション名(アプリケーション識別情報)、当該ファイルの保存場所を示す情報が含まれている。この保存場所の情報に基づいて、該当するファイルサーバ4及びそのディレクトリが特定できる。なお操作ログ情報は、各クライアント端末3またはそのユーザ(ログイン名など)ごとに保存することが好ましい。
【0029】
操作判定部7は、操作ログ情報受付部5で受け付けた操作ログ情報に基づいて、クライアント端末3における当該操作が、電子メールへのデータの貼り付け操作などの、予め定められた操作であるかを判定する。このトリガとなる操作、例えば上述の電子メールへのデータの貼り付け操作など、を「想定操作」と本明細書ではいうものとする。具体的には操作ログ情報における操作内容を示す情報とそのファイル名(「ファイル識別情報」)、アプリケーション名(「アプリケーション識別情報」)を参照し、それが「貼り付け操作」であって、そのアプリケーション識別情報が「メーラーアプリケーション」である、予め定められた想定操作であるかを判定する。ここで想定操作としては、上記のほかにも適宜設定が可能であり、上記に限定されるものではない。また想定操作としては、「貼り付け」のように一つの操作内容だけであっても良いし、「起動(起動されるアプリケーションはメーラーアプリケーション)」と「貼り付け(貼り付けられるアプリケーションはメーラーアプリケーション)」のように複数の操作ログ情報における操作内容を受け取ることで、想定操作としても良い。
【0030】
ファイル識別情報取得部8は、操作判定部7において、操作ログ情報に想定操作があることを判定すると、操作判定部7における想定操作に対応する事前操作、例えば「データコピー」のように、貼り付け元のデータをクリップボード(一時記憶領域)にコピーしたことを示す操作ログ情報を操作ログ情報保存部6から検索し、抽出する。貼り付け元のデータをクリップボードにコピーしたことを示す操作ログ情報を検索するには、ユーザが貼り付け対象としてクリップボードで選択したデータの順位に基づいて検索することが出来る。例えばクリップボードにデータA、データB、データCが新しい順に3つ存在しており、ユーザが一番古いデータC(最新から3番目のデータ)を、貼り付け先となるファイルに貼り付ける場合には、操作ログ情報のうち、操作内容を示す情報が事前操作である操作ログ情報の最新から3番目の操作ログ情報を検索して抽出する。クリップボードのデータBを貼り付けることをユーザが選択している場合には、操作ログ情報のうち、操作内容を示す情報が事前操作である操作ログ情報の最新から2番目の操作ログ情報を検索して抽出する。
【0031】
このようにユーザがクリップボードにおいて貼り付け対象としたデータの、クリップボードにおける順位を用いて、操作内容として事前操作を含む操作ログ情報を操作ログ情報保存部6から検索することによって、クリップボードに複数のデータが存在する場合であっても、貼り付け対象となるデータの貼り付け元のファイルのファイル識別情報を含む操作ログ情報を特定することが出来る。
【0032】
なおクリップボードにおけるデータに、そのデータをクリップボードにコピーした日時情報や、そのコピー元となったファイルのファイル識別情報が対応づけて記憶されている場合には、上述の順位の他に、日時情報やファイル識別情報を用いて、貼り付け元のファイルのファイル識別情報を含む操作ログ情報を特定しても良い。つまり、クリップボードにおいてユーザに選択された、貼り付け対象となるデータに対応づけられているファイル識別情報や日時情報に基づいて、それと同一のファイル識別情報や日時情報を含む操作ログ情報と、事前操作の操作内容とを含む操作ログ情報を、操作ログ情報保存部6から検索することで抽出できる。
【0033】
このようにして貼り付け元のファイルのファイル識別情報を含む操作ログ情報を操作ログ情報保存部6から抽出し、その操作ログ情報からファイル識別情報を取得する。例えば事前操作として「データコピー」が設定されている場合には、その操作によって当該クライアント端末3のクリップボードにデータがコピーされることとなる。従ってこのような操作は事前操作の一つとなる。想定操作に対応づけて設定されている事前操作が対応する操作ログ情報を検索することを模式的に図7に示す。
【0034】
機密レベル取得部9は、ファイル識別情報取得部8が操作ログ情報から取得したファイル識別情報を用いて、当該ファイルの機密レベルをファイルサーバ4に問い合わせることで、当該ファイルの機密レベルを取得する。なおファイル識別情報に対応するファイルの機密レベルがファイルサーバ4に存在しない場合(未登録のファイルや機密レベルの設定がないファイルなどの場合)などには、ファイルサーバ4からは「該当なし」の情報を受け取り、当該ファイルの機密レベルとして初期値(好ましくは最低の機密レベル)や機密レベルの設定なしとする。
【0035】
具体的には、データの貼り付け元のファイルのファイル識別情報を取得した操作ログ情報から、当該ファイルの保存場所の情報を取得する。そしてそのファイルを保存するファイルサーバ4に、ファイル識別情報が取得したデータ元のファイル(貼り付け元のファイル)のファイル識別情報を渡すことで、当該ファイルサーバ4からそのファイル識別情報に対応する機密レベルを受け取る。このような処理によって、貼り付け元のファイルの機密レベルを取得することが出来る。
【0036】
また機密レベル取得部9は、電子メールの送信先として入力された電子メールアドレスに基づいて、後述するユーザ情報保存部10を検索することにより、送信先となるユーザの機密レベルを取得する。
【0037】
なお入力された電子メールアドレスが、後述するユーザ情報保存部10に存在しない場合には、機密レベル取得部9は、当該電子メールアドレスのユーザの機密レベルとして、最も低い機密レベル、例えば「0」や「1」とする。この機密レベルとすることによって、実質的に、電子メールアドレスがユーザ情報保存部10に保存されていないユーザに対しては、データ元のファイル(貼り付け元のファイル)のデータを貼り付けて送信することは出来なくなる。
【0038】
ユーザ情報保存部10は、電子メールの送信先となる可能性のあるユーザ、例えば会社の場合、その社員や取引先の社員など、の電子メールアドレスと機密レベルとを格納している。この際に、更に属性情報として、氏名、部署名、役職などが保存されていても良い。図8にユーザ情報保存部10の一例を模式的に示す。
【0039】
なお電子メールアドレスのユーザに対する機密レベルの設定は、人為的に行われても良いし、自動的に算出されるようにしても良い。自動的に算出する場合には、当該電子メールを送信するユーザの属性情報(例えば電子メールアドレス、氏名、社員番号など)をクライアント端末3から受け取っておき、自身の部署と同じ部署の送信先であれば、機密レベルを、当該送信先のユーザの機密レベルに加算して設定し、自身の部署と異なる部署の送信先であれば、機密レベルを、当該送信先のユーザの機密レベルから減算して設定することが出来る。例えば送信先が「○○○○@●●●●.co.jp」であり、自身が「××××@●●●●.co.jp」の場合、ユーザ情報保存部10を参照すると、異なる部署であることが判定できる。そのため機密レベル取得部9が送信先の機密レベルを取得する際に、「○○○○@●●●●.co.jp」の機密レベルとして「10」を取得し、自身とは異なる部署であるので所定値として、例えば「3」ポイントを減算し、機密レベルとして「7」を設定しても良い。
【0040】
また部署による機密レベルの演算のほか、送信先のユーザの役職に応じて、当初の機密レベルから所定値を加減算(演算)するなどしても良い。
【0041】
機密レベル比較部11は、機密レベル取得部9で取得した、送信先となるユーザの機密レベルと、データの貼り付け元のファイルの機密レベルとを比較し、どちらの機密レベルが高いかを判定する。
【0042】
機密制御部12は、機密レベル比較部11において、送信先となるユーザの機密レベルが、データの貼り付け元のファイルの機密レベルよりも低いと判定すると、所定の機密制御を実行する。この場合には、機密レベルの高いファイルのデータを、それよりも機密レベルの低いファイルに貼り付け操作を行おうとしているため、所定の機密制御を行う。またデータの貼り付け元のファイルの機密レベルが、送信先となるユーザの機密レベルよりと同じまたは低い場合には貼り付けて何ら問題はないので、貼り付け許可の制御指示をクライアント端末3に送信する。
【0043】
上述の際に実行する機密制御の一つとしては、当該貼り付け操作を実行するクライアント端末3(操作ログ情報を受け取ったクライアント端末3)に対して、当該貼り付け操作を無効とさせる制御指示を送信し、それをクライアント端末3で実行させる。この貼り付け操作を無効とさせる制御指示には、例えば当該クライアント端末3において貼り付け操作を選択禁止や実行禁止とする、当該クライアント端末3のクリップボードのデータ(コピーしたデータの一部または全部)を削除するなどがある。またすでに電子メールに貼り付けた場合には、貼り付けたデータを当該電子メールから強制的に削除させる制御指示を当該クライアント端末3に対して送信し、それをクライアント端末3で実行させても良い。
【0044】
またほかの機密制御の第2としては、当該クライアント端末3に対して、機密レベルの高いデータを機密レベルの低いファイルに貼り付けたことを教えるメッセージを管理サーバ2から当該クライアント端末3に送信するなどがある。
【0045】
更に機密制御の第3としては、所定の管理者や当該クライアント端末3のユーザの上司などの所定の者に対して、機密レベルの高いデータを機密レベルの低いファイルに貼り付けたことを教えるメッセージを管理サーバ2から、それらの者が利用するクライアント端末3に送信する、或いは管理サーバ2上で表示するなどがある。
【0046】
第4の機密制御の方法としては、電子メールへのデータの貼り付けを許可しても、当該クライアント端末3が利用する電子メールサーバまたはクライアント端末3に対して、当該電子メールの送信を差し止める制御指示を渡すことがある。この制御指示によって、当該電子メールサーバまたはクライアント端末3は、当該電子メールの送信先に対する送信を中止する。
【0047】
なお機密制御としては上記に限定されず、様々な方法を用いることが出来る。
【0048】
クライアント端末3において、ユーザが電子メールにファイルのデータを貼り付けようとする場合、ファイルの中からクリップボードにコピーするデータを選択してコピー(または移動)する。そして当該データを貼り付ける電子メールを選択し、所定の貼り付け操作を入力することで、クリップボードに記憶されたデータが電子メールに貼り付けられる。この際に「データ貼り付け」の操作ログ情報がクライアント端末3から管理サーバ2に送信される。そのためユーザがクライアント端末3において貼り付け操作を行った場合に、その操作を行ったことを検出する検出部(図示せず)と、管理サーバ2から貼り付け許可の指示または機密制御の指示を受け取ることで、それに対応した処理を実行する貼り付け実行部(図示せず)とをクライアント端末3に備えている。
【0049】
クライアント端末3の検出部は、当該クライアント端末3におけるユーザが入力した各操作を操作ログ情報などに基づいて監視している。そして「データ貼り付け」操作を行ったことを検出部で検出すると、操作入力後、当該電子メールにクリップボードに記憶したデータが貼り付けられる前に、そのデータの貼り付けを待機させる。
【0050】
一方、クライアント端末3は、クライアント端末3において「データ貼り付け操作」が行われているので、「データ貼り付け」の操作ログ情報を管理サーバ2に送信している。この操作ログ情報を受け取った管理サーバ2の操作ログ情報受付部5は、上述の処理により機密制御の指示または貼り付け許可の指示を行うかを判定する。そしてその判定の結果、クライアント端末3の貼り付け実行部は、その処理に対応する制御を実行する。例えば貼り付け実行部は、貼り付け許可の指示を管理サーバ2の機密制御部12から受け取った場合には、当該電子メールに、クリップボードに記憶したデータを貼り付ける(待機を解除する)。一方、機密制御の指示を受け取った場合には、貼り付け実行部は、その機密制御の指示に対応した制御を実行する(例えば上述の第1乃至第4の機密制御の指示に対応する制御を実行する)。
【基本構成例1】
【0051】
次に本発明の電子メールシステム1の処理プロセスの一例を図4のフローチャートおよび図2のシステム構成の概念図を用いて説明する。
【0052】
クライアント端末3は、好ましくはリアルタイムで操作ログ情報を管理サーバ2に送信しており、管理サーバ2の操作ログ情報受付部5は、各クライアント端末3からの操作ログ情報を操作ログ情報受付部5で受け付ける(S100)。操作ログ情報受付部5で受け付けた操作ログ情報は、操作ログ情報保存部6に保存する(S110)。
【0053】
また操作判定部7は、S100で受け付けた操作ログ情報が所定の想定操作であるかを判定する(S120)。想定操作でない場合には、次の操作ログ情報を操作ログ情報受付部5で受け付けるのを待機する。
【0054】
S100で受け付けた操作ログ情報の操作内容を示す情報が、想定操作として設定されている操作内容(例えば「貼り付け」(この際のアプリケーション名(アプリケーション識別情報)が「メーラーアプリケーション」である))であると操作判定部7が判定した場合には、事前操作として予め設定されている操作内容を含む操作ログ情報を操作ログ情報保存部6から検索して抽出し、その操作ログ情報から、ファイルを識別するファイル識別情報を取得する(S130)。
【0055】
なお想定操作であるとして設定されている操作内容を操作ログ情報としてクライアント端末3から受け取っている場合には、その操作ログ情報とあわせて、クリップボードにおいて、どのデータを貼り付けるデータとして選択したのか、を示す情報(例えばクリップボードにデータが記憶された順位情報や、クリップボードにデータがコピーされた日時情報、データの貼り付け元のファイルのファイル識別情報など)も受け取っている。
【0056】
図7の場合、「データコピー」を含む操作ログ情報を操作ログ情報保存部6から検索して抽出する。そうするとファイル識別情報取得部8は、事前操作「データコピー」を含む操作ログ情報を検索できるので、それを抽出し、その操作ログ情報に含まれるファイル識別情報「顧客情報一覧表」を取得する。
【0057】
図7の場合、クリップボードにコピーされているデータが一つであるので、操作ログ情報保存部6に事前操作の操作内容を含む操作ログ情報も一つであるが、この場合にも、クリップボードにおいてユーザが貼り付け対象としたデータのクリップボードにおける順位情報も用いて操作ログ情報保存部6から操作ログ情報を検索している。すなわち一つしかデータがクリップボードにないので、その順位は「1」である。順位が「1」であることは、もっとも新しくクリップボードにコピーされたデータであることを意味している。そこで、この順位情報に基づいて、ファイル識別情報取得部8は、操作内容を示す情報が「事前操作として設定されている情報」であって、それがもっとも新しい操作ログ情報を検索することとなる。
【0058】
以上のようにしてファイル識別情報取得部8が貼り付け元のファイルのファイル識別情報を取得すると、機密レベル取得部9は、当該操作ログ情報(S130で抽出した操作ログ情報)から、当該ファイルの保存場所を示す情報を取得し、ファイル識別情報取得部8が取得したファイル識別情報を当該ファイルの保存場所であるファイルサーバ4に渡すことによって、当該ファイルの機密レベルの問い合わせを行う。図7の場合、ファイルの保存場所として「¥¥Tokyo−fs¥重要書類¥顧客」を取得する。ここでファイルサーバ4とそのディレクトリは、最初がファイルサーバ4であるので「Tokyo−fs」のファイルサーバ4に対して、機密レベル取得部9は、「顧客情報一覧表」の機密レベルを問い合わせる。
【0059】
この問い合わせを受けたファイルサーバ4は、図5に示すファイル識別情報と機密レベルの対応関係(機密レベルデータベースなど)に基づいて、受け取ったファイル識別情報に対応する機密レベルを、管理サーバ2に渡す。図7の場合、「顧客情報一覧表」の機密レベルが「6」であることを判定できるので、それを抽出して、ファイルサーバ4は機密レベル「6」を管理サーバ2に渡す。
【0060】
このようにすることで管理サーバ2の機密レベル取得部9は、貼り付け元のファイル(データ元のファイル)の機密レベルを取得する(S140)。
【0061】
以上のようにして管理サーバ2の機密レベル取得部9は、貼り付け元のファイル(データ元のファイル)の機密レベルを取得するが、電子メールに貼り付けるデータの貼り付け元のファイルが常に機密ファイルとは限らない。すなわち機密レベルが設定されていないような一般のファイルである場合もある。その場合、S140における機密レベルの取得処理において、ファイルサーバ4からは「該当なし」または「機密レベルが設定されていないことを示す情報」を機密レベル取得部9は取得する。その場合、貼り付けられるデータに何ら問題はないので(もともと機密ファイルではないので、そのファイルのデータが貼り付けられても問題はない)(S150)、機密制御部12は、後述の機密レベル比較などの処理を行わずに、当該クライアント端末3に対して、貼り付け許可の制御指示を送信し、それを受け取ったクライアント端末3は、データを貼り付けた電子メールを、送信先に対して送信する(S160)。
【0062】
あるいはS140における機密レベルの取得処理において、ファイルサーバ4から「該当なし」または「機密レベルが設定されていないことを示す情報」を機密レベル取得部9が取得すると、機密レベルを設定し忘れた機密情報を含むファイルである可能性もある。従って機密レベル取得部9は上述の情報を取得した場合に、そのファイルの機密レベルをもっとも高い機密レベルにして、S170以降の処理を実行するように構成しても良い(この場合、S160の処理は実行しない)。
【0063】
一方、S140において何らかの機密レベル(貼り付け元のファイルが機密ファイルであり、その機密レベルを示す情報)を取得した場合には、貼り付けられたデータが機密データである可能性があるので(S150)、当該電子メールの送信先の電子メールアドレスをクライアント端末3から取得する(S170)。この電子メールアドレスは、メーラーアプリケーションの、電子メールの送信先を示す所定箇所に入力された電子メールアドレスを抽出し、それをクライアント端末3から管理サーバ2に送信することによって、管理サーバ2は電子メールアドレスを取得できる。
【0064】
なお送信先となる電子メールアドレスは、どのタイミングで取得してもよく、操作ログ情報と共に取得しても良いし、機密ファイルであることを判定した後に取得しても良い。また管理サーバ2からクライアント端末3に対して電子メールアドレスの取得要求を渡し、その取得要求に応じて、クライアント端末3のメーラーアプリケーションが、電子メールアドレスを管理サーバ2に渡すように構成しても良い。
【0065】
S170の取得において、クライアント端末3から電子メールアドレスを取得できなかった場合は、当該電子メールの送信先として電子メールアドレスがまだ入力されていないことを意味する。そのため管理サーバ2の機密レベル取得部9は、当該クライアント端末3に対して、送信先となる電子メールアドレスを入力するように促す通知を送信し、当該クライアント端末3で入力を受け付ける(S180)。
【0066】
一方、クライアント端末3から電子メールアドレスを取得すると、機密レベル取得部9は、取得した電子メールアドレスに基づいてユーザ情報保存部10を検索することにより、当該送信先となるユーザの機密レベルを取得する(S190)。
【0067】
例えば取得した電子メールアドレスが「○○○○@●●●●.co.jp」であった場合、これを検索キーとしてユーザ情報保存部10を検索し、機密レベル「10」を取得する。
【0068】
また取得した電子メールアドレスが「××××@●●●●.co.jp」であった場合、これを検索キーとしてユーザ情報保存部10を検索し、機密レベル「2」を取得する。
【0069】
このようにして貼り付け元のファイルの機密レベルと、送信先のユーザの機密レベルとを機密レベル取得部9が取得すると、機密レベル比較部11は、それらの機密レベルを比較する(S200、S210)。
【0070】
例えば貼り付け元のファイル「顧客情報一覧表」の機密レベルが「6」であり、送信先のユーザの機密レベルが「10」である場合、送信先のユーザの機密レベルの方が、貼り付け元のファイルの機密レベルよりも高い(S210)。そのため、仮に、電子メールに貼り付けたデータに機密データがあったとしても、もともと送信先となるユーザはそのファイルを見ることができるので、情報漏洩の問題にはつながらない。そのため、機密制御部12は、当該クライアント端末3に対して、貼り付け許可の制御指示を送信し、それを受け取ったクライアント端末3は、データを貼り付けた電子メールを、送信先に対して送信する(S220)。つまり「顧客情報一覧表」のファイルにおけるデータが貼り付けられた電子メールが、電子メールアドレス「○○○○@●●●●.co.jp」に対して送信されることとなる。
【0071】
以上の処理を模式的に示すのが図9である。
【0072】
一方、貼り付け元のファイル「顧客情報一覧表」の機密レベルが「6」であり、送信先のユーザの機密レベルが「2」である場合、送信先のユーザの機密レベルの方が、貼り付け元のファイルの機密レベルよりも低い(S210)。そのため、仮に、電子メールに貼り付けたデータに機密データがあった場合には、もともと送信先となるユーザはそのファイルを見ることができないので、情報漏洩につながる。そのため、機密制御部12は、上述の所定の機密制御を実行する(S230)。従って、「顧客情報一覧表」のファイルにおけるデータは電子メールの本文に貼り付けることは出来ない。そしてそれらのデータが貼り付けられた電子メールは、電子メールアドレス「××××@●●●●.co.jp」に対して送信されないこととなる。
【0073】
以上の処理を模式的に示すのが図10である。
【基本構成例2】
【0074】
なおS220において貼り付け許可の制御指示を行った後、その送信先となる電子メールの変更や追加がされる可能性もある。例えば悪意のあるユーザが機密ファイルのデータを電子メール本文に貼り付けようとする場合には、最初、機密レベルの高いユーザの電子メールアドレスを送信先として設定しておき、管理サーバ2から貼り付け許可の制御指示を受け取った後に、送信先となる電子メールアドレスを、本来の送信先の電子メールアドレスに変更することも考えられる。
【0075】
このように送信先となる電子メールアドレスを変更や追加した場合、操作内容として「電子メールアドレスの変更や追加」を含む操作ログ情報がクライアント端末3から管理サーバ2に対して送信される。なお操作内容として電子メールアドレスの変更や追加」を含むことがない場合には、操作ログ情報に基づいて操作内容を検出することが出来ないので、メーラーアプリケーションを実行するクライアント端末3から管理サーバ2に対して、電子メールアドレスを変更や追加したことの情報と変更や追加後の電子メールアドレスとを送信する。
【0076】
このような「電子メールアドレスの変更や追加」を含む操作ログ情報、またはそのことを示す情報をクライアント端末3から操作ログ情報受付部5(操作ログ情報の場合)、機密レベル取得部9(操作ログ情報でない場合)で受け取ると、変更や追加後の送信先の電子メールアドレスのユーザの機密レベルを再度、ユーザ情報保存部10から取得する。すなわち、S190以降の処理を再度実行し、変更や追加後の送信先のユーザの機密レベルと貼り付け元のファイルの機密レベルとを比較する。その比較の結果、変更や追加後の送信先のユーザの機密レベルが貼り付け元のファイルの機密レベルと同一か高い場合には、機密制御部12は、クライアント端末3に対して貼り付け許可の制御指示を送信する。一方、上述の比較の結果、変更や追加後の送信先のユーザの機密レベルが貼り付け元のファイルの機密レベルよりも低い場合には、機密制御部12は、上述の機密制御指示を実行する。
【0077】
すなわち当該電子メールから貼り付けたデータや添付したファイルの削除を行ったり、電子メールの送信制限を電子メールサーバで実行したりする。
【基本構成例3】
【0078】
基本構成例2のように悪意のユーザによる電子メールの送信先となる電子メールアドレスの変更や追加が考えられるので、メーラーアプリケーションは、一度、貼り付け許可の制御指示を受け取った後には、当該貼り付けたデータまたは添付したファイルの機密レベル(この機密レベルは貼り付け許可の制御指示と共に管理サーバ2から受け取っていることが好ましい)よりも高い機密レベルであるユーザの電子メールアドレスにしか変更や追加できないように、電子メールアドレスの変更や追加の制限処理を実行しても良い。すなわちユーザが電子メールの送信先アドレスを入力すると、その電子メールアドレスの機密レベルを管理サーバ2に問い合わせることで、入力した電子メールアドレスのユーザの機密レベルを取得する。そして、その機密レベルと、貼り付けたデータの貼り付け元のファイルの機密レベルとを比較し、入力した電子メールアドレスのユーザの機密レベルが貼り付けたデータの貼り付け元のファイルの機密レベルよりも同一か高ければその入力をそのままとし、低い場合には入力された電子メールアドレスを削除等する。
【0079】
なお比較の際には、入力した電子メールアドレスのユーザの機密レベルと、貼り付けたデータの貼り付け元のファイルの機密レベルとを比較しても良いし、変更や追加前の電子メールアドレスのユーザの機密レベルと、新たに入力した電子メールアドレスのユーザの機密レベルとを比較しても良い。
【0080】
なお基本構成例1乃至基本構成例3において、複数の電子メールアドレスが送信先として存在する場合には、もっとも高い機密レベルにあわせればよい。
【実施例1】
【0081】
更に、上述の基本構成例1乃至基本構成例3において、個々の所定のキーワードに対しても予め機密レベルを設定しておいても良い。例えば図11に示すキーワードと機密レベルとの対応関係のデータベースをクライアント端末3に備えておく。なおこのデータベースはクライアント端末3に備えることが好ましいが、管理サーバ2や所定のサーバに備えられていてもよく、クライアント端末3で実際の貼り付け操作が行われる際に、管理サーバ2や所定のサーバにクライアント端末3が、貼り付けるデータを送信して、各キーワードの機密レベルを問い合わせることによって処理をしても良い。なお以下の説明では基本構成例1の場合を説明するが、基本構成例2及び基本構成例3の場合でも、基本構成例1の場合と同様に処理が可能である。
【0082】
そしてユーザがクライアント端末3においてデータの貼り付けを行う場合には、S150乃至S190の処理を行うことで、機密レベル取得部9が、電子メールの送信先となる電子メールアドレスのユーザの機密レベルを管理サーバ2で取得する。そして機密レベル比較部11は機密レベルの比較を行わずに、機密制御部12が送信先となる電子メールアドレスのユーザの機密レベルをクライアント端末3に送信し、機密制御の制御指示を送信する。この際の制御指示は、貼り付け先となる電子メール本文に、そのファイルの機密レベルよりも高いレベルの機密キーワードに対する所定の制御(機密キーワードに対応する文字を削除する、機密キーワードの文字を所定の或いはランダムで異なる文字・記号などに置換する)を実行させる指示である。
【0083】
例えば送信先となる電子メールアドレスのユーザの機密レベルが「2」であることを管理サーバ2の機密レベル取得部9が取得すると、機密制御部12は、制御指示と共に、送信先のユーザの機密レベルが「2」であることをクライアント端末3に送信する。それを受け取ったクライアント端末3は、機密レベル「2」より高い機密レベルのキーワードを、貼り付けるデータから削除処理、或いは置換処理の制御を行った上で、貼り付け処理を行う。
【0084】
これを模式的に示すのが図12である。送信先となるユーザの機密レベルが「2」であり、各キーワードの機密レベルが図11の場合、機密レベルが「2」より高い機密レベルのキーワード、すなわち「○○○○(社員名)」、「××××(新商品名)」、「CCCC(業務提携先の企業名」は、貼り付けるデータから削除、或いは置換処理が行われた上で、当該電子メールに貼り付けられる。
【実施例2】
【0085】
貼り付け元のファイルのデータを、貼り付け先の電子メールに貼り付ける際に、いわゆるドラッグアンドドロップの操作によって行うこともできる。例えばワープロソフトを起動し、そのファイルにおいて貼り付け対象となる範囲を選択し、その選択した範囲のテキストのデータを、貼り付け先となる電子メールにドラッグアンドドロップすることで、当該選択した範囲のテキストのデータが、貼り付け先となる電子メールに貼り付けられる。このような場合にも本発明は適用可能である。
【産業上の利用可能性】
【0086】
本発明のように構成することで、電子メール本文にデータが貼り付けられる場合であっても、貼り付ける際のキーワードの機密レベルと送信先の機密レベルとを比較した上で制御を行うこととなる。そのため、悪意のユーザが機密キーワードに該当しそうな用語に「.」を打ったりして検索回避の措置を採ることに対応することが出来る。
【符号の説明】
【0087】
1:電子メールシステム
2:管理サーバ
3:クライアント端末
4:ファイルサーバ
5:操作ログ情報受付部
6:操作ログ情報保存部
7:操作判定部
8:ファイル識別情報取得部
9:機密レベル取得部
10:ユーザ情報保存部
11:機密レベル比較部
12:機密制御部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
【技術分野】
【0001】
本発明は、電子メールシステムに関する。
【背景技術】
【0002】
近年、企業などの組織からの個人情報や企業秘密の漏洩などが相次いだことから、情報管理の徹底が求められている。そして情報漏洩が発生する原因の一つとして、故意または過失で個人情報や企業秘密などの機密情報を電子メールの本文に貼り付けたり、添付ファイルとして添付してしまい、それを本来ならば見ることのできない送信先に送信してしまうことによるものがある。
【0003】
このようなことを防止するために様々な対策が採られており、例えば下記特許文献1乃至特許文献3に記載のシステムがある。これらは電子メールの送信先によって、添付ファイルの添付を許可・不許可とする発明である。
【0004】
また特許文献4では、ファイルのコピー制御を行うシステムが開示されている。当該発明では、ファイルについて処理を行うユーザのアクセス権限と、ファイルのコピー元の機密度レベルと、ファイルのコピー先の機密度レベルとを比較することによって、機密度レベルが低いファイルに当該ファイルがコピーされないように制御するセキュリティシステムが開示されている。
【0005】
また上述のほかにも電子メールの本文自体を解析して機密キーワードに該当する用語を含む電子メールは送信できないようにする技術も存在する。
【0006】
【特許文献1】特開2005−267087号公報
【特許文献2】特開2002−149574号公報
【特許文献3】特開平11−212884号公報
【特許文献4】特開2000−194591号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
特許文献1乃至特許文献3に記載のようなシステムを用いた場合、電子メールの送信先のユーザが、電子メールに添付するファイルに対してアクセス権限を有しているか、を判定することによって電子メールの送信制限処理を実行している。しかしこれらの発明を用いた場合、添付ファイルの許可・不許可は判定できたとしても、電子メールの本文に、機密ファイルのデータが貼り付けられた場合には、対応することが出来ない。
【0008】
そこで電子メール本文に対する文字解析を行うことで機密キーワードに該当する用語を含む電子メールを送信できないようにするシステムも存在するが、機密情報を含むファイルから、特定の機密データをコピーして電子メールの本文に貼り付けた後、その機密データにおける機密キーワードに該当しそうな用語に「.」を打ったり、スペースを打ったりすることで、機密キーワードの検索の際にヒットしないようにすることも出来る。そのため電子メール本文の機密キーワードを用いた検索では対応できない場合も数多い。
【0009】
更に特許文献4に記載のシステムを用いることで、ファイルのコピー元の機密度レベルと、コピー先の機密度レベルとを比較することで、上記の電子メールの本文に機密キーワード検索で検索できないようなシステムを構築することも出来る。しかし特許文献4のシステムは、そもそも処理対象が「ファイル」そのものである。そのため、機密情報を含むファイルから機密データをコピーして、電子メールの本文に貼り付けた場合には、特許文献4のシステムでは対応することが出来ない。対応させる場合には上述のように、新規作成する電子メールに予め機密度レベルを設定しておく必要があるが、このような設定を電子メールの送信の度にユーザ自らが行うのはユーザにとって極めて煩雑であるし、悪意のあるユーザがわざわざ的確な機密度レベルを設定するとも考えられない。
【0010】
また、現在の一般的なコンピュータ端末ではクリップボードと呼ばれる一時記憶領域(データをコピーしたり、貼り付ける場合に一時的に使用される記憶領域)にコピーしたいデータをコピーし、その後、貼り付けたいファイルを特定して、そこにクリップボードに貼り付けたいデータを選択した上で貼り付けの処理を実行することとなるが、特許文献4の発明では、ファイルそのものが処理単位となっているので、そのデータがどのファイルのデータであるのかを特定することが出来ない。これは特許文献4の発明が、ファイルそのものを処理対象としていることに起因している。
【0011】
そのため特許文献4を用いた場合であっても、機密度が高いファイルにおけるデータの一部または全部を、例えば誤って外部向けの電子メールに貼り付け、情報の漏洩の可能性がある。なぜならばユーザがコピーの権限を持ったファイルであるならば当該ユーザはそのファイルに対してアクセス権限を持っているので、そのファイルのデータがどれだけ機密度が高いかは、当該ユーザが意識しなければなかなか分かりにくいものだからである。例えば顧客情報のようなデータの場合には明らかに機密度が高いことが分かるので、意識しなくても外部向けの電子メールに貼り付ける可能性は低いであろうが、自社における他社との共同プロジェクトを行っている場合に、自社技術に係るノウハウなどは、どこまでがノウハウか否かは、意識をしないと判別しにくいこともある。そのような場合には本来自社内におけるノウハウとして外部に公開してはいけないデータを、その共同プロジェクトを行っている他社向けの電子メール本文に貼り付けて載せてしまう可能性も否定できない。
【0012】
このように、特許文献4のシステムを用いただけでは、ファイルそのものを処理対象としているに過ぎないので、上記のような場合に対応できない課題が存在する。
【課題を解決するための手段】
【0013】
請求項1の発明は、電子メールにデータを貼り付ける際に用いる電子メールシステムであって、前記電子メールシステムは、電子メールアドレスと機密レベルとを保存するユーザ情報保存部と、キーワードと該キーワードに対応する機密レベルとを保存するキーワード機密レベル保存部と、あらかじめ定められた想定操作が行われたかを判定する操作判定部と、前記想定操作が行われたことを判定した場合に、電子メールの送信先となる電子メールアドレスに基づいて前記ユーザ情報保存部を検索することにより、該電子メールアドレスに対応する機密レベルを取得する機密レベル取得部と、一時記憶領域に記憶した貼り付け対象となるデータに含まれるキーワードを検索し、該データに含まれるキーワードに対する機密レベルと、前記電子メールアドレスに対応する機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、前記貼り付け対象となるデータを前記電子メールに貼り付ける制御部と、を有する電子メールシステムである。
【0014】
本発明のように構成することで、データを貼り付けた電子メールには、貼り付け対象のデータのうち、送信先の機密レベルよりも高いキーワードは、所定の表示処理が施された上で貼り付けられるか、あるいは削除処理された上で貼り付けられる。従って、データ自体の貼り付けは出来たとしても、電子メールからはその機密レベルよりも高いキーワードは含まれない(あるいは見ることができない)。そのため貼り付けた電子メールからの情報漏洩を防止することが出来る。
【0015】
請求項8の発明は、記憶装置に、電子メールアドレスと機密レベルとを保存するユーザ情報保存部、キーワードと該キーワードに対応する機密レベルとを保存するキーワード機密レベル保存部、とを備えているコンピュータを、あらかじめ定められた想定操作が行われたかを判定する操作判定部、前記想定操作が行われたことを判定した場合に、電子メールの送信先となる電子メールアドレスに基づいて前記ユーザ情報保存部を検索することにより、該電子メールアドレスに対応する機密レベルを取得する機密レベル取得部、一時記憶領域に記憶した貼り付け対象となるデータに含まれるキーワードを検索し、該データに含まれるキーワードに対する機密レベルと、前記電子メールアドレスに対応する機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、前記貼り付け対象となるデータを前記電子メールに貼り付ける制御部、として機能させる電子メールプログラムである。
【0016】
本発明のプログラムをコンピュータに読み込ませて実行することで、請求項1の発明の電子メールシステムが実現できる。
【発明の効果】
【0017】
本発明のように構成することで、電子メール本文にデータが貼り付けられる場合であっても、貼り付ける際のキーワードの機密レベルと送信先の機密レベルとを比較した上で制御を行うこととなる。そのため、悪意のユーザが機密キーワードに該当しそうな用語に「.」を打ったりして検索回避の措置を採ることに対応することが出来る。
【図面の簡単な説明】
【0018】
【図1】本発明の全体の概念を示す概念図である。
【図2】本発明のシステム構成の概念図である。
【図3】本発明のハードウェア構成の一例を示す概念図である。
【図4】本発明の処理プロセスの一例を示すフローチャートである。
【図5】ファイル識別情報と機密レベルとの対応関係を示す概念図である。
【図6】操作ログ情報の一例である。
【図7】想定操作に対応づけて設定されている事前操作が対応する操作ログ情報を検索することを模式的に示す図である。
【図8】ユーザ情報保存部の一例を模式的に示す概念図である。
【図9】送信先となる電子メールアドレスのユーザの機密レベルと、貼り付け元のファイル(データ元のファイル)の機密レベルの比較と、機密制御を模式的に示す図である。
【図10】送信先となる電子メールアドレスのユーザの機密レベルと、貼り付け元のファイル(データ元のファイル)の機密レベルの比較と、機密制御の他の例を模式的に示す図である。
【図11】キーワードと機密レベルとの対応関係を示す概念図である。
【図12】実施例1の処理を模式的に示す図である。
【発明を実施するための最良の形態】
【0019】
本発明の電子メールシステム1の全体の概念図を図1に示す。
【0020】
一般的にデータの貼り付け操作を行う際には、貼り付け元のファイルから対象となるデータを選択し、その後、「コピー」または「移動」などの操作を行うと、クリップボード(一時記憶領域)に当該選択したデータが記憶される。そして貼り付け先となる電子メールを選択後、クリップボードから貼り付けるデータを選択することによって、貼り付け先となる電子メールにデータが「コピー」または「移動」する。この際にクリップボードには、貼り付け元となったファイルからデータを「コピー」または「移動」した際にその順番が当該データに対応づけられている(すなわち最初にクリップボードにコピーまたは移動したデータから順位付けされている)。なおこの順番のほかに、貼り付け元となったファイルのファイル名などのファイル識別情報や、当該操作の日時情報が当該データに対応づけられていても良い。
【0021】
図1の電子メールシステム1は、各クライアント端末3を監視する管理者が利用する管理サーバ2とファイルサーバ4とクライアント端末3とにより構成されている場合を説明しているが、ファイルサーバ4を設けずともその機能を管理サーバ2で実現しても良い。また管理サーバ2の機能は複数のサーバなどに分散されていても良い。また管理サーバ2の機能をクライアント端末3で実現しても良い。また管理サーバ2では、電子メールサーバの機能を果たしていても良い。
【0022】
なお管理サーバ2、ファイルサーバ4、クライアント端末3は通常のコンピュータ端末(サーバも含む)が備えるべき通常のハードウェア構成を適宜備えている。また管理サーバ2、ファイルサーバ4、クライアント端末3には所定のプログラムが読み込まれ、処理されることにより実現される。管理サーバ2は、複数のクライアント端末3においてどのようなプログラムや操作が実行されているのか、を保存、監視する。従って、各クライアント端末3には、当該クライアント端末3において実行されているプログラム名、ファイル名などのファイル識別情報や、当該クライアント端末3の入力装置23で入力された情報、クライアント端末3における処理や操作などがリアルタイムで、或いは定期的に、あるいは新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングでクライアント端末3から管理サーバ2にその操作ログの情報を送信する機能を備えている。操作ログを送信する機能は、クライアント端末3の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出したり、当該クライアント端末3の入力装置23で入力された、あるいは操作された情報などを送信すればよい。
【0023】
管理サーバ2、ファイルサーバ4、クライアント端末3は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24と、を少なくとも有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該管理サーバ2、ファイルサーバ4、クライアント端末3には、キーボードやマウスやテンキーなどの入力装置23、ディスプレイなどの表示装置22を有していても良い。図3にこれらのハードウェア構成の一例を模式的に示す。
【0024】
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。
【0025】
ファイルサーバ4は、クライアント端末3が業務で使用するファイルが、そのファイルを識別する情報(ファイル識別情報)とその機密レベルと共に保存されている。この機密レベルは、ファイル内に含まれる情報に応じて、ファイル作成時に設定される。図5にファイルサーバ4で管理しているファイル識別情報と機密レベルとの対応関係を模式的に示す。なおファイル識別情報にはファイル名のほか、ファイルを識別する情報であれば何でもよく、固有のIDなどであっても良い。
【0026】
管理サーバ2は、操作ログ情報受付部5と操作ログ情報保存部6と操作判定部7とファイル識別情報取得部8と機密レベル取得部9とユーザ情報保存部10と機密レベル比較部11と機密制御部12とを有している。
【0027】
操作ログ情報受付部5は、各クライアント端末3から、好ましくはリアルタイムで、または定期的に或いは不定期に、当該クライアント端末3における操作ログ情報を受け取る。受け取った操作ログ情報は、後述する操作ログ情報保存部6に、その日時、どのクライアント端末3における操作ログ情報であるかを識別する情報と共に記憶させる。この対応付けはクライアント端末3で行われても良いし、操作ログ情報受付部5で受け取ったタイミングで行っても良いし、操作ログ情報保存部6に保存するタイミング、或いはその後で行っても良い。また操作ログ情報としては、各クライアント端末3における操作内容を示す情報であればよく、例えば「データコピー」、「ファイル選択」、「ドライブ追加」など、当該クライアント端末3のユーザの操作を示す情報が該当する。
【0028】
操作ログ情報保存部6は、操作ログ情報受付部5が各クライアント端末3から受け取った操作ログ情報を保存する。操作ログ情報の一例を模式的に図6に示す。図6の操作ログ情報の場合、使用したクライアント端末識別情報(ネットワークにおいてクライアント端末を識別するコンピュータ名などの識別情報)、操作日時、ログイン名、操作内容、ファイル名(ファイル識別情報)・アプリケーション名(アプリケーション識別情報)、当該ファイルの保存場所を示す情報が含まれている。この保存場所の情報に基づいて、該当するファイルサーバ4及びそのディレクトリが特定できる。なお操作ログ情報は、各クライアント端末3またはそのユーザ(ログイン名など)ごとに保存することが好ましい。
【0029】
操作判定部7は、操作ログ情報受付部5で受け付けた操作ログ情報に基づいて、クライアント端末3における当該操作が、電子メールへのデータの貼り付け操作などの、予め定められた操作であるかを判定する。このトリガとなる操作、例えば上述の電子メールへのデータの貼り付け操作など、を「想定操作」と本明細書ではいうものとする。具体的には操作ログ情報における操作内容を示す情報とそのファイル名(「ファイル識別情報」)、アプリケーション名(「アプリケーション識別情報」)を参照し、それが「貼り付け操作」であって、そのアプリケーション識別情報が「メーラーアプリケーション」である、予め定められた想定操作であるかを判定する。ここで想定操作としては、上記のほかにも適宜設定が可能であり、上記に限定されるものではない。また想定操作としては、「貼り付け」のように一つの操作内容だけであっても良いし、「起動(起動されるアプリケーションはメーラーアプリケーション)」と「貼り付け(貼り付けられるアプリケーションはメーラーアプリケーション)」のように複数の操作ログ情報における操作内容を受け取ることで、想定操作としても良い。
【0030】
ファイル識別情報取得部8は、操作判定部7において、操作ログ情報に想定操作があることを判定すると、操作判定部7における想定操作に対応する事前操作、例えば「データコピー」のように、貼り付け元のデータをクリップボード(一時記憶領域)にコピーしたことを示す操作ログ情報を操作ログ情報保存部6から検索し、抽出する。貼り付け元のデータをクリップボードにコピーしたことを示す操作ログ情報を検索するには、ユーザが貼り付け対象としてクリップボードで選択したデータの順位に基づいて検索することが出来る。例えばクリップボードにデータA、データB、データCが新しい順に3つ存在しており、ユーザが一番古いデータC(最新から3番目のデータ)を、貼り付け先となるファイルに貼り付ける場合には、操作ログ情報のうち、操作内容を示す情報が事前操作である操作ログ情報の最新から3番目の操作ログ情報を検索して抽出する。クリップボードのデータBを貼り付けることをユーザが選択している場合には、操作ログ情報のうち、操作内容を示す情報が事前操作である操作ログ情報の最新から2番目の操作ログ情報を検索して抽出する。
【0031】
このようにユーザがクリップボードにおいて貼り付け対象としたデータの、クリップボードにおける順位を用いて、操作内容として事前操作を含む操作ログ情報を操作ログ情報保存部6から検索することによって、クリップボードに複数のデータが存在する場合であっても、貼り付け対象となるデータの貼り付け元のファイルのファイル識別情報を含む操作ログ情報を特定することが出来る。
【0032】
なおクリップボードにおけるデータに、そのデータをクリップボードにコピーした日時情報や、そのコピー元となったファイルのファイル識別情報が対応づけて記憶されている場合には、上述の順位の他に、日時情報やファイル識別情報を用いて、貼り付け元のファイルのファイル識別情報を含む操作ログ情報を特定しても良い。つまり、クリップボードにおいてユーザに選択された、貼り付け対象となるデータに対応づけられているファイル識別情報や日時情報に基づいて、それと同一のファイル識別情報や日時情報を含む操作ログ情報と、事前操作の操作内容とを含む操作ログ情報を、操作ログ情報保存部6から検索することで抽出できる。
【0033】
このようにして貼り付け元のファイルのファイル識別情報を含む操作ログ情報を操作ログ情報保存部6から抽出し、その操作ログ情報からファイル識別情報を取得する。例えば事前操作として「データコピー」が設定されている場合には、その操作によって当該クライアント端末3のクリップボードにデータがコピーされることとなる。従ってこのような操作は事前操作の一つとなる。想定操作に対応づけて設定されている事前操作が対応する操作ログ情報を検索することを模式的に図7に示す。
【0034】
機密レベル取得部9は、ファイル識別情報取得部8が操作ログ情報から取得したファイル識別情報を用いて、当該ファイルの機密レベルをファイルサーバ4に問い合わせることで、当該ファイルの機密レベルを取得する。なおファイル識別情報に対応するファイルの機密レベルがファイルサーバ4に存在しない場合(未登録のファイルや機密レベルの設定がないファイルなどの場合)などには、ファイルサーバ4からは「該当なし」の情報を受け取り、当該ファイルの機密レベルとして初期値(好ましくは最低の機密レベル)や機密レベルの設定なしとする。
【0035】
具体的には、データの貼り付け元のファイルのファイル識別情報を取得した操作ログ情報から、当該ファイルの保存場所の情報を取得する。そしてそのファイルを保存するファイルサーバ4に、ファイル識別情報が取得したデータ元のファイル(貼り付け元のファイル)のファイル識別情報を渡すことで、当該ファイルサーバ4からそのファイル識別情報に対応する機密レベルを受け取る。このような処理によって、貼り付け元のファイルの機密レベルを取得することが出来る。
【0036】
また機密レベル取得部9は、電子メールの送信先として入力された電子メールアドレスに基づいて、後述するユーザ情報保存部10を検索することにより、送信先となるユーザの機密レベルを取得する。
【0037】
なお入力された電子メールアドレスが、後述するユーザ情報保存部10に存在しない場合には、機密レベル取得部9は、当該電子メールアドレスのユーザの機密レベルとして、最も低い機密レベル、例えば「0」や「1」とする。この機密レベルとすることによって、実質的に、電子メールアドレスがユーザ情報保存部10に保存されていないユーザに対しては、データ元のファイル(貼り付け元のファイル)のデータを貼り付けて送信することは出来なくなる。
【0038】
ユーザ情報保存部10は、電子メールの送信先となる可能性のあるユーザ、例えば会社の場合、その社員や取引先の社員など、の電子メールアドレスと機密レベルとを格納している。この際に、更に属性情報として、氏名、部署名、役職などが保存されていても良い。図8にユーザ情報保存部10の一例を模式的に示す。
【0039】
なお電子メールアドレスのユーザに対する機密レベルの設定は、人為的に行われても良いし、自動的に算出されるようにしても良い。自動的に算出する場合には、当該電子メールを送信するユーザの属性情報(例えば電子メールアドレス、氏名、社員番号など)をクライアント端末3から受け取っておき、自身の部署と同じ部署の送信先であれば、機密レベルを、当該送信先のユーザの機密レベルに加算して設定し、自身の部署と異なる部署の送信先であれば、機密レベルを、当該送信先のユーザの機密レベルから減算して設定することが出来る。例えば送信先が「○○○○@●●●●.co.jp」であり、自身が「××××@●●●●.co.jp」の場合、ユーザ情報保存部10を参照すると、異なる部署であることが判定できる。そのため機密レベル取得部9が送信先の機密レベルを取得する際に、「○○○○@●●●●.co.jp」の機密レベルとして「10」を取得し、自身とは異なる部署であるので所定値として、例えば「3」ポイントを減算し、機密レベルとして「7」を設定しても良い。
【0040】
また部署による機密レベルの演算のほか、送信先のユーザの役職に応じて、当初の機密レベルから所定値を加減算(演算)するなどしても良い。
【0041】
機密レベル比較部11は、機密レベル取得部9で取得した、送信先となるユーザの機密レベルと、データの貼り付け元のファイルの機密レベルとを比較し、どちらの機密レベルが高いかを判定する。
【0042】
機密制御部12は、機密レベル比較部11において、送信先となるユーザの機密レベルが、データの貼り付け元のファイルの機密レベルよりも低いと判定すると、所定の機密制御を実行する。この場合には、機密レベルの高いファイルのデータを、それよりも機密レベルの低いファイルに貼り付け操作を行おうとしているため、所定の機密制御を行う。またデータの貼り付け元のファイルの機密レベルが、送信先となるユーザの機密レベルよりと同じまたは低い場合には貼り付けて何ら問題はないので、貼り付け許可の制御指示をクライアント端末3に送信する。
【0043】
上述の際に実行する機密制御の一つとしては、当該貼り付け操作を実行するクライアント端末3(操作ログ情報を受け取ったクライアント端末3)に対して、当該貼り付け操作を無効とさせる制御指示を送信し、それをクライアント端末3で実行させる。この貼り付け操作を無効とさせる制御指示には、例えば当該クライアント端末3において貼り付け操作を選択禁止や実行禁止とする、当該クライアント端末3のクリップボードのデータ(コピーしたデータの一部または全部)を削除するなどがある。またすでに電子メールに貼り付けた場合には、貼り付けたデータを当該電子メールから強制的に削除させる制御指示を当該クライアント端末3に対して送信し、それをクライアント端末3で実行させても良い。
【0044】
またほかの機密制御の第2としては、当該クライアント端末3に対して、機密レベルの高いデータを機密レベルの低いファイルに貼り付けたことを教えるメッセージを管理サーバ2から当該クライアント端末3に送信するなどがある。
【0045】
更に機密制御の第3としては、所定の管理者や当該クライアント端末3のユーザの上司などの所定の者に対して、機密レベルの高いデータを機密レベルの低いファイルに貼り付けたことを教えるメッセージを管理サーバ2から、それらの者が利用するクライアント端末3に送信する、或いは管理サーバ2上で表示するなどがある。
【0046】
第4の機密制御の方法としては、電子メールへのデータの貼り付けを許可しても、当該クライアント端末3が利用する電子メールサーバまたはクライアント端末3に対して、当該電子メールの送信を差し止める制御指示を渡すことがある。この制御指示によって、当該電子メールサーバまたはクライアント端末3は、当該電子メールの送信先に対する送信を中止する。
【0047】
なお機密制御としては上記に限定されず、様々な方法を用いることが出来る。
【0048】
クライアント端末3において、ユーザが電子メールにファイルのデータを貼り付けようとする場合、ファイルの中からクリップボードにコピーするデータを選択してコピー(または移動)する。そして当該データを貼り付ける電子メールを選択し、所定の貼り付け操作を入力することで、クリップボードに記憶されたデータが電子メールに貼り付けられる。この際に「データ貼り付け」の操作ログ情報がクライアント端末3から管理サーバ2に送信される。そのためユーザがクライアント端末3において貼り付け操作を行った場合に、その操作を行ったことを検出する検出部(図示せず)と、管理サーバ2から貼り付け許可の指示または機密制御の指示を受け取ることで、それに対応した処理を実行する貼り付け実行部(図示せず)とをクライアント端末3に備えている。
【0049】
クライアント端末3の検出部は、当該クライアント端末3におけるユーザが入力した各操作を操作ログ情報などに基づいて監視している。そして「データ貼り付け」操作を行ったことを検出部で検出すると、操作入力後、当該電子メールにクリップボードに記憶したデータが貼り付けられる前に、そのデータの貼り付けを待機させる。
【0050】
一方、クライアント端末3は、クライアント端末3において「データ貼り付け操作」が行われているので、「データ貼り付け」の操作ログ情報を管理サーバ2に送信している。この操作ログ情報を受け取った管理サーバ2の操作ログ情報受付部5は、上述の処理により機密制御の指示または貼り付け許可の指示を行うかを判定する。そしてその判定の結果、クライアント端末3の貼り付け実行部は、その処理に対応する制御を実行する。例えば貼り付け実行部は、貼り付け許可の指示を管理サーバ2の機密制御部12から受け取った場合には、当該電子メールに、クリップボードに記憶したデータを貼り付ける(待機を解除する)。一方、機密制御の指示を受け取った場合には、貼り付け実行部は、その機密制御の指示に対応した制御を実行する(例えば上述の第1乃至第4の機密制御の指示に対応する制御を実行する)。
【基本構成例1】
【0051】
次に本発明の電子メールシステム1の処理プロセスの一例を図4のフローチャートおよび図2のシステム構成の概念図を用いて説明する。
【0052】
クライアント端末3は、好ましくはリアルタイムで操作ログ情報を管理サーバ2に送信しており、管理サーバ2の操作ログ情報受付部5は、各クライアント端末3からの操作ログ情報を操作ログ情報受付部5で受け付ける(S100)。操作ログ情報受付部5で受け付けた操作ログ情報は、操作ログ情報保存部6に保存する(S110)。
【0053】
また操作判定部7は、S100で受け付けた操作ログ情報が所定の想定操作であるかを判定する(S120)。想定操作でない場合には、次の操作ログ情報を操作ログ情報受付部5で受け付けるのを待機する。
【0054】
S100で受け付けた操作ログ情報の操作内容を示す情報が、想定操作として設定されている操作内容(例えば「貼り付け」(この際のアプリケーション名(アプリケーション識別情報)が「メーラーアプリケーション」である))であると操作判定部7が判定した場合には、事前操作として予め設定されている操作内容を含む操作ログ情報を操作ログ情報保存部6から検索して抽出し、その操作ログ情報から、ファイルを識別するファイル識別情報を取得する(S130)。
【0055】
なお想定操作であるとして設定されている操作内容を操作ログ情報としてクライアント端末3から受け取っている場合には、その操作ログ情報とあわせて、クリップボードにおいて、どのデータを貼り付けるデータとして選択したのか、を示す情報(例えばクリップボードにデータが記憶された順位情報や、クリップボードにデータがコピーされた日時情報、データの貼り付け元のファイルのファイル識別情報など)も受け取っている。
【0056】
図7の場合、「データコピー」を含む操作ログ情報を操作ログ情報保存部6から検索して抽出する。そうするとファイル識別情報取得部8は、事前操作「データコピー」を含む操作ログ情報を検索できるので、それを抽出し、その操作ログ情報に含まれるファイル識別情報「顧客情報一覧表」を取得する。
【0057】
図7の場合、クリップボードにコピーされているデータが一つであるので、操作ログ情報保存部6に事前操作の操作内容を含む操作ログ情報も一つであるが、この場合にも、クリップボードにおいてユーザが貼り付け対象としたデータのクリップボードにおける順位情報も用いて操作ログ情報保存部6から操作ログ情報を検索している。すなわち一つしかデータがクリップボードにないので、その順位は「1」である。順位が「1」であることは、もっとも新しくクリップボードにコピーされたデータであることを意味している。そこで、この順位情報に基づいて、ファイル識別情報取得部8は、操作内容を示す情報が「事前操作として設定されている情報」であって、それがもっとも新しい操作ログ情報を検索することとなる。
【0058】
以上のようにしてファイル識別情報取得部8が貼り付け元のファイルのファイル識別情報を取得すると、機密レベル取得部9は、当該操作ログ情報(S130で抽出した操作ログ情報)から、当該ファイルの保存場所を示す情報を取得し、ファイル識別情報取得部8が取得したファイル識別情報を当該ファイルの保存場所であるファイルサーバ4に渡すことによって、当該ファイルの機密レベルの問い合わせを行う。図7の場合、ファイルの保存場所として「¥¥Tokyo−fs¥重要書類¥顧客」を取得する。ここでファイルサーバ4とそのディレクトリは、最初がファイルサーバ4であるので「Tokyo−fs」のファイルサーバ4に対して、機密レベル取得部9は、「顧客情報一覧表」の機密レベルを問い合わせる。
【0059】
この問い合わせを受けたファイルサーバ4は、図5に示すファイル識別情報と機密レベルの対応関係(機密レベルデータベースなど)に基づいて、受け取ったファイル識別情報に対応する機密レベルを、管理サーバ2に渡す。図7の場合、「顧客情報一覧表」の機密レベルが「6」であることを判定できるので、それを抽出して、ファイルサーバ4は機密レベル「6」を管理サーバ2に渡す。
【0060】
このようにすることで管理サーバ2の機密レベル取得部9は、貼り付け元のファイル(データ元のファイル)の機密レベルを取得する(S140)。
【0061】
以上のようにして管理サーバ2の機密レベル取得部9は、貼り付け元のファイル(データ元のファイル)の機密レベルを取得するが、電子メールに貼り付けるデータの貼り付け元のファイルが常に機密ファイルとは限らない。すなわち機密レベルが設定されていないような一般のファイルである場合もある。その場合、S140における機密レベルの取得処理において、ファイルサーバ4からは「該当なし」または「機密レベルが設定されていないことを示す情報」を機密レベル取得部9は取得する。その場合、貼り付けられるデータに何ら問題はないので(もともと機密ファイルではないので、そのファイルのデータが貼り付けられても問題はない)(S150)、機密制御部12は、後述の機密レベル比較などの処理を行わずに、当該クライアント端末3に対して、貼り付け許可の制御指示を送信し、それを受け取ったクライアント端末3は、データを貼り付けた電子メールを、送信先に対して送信する(S160)。
【0062】
あるいはS140における機密レベルの取得処理において、ファイルサーバ4から「該当なし」または「機密レベルが設定されていないことを示す情報」を機密レベル取得部9が取得すると、機密レベルを設定し忘れた機密情報を含むファイルである可能性もある。従って機密レベル取得部9は上述の情報を取得した場合に、そのファイルの機密レベルをもっとも高い機密レベルにして、S170以降の処理を実行するように構成しても良い(この場合、S160の処理は実行しない)。
【0063】
一方、S140において何らかの機密レベル(貼り付け元のファイルが機密ファイルであり、その機密レベルを示す情報)を取得した場合には、貼り付けられたデータが機密データである可能性があるので(S150)、当該電子メールの送信先の電子メールアドレスをクライアント端末3から取得する(S170)。この電子メールアドレスは、メーラーアプリケーションの、電子メールの送信先を示す所定箇所に入力された電子メールアドレスを抽出し、それをクライアント端末3から管理サーバ2に送信することによって、管理サーバ2は電子メールアドレスを取得できる。
【0064】
なお送信先となる電子メールアドレスは、どのタイミングで取得してもよく、操作ログ情報と共に取得しても良いし、機密ファイルであることを判定した後に取得しても良い。また管理サーバ2からクライアント端末3に対して電子メールアドレスの取得要求を渡し、その取得要求に応じて、クライアント端末3のメーラーアプリケーションが、電子メールアドレスを管理サーバ2に渡すように構成しても良い。
【0065】
S170の取得において、クライアント端末3から電子メールアドレスを取得できなかった場合は、当該電子メールの送信先として電子メールアドレスがまだ入力されていないことを意味する。そのため管理サーバ2の機密レベル取得部9は、当該クライアント端末3に対して、送信先となる電子メールアドレスを入力するように促す通知を送信し、当該クライアント端末3で入力を受け付ける(S180)。
【0066】
一方、クライアント端末3から電子メールアドレスを取得すると、機密レベル取得部9は、取得した電子メールアドレスに基づいてユーザ情報保存部10を検索することにより、当該送信先となるユーザの機密レベルを取得する(S190)。
【0067】
例えば取得した電子メールアドレスが「○○○○@●●●●.co.jp」であった場合、これを検索キーとしてユーザ情報保存部10を検索し、機密レベル「10」を取得する。
【0068】
また取得した電子メールアドレスが「××××@●●●●.co.jp」であった場合、これを検索キーとしてユーザ情報保存部10を検索し、機密レベル「2」を取得する。
【0069】
このようにして貼り付け元のファイルの機密レベルと、送信先のユーザの機密レベルとを機密レベル取得部9が取得すると、機密レベル比較部11は、それらの機密レベルを比較する(S200、S210)。
【0070】
例えば貼り付け元のファイル「顧客情報一覧表」の機密レベルが「6」であり、送信先のユーザの機密レベルが「10」である場合、送信先のユーザの機密レベルの方が、貼り付け元のファイルの機密レベルよりも高い(S210)。そのため、仮に、電子メールに貼り付けたデータに機密データがあったとしても、もともと送信先となるユーザはそのファイルを見ることができるので、情報漏洩の問題にはつながらない。そのため、機密制御部12は、当該クライアント端末3に対して、貼り付け許可の制御指示を送信し、それを受け取ったクライアント端末3は、データを貼り付けた電子メールを、送信先に対して送信する(S220)。つまり「顧客情報一覧表」のファイルにおけるデータが貼り付けられた電子メールが、電子メールアドレス「○○○○@●●●●.co.jp」に対して送信されることとなる。
【0071】
以上の処理を模式的に示すのが図9である。
【0072】
一方、貼り付け元のファイル「顧客情報一覧表」の機密レベルが「6」であり、送信先のユーザの機密レベルが「2」である場合、送信先のユーザの機密レベルの方が、貼り付け元のファイルの機密レベルよりも低い(S210)。そのため、仮に、電子メールに貼り付けたデータに機密データがあった場合には、もともと送信先となるユーザはそのファイルを見ることができないので、情報漏洩につながる。そのため、機密制御部12は、上述の所定の機密制御を実行する(S230)。従って、「顧客情報一覧表」のファイルにおけるデータは電子メールの本文に貼り付けることは出来ない。そしてそれらのデータが貼り付けられた電子メールは、電子メールアドレス「××××@●●●●.co.jp」に対して送信されないこととなる。
【0073】
以上の処理を模式的に示すのが図10である。
【基本構成例2】
【0074】
なおS220において貼り付け許可の制御指示を行った後、その送信先となる電子メールの変更や追加がされる可能性もある。例えば悪意のあるユーザが機密ファイルのデータを電子メール本文に貼り付けようとする場合には、最初、機密レベルの高いユーザの電子メールアドレスを送信先として設定しておき、管理サーバ2から貼り付け許可の制御指示を受け取った後に、送信先となる電子メールアドレスを、本来の送信先の電子メールアドレスに変更することも考えられる。
【0075】
このように送信先となる電子メールアドレスを変更や追加した場合、操作内容として「電子メールアドレスの変更や追加」を含む操作ログ情報がクライアント端末3から管理サーバ2に対して送信される。なお操作内容として電子メールアドレスの変更や追加」を含むことがない場合には、操作ログ情報に基づいて操作内容を検出することが出来ないので、メーラーアプリケーションを実行するクライアント端末3から管理サーバ2に対して、電子メールアドレスを変更や追加したことの情報と変更や追加後の電子メールアドレスとを送信する。
【0076】
このような「電子メールアドレスの変更や追加」を含む操作ログ情報、またはそのことを示す情報をクライアント端末3から操作ログ情報受付部5(操作ログ情報の場合)、機密レベル取得部9(操作ログ情報でない場合)で受け取ると、変更や追加後の送信先の電子メールアドレスのユーザの機密レベルを再度、ユーザ情報保存部10から取得する。すなわち、S190以降の処理を再度実行し、変更や追加後の送信先のユーザの機密レベルと貼り付け元のファイルの機密レベルとを比較する。その比較の結果、変更や追加後の送信先のユーザの機密レベルが貼り付け元のファイルの機密レベルと同一か高い場合には、機密制御部12は、クライアント端末3に対して貼り付け許可の制御指示を送信する。一方、上述の比較の結果、変更や追加後の送信先のユーザの機密レベルが貼り付け元のファイルの機密レベルよりも低い場合には、機密制御部12は、上述の機密制御指示を実行する。
【0077】
すなわち当該電子メールから貼り付けたデータや添付したファイルの削除を行ったり、電子メールの送信制限を電子メールサーバで実行したりする。
【基本構成例3】
【0078】
基本構成例2のように悪意のユーザによる電子メールの送信先となる電子メールアドレスの変更や追加が考えられるので、メーラーアプリケーションは、一度、貼り付け許可の制御指示を受け取った後には、当該貼り付けたデータまたは添付したファイルの機密レベル(この機密レベルは貼り付け許可の制御指示と共に管理サーバ2から受け取っていることが好ましい)よりも高い機密レベルであるユーザの電子メールアドレスにしか変更や追加できないように、電子メールアドレスの変更や追加の制限処理を実行しても良い。すなわちユーザが電子メールの送信先アドレスを入力すると、その電子メールアドレスの機密レベルを管理サーバ2に問い合わせることで、入力した電子メールアドレスのユーザの機密レベルを取得する。そして、その機密レベルと、貼り付けたデータの貼り付け元のファイルの機密レベルとを比較し、入力した電子メールアドレスのユーザの機密レベルが貼り付けたデータの貼り付け元のファイルの機密レベルよりも同一か高ければその入力をそのままとし、低い場合には入力された電子メールアドレスを削除等する。
【0079】
なお比較の際には、入力した電子メールアドレスのユーザの機密レベルと、貼り付けたデータの貼り付け元のファイルの機密レベルとを比較しても良いし、変更や追加前の電子メールアドレスのユーザの機密レベルと、新たに入力した電子メールアドレスのユーザの機密レベルとを比較しても良い。
【0080】
なお基本構成例1乃至基本構成例3において、複数の電子メールアドレスが送信先として存在する場合には、もっとも高い機密レベルにあわせればよい。
【実施例1】
【0081】
更に、上述の基本構成例1乃至基本構成例3において、個々の所定のキーワードに対しても予め機密レベルを設定しておいても良い。例えば図11に示すキーワードと機密レベルとの対応関係のデータベースをクライアント端末3に備えておく。なおこのデータベースはクライアント端末3に備えることが好ましいが、管理サーバ2や所定のサーバに備えられていてもよく、クライアント端末3で実際の貼り付け操作が行われる際に、管理サーバ2や所定のサーバにクライアント端末3が、貼り付けるデータを送信して、各キーワードの機密レベルを問い合わせることによって処理をしても良い。なお以下の説明では基本構成例1の場合を説明するが、基本構成例2及び基本構成例3の場合でも、基本構成例1の場合と同様に処理が可能である。
【0082】
そしてユーザがクライアント端末3においてデータの貼り付けを行う場合には、S150乃至S190の処理を行うことで、機密レベル取得部9が、電子メールの送信先となる電子メールアドレスのユーザの機密レベルを管理サーバ2で取得する。そして機密レベル比較部11は機密レベルの比較を行わずに、機密制御部12が送信先となる電子メールアドレスのユーザの機密レベルをクライアント端末3に送信し、機密制御の制御指示を送信する。この際の制御指示は、貼り付け先となる電子メール本文に、そのファイルの機密レベルよりも高いレベルの機密キーワードに対する所定の制御(機密キーワードに対応する文字を削除する、機密キーワードの文字を所定の或いはランダムで異なる文字・記号などに置換する)を実行させる指示である。
【0083】
例えば送信先となる電子メールアドレスのユーザの機密レベルが「2」であることを管理サーバ2の機密レベル取得部9が取得すると、機密制御部12は、制御指示と共に、送信先のユーザの機密レベルが「2」であることをクライアント端末3に送信する。それを受け取ったクライアント端末3は、機密レベル「2」より高い機密レベルのキーワードを、貼り付けるデータから削除処理、或いは置換処理の制御を行った上で、貼り付け処理を行う。
【0084】
これを模式的に示すのが図12である。送信先となるユーザの機密レベルが「2」であり、各キーワードの機密レベルが図11の場合、機密レベルが「2」より高い機密レベルのキーワード、すなわち「○○○○(社員名)」、「××××(新商品名)」、「CCCC(業務提携先の企業名」は、貼り付けるデータから削除、或いは置換処理が行われた上で、当該電子メールに貼り付けられる。
【実施例2】
【0085】
貼り付け元のファイルのデータを、貼り付け先の電子メールに貼り付ける際に、いわゆるドラッグアンドドロップの操作によって行うこともできる。例えばワープロソフトを起動し、そのファイルにおいて貼り付け対象となる範囲を選択し、その選択した範囲のテキストのデータを、貼り付け先となる電子メールにドラッグアンドドロップすることで、当該選択した範囲のテキストのデータが、貼り付け先となる電子メールに貼り付けられる。このような場合にも本発明は適用可能である。
【産業上の利用可能性】
【0086】
本発明のように構成することで、電子メール本文にデータが貼り付けられる場合であっても、貼り付ける際のキーワードの機密レベルと送信先の機密レベルとを比較した上で制御を行うこととなる。そのため、悪意のユーザが機密キーワードに該当しそうな用語に「.」を打ったりして検索回避の措置を採ることに対応することが出来る。
【符号の説明】
【0087】
1:電子メールシステム
2:管理サーバ
3:クライアント端末
4:ファイルサーバ
5:操作ログ情報受付部
6:操作ログ情報保存部
7:操作判定部
8:ファイル識別情報取得部
9:機密レベル取得部
10:ユーザ情報保存部
11:機密レベル比較部
12:機密制御部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
【特許請求の範囲】
【請求項1】
電子メールにデータを貼り付ける際に用いる電子メールシステムであって、
前記電子メールシステムは、
電子メールアドレスと機密レベルとを保存するユーザ情報保存部と、
キーワードと該キーワードに対応する機密レベルとを保存するキーワード機密レベル保存部と、
あらかじめ定められた想定操作が行われたかを判定する操作判定部と、
前記想定操作が行われたことを判定した場合に、電子メールの送信先となる電子メールアドレスに基づいて前記ユーザ情報保存部を検索することにより、該電子メールアドレスに対応する機密レベルを取得する機密レベル取得部と、
一時記憶領域に記憶した貼り付け対象となるデータに含まれるキーワードを検索し、該データに含まれるキーワードに対する機密レベルと、前記電子メールアドレスに対応する機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、前記貼り付け対象となるデータを前記電子メールに貼り付ける制御部と、
を有することを特徴とする電子メールシステム。
【請求項2】
記憶装置に、電子メールアドレスと機密レベルとを保存するユーザ情報保存部、キーワードと該キーワードに対応する機密レベルとを保存するキーワード機密レベル保存部、とを備えているコンピュータを、
あらかじめ定められた想定操作が行われたかを判定する操作判定部、
前記想定操作が行われたことを判定した場合に、電子メールの送信先となる電子メールアドレスに基づいて前記ユーザ情報保存部を検索することにより、該電子メールアドレスに対応する機密レベルを取得する機密レベル取得部、
一時記憶領域に記憶した貼り付け対象となるデータに含まれるキーワードを検索し、該データに含まれるキーワードに対する機密レベルと、前記電子メールアドレスに対応する機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、前記貼り付け対象となるデータを前記電子メールに貼り付ける制御部、
として機能させることを特徴とする電子メールプログラム。
【請求項1】
電子メールにデータを貼り付ける際に用いる電子メールシステムであって、
前記電子メールシステムは、
電子メールアドレスと機密レベルとを保存するユーザ情報保存部と、
キーワードと該キーワードに対応する機密レベルとを保存するキーワード機密レベル保存部と、
あらかじめ定められた想定操作が行われたかを判定する操作判定部と、
前記想定操作が行われたことを判定した場合に、電子メールの送信先となる電子メールアドレスに基づいて前記ユーザ情報保存部を検索することにより、該電子メールアドレスに対応する機密レベルを取得する機密レベル取得部と、
一時記憶領域に記憶した貼り付け対象となるデータに含まれるキーワードを検索し、該データに含まれるキーワードに対する機密レベルと、前記電子メールアドレスに対応する機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、前記貼り付け対象となるデータを前記電子メールに貼り付ける制御部と、
を有することを特徴とする電子メールシステム。
【請求項2】
記憶装置に、電子メールアドレスと機密レベルとを保存するユーザ情報保存部、キーワードと該キーワードに対応する機密レベルとを保存するキーワード機密レベル保存部、とを備えているコンピュータを、
あらかじめ定められた想定操作が行われたかを判定する操作判定部、
前記想定操作が行われたことを判定した場合に、電子メールの送信先となる電子メールアドレスに基づいて前記ユーザ情報保存部を検索することにより、該電子メールアドレスに対応する機密レベルを取得する機密レベル取得部、
一時記憶領域に記憶した貼り付け対象となるデータに含まれるキーワードを検索し、該データに含まれるキーワードに対する機密レベルと、前記電子メールアドレスに対応する機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、前記貼り付け対象となるデータを前記電子メールに貼り付ける制御部、
として機能させることを特徴とする電子メールプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2010−287245(P2010−287245A)
【公開日】平成22年12月24日(2010.12.24)
【国際特許分類】
【出願番号】特願2010−163626(P2010−163626)
【出願日】平成22年7月21日(2010.7.21)
【分割の表示】特願2007−191228(P2007−191228)の分割
【原出願日】平成19年7月23日(2007.7.23)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
【公開日】平成22年12月24日(2010.12.24)
【国際特許分類】
【出願日】平成22年7月21日(2010.7.21)
【分割の表示】特願2007−191228(P2007−191228)の分割
【原出願日】平成19年7月23日(2007.7.23)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
[ Back to top ]