URL監査支援システム及びURL監査支援プログラム
【課題】Webブラウザ経由での情報漏洩の危険性の高い社員を効率的に発見可能な技術の実現。
【解決手段】各クライアント端末34のWebブラウザから送信されたインターネット36上のWebサーバ38に対するアクセスログを格納しておくアクセスログ記憶部18と、各アクセスログの中からデータ送信をリクエストするPOST、PUTメソッドを含むアクセスログを抽出する処理、及び各アクセスログに含まれるユーザIDに基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、データ送信に係るアクセスログを送信者単位で抽出すると共に、各送信者のデータ送信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した日次リストを生成し、これをユーザIDに関連付けて日次集計データ記憶部22に格納する日次集計処理部20を備えたURL監査支援システム10。
【解決手段】各クライアント端末34のWebブラウザから送信されたインターネット36上のWebサーバ38に対するアクセスログを格納しておくアクセスログ記憶部18と、各アクセスログの中からデータ送信をリクエストするPOST、PUTメソッドを含むアクセスログを抽出する処理、及び各アクセスログに含まれるユーザIDに基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、データ送信に係るアクセスログを送信者単位で抽出すると共に、各送信者のデータ送信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した日次リストを生成し、これをユーザIDに関連付けて日次集計データ記憶部22に格納する日次集計処理部20を備えたURL監査支援システム10。
【発明の詳細な説明】
【技術分野】
【0001】
この発明はURL監査支援システム及びURL監査支援プログラムに係り、特に、企業の社員が社内のコンピュータから外部のWebサーバに接続する際に記録されるアクセスログの中から所定のURLを抽出して社員毎に集計し、その結果を反映させた監査用リストを自動生成する技術に関する。
【背景技術】
【0002】
社員が会社のPCを使用して勤務中に業務と無関係のWebサイト(ゲームサイトやスポーツニュースサイト等)を閲覧すると、生産性の低下やネットワーク負荷の増大を招くため、URLのフィルタリングシステムを導入し、これら有害サイトへの接続を規制する企業が増加している。
このようなフィルタリングシステムとして、例えば特許文献1〜3が存在している。
これらのシステムは、何れも予めデータベースに有害サイトや不要サイトのURLを多数登録しておき、社内のネットワークから外部のWebサーバに対して発せられたhttpリクエスト中のURLが上記データベース内の規制URLと一致する場合には、プロキシサーバ等によって中継が拒絶される仕組みを備えている。
【特許文献1】特開2000−47927
【特許文献2】特開2003−256469
【特許文献3】特開2004−110806
【発明の開示】
【発明が解決しようとする課題】
【0003】
また最近では、Webブラウザを介して社員が外部のWebサーバにデータを送信することにより、重要な企業情報が漏洩する危険性が増大してきている。例えば、インターネット上の電子掲示板やチャットルームに自社の決算情報や人事情報を匿名で書き込んだり、Webメールを利用してファイルをアップロードしたり、あるいは新商品の企画書ファイルをオンラインストレージサイトにアップロードすることが極めて容易に行い得る環境が整ってきている。
このような事態に対しても、上記のURLのフィルタリングシステムを用いることである程度対応は可能である。例えば、社員が頻繁にアクセスする著名な電子掲示板のURLを予めデータベースに規制URLとして登録しておけば、社員が当該掲示板にアクセスすること自体が禁じられるため、これを通じて情報が漏洩することは回避できる。
しかしながら、Webブラウザ経由で情報を送信する相手先はインターネット上に無数に存在しているため、悪意で情報漏洩を企む社員にとって代替のWebサイトを探すことは極めて容易であり、所謂イタチごっこに陥る可能性が高いといわざるを得ない。
【0004】
もちろん、外部への情報送信を求めるPOSTメソッドやPUTメソッドを含むhttpリクエストが社員のPCから送信された場合には中継を拒絶するように設定しておくことで、Webブラウザ経由で情報が漏洩することを完全に防止することは可能である。
しかしこの場合には、業務遂行上不可欠なWebサイトへのアクセスも一律に遮断されることとなる。
そもそも、社内の重要な情報を外部に流すような社員は一部に限られており、そのために大多数の善良な社員の行動を規制するのは不合理であり、インターネットの業務利用が普及した現在のビジネス環境においては、到底採用できない案である。
【0005】
むしろ、このような少数の不心得者は常習的に情報漏洩を繰り返す傾向がみられるため、各社員の日常的なWebサイトの利用状況、具体的にはプロキシサーバ内に残されたアクセスログ中のURLを監査することによって情報漏洩の可能性の高い問題社員を早期に発見し、機密事項の取扱部署から他の部署に異動させたり、降格や懲戒処分等の対応を採る方が現実的であり、被害の拡大を防止するために有効であるといえる。
【0006】
この発明は、社員によるWebブラウザ経由での情報漏洩に纏わる従来の問題を解決するために案出されたものであり、情報漏洩の危険性の高い社員を効率的に発見可能な技術の実現を目的としている。
【課題を解決するための手段】
【0007】
上記の目的を達成するため、請求項1に記載したURL監査支援システムは、各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、各アクセスログの中からデータ送信リクエストに関するアクセスログ(POST、PUT等のメソッドを含むアクセスログ)を抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、データ送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、各送信者のデータ送信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段とを備えたことを特徴としている。
【0008】
請求項2に記載したURL監査支援システムは、各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、各アクセスログの中から暗号化通信リクエストに関するするアクセスログ(CONNECT等のメソッドを含むアクセスログ)を抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、暗号化通信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、各送信者の暗号化通信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段とを備えたことを特徴としている。
【0009】
請求項3に記載したURL監査支援システムは、各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、各アクセスログの中からデータ送信リクエストに関するもの(POST、PUT等のメソッドを含むもの)であり、かつ送信ファイル名を含むアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、ファイル送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、各送信者のファイル送信に係るアクセスログから少なくともアクセス先のURL及び送信ファイル名を抽出し、各URL及び送信ファイル名を列記した監査用リストを生成する手段と、この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段とを備えたことを特徴としている。
上記の送信ファイル名と共に、当該送信ファイルのディレクトリ名(フォルダ名)やドライブ名をもアクセスログから抽出し、監査用リストに併記することが望ましい。
【0010】
請求項4に記載したURL監査支援システムは、各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、各アクセスログの中からデータ送信リクエストに関するもの(POST、PUT等のメソッドを含むもの)であり、かつ送信ファイル名を含まないアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、書込通信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、各送信者の書込通信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段とを備えたことを特徴としている。
【0011】
請求項5に記載したURL監査支援システムは、各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく記憶手段と、各グループの監査担当者及びその電子メールアドレスを定義しておく記憶手段と、上記の各記憶手段を参照し、各送信者が属しているグループ及び監査担当者を特定する手段と、上記の監査用リスト記憶手段に格納された各送信者の監査用リストを含む電子メールを生成し、当該送信者が属しているグループの監査担当者の電子メールアドレス宛てに送信する手段とを備えたことを特徴としている。
【0012】
請求項6に記載したURL監査支援システムは、請求項1〜4に記載のシステムであって、さらに各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく第1の記憶手段と、各グループの監査担当者及びその電子メールアドレスを定義しておく第2の記憶手段と、第1の記憶手段を参照し、各送信者が属しているグループを特定する手段と、上記の監査用リスト記憶手段に格納された各送信者の監査用リストを、グループ単位で結合させた監査レポートを生成する手段と、上記のグループ単位の監査レポートを含む電子メールを生成する手段と、第2の記憶手段を参照し、上記の各電子メールを当該グループの監査担当者の電子メールアドレス宛てに送信する手段とを備えたことを特徴としている。
【0013】
請求項7に記載したURL監査支援システムは、請求項1〜6に記載のシステムであって、さらに送信データ量の閾値を定義しておく記憶手段を備え、上記アクセスログ抽出手段が、アクセスログ記憶手段からアクセスログを抽出するに際して上記記憶手段を参照し、閾値以上の送信データ量が記録されたアクセスログを抽出することを特徴としている。
【0014】
請求項8に記載したURL監査支援システムは、請求項1〜7に記載のシステムであって、さらに抽出対象外となる除外URLを定義しておく記憶手段を備え、上記アクセスログ抽出手段が、アクセスログ記憶手段からアクセスログを抽出するに際して上記記憶手段を参照し、除外URL以外のURLを含むアクセスログを抽出することを特徴としている。
【0015】
請求項9に記載したURL監査支援システムは、請求項1〜8に記載のシステムであって、さらに各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく第1の記憶手段と、抽出対象外となる除外URLをグループ単位で定義しておく第2の記憶手段とを備え、上記アクセスログ抽出手段が、アクセスログ記憶手段からアクセスログを抽出するに際し、第1の記憶手段を参照して各送信者の属するグループを特定し、第2の記憶手段を参照して送信者毎に対応グループの除外URL以外のURLを含むアクセスログを抽出することを特徴としている。
【0016】
請求項10に記載したURL監査支援プログラムは、コンピュータを、各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段、各アクセスログの中からデータ送信をリクエストするメソッドのURLを含むアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、データ送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段、各送信者のデータ送信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段、この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段として機能させることを特徴としている。
【発明の効果】
【0017】
請求項1のURL監査支援システム及び請求項10のURL監査支援プログラムによれば、アクセスログ記憶手段に蓄積されたアクセスログの中で、Webブラウザから外部のWebサーバに対してデータを送信する内容のアクセスログが抽出され、しかもこれらデータ送信に係るアクセスログのURLを送信者毎に集計した監査用リストが自動生成されるため、このリストのURL及び頻度をチェックすることにより、各社員のWebを通じたデータ送信の利用状況を把握することができ、情報漏洩の危険性のある社員をいち早く発見することが可能となる。
【0018】
請求項2のURL監査支援システムによれば、アクセスログ記憶手段内に蓄積されたアクセスログの中で、Webブラウザから外部のWebサーバに対して暗号化通信を行ったことを示すアクセスログが抽出され、しかもこれら暗号化通信に係るアクセスログのURLを送信者毎に集計した監査用リストが自動生成されるため、このリストのURL及び頻度をチェックすることにより、各社員のWebを通じた暗号化通信の利用状況を把握することができる。
通信内容を外部から把握できない暗号化通信は、社員によって良からぬ目的に利用される場合が多いため、その利用状況をチェックすることで問題社員を発見することができる。
【0019】
請求項3のURL監査支援システムによれば、アクセスログ記憶手段内に蓄積されたアクセスログの中で、Webブラウザから外部のWebサーバに対してファイルを送信する内容のアクセスログが抽出され、しかもこれらファイル送信に係るアクセスログのURL及びファイル名を送信者毎に集計した監査用リストが自動生成されるため、このリストのURL及びファイル名をチェックすることにより、各社員のWebを通じたファイル送信の利用状況を把握することができ、情報漏洩の事実を発見することが可能となる。
この際、送信ファイル名の他に、ディレクトリ名やドライブ名も監査用リストに併記することとすれば、さらに情報漏洩の有無を判断し易くなる。
【0020】
請求項4のURL監査支援システムによれば、アクセスログ記憶手段内に蓄積されたアクセスログの中で、Webブラウザから外部のWebサーバに対して書込通信(ファイル送信以外のデータ送信)を行ったアクセスログが抽出され、しかもこれら書込通信に係るアクセスログのURLを送信者毎に集計した監査用リストが自動生成されるため、このリストのURL及び頻度をチェックすることにより、各社員のWebを通じた書込通信の利用状況を把握することができ、情報漏洩の危険性のある社員をいち早く発見することが可能となる。
【0021】
請求項5のURL監査支援システムによれば、各送信者が特定のグループに所属している場合に、そのグループの監査担当者に対して各送信者の監査用リストが自動的に配信されるため、例えば会社の部長が部員のデータ送信状況等を効率的にチェックすることが可能となる。
【0022】
請求項6のURL監査支援システムによれば、各送信者が特定のグループに所属している場合に、そのグループの監査担当者に対して各送信者の監査用リストをグループ単位で集約させた監査レポートが自動的に配信されるため、会社の部長等が部員等のデータ送信状況等をより効率的にチェックすることが可能となる。
【0023】
請求項7のURL監査支援システムによれば、予め設定された閾値以上の送信データ量を有するアクセスログのみが抽出され、その中のURLが監査用リストに列挙されることとなるため、この閾値の設定を適切に行うことにより、些末的なデータ送信等を集計対象から外すことが可能となる。
この結果、より重要なデータ送信等をリストアップできるようになり、監査効率を高めることが可能となる。
【0024】
請求項8のURL監査支援システムによれば、予め設定された除外URLを含むアクセスログは集計の対象外となるため、会社の業務遂行上不可欠なWebサイトのURLを除外URLとして設定しておくことで、監査目的上無意味なアクセスログを排除可能となる。
この結果、より重要なデータ送信等をリストアップできるようになり、監査効率を高めることが可能となる。
【0025】
請求項9のURL監査支援システムによれば、除外URLをグループ単位で設定できるため、集計対象外とすべきWebアクセスをよりきめ細かく設定可能となる。
【発明を実施するための最良の形態】
【0026】
図1に示すように、この発明に係るURL監査支援システム10は、定義情報登録部12と、定義情報記憶部14と、中継処理部16と、アクセスログ記憶部18と、日次集計処理部20と、日次集計データ記憶部22と、月次集計処理部24と、月次集計データ記憶部26と、監査レポート生成部28と、監査レポート記憶部30と、監査レポート配信部32とを備えている。
このURL監査支援システム10は、企業のファイアーウォール内あるいはファイアーウォールの内側に設けられる。
【0027】
上記定義情報登録部12、中継処理部16、日次集計処理部20、月次集計処理部24、監査レポート生成部28及び監査レポート配信部32は、このシステム10を構成するコンピュータのCPUが、OS及び専用のアプリケーションプログラムに従って必要な処理を実行することによって実現される。
また、上記定義情報記憶部14、アクセスログ記憶部18、日次集計データ記憶部22、月次集計データ記憶部26及び監査レポート記憶部30は、同コンピュータのハードディスク内に設けられている。
【0028】
上記中継処理部16は、いわゆるプロキシサーバとして機能する構成要素であり、社員のクライアント端末(PC)34をインターネット36経由で外部のWebサーバ38に接続すると共に、そのアクセスログを逐一アクセスログ記憶部18に記録する処理等を実行する。
アクセスログは、1件毎に日時、接続元IPアドレス、ユーザID(認証情報)、接続ポート、接続先URL、送信ファイル名及びディレクトリ名、送受信のデータ量等のデータを備えている。
【0029】
上記の定義情報記憶部14には、システム管理者が操作する管理者端末40及び定義情報登録部12を介して、除外URL定義ファイル、除外接続元IPアドレス定義ファイル、送信データ量の閾値定義ファイル、監査対象者定義ファイル、監査担当者定義ファイル等の各種定義ファイルが登録されている。
「除外URL定義ファイル」には、業務の遂行上必要不可欠なWebサイトのURLが複数定義されている。このようなWebサイトに社員のアクセスが集中するのは当然であり、それらのURLを集計しても無意味であるため、予め集計処理の対象から外す目的で設定される。この除外URLとしては、全社員に適用される全体レベルの除外URLと、各社員が属するグループ(部課)単位で適用されるグループレベルの除外URLとが、予め設定されている。
「除外接続元IPアドレス定義ファイル」には、管理者端末40のIPアドレスや、監査担当者(部課長)の操作するクライアント端末のIPアドレス等、監視対象である一般社員と異なる上位権限を有する者が利用するコンピュータのIPアドレスが定義されている。これらのコンピュータからのアクセス記録を集計処理の対象から外す目的で、予め除外接続元IPアドレス定義ファイルに設定しておく。
「送信データ量の閾値定義ファイル」には、抽出の対象となるアクセスログをフィルタリングするための境界値を設定しておく。
「監査対象者定義ファイル」には、監査対象となる一般社員のユーザID(社員番号等)、パスワード、所属グループを特定するコードが定義されている。
「監査担当者定義ファイル」には、監査レポートをチェックする担当者の氏名、役職、担当グループ、電子メールアドレスが登録されている。
【0030】
以下、図2のフローチャートに従い、このURL監査支援システム10における日次処理の手順を説明する。
まず、予め設定された日次集計処理の開始時刻(例えば毎日午前0時)が到来すると日次集計処理部20が起動し、アクセスログ記憶部18から1日分の全アクセスログを読み出す(S10)。
【0031】
つぎに日次集計処理部20は、以下の要領でこの1日分のアクセスログの中から不要なものを削除する(S12)。
まず、日次集計処理部20は定義情報記憶部14から全体レベルの除外URL情報41及び除外接続元IPアドレス情報42を読み出し、各アクセスログに当該除外URLあるいは除外接続元IPアドレスが含まれていないかをチェックしていき、該当するアクセスログは不必要なものとして削除する。
つぎに日次集計処理部20は、HTTPリクエスト部分にデータの送信を求めるメソッドであるPOSTまたはPUTが含まれているアクセスログ、httpsによるSSL暗号化通信を求めるメソッドであるCONNECTが含まれているアクセスログを残し、他のメソッド(GETやHEAD等)が記述されたアクセスログを対象外として削除する。
例えば、以下の(1)の文字列を含むアクセスログは必要なものとして残されるが、(2)の文字列を含むアクセスログは不要なものとして削除される。
(1) POST http://www.abcdefg.com/form.cgi
(2) GET http://www.abcdefg.com/index.html
【0032】
つぎに日次集計処理部20は、不要な部分を除外したアクセスログ群44に対してユーザIDに基づく仕分け処理を実行し(S14)、社員単位のアクセスログ群46を生成する。
つぎに日次集計処理部20は、定義情報記憶部14の監視対象者定義ファイルから各社員の所属グループ情報48を取得すると共に、定義情報記憶部14からグループレベルの除外URL情報50を取得し、各社員のアクセスログからグループ固有の除外URLを含むものを削除する(S16)。
【0033】
つぎに日次集計処理部20は、残された各社員のアクセスログ群52の中で下記の(1)及び(2)の条件を満たすものをファイル送信のアクセスログとして抽出し(S18)、その日時情報、アクセス先のURL、送信したファイル名及びディレクトリ名、送信データ量を列記したファイル送信日次リスト54を、社員のユーザIDに関連付けて日次集計データ記憶部22に格納する。
(1)POSTメソッドまたはPUTメソッドを含んでいること
(2)送信ファイル名及びディレクトリ名が記録されていること
【0034】
つぎに日次集計処理部20は、定義情報記憶部14の閾値定義ファイルから送信データ量の閾値情報56を取得し、各社員のアクセスログ群52の中で下記の(1)〜(3)の条件を満たすものを書込通信のアクセスログとして抽出し(S20)、そのアクセス先のURL及び送信データ量を列記した書込通信日次リスト58を、社員のユーザIDに関連付けて日次集計データ記憶部22に格納する。
(1)閾値以上の送信データ量が記録されていること
(2)POSTメソッドまたはPUTメソッドを含んでいること
(3)送信ファイル名及びディレクトリ名が記録されていないこと
【0035】
最後に日次集計処理部20は、各社員のアクセスログ群52の中で下記の(1)及び(2)の条件を満たすものを暗号化通信のアクセスログとして抽出し(S22)、そのアクセス先のURL及び送信データ量を列記した暗号化通信日次リスト60を、社員のユーザIDに関連付けて日次集計データ記憶部22に格納する。
(1)閾値以上の送信データ量が記録されていること
(2)CONNECTメソッドを含んでいること
【0036】
以上のようにして、毎日定時に日次集計処理部20による集計処理が実行され、日次集計データ記憶部22に集計データが蓄積されていく。
そして、予め設定された月次集計処理の開始日時(例えば毎月1日午前3時)が到来すると、月次集計処理部24、監査レポート生成部28、監査レポート配信部32によって月次処理が実行される。
以下、図3のフローチャートに従い、このURL監査支援システム10における月次処理の手順を説明する。
【0037】
まず、月次集計処理部24は、日次集計データ記憶部22内に蓄積された1ヶ月分の日次集計データを取得する(S30)。
つぎに月次集計処理部24は、各社員の1ヶ月分のファイル送信日次リストを日時順に連結させたファイル送信月次リストを生成し(S32)、月次集計データ記憶部26に格納する(S34)。
つぎに月次集計処理部24は、各社員の1ヶ月分の書込通信日次リストをURL毎に集計し、そのURL、アクセス回数、送信データ量をアクセス回数順に整列させた書込通信月次リストを生成し(S36)、月次集計データ記憶部26に格納する(S38)。
最後に月次集計処理部24は、各社員の1ヶ月分の暗号化通信アクセス記録をURL毎に集計し、そのURL、アクセス回数、送信データ量をアクセス回数順に整列させた暗号化通信月次リストを生成し(S40)、月次集計データ記憶部26に格納する(S42)。
【0038】
つぎに監査レポート生成部28が起動し、定義情報記憶部14の監視対象者定義ファイルから各社員の所属グループ情報を取得する(S44)。
つぎに監査レポート生成部28は、月次集計データ記憶部26に格納された社員単位の各月次リストを取り出した後、それぞれをグループ単位で結合させた監査レポートを生成し(S46)、監査レポート記憶部30に格納する(S48)。
【0039】
つぎに監査レポート配信部32が起動し、定義情報記憶部14の監査担当者定義ファイルから各グループの監査担当者の氏名、役職、電子メールアドレスを取得する(S50)。
つぎに監査レポート配信部32は、各監査担当者の電子メールアドレスを宛先欄に記載した月報メールをグループ別に生成し(S52)、社内メールサーバ62に送信する(S54)。
この月報メールには、監査レポート記憶部30に格納された当該グループの監査レポートファイルが添付されている。
あるいは、月報メールにダウンロードページのURLを記述しておき、このグループ別のダウンロードページにアクセスすることにより、監査担当者が自グループ用の監査レポートファイルを取得するようにしてもよい。
【0040】
図4は、ファイル送信アクセスに係る監査レポートを示しており、社員の氏名、ファイル送信日時、ファイル送信先のURL、送信ファイル名及びディレクトリ名、送信データ量の各項目が設けられている。
当該グループの監査担当者は、この監査レポートを閲覧することにより、ファイルを外部に送信している社員が一目瞭然となり、送信ファイル名やディレクトリ名をチェックすることで重要なファイルであるか否かの見当を付けることができる。
また、ドライブ情報をチェックすることにより、ローカルPC上のファイルであるのか、社内の共有サーバから取得したファイルであるのかまでも判別可能となる。
【0041】
図5は、書込通信アクセスに係る監査レポートを示しており、社員の氏名、合計アクセス回数、アクセス先のURL、各URLへのアクセス回数及び送信データ量(合計値)の各項目が設けられている。
当該グループの監査担当者は、この監査レポートを閲覧することにより、電子掲示板やチャットルームへの書込頻度の高い社員、Webメールを多用している社員をチェックすることが可能となり、その回数及びアクセス先のURLによっては厳重注意等の措置を執ることもできる。
【0042】
図6は、暗号化通信アクセスに係る監査レポートを示しており、社員の氏名、合計アクセス回数、アクセス先のURL、各URLへのアクセス回数及び送信データ量(合計値)の各項目が設けられている。
当該グループの監査担当者は、この監査レポートを閲覧することにより、暗号化通信の利用頻度の高い社員をチェックすることが可能となる。
CONNECTメソッドによる暗号化通信を行えば、その通信内容をシステム管理者に傍受される危険性がないため、社員によって後ろ暗い目的に利用されている可能性が高いといえる。このため、暗号化通信を多用している社員を事前に把握することにより、情報漏洩を未然に防止することが可能となる。
【0043】
上記においては、日次集計処理部20によって各社員の一日のWebアクセス状況を集計し、その集計結果を日次集計データ記憶部22に格納しておき、月次処理において一ヶ月分の日次集計データをまとめて月次集計データ記憶部26に格納し、これをグループ単位でまとめた監査レポートを各監査担当者に配信する例を示したが、この発明はこれに限定されるものではない。すなわち、日次集計データ記憶部22内の各日次リストを毎日、監査用リストとして監査用監査担当者に配信することも可能である。
また、上記のように各社員のアクセス記録をグループ単位で集約させた監査レポートを生成することなく、社員単位のリストをそのまま監査担当者に配信してもよい。
しがたって、日次集計データ記憶部22、月次集計データ記憶部26、及び監査レポート記憶部30が、それぞれ特許請求の範囲の「監査用リスト記憶手段」に該当する。
【図面の簡単な説明】
【0044】
【図1】この発明に係るURL監査支援システムの機能構成を示すブロック図である。
【図2】このURL監査支援システムにおける日次処理の手順を示すフローチャートである。
【図3】このURL監査支援システムにおける月次処理の手順を示すフローチャートである。
【図4】ファイル送信監査レポートの一例を示すレイアウト図である。
【図5】書込通信監査レポートの一例を示すレイアウト図である。
【図6】暗号化通信監査レポートの一例を示すレイアウト図である。
【符号の説明】
【0045】
10 URL監査支援システム
12 定義情報登録部
14 定義情報記憶部
16 中継処理部
18 アクセスログ記憶部
20 日次集計処理部
22 日次集計データ記憶部
24 月次集計処理部
26 月次集計データ記憶部
28 監査レポート生成部
30 監査レポート記憶部
32 監査レポート配信部
36 インターネット
38 Webサーバ
40 管理者端末
41 全体レベルの除外URL情報
42 除外接続元IPアドレス情報
44 除外済アクセスログ群
46 社員単位のアクセスログ群
48 所属グループ情報
50 グループレベルの除外URL情報
52 社員単位のアクセスログ群
54 社員単位のファイル送信日次リスト
56 送信データ量の閾値情報
58 社員単位の書込通信日次リスト
60 社員単位の暗号化通信日次リスト
62 社内メールサーバ
【技術分野】
【0001】
この発明はURL監査支援システム及びURL監査支援プログラムに係り、特に、企業の社員が社内のコンピュータから外部のWebサーバに接続する際に記録されるアクセスログの中から所定のURLを抽出して社員毎に集計し、その結果を反映させた監査用リストを自動生成する技術に関する。
【背景技術】
【0002】
社員が会社のPCを使用して勤務中に業務と無関係のWebサイト(ゲームサイトやスポーツニュースサイト等)を閲覧すると、生産性の低下やネットワーク負荷の増大を招くため、URLのフィルタリングシステムを導入し、これら有害サイトへの接続を規制する企業が増加している。
このようなフィルタリングシステムとして、例えば特許文献1〜3が存在している。
これらのシステムは、何れも予めデータベースに有害サイトや不要サイトのURLを多数登録しておき、社内のネットワークから外部のWebサーバに対して発せられたhttpリクエスト中のURLが上記データベース内の規制URLと一致する場合には、プロキシサーバ等によって中継が拒絶される仕組みを備えている。
【特許文献1】特開2000−47927
【特許文献2】特開2003−256469
【特許文献3】特開2004−110806
【発明の開示】
【発明が解決しようとする課題】
【0003】
また最近では、Webブラウザを介して社員が外部のWebサーバにデータを送信することにより、重要な企業情報が漏洩する危険性が増大してきている。例えば、インターネット上の電子掲示板やチャットルームに自社の決算情報や人事情報を匿名で書き込んだり、Webメールを利用してファイルをアップロードしたり、あるいは新商品の企画書ファイルをオンラインストレージサイトにアップロードすることが極めて容易に行い得る環境が整ってきている。
このような事態に対しても、上記のURLのフィルタリングシステムを用いることである程度対応は可能である。例えば、社員が頻繁にアクセスする著名な電子掲示板のURLを予めデータベースに規制URLとして登録しておけば、社員が当該掲示板にアクセスすること自体が禁じられるため、これを通じて情報が漏洩することは回避できる。
しかしながら、Webブラウザ経由で情報を送信する相手先はインターネット上に無数に存在しているため、悪意で情報漏洩を企む社員にとって代替のWebサイトを探すことは極めて容易であり、所謂イタチごっこに陥る可能性が高いといわざるを得ない。
【0004】
もちろん、外部への情報送信を求めるPOSTメソッドやPUTメソッドを含むhttpリクエストが社員のPCから送信された場合には中継を拒絶するように設定しておくことで、Webブラウザ経由で情報が漏洩することを完全に防止することは可能である。
しかしこの場合には、業務遂行上不可欠なWebサイトへのアクセスも一律に遮断されることとなる。
そもそも、社内の重要な情報を外部に流すような社員は一部に限られており、そのために大多数の善良な社員の行動を規制するのは不合理であり、インターネットの業務利用が普及した現在のビジネス環境においては、到底採用できない案である。
【0005】
むしろ、このような少数の不心得者は常習的に情報漏洩を繰り返す傾向がみられるため、各社員の日常的なWebサイトの利用状況、具体的にはプロキシサーバ内に残されたアクセスログ中のURLを監査することによって情報漏洩の可能性の高い問題社員を早期に発見し、機密事項の取扱部署から他の部署に異動させたり、降格や懲戒処分等の対応を採る方が現実的であり、被害の拡大を防止するために有効であるといえる。
【0006】
この発明は、社員によるWebブラウザ経由での情報漏洩に纏わる従来の問題を解決するために案出されたものであり、情報漏洩の危険性の高い社員を効率的に発見可能な技術の実現を目的としている。
【課題を解決するための手段】
【0007】
上記の目的を達成するため、請求項1に記載したURL監査支援システムは、各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、各アクセスログの中からデータ送信リクエストに関するアクセスログ(POST、PUT等のメソッドを含むアクセスログ)を抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、データ送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、各送信者のデータ送信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段とを備えたことを特徴としている。
【0008】
請求項2に記載したURL監査支援システムは、各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、各アクセスログの中から暗号化通信リクエストに関するするアクセスログ(CONNECT等のメソッドを含むアクセスログ)を抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、暗号化通信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、各送信者の暗号化通信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段とを備えたことを特徴としている。
【0009】
請求項3に記載したURL監査支援システムは、各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、各アクセスログの中からデータ送信リクエストに関するもの(POST、PUT等のメソッドを含むもの)であり、かつ送信ファイル名を含むアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、ファイル送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、各送信者のファイル送信に係るアクセスログから少なくともアクセス先のURL及び送信ファイル名を抽出し、各URL及び送信ファイル名を列記した監査用リストを生成する手段と、この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段とを備えたことを特徴としている。
上記の送信ファイル名と共に、当該送信ファイルのディレクトリ名(フォルダ名)やドライブ名をもアクセスログから抽出し、監査用リストに併記することが望ましい。
【0010】
請求項4に記載したURL監査支援システムは、各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、各アクセスログの中からデータ送信リクエストに関するもの(POST、PUT等のメソッドを含むもの)であり、かつ送信ファイル名を含まないアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、書込通信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、各送信者の書込通信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段とを備えたことを特徴としている。
【0011】
請求項5に記載したURL監査支援システムは、各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく記憶手段と、各グループの監査担当者及びその電子メールアドレスを定義しておく記憶手段と、上記の各記憶手段を参照し、各送信者が属しているグループ及び監査担当者を特定する手段と、上記の監査用リスト記憶手段に格納された各送信者の監査用リストを含む電子メールを生成し、当該送信者が属しているグループの監査担当者の電子メールアドレス宛てに送信する手段とを備えたことを特徴としている。
【0012】
請求項6に記載したURL監査支援システムは、請求項1〜4に記載のシステムであって、さらに各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく第1の記憶手段と、各グループの監査担当者及びその電子メールアドレスを定義しておく第2の記憶手段と、第1の記憶手段を参照し、各送信者が属しているグループを特定する手段と、上記の監査用リスト記憶手段に格納された各送信者の監査用リストを、グループ単位で結合させた監査レポートを生成する手段と、上記のグループ単位の監査レポートを含む電子メールを生成する手段と、第2の記憶手段を参照し、上記の各電子メールを当該グループの監査担当者の電子メールアドレス宛てに送信する手段とを備えたことを特徴としている。
【0013】
請求項7に記載したURL監査支援システムは、請求項1〜6に記載のシステムであって、さらに送信データ量の閾値を定義しておく記憶手段を備え、上記アクセスログ抽出手段が、アクセスログ記憶手段からアクセスログを抽出するに際して上記記憶手段を参照し、閾値以上の送信データ量が記録されたアクセスログを抽出することを特徴としている。
【0014】
請求項8に記載したURL監査支援システムは、請求項1〜7に記載のシステムであって、さらに抽出対象外となる除外URLを定義しておく記憶手段を備え、上記アクセスログ抽出手段が、アクセスログ記憶手段からアクセスログを抽出するに際して上記記憶手段を参照し、除外URL以外のURLを含むアクセスログを抽出することを特徴としている。
【0015】
請求項9に記載したURL監査支援システムは、請求項1〜8に記載のシステムであって、さらに各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく第1の記憶手段と、抽出対象外となる除外URLをグループ単位で定義しておく第2の記憶手段とを備え、上記アクセスログ抽出手段が、アクセスログ記憶手段からアクセスログを抽出するに際し、第1の記憶手段を参照して各送信者の属するグループを特定し、第2の記憶手段を参照して送信者毎に対応グループの除外URL以外のURLを含むアクセスログを抽出することを特徴としている。
【0016】
請求項10に記載したURL監査支援プログラムは、コンピュータを、各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段、各アクセスログの中からデータ送信をリクエストするメソッドのURLを含むアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、データ送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段、各送信者のデータ送信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段、この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段として機能させることを特徴としている。
【発明の効果】
【0017】
請求項1のURL監査支援システム及び請求項10のURL監査支援プログラムによれば、アクセスログ記憶手段に蓄積されたアクセスログの中で、Webブラウザから外部のWebサーバに対してデータを送信する内容のアクセスログが抽出され、しかもこれらデータ送信に係るアクセスログのURLを送信者毎に集計した監査用リストが自動生成されるため、このリストのURL及び頻度をチェックすることにより、各社員のWebを通じたデータ送信の利用状況を把握することができ、情報漏洩の危険性のある社員をいち早く発見することが可能となる。
【0018】
請求項2のURL監査支援システムによれば、アクセスログ記憶手段内に蓄積されたアクセスログの中で、Webブラウザから外部のWebサーバに対して暗号化通信を行ったことを示すアクセスログが抽出され、しかもこれら暗号化通信に係るアクセスログのURLを送信者毎に集計した監査用リストが自動生成されるため、このリストのURL及び頻度をチェックすることにより、各社員のWebを通じた暗号化通信の利用状況を把握することができる。
通信内容を外部から把握できない暗号化通信は、社員によって良からぬ目的に利用される場合が多いため、その利用状況をチェックすることで問題社員を発見することができる。
【0019】
請求項3のURL監査支援システムによれば、アクセスログ記憶手段内に蓄積されたアクセスログの中で、Webブラウザから外部のWebサーバに対してファイルを送信する内容のアクセスログが抽出され、しかもこれらファイル送信に係るアクセスログのURL及びファイル名を送信者毎に集計した監査用リストが自動生成されるため、このリストのURL及びファイル名をチェックすることにより、各社員のWebを通じたファイル送信の利用状況を把握することができ、情報漏洩の事実を発見することが可能となる。
この際、送信ファイル名の他に、ディレクトリ名やドライブ名も監査用リストに併記することとすれば、さらに情報漏洩の有無を判断し易くなる。
【0020】
請求項4のURL監査支援システムによれば、アクセスログ記憶手段内に蓄積されたアクセスログの中で、Webブラウザから外部のWebサーバに対して書込通信(ファイル送信以外のデータ送信)を行ったアクセスログが抽出され、しかもこれら書込通信に係るアクセスログのURLを送信者毎に集計した監査用リストが自動生成されるため、このリストのURL及び頻度をチェックすることにより、各社員のWebを通じた書込通信の利用状況を把握することができ、情報漏洩の危険性のある社員をいち早く発見することが可能となる。
【0021】
請求項5のURL監査支援システムによれば、各送信者が特定のグループに所属している場合に、そのグループの監査担当者に対して各送信者の監査用リストが自動的に配信されるため、例えば会社の部長が部員のデータ送信状況等を効率的にチェックすることが可能となる。
【0022】
請求項6のURL監査支援システムによれば、各送信者が特定のグループに所属している場合に、そのグループの監査担当者に対して各送信者の監査用リストをグループ単位で集約させた監査レポートが自動的に配信されるため、会社の部長等が部員等のデータ送信状況等をより効率的にチェックすることが可能となる。
【0023】
請求項7のURL監査支援システムによれば、予め設定された閾値以上の送信データ量を有するアクセスログのみが抽出され、その中のURLが監査用リストに列挙されることとなるため、この閾値の設定を適切に行うことにより、些末的なデータ送信等を集計対象から外すことが可能となる。
この結果、より重要なデータ送信等をリストアップできるようになり、監査効率を高めることが可能となる。
【0024】
請求項8のURL監査支援システムによれば、予め設定された除外URLを含むアクセスログは集計の対象外となるため、会社の業務遂行上不可欠なWebサイトのURLを除外URLとして設定しておくことで、監査目的上無意味なアクセスログを排除可能となる。
この結果、より重要なデータ送信等をリストアップできるようになり、監査効率を高めることが可能となる。
【0025】
請求項9のURL監査支援システムによれば、除外URLをグループ単位で設定できるため、集計対象外とすべきWebアクセスをよりきめ細かく設定可能となる。
【発明を実施するための最良の形態】
【0026】
図1に示すように、この発明に係るURL監査支援システム10は、定義情報登録部12と、定義情報記憶部14と、中継処理部16と、アクセスログ記憶部18と、日次集計処理部20と、日次集計データ記憶部22と、月次集計処理部24と、月次集計データ記憶部26と、監査レポート生成部28と、監査レポート記憶部30と、監査レポート配信部32とを備えている。
このURL監査支援システム10は、企業のファイアーウォール内あるいはファイアーウォールの内側に設けられる。
【0027】
上記定義情報登録部12、中継処理部16、日次集計処理部20、月次集計処理部24、監査レポート生成部28及び監査レポート配信部32は、このシステム10を構成するコンピュータのCPUが、OS及び専用のアプリケーションプログラムに従って必要な処理を実行することによって実現される。
また、上記定義情報記憶部14、アクセスログ記憶部18、日次集計データ記憶部22、月次集計データ記憶部26及び監査レポート記憶部30は、同コンピュータのハードディスク内に設けられている。
【0028】
上記中継処理部16は、いわゆるプロキシサーバとして機能する構成要素であり、社員のクライアント端末(PC)34をインターネット36経由で外部のWebサーバ38に接続すると共に、そのアクセスログを逐一アクセスログ記憶部18に記録する処理等を実行する。
アクセスログは、1件毎に日時、接続元IPアドレス、ユーザID(認証情報)、接続ポート、接続先URL、送信ファイル名及びディレクトリ名、送受信のデータ量等のデータを備えている。
【0029】
上記の定義情報記憶部14には、システム管理者が操作する管理者端末40及び定義情報登録部12を介して、除外URL定義ファイル、除外接続元IPアドレス定義ファイル、送信データ量の閾値定義ファイル、監査対象者定義ファイル、監査担当者定義ファイル等の各種定義ファイルが登録されている。
「除外URL定義ファイル」には、業務の遂行上必要不可欠なWebサイトのURLが複数定義されている。このようなWebサイトに社員のアクセスが集中するのは当然であり、それらのURLを集計しても無意味であるため、予め集計処理の対象から外す目的で設定される。この除外URLとしては、全社員に適用される全体レベルの除外URLと、各社員が属するグループ(部課)単位で適用されるグループレベルの除外URLとが、予め設定されている。
「除外接続元IPアドレス定義ファイル」には、管理者端末40のIPアドレスや、監査担当者(部課長)の操作するクライアント端末のIPアドレス等、監視対象である一般社員と異なる上位権限を有する者が利用するコンピュータのIPアドレスが定義されている。これらのコンピュータからのアクセス記録を集計処理の対象から外す目的で、予め除外接続元IPアドレス定義ファイルに設定しておく。
「送信データ量の閾値定義ファイル」には、抽出の対象となるアクセスログをフィルタリングするための境界値を設定しておく。
「監査対象者定義ファイル」には、監査対象となる一般社員のユーザID(社員番号等)、パスワード、所属グループを特定するコードが定義されている。
「監査担当者定義ファイル」には、監査レポートをチェックする担当者の氏名、役職、担当グループ、電子メールアドレスが登録されている。
【0030】
以下、図2のフローチャートに従い、このURL監査支援システム10における日次処理の手順を説明する。
まず、予め設定された日次集計処理の開始時刻(例えば毎日午前0時)が到来すると日次集計処理部20が起動し、アクセスログ記憶部18から1日分の全アクセスログを読み出す(S10)。
【0031】
つぎに日次集計処理部20は、以下の要領でこの1日分のアクセスログの中から不要なものを削除する(S12)。
まず、日次集計処理部20は定義情報記憶部14から全体レベルの除外URL情報41及び除外接続元IPアドレス情報42を読み出し、各アクセスログに当該除外URLあるいは除外接続元IPアドレスが含まれていないかをチェックしていき、該当するアクセスログは不必要なものとして削除する。
つぎに日次集計処理部20は、HTTPリクエスト部分にデータの送信を求めるメソッドであるPOSTまたはPUTが含まれているアクセスログ、httpsによるSSL暗号化通信を求めるメソッドであるCONNECTが含まれているアクセスログを残し、他のメソッド(GETやHEAD等)が記述されたアクセスログを対象外として削除する。
例えば、以下の(1)の文字列を含むアクセスログは必要なものとして残されるが、(2)の文字列を含むアクセスログは不要なものとして削除される。
(1) POST http://www.abcdefg.com/form.cgi
(2) GET http://www.abcdefg.com/index.html
【0032】
つぎに日次集計処理部20は、不要な部分を除外したアクセスログ群44に対してユーザIDに基づく仕分け処理を実行し(S14)、社員単位のアクセスログ群46を生成する。
つぎに日次集計処理部20は、定義情報記憶部14の監視対象者定義ファイルから各社員の所属グループ情報48を取得すると共に、定義情報記憶部14からグループレベルの除外URL情報50を取得し、各社員のアクセスログからグループ固有の除外URLを含むものを削除する(S16)。
【0033】
つぎに日次集計処理部20は、残された各社員のアクセスログ群52の中で下記の(1)及び(2)の条件を満たすものをファイル送信のアクセスログとして抽出し(S18)、その日時情報、アクセス先のURL、送信したファイル名及びディレクトリ名、送信データ量を列記したファイル送信日次リスト54を、社員のユーザIDに関連付けて日次集計データ記憶部22に格納する。
(1)POSTメソッドまたはPUTメソッドを含んでいること
(2)送信ファイル名及びディレクトリ名が記録されていること
【0034】
つぎに日次集計処理部20は、定義情報記憶部14の閾値定義ファイルから送信データ量の閾値情報56を取得し、各社員のアクセスログ群52の中で下記の(1)〜(3)の条件を満たすものを書込通信のアクセスログとして抽出し(S20)、そのアクセス先のURL及び送信データ量を列記した書込通信日次リスト58を、社員のユーザIDに関連付けて日次集計データ記憶部22に格納する。
(1)閾値以上の送信データ量が記録されていること
(2)POSTメソッドまたはPUTメソッドを含んでいること
(3)送信ファイル名及びディレクトリ名が記録されていないこと
【0035】
最後に日次集計処理部20は、各社員のアクセスログ群52の中で下記の(1)及び(2)の条件を満たすものを暗号化通信のアクセスログとして抽出し(S22)、そのアクセス先のURL及び送信データ量を列記した暗号化通信日次リスト60を、社員のユーザIDに関連付けて日次集計データ記憶部22に格納する。
(1)閾値以上の送信データ量が記録されていること
(2)CONNECTメソッドを含んでいること
【0036】
以上のようにして、毎日定時に日次集計処理部20による集計処理が実行され、日次集計データ記憶部22に集計データが蓄積されていく。
そして、予め設定された月次集計処理の開始日時(例えば毎月1日午前3時)が到来すると、月次集計処理部24、監査レポート生成部28、監査レポート配信部32によって月次処理が実行される。
以下、図3のフローチャートに従い、このURL監査支援システム10における月次処理の手順を説明する。
【0037】
まず、月次集計処理部24は、日次集計データ記憶部22内に蓄積された1ヶ月分の日次集計データを取得する(S30)。
つぎに月次集計処理部24は、各社員の1ヶ月分のファイル送信日次リストを日時順に連結させたファイル送信月次リストを生成し(S32)、月次集計データ記憶部26に格納する(S34)。
つぎに月次集計処理部24は、各社員の1ヶ月分の書込通信日次リストをURL毎に集計し、そのURL、アクセス回数、送信データ量をアクセス回数順に整列させた書込通信月次リストを生成し(S36)、月次集計データ記憶部26に格納する(S38)。
最後に月次集計処理部24は、各社員の1ヶ月分の暗号化通信アクセス記録をURL毎に集計し、そのURL、アクセス回数、送信データ量をアクセス回数順に整列させた暗号化通信月次リストを生成し(S40)、月次集計データ記憶部26に格納する(S42)。
【0038】
つぎに監査レポート生成部28が起動し、定義情報記憶部14の監視対象者定義ファイルから各社員の所属グループ情報を取得する(S44)。
つぎに監査レポート生成部28は、月次集計データ記憶部26に格納された社員単位の各月次リストを取り出した後、それぞれをグループ単位で結合させた監査レポートを生成し(S46)、監査レポート記憶部30に格納する(S48)。
【0039】
つぎに監査レポート配信部32が起動し、定義情報記憶部14の監査担当者定義ファイルから各グループの監査担当者の氏名、役職、電子メールアドレスを取得する(S50)。
つぎに監査レポート配信部32は、各監査担当者の電子メールアドレスを宛先欄に記載した月報メールをグループ別に生成し(S52)、社内メールサーバ62に送信する(S54)。
この月報メールには、監査レポート記憶部30に格納された当該グループの監査レポートファイルが添付されている。
あるいは、月報メールにダウンロードページのURLを記述しておき、このグループ別のダウンロードページにアクセスすることにより、監査担当者が自グループ用の監査レポートファイルを取得するようにしてもよい。
【0040】
図4は、ファイル送信アクセスに係る監査レポートを示しており、社員の氏名、ファイル送信日時、ファイル送信先のURL、送信ファイル名及びディレクトリ名、送信データ量の各項目が設けられている。
当該グループの監査担当者は、この監査レポートを閲覧することにより、ファイルを外部に送信している社員が一目瞭然となり、送信ファイル名やディレクトリ名をチェックすることで重要なファイルであるか否かの見当を付けることができる。
また、ドライブ情報をチェックすることにより、ローカルPC上のファイルであるのか、社内の共有サーバから取得したファイルであるのかまでも判別可能となる。
【0041】
図5は、書込通信アクセスに係る監査レポートを示しており、社員の氏名、合計アクセス回数、アクセス先のURL、各URLへのアクセス回数及び送信データ量(合計値)の各項目が設けられている。
当該グループの監査担当者は、この監査レポートを閲覧することにより、電子掲示板やチャットルームへの書込頻度の高い社員、Webメールを多用している社員をチェックすることが可能となり、その回数及びアクセス先のURLによっては厳重注意等の措置を執ることもできる。
【0042】
図6は、暗号化通信アクセスに係る監査レポートを示しており、社員の氏名、合計アクセス回数、アクセス先のURL、各URLへのアクセス回数及び送信データ量(合計値)の各項目が設けられている。
当該グループの監査担当者は、この監査レポートを閲覧することにより、暗号化通信の利用頻度の高い社員をチェックすることが可能となる。
CONNECTメソッドによる暗号化通信を行えば、その通信内容をシステム管理者に傍受される危険性がないため、社員によって後ろ暗い目的に利用されている可能性が高いといえる。このため、暗号化通信を多用している社員を事前に把握することにより、情報漏洩を未然に防止することが可能となる。
【0043】
上記においては、日次集計処理部20によって各社員の一日のWebアクセス状況を集計し、その集計結果を日次集計データ記憶部22に格納しておき、月次処理において一ヶ月分の日次集計データをまとめて月次集計データ記憶部26に格納し、これをグループ単位でまとめた監査レポートを各監査担当者に配信する例を示したが、この発明はこれに限定されるものではない。すなわち、日次集計データ記憶部22内の各日次リストを毎日、監査用リストとして監査用監査担当者に配信することも可能である。
また、上記のように各社員のアクセス記録をグループ単位で集約させた監査レポートを生成することなく、社員単位のリストをそのまま監査担当者に配信してもよい。
しがたって、日次集計データ記憶部22、月次集計データ記憶部26、及び監査レポート記憶部30が、それぞれ特許請求の範囲の「監査用リスト記憶手段」に該当する。
【図面の簡単な説明】
【0044】
【図1】この発明に係るURL監査支援システムの機能構成を示すブロック図である。
【図2】このURL監査支援システムにおける日次処理の手順を示すフローチャートである。
【図3】このURL監査支援システムにおける月次処理の手順を示すフローチャートである。
【図4】ファイル送信監査レポートの一例を示すレイアウト図である。
【図5】書込通信監査レポートの一例を示すレイアウト図である。
【図6】暗号化通信監査レポートの一例を示すレイアウト図である。
【符号の説明】
【0045】
10 URL監査支援システム
12 定義情報登録部
14 定義情報記憶部
16 中継処理部
18 アクセスログ記憶部
20 日次集計処理部
22 日次集計データ記憶部
24 月次集計処理部
26 月次集計データ記憶部
28 監査レポート生成部
30 監査レポート記憶部
32 監査レポート配信部
36 インターネット
38 Webサーバ
40 管理者端末
41 全体レベルの除外URL情報
42 除外接続元IPアドレス情報
44 除外済アクセスログ群
46 社員単位のアクセスログ群
48 所属グループ情報
50 グループレベルの除外URL情報
52 社員単位のアクセスログ群
54 社員単位のファイル送信日次リスト
56 送信データ量の閾値情報
58 社員単位の書込通信日次リスト
60 社員単位の暗号化通信日次リスト
62 社内メールサーバ
【特許請求の範囲】
【請求項1】
各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、
各アクセスログの中からデータ送信リクエストに関するアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、データ送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、
各送信者のデータ送信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、
この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段と、
を備えたことを特徴とするURL監査支援システム。
【請求項2】
各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、
各アクセスログの中から暗号化通信リクエストに関するアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、暗号化通信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、
各送信者の暗号化通信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、
この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段と、
を備えたことを特徴とするURL監査支援システム。
【請求項3】
各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、
各アクセスログの中からデータ送信リクエストに関するものであり、かつ送信ファイル名を含むアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、ファイル送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、
各送信者のファイル送信に係るアクセスログから少なくともアクセス先のURL及び送信ファイル名を抽出し、各URL及び送信ファイル名を列記した監査用リストを生成する手段と、
この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段と、
を備えたことを特徴とするURL監査支援システム。
【請求項4】
各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、
各アクセスログの中からデータ送信リクエストに関するものであり、かつ送信ファイル名を含まないアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、書込通信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、
各送信者の書込通信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、
この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段と、
を備えたことを特徴とするURL監査支援システム。
【請求項5】
各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく記憶手段と、
各グループの監査担当者及びその電子メールアドレスを定義しておく記憶手段と、
上記の各記憶手段を参照し、各送信者が属しているグループ及び監査担当者を特定する手段と、
上記の監査用リスト記憶手段に格納された各送信者の監査用リストを含む電子メールを生成し、当該送信者が属しているグループの監査担当者の電子メールアドレス宛てに送信する手段と、
を備えたことを特徴とする請求項1〜4の何れかに記載のURL監査支援システム。
【請求項6】
各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく第1の記憶手段と、
各グループの監査担当者及びその電子メールアドレスを定義しておく第2の記憶手段と、
第1の記憶手段を参照し、各送信者が属しているグループを特定する手段と、
上記の監査用リスト記憶手段に格納された各送信者の監査用リストを、グループ単位で結合させた監査レポートを生成する手段と、
上記のグループ単位の監査レポートを含む電子メールを生成する手段と、
第2の記憶手段を参照し、上記の各電子メールを当該グループの監査担当者の電子メールアドレス宛てに送信する手段と、
を備えたことを特徴とする請求項1〜4の何れかに記載のURL監査支援システム。
【請求項7】
送信データ量の閾値を定義しておく記憶手段を備え、
上記アクセスログ抽出手段は、アクセスログ記憶手段からアクセスログを抽出するに際して上記記憶手段を参照し、閾値以上の送信データ量が記録されたアクセスログを抽出することを特徴とする請求項1〜6の何れかに記載のURL監査支援システム。
【請求項8】
抽出対象外となる除外URLを定義しておく記憶手段を備え、
上記アクセスログ抽出手段は、アクセスログ記憶手段からアクセスログを抽出するに際して上記記憶手段を参照し、除外URL以外のURLを含むアクセスログを抽出することを特徴とする請求項1〜7の何れかに記載のURL監査支援システム。
【請求項9】
各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく第1の記憶手段と、
抽出対象外となる除外URLをグループ単位で定義しておく第2の記憶手段とを備え、
上記アクセスログ抽出手段は、アクセスログ記憶手段からアクセスログを抽出するに際し、第1の記憶手段を参照して各送信者の属するグループを特定し、第2の記憶手段を参照して送信者毎に対応グループの除外URL以外のURLを含むアクセスログを抽出することを特徴とする請求項1〜8の何れかに記載のURL監査支援システム。
【請求項10】
コンピュータを、
各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段、
各アクセスログの中からデータ送信をリクエストするメソッドのURLを含むアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、データ送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段、
各送信者のデータ送信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段、
この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段、
として機能させることを特徴とするURL監査支援プログラム。
【請求項1】
各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、
各アクセスログの中からデータ送信リクエストに関するアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、データ送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、
各送信者のデータ送信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、
この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段と、
を備えたことを特徴とするURL監査支援システム。
【請求項2】
各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、
各アクセスログの中から暗号化通信リクエストに関するアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、暗号化通信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、
各送信者の暗号化通信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、
この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段と、
を備えたことを特徴とするURL監査支援システム。
【請求項3】
各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、
各アクセスログの中からデータ送信リクエストに関するものであり、かつ送信ファイル名を含むアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、ファイル送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、
各送信者のファイル送信に係るアクセスログから少なくともアクセス先のURL及び送信ファイル名を抽出し、各URL及び送信ファイル名を列記した監査用リストを生成する手段と、
この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段と、
を備えたことを特徴とするURL監査支援システム。
【請求項4】
各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段と、
各アクセスログの中からデータ送信リクエストに関するものであり、かつ送信ファイル名を含まないアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、書込通信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段と、
各送信者の書込通信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段と、
この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段と、
を備えたことを特徴とするURL監査支援システム。
【請求項5】
各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく記憶手段と、
各グループの監査担当者及びその電子メールアドレスを定義しておく記憶手段と、
上記の各記憶手段を参照し、各送信者が属しているグループ及び監査担当者を特定する手段と、
上記の監査用リスト記憶手段に格納された各送信者の監査用リストを含む電子メールを生成し、当該送信者が属しているグループの監査担当者の電子メールアドレス宛てに送信する手段と、
を備えたことを特徴とする請求項1〜4の何れかに記載のURL監査支援システム。
【請求項6】
各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく第1の記憶手段と、
各グループの監査担当者及びその電子メールアドレスを定義しておく第2の記憶手段と、
第1の記憶手段を参照し、各送信者が属しているグループを特定する手段と、
上記の監査用リスト記憶手段に格納された各送信者の監査用リストを、グループ単位で結合させた監査レポートを生成する手段と、
上記のグループ単位の監査レポートを含む電子メールを生成する手段と、
第2の記憶手段を参照し、上記の各電子メールを当該グループの監査担当者の電子メールアドレス宛てに送信する手段と、
を備えたことを特徴とする請求項1〜4の何れかに記載のURL監査支援システム。
【請求項7】
送信データ量の閾値を定義しておく記憶手段を備え、
上記アクセスログ抽出手段は、アクセスログ記憶手段からアクセスログを抽出するに際して上記記憶手段を参照し、閾値以上の送信データ量が記録されたアクセスログを抽出することを特徴とする請求項1〜6の何れかに記載のURL監査支援システム。
【請求項8】
抽出対象外となる除外URLを定義しておく記憶手段を備え、
上記アクセスログ抽出手段は、アクセスログ記憶手段からアクセスログを抽出するに際して上記記憶手段を参照し、除外URL以外のURLを含むアクセスログを抽出することを特徴とする請求項1〜7の何れかに記載のURL監査支援システム。
【請求項9】
各送信者の認証情報と各送信者が属するグループとの対応関係を定義しておく第1の記憶手段と、
抽出対象外となる除外URLをグループ単位で定義しておく第2の記憶手段とを備え、
上記アクセスログ抽出手段は、アクセスログ記憶手段からアクセスログを抽出するに際し、第1の記憶手段を参照して各送信者の属するグループを特定し、第2の記憶手段を参照して送信者毎に対応グループの除外URL以外のURLを含むアクセスログを抽出することを特徴とする請求項1〜8の何れかに記載のURL監査支援システム。
【請求項10】
コンピュータを、
各クライアント端末のWebブラウザから送信されたインターネット上のWebサーバに対するアクセスログを格納しておくアクセスログ記憶手段、
各アクセスログの中からデータ送信をリクエストするメソッドのURLを含むアクセスログを抽出する処理、及び各アクセスログに含まれる認証情報に基づいて送信者毎にアクセスログを仕分ける処理を順不同で実行し、データ送信に係るアクセスログを送信者単位で抽出するアクセスログ抽出手段、
各送信者のデータ送信に係るアクセスログから少なくともアクセス先のURLを抽出し、各URLをアクセス回数情報と共に列記した監査用リストを生成する手段、
この監査用リストを送信者に関連付けて監査用リスト記憶手段に格納する手段、
として機能させることを特徴とするURL監査支援プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−276987(P2006−276987A)
【公開日】平成18年10月12日(2006.10.12)
【国際特許分類】
【出願番号】特願2005−91275(P2005−91275)
【出願日】平成17年3月28日(2005.3.28)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【公開日】平成18年10月12日(2006.10.12)
【国際特許分類】
【出願日】平成17年3月28日(2005.3.28)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
[ Back to top ]