JP2009237997A - データ管理システム - Google Patents

データ管理システム Download PDF

Info

Publication number
JP2009237997A
JP2009237997A JP2008084395A JP2008084395A JP2009237997A JP 2009237997 A JP2009237997 A JP 2009237997A JP 2008084395 A JP2008084395 A JP 2008084395A JP 2008084395 A JP2008084395 A JP 2008084395A JP 2009237997 A JP2009237997 A JP 2009237997A
Authority
JP
Japan
Prior art keywords
data
terminal
approval
user
outside
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008084395A
Other languages
English (en)
Other versions
JP4948460B2 (ja
Inventor
Naoki Kato
直樹 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chugoku Electric Power Co Inc
Original Assignee
Chugoku Electric Power Co Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chugoku Electric Power Co Inc filed Critical Chugoku Electric Power Co Inc
Priority to JP2008084395A priority Critical patent/JP4948460B2/ja
Publication of JP2009237997A publication Critical patent/JP2009237997A/ja
Application granted granted Critical
Publication of JP4948460B2 publication Critical patent/JP4948460B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】 従来においては、PC等の端末から外部へのデータの持出しについて管理する仕組みがないために、ユーザによる企業データの不正持出しの助長を招くおそれがあった。また、仮想クライアント等を用いてセキュリティを高めるシステムでは、端末の制約により取引先や社内でのデータ連携に支障をきたすという問題があった。
【解決手段】 各端末からのデータの持出しに管理者による承認を要することとし、端末からのデータの持出し履歴を管理サーバで一元管理を行うことで、取引先や社内でのデータ連携に支障をきたすことなく、管理者によるユーザへの牽制を可能とし、ユーザによる企業データの不正流出を回避する。
【選択図】 図2

Description

各種メディアへのデータの書き出しやメール送信等による、ユーザが端末から外部にデータを持ち出す行為を一元的に管理するデータ管理システムに関する。
従来においては、パーソナルコンピュータ等の端末から外部へのデータの持出しについて管理する仕組みがないために、ユーザによる企業データの不正持出しの助長を招くおそれがあった。また、仮想クライアント等を用いてセキュリティを高めるシステムでは、端末の制約により取引先や社内でのデータ連携に支障をきたすという問題があった。
そのため、作成したデータファイルの安全性を向上させるべく、ファイル処理方法とこの方法にて利用可能な処理装置に関する技術等が提案されている。(例えば、特許文献1を参照)。
また、パーソナルコンピュータ等の情報処理装置に保有される、個人情報や機密情報などを含むファイルを管理する技術に関し、特に、そのファイルの、情報処理装置から外部媒体への書出/送信を管理する技術が提案されている。(例えば、特許文献2を参照)。
特開2003−122615号公報 特開2007−34651号公報
上述の通り、USB等のメディアへのデータ書き出しや電子メールの送信などにより、ユーザが端末から外部にデータを持ち出す行為について、管理者が把握をするという仕組みがなかった。
そのため、ユーザへの牽制が働かず、ユーザによる企業データの不正流出の助長を招く可能性があるという問題があった。
また、セキュリティの向上や資産の有効活用のために、仮想クライアント等のセキュリティ端末を導入する企業が増えているが、セキュリティ端末では、コンピュータの外部へのデータの持出しを禁止する設定を行う場合が多く、その制御のために取引先や社内でのデータ連携に支障をきたす可能性があるという問題もあった。
なお、セキュリティ端末における外部へのデータの持出しを禁止する設定では、ユーザごとに端末の設定を行うことで上記の問題を抑制することも可能であるが、手動により1台1台、ユーザ別の設定を行うことは、運用上において非効率である。そのため、多くの企業では、企業ポリシーを適用した設定マスタを準備して、全端末に同一の設定を行っているのが実情であり、問題の解決には至っていない。
また、特許文献1のファイル処理方法とこの方法にて利用可能な処理装置の技術は、自社内に限定した仕組みであって、電子メールに添付したデータの送信等を行うことができず、取引先とのデータの連携についてもすることができない。加えて、端末から外部へのデータの持出し履歴を管理者が把握する仕組みがないため、ユーザへの牽制が働かず、不正流出の助長を招く可能性があるという問題は解決されていない。
さらに、特許文献2のパーソナルコンピュータ等の情報処理装置に保有される、個人情報や機密情報などを含むファイルを管理する技術に関し、特に、そのファイルの、情報処理装置から外部媒体への書出/送信を管理する技術についても、端末から外部へのデータの持出し履歴を、管理者が一元的に管理を行う仕組みがないため、ユーザへの牽制が十分に働かず、不正流出の助長を招く可能性があるという問題は解決されていない。
本発明はかかる事情に鑑みてなされたものであり、各端末からのデータの持出しに管理者による承認を要することとし、端末からのデータの持出し履歴を管理サーバで一元管理を行うことで、取引先や社内でのデータ連携に支障をきたすことなく、管理者によるユーザへの牽制を可能とし、ユーザによる企業データの不正流出を回避することを可能とするデータ管理システムを提供することを目的とする。
本発明のデータ管理システムは、伝送路を介して接続する管理サーバと端末とのデータ連携により、端末から外部へのデータの流出を管理するデータ管理システムであって、前記端末には、端末から外部にデータを流出させる操作を受けて、該端末の識別情報を含むデータを、前記管理サーバに伝送する識別情報伝送手段と、前記管理サーバから伝送される端末から外部へのデータの流出を許可する設定が埋め込まれた承認データに基づき、端末から外部へのデータの流出を実行するデータ流出制御手段と、を備え、前記管理サーバには、前記端末から伝送された識別情報に基づいて該端末の特定を行い、端末の特定がなされた場合に、端末から外部へのデータの流出を許可する設定を埋め込んだ承認データを生成して、該端末に伝送する端末承認手段と、前記端末から伝送された端末の識別情報と、該端末から該識別情報が伝送された日時とに基づいて、端末でなされたデータを端末から外部に流出させる操作を単位とする管理番号の生成を行い、該端末の特定を行う処理の履歴データと、前記承認データを生成して前記端末に伝送する処理の履歴データと、該端末において生成される外部へのデータの流出を実行した処理の履歴データとを、前記管理番号と関連付けてデータファイルに保存する履歴保存手段と、を備えることを特徴とする。
ここで、端末から外部に流出される「データ」とは、企業,団体,学術機関等が保持する電子化された文字,画像等の情報を意味する。「端末から外部にデータを流出させる操作」とは、ユーザによる外部メディアへのデータの書き出しや複製の保存、電子メール等による外部端末へのデータの送信等の操作を意味する。「識別情報伝送手段」は、アプリケーション等のコンピュータプログラムまたはオペレーションシステムの機能等による外部にデータを流出させる操作を検知して実行する。
なお「外部メディア」とは、端末に接続する外付けハードディスク、USBメディア、CD−ROMライタ、フレキシブルディスクドライブ等の各種の記憶媒体等であって、メディアが端末に装着した状態であっても「外部メディア」に含まれる。
ここで「流出」には、ユーザの意思で外部にデータを持ち出す行為に加えて、端末の外部からの不正侵入やコンピュータウイルス等により、ユーザの意思にかかわらずに操作が行われる場合も含むものである。
また「識別情報」とは、MACアドレス,IPアドレス,企業内で設定しているユーザID等の「端末」または「端末を使用するユーザ」を特定する情報を意味し、あらかじめ備える端末またはユーザごとの識別情報のデータに照合することで、端末またはユーザの特定が行われる。
「承認データ」とは、外部へのデータの流出の実行を許可する設定が埋め込まれたデータファイル等であって、ユーザが外部にデータを流出させる操作で要求した内容に基づいて作成される。なお、外部へのデータの流出の実行を許可する範囲のデータを予め備えることで、ユーザが外部にデータを流出させる操作で要求した内容に制限を加えて「承認データ」を作成することができる。また、外部へのデータの流出の実行を許可する範囲は、特定された端末またはユーザごとに設定することもできる。
次に「管理番号」とは、端末から伝送された端末の「識別情報」と端末から識別情報が伝送された「日時」とに基づいて作成される、端末でなされたデータを端末から外部に流出させる操作を単位として示す一意の番号であって、たとえば、データを端末から外部に流出させる操作を行った端末のMACアドレスに、タイムスタンプ等により操作等がなされた日時を組み合わせることで生成される。なお、一つの操作で複数のデータを端末から外部に流出させる操作を行う場合であって、個別のデータ単位で管理を行うためには、たとえば、上記の管理番号にそれぞれのデータごとの連番を付すことで詳細な管理を行うことができる。
「端末の特定を行う処理の履歴データ」とは、端末から伝送された識別情報に基づいて行われる端末を特定する処理について、ログファイル等の履歴データを意味する。なお、特定がなされない場合の履歴も含むものである。
「承認データを生成して端末に伝送する処理の履歴データ」とは、特定がなされた端末に対し、端末から外部へのデータの流出を許可する設定を埋め込んだ承認データを生成して伝送する処理について、ログファイル等の履歴データを意味する。なお、承認データの伝送がなされない場合の履歴も含むものである。
「外部へのデータの流出を実行した処理の履歴データ」とは、端末において外部へのデータの流出を実行する処理について、ログファイル等の履歴データを意味する。なお、実行がなされない場合の履歴も含むものである。
これらの履歴は、前記の「管理番号」に紐付けされて、データを端末から外部に流出させる操作が行われてから、外部へのデータの流出が実行されるまで、一連のデータとして管理される。
本発明によれば、端末から外部へのデータの流出を、管理サーバにおいて一元管理ができるので、ユーザによる不正流出を抑止することができるという効果を奏する。また、不正流出の発覚時においても、初動対応の迅速化や対応工数の削減が図れるという効果も奏する。
さらに、関連する処理について一連の履歴データとして保存するので、実際にデータを端末から外部に流出させるに至らなかった場合であっても、操作がなされた履歴が保存されることとなり、データへの不正なアクセスを早期に把握することができるという効果を奏する。
なお、本発明は管理サーバと端末とのデータの連携により分散して処理がなされるので、それぞれの負担を軽減し、ハードウエア資源を有効に利用することができる。
また、本発明のデータ管理システムにおいて、前記端末承認手段により生成される承認データは有効期限を有し、前記データ流出制御手段は、前記管理サーバからの前記承認データの伝送を受けて、前記端末における操作において端末から外部への流出の対象となるデータを、該端末のユーザが使用する保存領域からユーザが使用しない保存領域に複製し、端末から外部へのデータの流出は、該ユーザが使用しない保存領域に複製されたデータに基づいて行われ、端末から外部へのデータの流出を実行した場合、または、端末から外部へのデータの流出を実行することなく前記承認データの有効期限が経過した場合には、前記ユーザが使用しない保存領域に複製されたデータを消去することを特徴とする。
ここで「承認データの有効期限」とは、端末承認手段により伝送される承認データに、任意の日時のデータを含ませることとし、データ流出制御手段は実行に際して日時のデータを判定し、すでに日時を経過している場合にはデータの流出を実行しないことを意味する。
「端末のユーザが使用する保存領域」とは、ユーザが実際に業務操作を行うデータファイルやアプリケーション等のプログラムを格納したインターフェース部分であって、マイドキュメントやユーザフォルダー等の保存領域を意味する。
「ユーザが使用しない保存領域」とは、ユーザが直接操作を行わない管理用のプログラム等を格納したフォルダー等であって、ソフトウエアによる不可視化や、ユーザのアクセス権限を制限することでユーザが使用できないように設定することもできる。
また、「端末から外部へのデータの流出を実行することなく承認データの有効期限が経過した場合」とは、ユーザにより端末から外部にデータを流出させる操作が行われると、端末の特定等の処理を経て「承認データ」が伝送されて、端末から外部へのデータの流出が実行されるが、たとえば、外部メディアへのデータの書き出しや複製の保存に際して、外部メディアの状態により書き込みが行えない場合や、電子メール等による外部端末へのデータの送信に際して、該当のメールアドレス等に送信が行えない場合等において、端末から外部へのデータの流出が実行されることなく有効期限が経過することを意味する。
なお、端末から外部へのデータの流出が実行される際に、ユーザによる確認等を目的に入力領域が表示されるような場合において、ユーザから入力領域への入力がなされない場合等も含まれる。
本発明によれば、外部へのデータの流出の実行後、または、承認データの有効期限の経過後に、対象とするデータを消去するので、再度の流出等を制限することが可能となり、高いセキュリティを確保できるという効果を奏する。
また、流出の対象となるデータを、端末のユーザが使用する保存領域(インターフェース)から、ユーザが使用しない保存領域に複製して処理を行うので、ユーザが行う作業には影響を与えないという効果を奏する。
さらに、独立した保存領域において、複製したデータに対して流出を実行する処理が行われることから、企業で採用する基幹業務システム等の運用に影響を与えることなく、業務に汎用性を持たせることができる。
加えて、ユーザが使用しない保存領域におけるユーザの操作を制限することにより、ユーザが操作できない保存領域において、複製したデータの流出処理が行われることになるので、ユーザの端末側で行われる処理についても、悪意を持ったユーザによる履歴の改ざんの防止を図ることができる。なお、シンクライアント等のセキュリティ端末では、通常において、管理用のプログラム等を格納する保存領域はユーザが操作できないように設定されているので、同様の効果を得ることができる。
また、本発明のデータ管理システムは、端末ごとに設定された端末から外部へのデータの流出を許可する範囲を規定するデータを予め備え、前記端末承認手段は、前記特定された端末を、前記端末から外部へのデータの流出を許可する範囲を規定するデータに基づいて判定して、端末に応じて端末から外部へのデータの流出を許可する範囲を制限する承認データを生成することを特徴とする。
ここで「端末ごとに設定された端末から外部へのデータの流出を許可する範囲」とは、企業等において「端末」が配置された部署や職責により取り扱う情報の種類が異なるため、そのセキュリティの重要性等に応じて定められる外部へのデータの流出を許可する基準を意味する。
なお、端末から外部へのデータの流出を許可する範囲としては、たとえば、外部へのデータの流出が実行される時間的な範囲や、流出が許可されるデータの数量の制限、データファイルのファイルサイズの上限や、拡張子等により推測されるファイルタイプによる流出の制限、暗号化されていないファイルについての流出の制限等があげられる。
「端末ごとに設定された端末から外部へのデータの流出を許可する範囲を規定するデータ」とは、あらかじめ備える端末またはユーザごとの識別情報のデータに、取り扱う情報のセキュリティの重要性等に応じて定められる外部へのデータの流出を許可する基準のデータを含ませたものを意味する。
「端末から外部へのデータの流出を許可する範囲を制限する承認データ」とは、外部へのデータの流出の実行を許可する範囲を定めるデータファイル等であって、ユーザが外部にデータを流出させる操作で要求した内容と、予め端末またはユーザごとに設定された「端末から外部へのデータの流出を許可する範囲を規定するデータ」とに基づいて作成される。なお、端末から外部へのデータの流出を許可する範囲の決定は、特定された端末またはユーザごとに設定することもできる。
ここで「端末から外部へのデータの流出を許可する範囲を規定するデータ」には、たとえば、端末のセキュリティの重要性により、端末から外部へのデータの流出を許可するに際して行われる承認を、管理サーバ等における自動承認と、ワークフローシステム等による人間系の承認と、承認方法を規定するデータも含むものである。
なお、ここで「人間系の承認」は、企業等において情報を管理する権限を付与された管理者が行うものに限定するのではなく、ワークフローシステム等の機能と連携して、ユーザの所属長が行うような場合も含むものである。
本発明によれば、セキュリティレベルの高い端末については、より厳格な基準を用いて承認データの生成を行うことができるので、高いセキュリティを確保できるという効果を奏する。
また、本発明のデータ管理システムにおける前記データ流出制御手段は、前記管理サーバからの前記承認データの伝送を受けて、前記端末における操作において端末から外部への流出の対象となるデータを、該端末のユーザが使用する保存領域からユーザが使用しない保存領域に複製し、前記ユーザが使用しない保存領域に複製したデータにフィルタリング検査を行い、予め定められたデータが検出された場合には、端末から外部へのデータの流出を実行することなく、前記ユーザが使用しない保存領域に複製されたデータを消去することを特徴とする。
ここで「フィルタリング検査」とは、データファイル等を一定の基準に基づいて評価判別を行い、選択的に排除する検査処理を意味するものであって、スクリーニング等の処理も含むものである。
また「予め定められたデータ」とは、たとえばテキストデータにおいて、個人情報や機密情報等に関する特定のフレーズや、コンピュータウイルスの拡散を防止するために規定されるコンピュータウイルスのプログラムのデータ等であって、設定により各種のデータ形式を指定することができる。
本発明によれば、流出の対象となるデータに、たとえば個人情報等の予め定められたフレーズが含まれていた場合に、フィルタリング検査により検出することが可能となるので、不正流出を回避することができるという効果を奏する。
また、流出の対象となるデータを、検疫用に一時的に保存するエリアとして、ユーザが使用しない保存領域に複製してフィルタリング検査を行うので、ユーザが行う作業には影響を与えないという効果を奏する。
さらに、本発明のデータ管理システムにおいて、前記端末承認手段により生成される承認データには、承認を行った端末の識別情報を含み、前記データ流出制御手段は、前記承認データに含まれる識別番号の端末以外の端末においては、端末から外部へのデータの流出を実行しないことを特徴とする。
本発明によれば、承認を受けた端末以外からのデータの流出を制限することができるので、データの流出について確実な履歴管理が可能となり、セキュリティを担保することができるという効果を奏する。
また、本発明のデータ管理方法は、伝送路を介して接続する管理サーバと端末とのデータ連携により、端末から外部へのデータの流出を管理するデータ管理方法であって、端末において、端末から外部にデータを流出させる操作を受けて、該端末の識別情報を含むデータを、前記管理サーバに伝送するステップと、前記管理サーバにおいて、前記端末から伝送された端末の識別情報と、該端末から該識別情報が伝送された日時とに基づいて、前記端末でなされたデータを端末から外部に流出させる操作を単位とする管理番号の生成を行い、データファイルに保存するステップと、前記端末から伝送された端末の識別情報に基づいて該端末の特定を行い、端末の特定がなされた場合に、端末から外部へのデータの流出を許可する設定を埋め込んだ承認データを生成して、該端末に伝送するステップと、前記端末の特定を行う処理の履歴データと、前記承認データを生成して前記端末に伝送する処理の履歴データを生成して、前記管理番号と関連付けてデータファイルに保存するステップと、前記端末において、前記管理サーバから伝送される前記承認データに基づき、端末から外部へのデータの流出を実行するステップと、端末において生成される外部へのデータの流出を実行した処理の履歴データを、前記管理サーバが伝送路を介して受信して、前記管理番号と関連付けてデータファイルに保存するステップと、を備えることを特徴とする。
ここで「管理番号」は、最初に管理サーバに伝送されたデータに含まれる端末の識別番号と伝送された日時に基づいて生成される一意の番号であるので、以降の処理における履歴の一元管理に際し主キーとして機能する。
なお、本発明のデータ管理システム及びデータ管理方法では、端末から外部へのデータの流出に加えて、外部から端末へのデータの流入についても管理することができる。
端末が備えるデータ持出し制御手段は、アプリケーション等のコンピュータプログラムまたはオペレーションシステムの機能等により、外部から端末へのデータの流入を検知して、連携して処理を行う管理サーバが備える履歴保存手段により、外部から端末に流入したデータの情報を保存する。これにより、管理サーバは、端末のユーザが使用する保存領域における外部から流入したデータの情報を一元管理する。
ここで、外部から端末へのデータの流入は、外部メディアからのデータの書き込みや複製の保存、電子メール等による外部端末からのデータの受信等により生じる。
また、「外部から流入したデータの情報」とは、たとえば流入したデータのファイル名や流入先の端末の識別情報、流入元の端末の識別番号や電子メールアドレス、外部メディアの種類等の情報を意味する。
管理サーバが備える端末承認手段は、端末から外部へのデータの流出を許可する範囲の決定に際して、予め端末またはユーザごとに設定された「端末から外部へのデータの流出を許可する範囲を規定するデータ」に加えて、外部への流出の対象となるデータのファイル名等を抽出して、外部から端末に流入したデータのファイル名や流入先の端末の識別情報に基づいて比較判定を行う。
判定の結果、外部への流出の対象となるデータが「外部から端末に流入したデータ」である場合には、端末から外部へのデータの流出を許可する範囲を制限する。
これにより、ユーザが自ら管理していないデータファイルであって、本来であれば外部への持出しをすべきではないデータファイルが外部に持ち出される事態を防止することができるという効果を奏する。
また、ここでの判定は、「外部から端末に流入したデータ」の流入元の端末の識別番号や電子メールアドレス、外部メディアの種類等の「流入元における属性の情報」と、流入元の属性により端末から外部へのデータの流出を許可する範囲を規定するデータ等に基づいて、異なる承認データを生成するように設定することもできる。
これにより、たとえば機密情報や個人情報を多く取り扱う部署から流入したデータについては、端末から外部へのデータの流出を、個別に制限することができるという効果を奏する。
なお、たとえば、他の部署から流入したデータについて、部署ごとに扱う個人情報等の相対的なキーワードを登録したフィルタリングテーブルに保存されている検索キーワードに一致するか否かを検出して、一致した場合にはそのキーワードに関連付けて流入先の端末の識別情報を保存しておき、その流入先の端末から外部にデータを流出させる操作があったときに、その流出に掛かるデータ内に当該保存されているキーワードが存在するか否かを判定して、存在している場合は、自動承認ではなくワークフローシステム等による人間系の承認を実行するようにしても良い。これによって、企業等のネットワーク内の他部門などから流入されたデータが、企業等のネットワーク外に流出することを効果的に防止することができる。
本発明のデータ管理システムによれば、ユーザが外部にデータを持ち出した履歴を、一元管理することができるので、ユーザに対する牽制が働き、データの不正流出に対する抑止力を生じさせることができる。
また、データの不正流出の発覚時においても、ユーザが外部にデータを持ち出した詳細な履歴により、初動対応の迅速化や対応工数の削減を図ることができる。
さらに、仮想クライアント等の技術を用いたセキュリティ端末においても、端末の制約を受けることなく、データ連携の制御や設定を、ユーザごとに容易に行うことが可能となる。
以下、本発明のデータ管理システム1における第1の実施形態について説明する。
図1は、第1の実施の形態にかかるデータ管理システム1の概要を示した図である。
本実施形態において、管理サーバ10とユーザ端末2等は、図示しない専用回線3を介して、データの連携により処理を行う。
管理サーバ10は、ユーザ端末2から外部メディア5へのデータファイルの書き出しや複製、ユーザ端末2から図示しないネットワーク6を介した電子メールの送信等により、データファイルが端末の外部に流出した履歴を管理する。
ここで、管理サーバ10は、ユーザによる外部へのデータファイルの持出しに必要な「持出しキー」の発行を行い、データファイルが外部に流出した履歴等を管理する「管理プログラム」(端末承認手段123・履歴保存手段124)、持出しキーの発行に必要な端末の認証データを保持する「認証DB131」、データファイルが外部に流出した履歴等を保存する「履歴管理DB132」等を備える。
ユーザ端末2は、ユーザが実際に業務操作を行うデータファイルや業務用プログラム225等を格納したインターフェース部分(20)の保存領域と、ユーザが直接操作を行わない管理用のプログラム等を格納した保存領域により構成されている。
ユーザが直接操作を行わない管理用のプログラム等を格納した保存領域については、たとえば、ソフトウエアによる不可視化の設定や、ユーザのアクセス権限を制限することで実効を図ることができる。
インターフェース部分(20)の保存領域には、ユーザが業務において操作の対象とするデータファイルを保存する「マイドキュメント」等の「ユーザフォルダー231」を備える。ユーザが直接操作を行わない保存領域には、データファイルを外部に持ち出すために必要な持出しキーを申請する「キー申請プログラム」(識別情報伝送手段223),持出しキーに基づいて持出しの実行を制御する「持出し制御プログラム」(データ流出制御手段224),持出し操作の対象となったデータファイルを複製して保存する「持出しフォルダー232」等を備える。
なお、本実施形態のデータ管理システム1は、仮想クライアント等の技術を用いたセキュリティ端末においても導入が可能であるが、かかる場合には、データの保存領域はユーザ端末2に実装されている必要はなく、仮想化されたストレージにおいて行われるものであってもよい。
また、本例ではサーバ&クライアント型のネットワーク構成としているが、分散型ネットワークにおいては、いずれかの端末に管理機能を持たせるように構成してもよい。
図2は、本実施形態のデータ管理システム1における機能ブロック図である。
本実施形態のデータ管理システム1は、ユーザが業務を行うユーザ端末2等と専用回線3を介して接続する管理サーバ10,ワークフローシステムサーバ4等により構成されている。管理サーバ10では、ユーザ端末2等におけるデータファイルの持出しの履歴等を管理する。また、ユーザ端末2の送受信部21は、外部メディア5,インターネット等のネットワーク6を介して外部端末7等と接続する。
データ管理システム1を構成する管理サーバ10は、専用回線3等と接続する送受信部11,データの管理に関する演算処理等を行う中央演算処理部12,データの管理に必要な情報を保持する記憶部13,データを入力するキーボード等の入力部14およびデータを出力する表示装置あるいはプリンタ等の出力部15等から構成されている。
本実施形態の管理サーバ10の送受信部11は、専用回線3を介して、ユーザ端末2,ワークフローシステムサーバ4等と接続する。
中央演算処理部12には、送受信部11との間でデータの受け渡しを行う送受信処理手段121,入力部14または出力部15とデータの受け渡しを行う入出力処理手段122,ユーザ端末2等から伝送される識別情報に基づいて端末の承認を行い、持出しキーを発行してユーザ端末2等に送信する端末承認手段123(管理プログラム),ユーザ端末2等におけるデータファイルの流出の履歴を保存する履歴保存手段124(管理プログラム)等を備える。
記憶部13は、ユーザ端末2等の認証に必要なデータを保持する認証DB131,ユーザ端末2等におけるデータファイルの流出の履歴等を管理する履歴管理DB132等により構成されている。
図3には、記憶部13が備える認証DB131の構成例を示す。
認証DB131では、ユーザ端末2等の識別情報ごとに承認方法等のデータを保持する。本例では、ユーザ端末2等の識別情報である「端末管理ナンバー」として、ハードウエア固有の物理アドレスである「MACアドレス」を採用する。なお、端末管理ナンバーには、企業のセキュリティレベルに応じてIPアドレスや、企業内で設定しているユーザIDなども設定することができる。
たとえば、端末管理ナンバーをユーザID等に設定することで、同一の端末においてログインをしたユーザごとに管理を行うことができるので、複数のユーザで端末を共有するような環境であっても、ユーザごとにデータファイルの持出しの履歴を管理することができる。
また、本例の認証DB131では、端末管理ナンバーごとに「承認方法」のデータを保持する。ユーザ端末に対し「承認方法」のデータを割り当てることで、セキュリティレベルに応じた認証を可能にする。本例では、セキュリティレベルの高い端末からのデータファイルの持出しはワークフローでの承認とし、それ以外の端末では認証DB131と連携した自動承認としている。
なお、図示はしないが、認証DB131において管理するデータはユーザ端末の「承認方法」に限定することなく、たとえば、ユーザ端末を使用する従業員の氏名、連絡先、その他の属性等についての情報を保持させることで、データの不正流出の発覚時等における対応をシステム化することができる。
図4には、記憶部13が備える履歴管理DB132の構成例を示す。
本実施形態の履歴管理DB132では、「管理ナンバー」を主キーに、ユーザ認証結果,ワークフロー結果,持出しキーの出力日時,フィルタリング検査結果,持出し日時,ファイル名,完了ステータス等のデータを保持する。
なお、本実施形態における「管理ナンバー」は、キー要求を行ったユーザ端末2の「MACアドレス」のデータに、送信した「日時」のデータをタイムスタンプ等により付加して構成されている(識別情報伝送手段223)。
なお、図示はしないが、データファイルが持ち出された先のパスやメールアドレス、ファイルサイズ等の情報についても保持することができる。これにより、データの不正流出の発覚時において、初動対応の迅速化や対応工数の削減を図ることが可能となる。
次に、管理サーバ10等と専用回線3を介して接続するユーザ端末2の構成について説明する(図2)。
本実施形態のユーザ端末2の送受信部21は、専用回線3を介して管理サーバ10,ワークフローシステムサーバ4等と接続するほか、図示しないケーブル等により外付けハードディスク、USBメディア、CD−ROMライタ、フレキシブルディスクドライブ等の外部メディア5と接続する。また、インターネット等のネットワーク6を介して外部端末7等と接続する。
中央演算処理部22には、送受信部21との間でデータの受け渡しを行う送受信処理手段221,入力部24または出力部25とデータの受け渡しを行う入出力処理手段222,ユーザが端末において文書作成,表計算,データベース,電子メール等の業務操作を行う業務用プログラム225,ユーザにより外部へのデータファイルの持出し操作がなされた場合に、管理サーバ10にユーザ端末2の識別情報を伝送する識別情報伝送手段223(キー申請プログラム),管理サーバ10が備える端末承認手段123(管理プログラム)から伝送される「持出しキー」に基づいてデータの流出を実行するデータ流出制御手段224(持出し制御プログラム)等を備える。
記憶部23は、ユーザの業務操作に必要なデータを保持するユーザフォルダー231,ユーザからの外部への持出し操作に際して、対象となるデータファイルを複製して一時的に保存する持出しフォルダー232等により構成されている。
なお、本実施形態のユーザ端末2では、ユーザが実際に業務操作を行うデータファイル(ユーザフォルダー231)や業務用プログラム225等を格納したインターフェース部20の保存領域のみが操作可能に設定されており、その他の領域については通常においてユーザは操作することができない。図2においてインターフェース部20は破線で示している。
次に、本実施形態のデータ管理システム1における動作の概略について、図1の概要図に基づき説明を行う。
はじめに、ユーザ端末2において業務操作を行うユーザは、外部へのデータファイルの持出しを伴う処理を実行する。
ここで、ユーザが端末2で処理を行うデータファイルは、インターフェース部20内にあるユーザフォルダー231(マイドキュメント)に保存されている。本例では、ユーザはユーザフォルダー231に保存されたデータファイルを、外部メディア5に書き出す操作を行う。
ユーザによるインターフェース部20を越えてデータファイルを持ち出す操作は、キー申請プログラム(識別情報伝送手段223)により「持出し要求」として検知される。また、キー申請プログラム(識別情報伝送手段223)は、持出し操作の対象となったデータファイルを、ユーザ端末2のユーザが直接操作を行わない保存領域にある「持出しフォルダー232」に複製して保存する。
ユーザからの持出し要求を受けたキー申請プログラム(識別情報伝送手段223)は、持出しキーの要求に必要な「端末情報」を管理サーバ10に送信する(キー要求)。具体的には、ユーザ端末2から識別情報であるMACアドレスのデータを抽出して、図示しない専用回線3を介して接続する管理サーバ10の管理プログラム(端末承認手段123)に、要求を行う日時のデータとともに伝送する。
管理プログラム(端末承認手段123)は、伝送されたユーザ端末2等のキー要求の受信を受けて、端末情報(識別情報)と認証DB131が保持するデータに基づき認証を行い、認証がなされた場合に「持出しキー」を発行する。発行された持出しキーは、ユーザ端末2のキー申請プログラム(識別情報伝送手段223)に伝送される。
持出しキーには、ユーザ端末2の端末情報や、再度の使用を制限するシーケンス、有効期限、持出し許可数等の各種のデータが含まれる。
キーの要求および発行がなされた場合には、管理プログラム(履歴保存手段124)が実行して、管理サーバ10が備える履歴管理DB132に、ユーザ端末2からのキー要求および持出しキーの発行の履歴データを登録する。なお「キー要求」として伝送される「MACアドレス」と要求を送信する「日時」のデータは、組み合わせて一意のものとなり、履歴管理DB132における主キーとして(管理ナンバー)、各種のデータが紐付けされる。
持出しキーを受信したキー申請プログラム(識別情報伝送手段223)は、持出し制御プログラム(データ流出制御手段224)に持出しキーの提示を行う。持出しキーの提示を受けた持出し制御プログラム(データ流出制御手段224)は、持出しキーに含まれるデータに基づき、データファイルの持出しを実行する。
具体的には、ユーザがユーザ端末2等のインターフェース部20で行った操作に伴うデータファイルの持出しが、持出しキーに含まれる内容の範囲内であれば、かかる操作を実行する。一方、持出しキーに含まれる範囲内ではない場合には操作は実行されない。
次に持出し制御プログラム(データ流出制御手段224)は、識別情報伝送手段223により持出しフォルダー232に複製された持出し操作の対象データファイルに対して、ユーザ端末2の外部への複製・保存や、データファイルを添付したメールの送信等を実行する。
データの持出しが実行されると、持出し制御プログラム(データ流出制御手段224)は、データの持出しの履歴データである「実行ログ」を生成し、管理サーバ10の管理プログラム(履歴保存手段124)に伝送する。実行ログの伝送を受けた管理プログラム(履歴保存手段124)は、すでに登録がなされている「管理ナンバー」のデータに関連付けて実行ログを登録する(図4)。
[キー申請プログラム(識別情報伝送手段223)]
図5は、ユーザ端末2が備えるキー申請プログラム(識別情報伝送手段223)の処理フローを説明する図である。
はじめに、ユーザ端末2等の起動により、キー申請プログラム(識別情報伝送手段223)が実行し、あらかじめ備える設定ファイルを読み込んで、ユーザからの持出し要求に備える(S101)。本実施形態における「設定ファイル」の例を図6に示す。
本例では、「キー要求ログの出力数」の設定を「100」としている。ここで業務用プログラム225等による外部にデータファイルを持ち出す操作では、たとえばデータファイルを添付した電子メールの一斉送信のように、一つの操作で複数のデータファイルの持出しを行うことが可能である。そのため、一つの操作で行うことができるデータファイルの持出しの件数に上限を設けることとしている。これにより、際限のないデータファイルの流出を回避することができる。
本例において「応答待ち時間」の設定は「30分」としている。ここで「応答待ち時間」とは、持出しキーの申請に際して連携する管理サーバ10からの持出しキーの受領までの待ち時間の許容範囲を意味する。また「最遅応答時間」とは現在時刻に応答待ち時間を加えた時間であり、デフォルト値では設定されていない。
なお、本例では、ユーザ端末の「識別情報」である「端末管理ナンバー」の設定を「MACアドレス」としている。ここでの設定は、企業のセキュリティのレベルに応じて「IPアドレス」や、企業内で設定している「ユーザID」などとすることもできる。
「ユーザ操作(持出しファイルの操作)」の設定は「ロック」としている。ここでは、持出しキーの申請から受領までの処理の間、ユーザが持出し申請の対象となるデータファイルの編集等の操作を制限するか否かの設定を行う。ここでの設定を「ロック」としない場合には、ユーザの利便性は制限されない。一方、「ロック」とする場合には、持出し処理にかかるデータファイルの処理前後の同一性を確保することで、安全性を高めることができる。
設定ファイルの読み込み後は、ユーザからの外部にデータファイルの持出しを伴う操作を監視する。具体的には、キー申請プログラム(識別情報伝送手段223)は、オペレーションシステムまたは業務用プログラム225において、インターフェース部20を越えたデータファイルの移動を伴う操作が選択された場合に、ユーザからの持出し要求として検知する(S102)。
ユーザからの持出し要求を検知したキー申請プログラム(識別情報伝送手段223)は、対象とするデータファイルへのユーザ操作の「ロック」を解除する(S103)。
次に、ユーザ端末2のモニタ(出力部25)に「持出し要求を行っています。ワークフロー承認が必要な場合、承認者へ連絡してください。」とのメッセージを出力する(S104)。
これにより、ワークフロー承認を必要としないユーザは処理の終了まで待機する。一方、ワークフロー承認が必要なユーザは承認者に連絡を行う。具体的には、ユーザ端末2と専用回線3を介して接続するワークフローシステムサーバ4に接続して、所定のワークフロー処理を行う。
次に、キー申請プログラム(識別情報伝送手段223)は、持出しキーの要求処理を行う(S105)。具体的には、本例においてユーザ端末の識別情報であるユーザ端末2等の「MACアドレス」に持出しキーの要求を行う日時を付加して(図4)、「キー要求ファイル」を作成し、処理を連携して行う管理サーバ10の管理プログラム(端末承認手段123)に伝送する。
さらに、現在日時に応答待ち時間を加えて「最遅応答時間」の値を算出して保持する。また、ユーザ端末2のモニタ(出力部25)に、持出しキーを要求した日時、最遅応答時間、および、外部への持出しの対象とするファイル名を記載した「キー要求ログ」を出力する(図7)。
持出しキーの要求と同時に、外部への持出しの対象となるデータファイルを、ユーザ端末2のユーザフォルダー231から、持出しフォルダー232に複製して保存する。ここでのデータファイルには送信日時が属性情報として添付される。
なお、ユーザ端末2におけるファイル操作のロックは、外部への持出しの対象とするデータファイルに対してのみ実行される。
以上で持出しキーの要求処理が終了する。キー申請プログラム(識別情報伝送手段223)は、要求処理の終了を受けて、持出しキーの受領を検知するループの「カウンタA」の値を「0」にセットする(S106)。
持出しキーの受領を検知する処理では、管理プログラム(端末承認手段123)から持出しキーの送信を受ける日時が最遅応答時間より大きい場合、すなわち、最遅応答時間の経過するまで、または、ループの「カウンタA」の値が「1」となるまで、ループ処理を繰り返す(S107,S111)。
キー申請プログラム(識別情報伝送手段223)は、管理サーバ10が備える管理プログラム(端末承認手段123)から送信される持出しキーの受領を検知して、持出しキーの読み込みを行う(S108・図8)。
次に、キー申請プログラム(識別情報伝送手段223)は、持出しキーを参照して「持出し許可の可否」と、管理ナンバーに含まれる端末管理ナンバー(MACアドレス)が自端末のMACアドレスであるか否かの判定を行う。「持出し許可の可否」が「可」であることと、自端末のMACアドレスであることの「AND」条件を満たした場合に(S109で「YES」)、ループの「カウンタA」の値を「1」とする(S110)。これによりループ処理は終了する(S107,S111)。
次に、キー申請プログラム(識別情報伝送手段223)は、連携して処理を行う持出し制御プログラム(データ流出制御手段224)に持出しキーを提示し(S113)、ユーザ端末2のモニタ(出力部25)に「持出し承認が完了しました。操作を継続してください。」とのメッセージを出力する(S114)。
その後、対象とするデータファイルへのユーザ操作の「ロック」を解除して(S117)処理を終了する。
一方、S108において、管理プログラム(端末承認手段123)から送信される持出しキーの受領が検知されない場合には、ループの「カウンタA」の値は「0」なので、ループ処理を繰り返す。
その後、管理プログラム(端末承認手段123)から持出しキーの送信を受ける日時が最遅応答時間を経過した場合には、ループの「カウンタA」の値が「0」のままでループ処理を終了する(S107,S111)。
S109における持出しキーの判定の結果、「持出し許可の可否」が「否」である場合、または、自端末のMACアドレスではない場合(S109で「NO」)、持出しキーの送信を受ける日時が最遅応答時間を経過したために「カウンタA」の値が「1」ではない場合(S112で「NO」)には、ユーザ端末2のモニタ(出力部14)に、「キー要求ログ」および「持出しキー」のデータとともに、「持出しは行えません。管理者に連絡して下さい。」とするメッセージを表示する(S115)。
その後、S105において、持出しフォルダー232に複製して保存された、外部への持出しの対象となるデータファイルを削除する(S116)。この場合において、外部への持出しの対象となるデータファイルの特定は、「持出しキー」に記録された「管理ナンバー」を構成するキー要求の日時(後述の図9におけるS203)と、S105において外部への持出しの対象となるデータファイルに添付された送信日時とのマッチングにより行う(識別情報伝送手段223)。
その後、対象とするデータファイルへのユーザ操作の「ロック」を解除して(S117)処理を終了する。
なお、本実施形態では、S102以降のフローについては、子プロセス的に動作することとしている。これによりシステムにかかる負担を軽減することができる。
[管理プログラム(端末承認手段123)]
図9は、管理サーバ10が備える管理プログラム(端末承認手段123)の処理フローを説明する図である。
はじめに、管理プログラム(端末承認手段123)は、ユーザ端末2等が備えるキー申請プログラム(識別情報伝送手段223)から伝送された「キー要求ファイル」を検知して(S201)、データの読み込みを行う(S202)。
読み込んだ「キー要求ファイル」からユーザ端末2等の識別情報である「MACアドレス」のデータを取得し、送信日時を付加して「管理ナンバー」を作成する。なお、本実施形態では、同一日時に同一端末よりキー要求がなされた場合には、「00」から始まる連番を付与することとしている(S203)。これにより、それぞれの要求において持出しの対象とするデータファイルを単位として管理を行うことができる。
次に、管理プログラム(端末承認手段123)は、管理ナンバーに含まれるユーザ端末2等のMACアドレスに基づいてユーザ認証を行う。具体的には、管理サーバ10の記憶部13が備える認証DB131(図3)の「端末管理ナンバー」を検索して、MACアドレスからユーザ端末を特定する(S204)。
認証DB131からの返答の例を図10に示す。「管理ナンバー」に基づき、「認証結果」が成功か失敗か、「承認方法」が手動か自動か、持出しキーの「有効期限」等のデータが出力される。なお、本実施形態の「有効期限」はデフォルト値で「2時間」となっており、現在日時に2時間を付加した時間が出力される。他に「持出し許可数」の出力も行い、デフォルト値では「1」となっている。これにより、同一のファイルが複数流出することを制限して、トラフィックへの過度の負担を回避することができる。
管理プログラム(端末承認手段123)は、ユーザ端末の認証の判定結果(S205)が「成功(許可)」である場合には(S205で「許可」)、ユーザによる外部へのデータファイルの持出しについて承認の処理に移行する。
一方、ユーザ端末の認証の判定結果(S205)が「失敗(不許可)」である場合には(S205で「不許可」)持出しキーの発行は行わず、持出しキー要求ファイルを検知してからユーザ端末の認証失敗までの履歴データを生成する。生成された履歴データは、管理プログラム(履歴保存手段124)により、管理サーバ10の記億部13が備える「履歴管理DB132」(図4)に保存される。
ユーザ端末の認証の判定結果(S205)が「成功(許可)」である場合には(S205で「許可」)、管理プログラム(端末承認手段123)は、「承認方法」のデータを読み込んで判定を行う(S206)。
「承認方法」の判定の結果が「自動」である場合には(S206で「自動」)、認証DB131からの返答に基づいて「持出しキー」のデータを生成する(S209)。
一方、「承認方法」の判定の結果が「手動」である場合には(S206で「手動」)、ワークフローによる承認を行う(S207)。
本実施形態では、企業等で導入しているワークフローシステムと連携して行うこととし、ユーザは、ユーザ端末2において入出力を行い、送受信部21と専用回線3で接続するワークフローシステムサーバ4の処理により、ワークフローによる承認を行うことができる。承認の結果は、ワークフローシステムサーバ4の送受信部41と専用回線3で接続する管理サーバ10の管理プログラム(端末承認手段123)が受信して、キー発行の処理に繋げることができる。
ワークフローの判定結果が「承認」である場合には(S208で「承認」)、認証DB131からの返答に基づいて「持出しキー」のデータを生成する(S209)。
一方、ワークフローの判定結果が「否認」である場合には(S208で「否認」)持出しキーの発行は行わず、持出しキー要求ファイルを検知してからワークフローにおける否認の判定までの履歴データを生成する。生成された履歴データは、管理プログラム(履歴保存手段124)により、管理サーバ10の記億部13が備える「履歴管理DB132」(図4)に保存される。
本実施形態において「持出しキー」に含まれるデータの例を図8に示す。「管理ナンバー」に基づいて、持出しキーが出力された「日時」,「持出し許可の可否」,持出しが「可」の場合には「有効期限」,「持出し許可数」等のデータが含まれる。本例では、デフォルト値から「有効期限」は「現在日時プラス2時間の日時」,「持出し許可数」は「1」が出力される。
「持出しキー」の編集が終了すると、管理プログラム(端末承認手段123)は、連携して処理を行うユーザ端末2等のキー申請プログラム(識別情報伝送手段223)に、「持出しキー」のデータを伝送する(S210)。
管理プログラム(端末承認手段123)は、持出しキーの発行処理が完了すると、持出しキー要求ファイルを検知してから処理が終了するまでの履歴データを生成する。生成された履歴データは、管理プログラム(履歴保存手段124)により、管理サーバ10の記億部13が備える「履歴管理DB132」(図4)に保存される。
図11には、管理プログラム(端末承認手段123)により生成される履歴データの例を示す。「管理ナンバー」に基づいて、「ユーザ認証結果」,「ワークフロー結果」,「持出しキーの出力日時」等のデータにより構成される。ただし、「ワークフロー結果」が「否認」の場合には、「持出しキーの出力日時」のデータは出力されない。
なお、本実施形態では、S201以降のフローについては、子プロセス的に動作することとしている。これによりシステムにかかる負担を軽減することができる。
また、本例では認証DB131において端末の「承認方法」が「自動」である場合に、一律に「持出しキー」のデータを生成することとするが、端末のセキュリティレベルに応じて、異なる「持出しキー」のデータを生成するように設定することもできる。
たとえば、個人情報を保護する目的では、人事部やお客さまセンター等の多くの個人情報を取り扱う部署の端末や、その他の部署において部員等の管理を行う管理職が備える端末等について、任意の制限を設けることもできる。任意の制限の例として、外部への持出しを行うデータファイルのファイルサイズの上限や、拡張子等により推測されるファイルタイプによる持出しの制限、暗号化されていないファイルについての持出しの制限等があげられる。
[通常時における持出し制御プログラム(データ流出制御手段224)]
図12は、ユーザ端末2が備える持出し制御プログラム(データ流出制御手段224)の、通常時における処理フローを説明する図である。
はじめに、ユーザ端末2の起動により、持出し制御プログラム(データ流出制御手段224)が実行し、設定ファイルを読み込んでユーザからの持出し要求に備える(S301)。
図13には、本実施形態における設定ファイルのデフォルト値の例を示す。本例では、ユーザによる外部への持出しの対象となるデータファイルに、フィルタリング検査を行うことをデフォルト値とする。これにより、流出前に問題のあるデータファイルを検出し、流出を行わないように制御することができる。また本例では、持出しキーの提示がない不正持出しの監視を行うことをデフォルト値とする。
設定ファイルの読み込み後は、連携して処理を行うキー申請プログラム(識別情報伝送手段223)からの持出しキーの提示に備える。具体的には、持出し制御プログラム(データ流出制御手段224)は、管理プログラム(端末承認手段123)からキー申請プログラム(識別情報伝送手段223)に伝送される持出しキーのデータ受信を監視する(S302)。
持出し制御プログラム(データ流出制御手段224)は、持出しキーの受信を検知するとループの「カウンタB」の値を「0」にセットする(S303)。
本例において持出し制御プログラム(データ流出制御手段224)は、設定ファイルのデフォルトにより、ユーザによる外部へのデータの持出しの対象となるデータにフィルタリング検査を行う(S304)。ここでフィルタリング検査の対象とするのは、ユーザ端末2におけるインターフェース部20のユーザフォルダー231から、インターフェース部20の外側にある持出しフォルダー232に複製されたデータである。
この場合において、フィルタリング検査の対象となるデータファイルの特定は、「持出しキー」に記録された「管理ナンバー」を構成するキー要求の日時(S203)と、図5のS105において外部への持出しの対象となるデータファイルに添付された送信日時とのマッチングにより行う。
フィルタリング検査の判定結果が「問題なし」の場合には(S305で「問題なし」)、持出し制御プログラム(データ流出制御手段224)により、外部へのデータの持出し処理を実行する。
具体的には、検知した持出しキー(図8)のデータに基づき、外部へのデータの持出しを行う日時(現在日時)が有効期限より大きい場合、すなわち、有効期限を経過するまで、または、ループの「カウンタB」の値が「持出し許可数」の値になるまで、ループ処理により実行する(S306,S310)。
ループ処理では、はじめに持出しキーのデータに基づいて、「ファイルの持出し処理」が行われる(S307)。
ここでの「ファイルの持出し処理」とは、ユーザ端末2に保存したデータファイルの複製を外部メディア5等に保存する場合や、業務用プログラム225等の機能によりデータファイルの書き出しを行い、外部メディア5等に保存する場合、電子メールの機能によりユーザ端末2に保存したデータファイルを添付して、インターネット等のネットワーク6を介して外部端末7等に送信する場合等がある。
持出し制御プログラム(データ流出制御手段224)は、オペレーションシステムまたは業務用プログラム225等との連携により、外部へのデータファイルの持出しを伴う操作を実行する。
「ファイルの持出し処理」により、いずれかのデータファイルにおいて持出しが終了した場合には、ループの現在の「カウンタB」である「0」の値に「1」が加算されて、「1」となる(S308)。
本実施形態における持出し制御プログラム(データ流出制御手段224)は、一つのデータファイルの持出し処理が終了すると、その都度、処理にかかるログ(実行ログ)を、連携して処理を行う管理サーバ10の管理プログラム(履歴保存手段124)に送信する(S309)。
実行ログを受信した管理プログラム(履歴保存手段124)は、管理サーバ10の記憶部13が備える履歴管理DB132に、管理プログラム(端末承認手段123)によるキー要求ファイルを検知してから処理が終了するまでの履歴データと関連付けて保存する。
本実施形態において「実行ログ」に含まれるデータの例を図14に示す。「管理ナンバー」に基づいて、外部への持出しがなされた「持出し日時」,「フィルタリング検査履歴の結果」,外部への持出しがなされた「ファイル名」等が出力される。なお、フィルタリング検査履歴の結果が「問題あり」の場合は「持出し日時」は出力されない。
持出し制御プログラム(データ流出制御手段224)は、「実行ログ」の送信を完了すると、現在日時が有効期限を経過していないか、「カウンタB」の値が「持出し許可数」の値に達していないかの判定を行う。
本例において「持出し許可数」のデフォルト値は「1」なので、S308において「カウンタB」の値は「1」になっており、条件を満たすため(S306)ループ処理を完了する(S310)。
なお、「持出し許可数」の値が「2」以上に設定されている場合には、当該値になるまでループ処理を繰り返す(S306〜S310)。
また、ユーザ端末2等において、有効期限の経過までに持出し操作が行われない場合にも(S306)、ループ処理は終了する(S310)。
持出し制御プログラム(データ流出制御手段224)は、ループ処理を終了すると、持出しフォルダー232に複製・保存した外部への持出しの対象とするデータファイルの削除処理を行い(S314)処理を終了する。
一方、S305においてフィルタリング検査の判定結果が「問題あり」とされた場合は(S305で「問題あり」)、フィルタリング検査履歴の結果が出力される(S311)。
図15には「フィルタリング検査履歴の結果」の例を示す。「管理ナンバー」に基づいて、フィルタリング検査にかかる「ファイル名」,チェックのかかったフレーズなどの「検査結果」等のデータが出力される。
ユーザ端末2のモニタ(出力部25)には、「フィルタリング検査履歴」のデータとともに、「フィルタリング検査に問題がありました。持出しは行えません。管理者に連絡して下さい。」とのメッセージを出力する(S312)。
これにより、ユーザは外部に持出しを行おうとするデータファイルに含まれる問題となったフレーズを確認して、あらためて適切なデータファイルを作成して送信を行うことができる。そのため、たとえばユーザが問題となるフレーズを見過ごしていたような場合には、送信が完了するまでに事前にチェックを受ける機会を得ることができるという効果を奏する。
次に、持出し制御プログラム(データ流出制御手段224)は、フィルタリング検査履歴に基づき「実行ログ」(図14)を生成して、連携して処理を行う管理プログラム(履歴保存手段124)に送信する。実行ログを受信した管理プログラム(履歴保存手段124)は、持出しキー要求の履歴データ等と関連付けて、履歴管理DB132に保存する。
実行ログを送信した持出し制御プログラム(データ流出制御手段224)は、持出しフォルダー232に複製・保存した外部への持出しの対象とするデータファイルの削除処理を行い(S314)処理を終了する。
なお、本実施形態では、S302以降のフローについては、子プロセス的に動作することとしている。これによりシステムにかかる負担を軽減することができる。
[不正持出し時における持出し制御プログラム(データ流出制御手段224)]
図16は、ユーザ端末2が備える持出し制御プログラム(データ流出制御手段224)の、不正持出し時における処理フローを説明する図である。
本実施形態においては、キー申請プログラム(識別情報伝送手段223)の「設定ファイル」のデフォルト値で、持出しキーの要求処理の間は、持出し対象のデータファイルへのユーザ操作をロックすることとしているが(図6)、ユーザ操作の利便性を優先する場合には、ロックを行わないように設定することができる。
しかし、持出し対象のデータファイルへのユーザ操作のロックを行わないこととすると、持出しキーの提示をすることなく、ユーザフォルダー231から外部にデータファイルの持出し操作がなされる可能性がある。本実施形態では、かかる設定において不正持出しが行われた場合に、履歴の管理を行うことができる。
はじめに、ユーザ端末2の起動により、持出し制御プログラム(データ流出制御手段224)が実行し、設定ファイル(図13)を読み込んで、ユーザからの持出し要求に備える(S401)。
通常時においては、設定ファイルの読み込み後は、連携して処理を行うキー申請プログラム(識別情報伝送手段223)からの持出しキーの提示に備える。
しかし本例では、ユーザは持出しキーの提示を行うことなく、インターフェース部20を越えたデータファイルの移動を伴う操作をユーザ端末2に対して行う。
具体的には、本実施形態における持出し制御プログラム(データ流出制御手段224)は、インターフェース部20を越えたデータファイルの移動を検知する(S402)。
本例における持出し制御プログラム(データ流出制御手段224)の「設定ファイル」では、フィルタリング検査を「有り」と設定しているので、図12に示す持出し通常時における持出し制御プログラム(データ流出制御手段223)と同様にフィルタリング検査を実行する(S404)。
フィルタリング検査の結果が「問題なし」とする場合には(S404で「問題なし」)、処理にかかるログ(実行ログ)を管理プログラム(履歴保存手段124)に送信する(S406)。ここでの「実行ログ」(図14)では、「ステータス」の欄に「不正持出し」と出力される。
一方、フィルタリング検査の結果が「問題あり」とする場合には(S404で「問題あり」)、フィルタリング検査履歴の出力を行い(S405)、処理にかかるログ(実行ログ)を管理プログラム(履歴保存手段124)に送信する(S406)。同様に「実行ログ」(図14)の「ステータス」の欄に「不正持出し」と出力する。
なお、本実施形態では、S402以降のフローについては、子プロセス的に動作することとしている。これによりシステムにかかる負担を軽減することができる。
[管理プログラム(履歴保存手段124)]
図17は、管理サーバ10が備える管理プログラム(履歴保存手段124)の処理フローを説明する図である。
管理プログラム(履歴保存手段124)は、連携して処理を行うユーザ端末2が備える持出し制御プログラム(データ流出制御手段224)から伝送される「実行ログ」(図14)の受信を検知して(S501)、履歴管理DB132に出力を行う(S502)。
なお、本実施形態では、S501以降のフローについては、子プロセス的に動作することとしている。これによりシステムにかかる負担を軽減することができる。
「実行ログ」の履歴管理DB132への出力に際しては、実行ログに含まれる「管理ナンバー」とのマッチングにより、該当するエリアに格納される。
これにより、履歴管理DB132(図4)では、ユーザから外部へのデータファイルの持出しを伴う操作が行われた場合に、すべての対応を「管理ナンバー」により紐付けして、一括して管理を行うことができる。
以上のように、本実施形態のデータ管理システム1によれば、ユーザが外部にデータを持ち出した履歴を、一元管理することができるので、ユーザに対する牽制が働き、データの不正流出に対する抑止力を生じさせることができる。
また、データの不正流出の発覚時においても、ユーザが外部にデータを持ち出した履歴により、初動対応の迅速化や対応工数の削減が図ることができる。
さらに、仮想クライアント等の技術を用いたセキュリティ端末においても、端末の制約を受けることなく、データ連携の制御や設定を、ユーザごとに容易に行うことが可能となる。
なお、高い汎用性を有する本実施形態のデータ管理システム1では、企業等で採用されるワークフローシステムの承認機能と連携して、ユーザ端末のセキュリティレベルに応じて管理者による人間系の承認を行うこととするが、他にもワークフローシステム等の業務システムとの連携を図ることで、多方面に活用することができる。
たとえば、本実施形態のデータ管理システム1では、データを端末から外部に流出させる操作が行われてから、外部へのデータの流出が実行されるまでを、一連のデータとして管理するが、ワークフローシステム等と連携することで、それぞれの工程についてユーザが所属する部署の所属長により管理を行うように設定することもできる。
具体的には、管理サーバ10が備える端末承認手段123(管理プログラム)は、ユーザが端末にしたデータの持出し操作により伝送される「キー要求ログ」(識別情報伝送手段223(キー申請プログラム))に基づいてユーザを特定すると、連携するワークフローシステムに対して、特定されたユーザの情報と「キー要求ログ」のデータを伝送する。
データの伝送を受けたワークフローシステムでは、特定されたユーザの情報と、あらかじめ備える決済フローとに基づいて、ユーザの帳票について決済を行う所属長の端末を特定して「キー要求ログ」のデータを伝送する。これにより、所属長は、部署に属するユーザが行ったデータの持出し操作を、きわめて早期に把握することができる。
次に、データの持出し操作が行われたユーザの端末が、人間系の承認を要すると判定された場合には(端末承認手段123(管理プログラム))、連携するワークフローシステムにより、決済を行う所属長の端末に承認画面を表示して、所属長の承認を待って、以後の処理につなげるように設定する。
なお、ここでの承認には、ワークフローシステムの機能により電子署名とすることで、安全かつ確実に承認を行うことができる。また、所属長の外出等により承認が受けられない場合があるので、ワークフローシステムが備えるラインの管理者が代理して承認を行う機能を組み合わせることで、承認の迅速性を担保することができる。
その後、ユーザ端末2が備えるデータ流出制御手段224(持出し制御プログラム)によりデータの持出しが完了すると、管理サーバ3が備える履歴保存手段124(管理プログラム)は、履歴管理DB132にデータの持出しの結果を出力するとともに、連携するワークフローシステムに対して、ユーザの情報と「実行ログ」のデータを伝送する。
データの伝送を受けたワークフローシステムでは、所属長が備える端末を特定して「実行ログ」のデータを伝送する。これにより、所属長は、現実にユーザが行ったデータの持出し結果を、きわめて早期に把握することができる。
これにより、ユーザが業務において行うデータの持出し等について、所属長がリアルタイムに管理することができるので、企業内のデータ管理を一層確実なものとすることができる。
[第2の実施形態]
次に、本発明のデータ管理システム1における第2の実施形態について説明する。
本実施形態では、ユーザ端末2等の識別情報伝送手段223(キー申請プログラム)からデータの持出し要求があった場合に、管理サーバ10の端末承認手段123(管理プログラム)は、ユーザ端末2等における持出し履歴に基づいて、端末の承認方法を判定する点で第1の実施形態と異なる。
第2の実施形態の管理サーバ10が備える履歴管理DB132では、第1の実施形態が保持するデータに加えて、データファイルの「持出し先」のデータを保持する。ここで「持出し先」とは、電子メールにおける持出し先のメールアドレスや、ネットワーク共有等の場合における持出し先のコンピュータのアドレス等を意味する。また、外部メディア等にデータファイルのコピー&ペースト等がなされる場合には、対象とする外部メディア等の種類等の情報を意味する。
履歴管理DB132では、他にもフィルタリング検査の結果において検出された個人の氏名等の、個人情報の「検出件数」等のデータも保持する(図18)。
なお、本実施形態において、端末承認手段123(管理プログラム)は、データ流出制御手段224(持出し制御プログラム)による持出しの対象となるデータファイルのフィルタリング検査の結果、個人情報である個人の氏名等が含まれていた場合であっても、あらかじめ定めた件数に満たない場合には、通常におけるデータファイルの受け渡しの範囲であるとして持出しを許容する。
さらに、本実施形態の履歴管理DB132には、ユーザ端末ごとの持出し履歴を管理する「端末履歴テーブル」を備える(図19)。端末履歴テーブルはユーザ端末の「管理端末ナンバー」に基づき設けられ、それぞれ「持出し先」ごとの持出しの履歴、および、持出しの対象であるデータファイルに含まれる個人情報等のデータの履歴等を管理する。
ここで、データファイルに含まれる個人情報等のデータは、ユーザ端末2等が備えるデータ流出制御手段224(持出し制御プログラム)におけるフィルタリング検査により検出される。
本実施形態におけるフィルタリング検査では、検出の対象となる個人情報や機密情報等のデータを、ネットワーク6を介して接続する管理サーバ10の記憶部13が備える「フィルタリングテーブル」で管理する。
本例のフィルタリングテーブルでは、ユーザ端末からのデータの持出しに注意が必要な顧客や従業員等の個人情報,機密情報等の管理を行う。なお、従業員や顧客の情報については、人事部等が備える従業員のデータベースや、お客さまセンター等が備える顧客のデータベースと連携することで、常に最新の情報に基づいてフィルタリング検査を行うことができる。
図20に示す本実施形態の構成例では、検出の対象となるフレーズを「検索キーワード」として一元的に管理する。また、これらの検索キーワードについて、従業員や顧客等の個人情報,機密情報等の「種別」や、これらのデータを管理するデータベースの情報も保持する。
データ流出制御手段224(持出し制御プログラム)は、持出しの対象となるデータファイルのフィルタリング検査に際して、データファイルに「フィルタリングテーブル」で定義がなされたフレーズが含まれていないかを検索する。
第1の実施形態においては、端末承認手段123(管理プログラム)は、ユーザ端末2等の承認方法の選択に際して、認証DB131が保持する「承認方法」のデータの参照を行い、セキュリティレベルの高い端末からのデータファイルの持出しは「手動(ワークフロー)」での承認とし、それ以外の端末では認証DB131と連携した「自動承認」としている。
一方、第2の実施形態では、セキュリティレベルの高い端末からのデータファイルの持出しではないため「自動承認」と判定された場合であっても、履歴管理DB132の「端末履歴テーブル」(図19)が保持するユーザ端末ごとの持出し履歴が一定の条件に該当する場合には、「手動(ワークフロー)」による承認方法に変更する。
第2の実施形態における端末承認手段123(管理プログラム)の具体的なフローについて図21に示す。ここでは第1の実施形態におけるフローを示した図9と異なる点について説明を行う。
端末承認手段123(管理プログラム)は、「自動承認」と判定を受けた要求において(S606で「自動」)、データ流出制御手段224(持出し制御プログラム)を実行し、持出しの対象となるデータファイルについて、フィルタリング検査の結果データを抽出する(S607)。
次に、端末承認手段123(管理プログラム)は、取得したフィルタリング検査の結果データから、データファイルに含まれる個人情報等のデータの件数を端末履歴テーブルに出力する(S607)。
さらに、持出し要求のデータから「持出し先」のデータを抽出し、申請のあったユーザ端末2等の識別番号に基づいて選択した端末履歴テーブル(図19)において、あらかじめ定められた期間内に同一の「持出し先」に持出しがなされた履歴を抽出する(S608)。ここで履歴のデータには、持出しの対象であるデータファイルに含まれた個人情報等のデータの件数を含むものである。
なお、外部メディア等を「持出し先」とする場合には、実際にデータファイルが使用される相手先が特定できないため、すべて「手動(ワークフロー)」による承認方法に変更するように設定することもできる。
端末承認手段123(管理プログラム)は、端末履歴テーブルにおいて、フィルタリング検査の結果データから取得したデータファイルに含まれる個人情報等のデータの件数と、あらかじめ定められた期間内に同一の「持出し先」に持出しがなされたデータファイルに含まれる個人情報等のデータの件数との合計を算出する(S609)。
算出されたデータファイルに含まれる個人情報等のデータの合計件数は、あらかじめ定められた件数との比較判定の対象となり、あらかじめ定められた件数を超えている場合に、「自動承認」から「手動(ワークフロー)」による承認方法に変更する(S610で「Y(手動)」)。
これにより、不用意に個人情報等の持出しがなされている事態を早期に把握して、ワークフローによる承認を通じて状況の確認を行うことが可能となり、不正なデータの流出を防止することができる。
ここで、判定の対象となるのはデータファイルに含まれる個人情報等のデータの合計件数なので、あらかじめ定められた期間内に同一の「持出し先」に持出しがなされたデータファイルに含まれる個人情報等のデータの件数が「0」である場合でも、フィルタリング検査の結果データから取得した、持出し要求にかかるデータファイルに含まれる個人情報等のデータの件数が「10」以上であれば、あらかじめ定められた件数を超えている場合に該当するので、「自動承認」から「手動(ワークフロー)」による承認方法に変更する(S610で「Y(手動)」)。
なお、図19の例では、あらかじめ定められた件数を「10件」、あらかじめ定められた期間を「10日」と設定するが、これらの数値は任意に設定することができる。また、フィルタリング検査により検出にかけるフレーズは、個人の氏名等の個人情報に限定するものではなく、たとえば機密情報等の流出を防止すべき各種のフレーズとすることができる(図20)。
また、本例では、一定の条件に該当する場合に「手動(ワークフロー)」による承認方法に変更することとしたが、設定により持出しを禁止するように設定することもできる。さらに、たとえば合計件数が「10〜19件」の場合には承認方法の変更とし、「20件以上」の場合には持出しを禁止する制御を行ったうえで、即座に管理者への通報を行うように設定することもできる。
他にも、あらかじめ持出し先のメールアドレスやコンピュータアドレス等をデータベース化して、持出しを行うべきではないセキュリティレベルの高い持出し先についてフラグ等を設定することで、ユーザ端末2等からの持出し要求にかかる「持出し先」と比較判定を行うことができる。これにより、持出し先のセキュリティレベルに応じて、手動(ワークフロー)による承認方法への変更や、持出しを禁止する制御を行うように設定することもできる。
また、承認方法の変更と持出しを禁止する制御は、複数種類のフラグ等を設定することで、持出し先のセキュリティレベルに応じて、承認方法の変更と持出しを禁止する制御のいずれかが選択されるように設定することもできる。
なお、フラグの設定については、たとえば同一の持出し先への頻繁なアクセス等を検知して、あらかじめ定められた回数に達したときにフラグが設定されるようにすることもできる。
さらに、あらかじめユーザ端末2等のユーザフォルダー231が管理するデータファイルについて「ファイル名」をデータベース化して、セキュリティレベルの高いデータファイルについてフラグ等を設定することで、ユーザ端末2等からの持出し要求にかかる「ファイル名」と比較判定を行うことができる。これにより、持出しの対象とされたデータファイルのセキュリティレベルに応じて、手動(ワークフロー)による承認方法への変更や、持出しを禁止する制御を行うように設定することもできる。
また、承認方法の変更と持出しを禁止する制御は、複数種類のフラグ等を設定することで、データファイルのセキュリティレベルに応じて、承認方法の変更と持出しを禁止する制御のいずれかが選択されるように設定することもできる。
なお、フラグの設定については、たとえば同一のデータファイルへの頻繁なアクセスを検知して、あらかじめ定められた回数に達したときにフラグが設定されるようにすることもできる。
[第3の実施形態]
次に、本発明のデータ管理システム1における第3の実施形態について説明する。
第3の実施形態におけるデータ流出制御手段224(持出し制御プログラム)は、ユーザ端末2等のインターフェース部20への、外部からのデータファイルの流入についても検知することができる。
具体的には、オペレーションシステムまたは業務用プログラム225において、インターフェース部20を越えたデータファイルの流入を伴う操作が選択された場合に、外部からのデータファイルの流入として検知する。
外部からのデータファイルの流入を検知したデータ流出制御手段224(持出し制御プログラム)は、データファイル流入の実行ログを生成する。
生成される実行ログにはファイル名や流入元のアドレス等のデータを含み、連携して処理を行う管理サーバ10の履歴保存手段124(管理プログラム)により、履歴管理DB132が備える流入履歴テーブルに保存される(図22)。
その後、外部から流入したデータファイルについて、ユーザにより持出し操作がなされると、識別情報伝送手段223(キー申請プログラム)が持出しキーの要求を行い、連携して処理を行う管理サーバ10の端末承認手段123(管理プログラム)により、認証DB131に基づきユーザ端末2等の認証が行われる。
次に、本実施形態の端末承認手段123(管理プログラム)は、ユーザ端末2等の承認方法の選択に際して、認証DB131が保持する「承認方法」のデータの他に「流入履歴テーブル」(図22)についても参照を行い、承認方法を判定する。
本実施形態では、セキュリティレベルの高い端末からのデータファイルの持出しではないため「自動承認」と判定された場合であっても、端末承認手段123(管理プログラム)により履歴管理DB132の「流入履歴テーブル」の検索を行い、持出し要求にかかるデータファイルが外部から流入したデータファイルである場合を検出する。
本実施形態の端末承認手段123(管理プログラム)は、「自動承認」と判定を受けた要求であって、「流入履歴テーブル」の検索の結果、持出しの対象となるデータファイルが外部から流入したデータファイルである場合に、データ流出制御手段224(持出し制御プログラム)によるフィルタリング検査の結果データを抽出する。
次に、端末承認手段123(管理プログラム)は、取得したフィルタリング検査の結果データから、データファイルに含まれる個人情報等のデータの件数を流入履歴テーブルに出力する。端末承認手段123(管理プログラム)は、データファイルに含まれる個人情報等のデータの件数があらかじめ定められた件数以上である場合に、「手動(ワークフロー)」による承認方法に変更する。
なお、ここで「流入したデータファイル」は、たとえば人事部やお客さまセンターといった個人情報を取り扱う部署が備える端末から流入したデータファイルに限定して設定することができる。また、特定の端末が流入元となって繰り返しデータファイルが送信された履歴を参照して、所定の回数以上である場合に「手動(ワークフロー)」による承認方法に変更するように設定することもできる。
これにより、ユーザが自ら管理していないデータファイルであって、本来であれば外部への持出しをすべきではないデータファイルが外部に持ち出される事態を防止することができる。
さらに、第3の実施形態におけるデータ管理システム1のデータ流出制御手段224(持出し制御プログラム)は、ユーザ端末2等のインターフェース部20に備えるユーザフォルダー231が保持する各種のデータファイルへの、ユーザによるアクセス等を管理することができる。
具体的には、データ流出制御手段224(持出し制御プログラム)は、ユーザ端末2等のオペレーションシステムまたは業務用プログラム225等と連携して、ユーザによるユーザフォルダー231のデータファイルへのアクセス等を検出する。
本実施形態のデータ流出制御手段224(持出し制御プログラム)は、外部から流入したデータファイルへのアクセスを常に監視し、同ファイルへのアクセス中に同時にアクセスがなされている他のデータファイルをも監視することができる。
本実施形態のデータ流出制御手段224(持出し制御プログラム)は、ユーザ端末2等のインターフェース部20において、外部から流入したデータファイルと同時にアクセスがなされたデータファイルを検出した場合に、実行ログを生成する。
生成される実行ログには、ファイル名や、同時にアクセスがなされた外部から流入したデータファイル等のデータを含み、連携して処理を行う管理サーバ10の履歴保存手段124(管理プログラム)により、履歴管理DB132が備える流入履歴テーブルに保存される。
以降の処理において、流入履歴テーブルに保存された「外部から流入したデータファイルと同時にアクセスがなされたデータファイル」は、外部から流入したデータファイルと同様に、端末承認手段123(管理プログラム)により履歴管理DB132の「流入履歴テーブル」における検索の対象となり、持出し要求にかかるデータファイルが「外部から流入したデータファイルと同時にアクセスがなされたデータファイル」である場合には、上述の条件のもと「手動(ワークフロー)」による承認方法に変更する。
これにより、外部から流入したデータファイルからコピー&ペースト等が行われた可能性があるデータファイルについても監視を行うことができるので、かかる態様のデータ流出についても事前に防止することができる。
なお、本例では、外部から流入したデータファイル、または、外部から流入したデータファイルと同時にアクセスがなされたデータファイルの履歴を、データベースにより管理することとしたが、データ流出制御手段224(持出し制御プログラム)により、ユーザ端末2等への外部からのデータファイルの流入、または、外部からのデータファイルへのアクセスと同時になされたユーザフォルダー231が備えるデータファイルへのアクセスを検出して、該当するデータファイルの属性情報にこれらの履歴データの書き込みを行うように設定することもできる。
かかる場合には、最終的に持出しがなされる際にデータ流出制御手段224(持出し制御プログラム)により実行されるフィルタリング検査等により属性情報を読み取り、持出しの対象となるデータファイルが外部から流入したデータファイル、または、外部から流入したデータファイルと同時にアクセスがなされたデータファイルである場合に、識別情報伝送手段223(キー申請プログラム)を経由して端末承認手段123(管理プログラム)に差し戻してあらためて承認を行うように設定することができる。
端末承認手段123(管理プログラム)による処理が完了すると、連携して処理を行う履歴保存手段124(管理プログラム)により、履歴管理DB132に履歴データを保存する。データ流出制御手段224(持出し制御プログラム)は、あらためて伝送される承認データに基づいて、外部へのデータファイルの流出を実行する。
これにより、外部からのデータファイルの流入等に伴い行われる実行ログの登録等のデータ処理を軽減することができる。
[第4の実施形態]
次に、本発明のデータ管理システム1における第4の実施形態について説明する。
第3の実施形態では、外部からのデータファイルの流入に際して、流入を検知したデータ流出制御手段224(持出し制御プログラム)により、ユーザ端末2のインターフェース部20内に直接、外部から流入したデータファイルを保存することとしたが、本実施形態におけるデータ流出制御手段224(持出し制御プログラム)では、外部から流入したデータファイルを、一旦、持出しフォルダー232に保存して、フィルタリング検査等を行った後に、インターフェース部20内のユーザフォルダー231に複製・保存を行うこととする。なお、ユーザフォルダー231に複製・保存が完了した後は、最初に持出しフォルダー232に保存されたデータファイルは削除される。
この場合において、外部からのデータファイルの流入を検知したデータ流出制御手段224(持出し制御プログラム)は、フィルタリング検査の結果を受けて、データファイル流入の実行ログを生成する。
生成される実行ログには、ファイル名や流入元のアドレス等のデータに加えて、検出された個人情報・機密情報等のデータが含まれる。連携して処理を行う管理サーバ10の履歴保存手段124(管理プログラム)は、実行ログに含まれる個人情報・機密情報等のデータを、ファイル名や流入元のアドレス等のデータと関連付けて、管理サーバ10の記憶部13が備える「フィルタリングテーブル」に保存する。
本実施形態では、管理サーバ10が備える端末承認手段123(管理プログラム)によるユーザ端末2等の承認方法の選択に際して、認証DB131が保持する「承認方法」のデータの他にフィルタリングテーブルを参照して判定を行う。
図23には、本実施形態におけるフィルタリングテーブルの構成例を示す。
本例のフィルタリングテーブルでは、第2の実施形態におけるフィルタリングテーブル(図20)と同様に「検索キーワード」「種別」「管理元」等のデータを保持するほか、それらの検索キーワードがユーザ端末2等の外部から流入したデータファイルに含まれていた場合に、流入したデータファイルのファイル名や流入元のアドレス等の履歴データを保持する。
また、本例のフィルタリングテーブルでは、フィルタリング検査において検出の対象となる個人情報や機密情報等のデータを、その重要性に応じて区別して管理することとしている。
具体的には、企業の機密情報等については絶対的な「検索キーワード」として、ユーザ端末の外部に企業の機密情報等のキーワードが含まれるデータファイルが持ち出される事態を管理する。
顧客や従業員の個人情報等については、相対的な「検索キーワード」とし、ユーザ端末の外部であってもネットワーク内にある他のユーザ端末への持出しについては許容する。一方、ネットワークの外にある端末への電子メール等の送信や、外部メディアへの複製・保存等は管理することとしている。
図23のフィルタリングテーブルの構成例では、それぞれの「種別」ごとの重要度を定義するマスタファイルを備えて、一括して管理を行うこととしている。本例のマスタファイルでは、絶対的な「検索キーワード」を「×」として、相対的な「検索キーワード」を「△」で示している。これらの変更は、マスタファイルの変更を行うことで、一括して適用することができる。
これにより、状況により重要度の定義の変更が必要となった場合に、迅速に対応することができる。
次に、本実施形態において、管理サーバ10が備える端末承認手段123(管理プログラム)の動作について説明する。
端末承認手段123(管理プログラム)は、ユーザ端末2等の承認方法の選択に際して、認証DB131が保持する「承認方法」のデータの他に「フィルタリングテーブル」(図23)についても参照を行い、外部への持出しの対象となるデータファイルに「検索キーワード」が含まれているか否かで承認方法を判定する。
具体的には、本実施形態の端末承認手段123(管理プログラム)は、「自動承認」と判定を受けた持出し要求である場合に、ユーザ端末2等が備えるデータ流出制御手段224(持出し制御プログラム)により生成された、持出し要求にかかるデータファイルのフィルタリング検査の結果データを抽出する。
次に、フィルタリング検査の結果データに個人情報や機密情報等のデータを含む場合に、管理サーバ10が備えるフィルタリングテーブルの参照を行う。
本例におけるフィルタリングテーブルでは、企業の機密情報等については絶対的な「検索キーワード」として定義がなされており(図23)、端末承認手段123(管理プログラム)は、フィルタリング検査の結果データに機密情報等のデータを含む場合に、フィルタリングテーブルが備えるマスタファイルの「×」を検知して、承認方法を「自動承認」から「手動(ワークフロー)」に変更する。
これにより、最も重要な情報である企業の機密情報について、端末から外部への流出の操作がなされた場合に、「手動(ワークフロー)」による承認方法となるので、確実に安全を確保することができる。
次に、フィルタリング検査の結果データに個人情報等のデータを含む場合であっても、個人情報等のデータは相対的な「検索キーワード」であるため、持出し先がネットワーク内の他のユーザ端末である場合には、通常におけるデータファイルの受け渡しの範囲であるとして持出しを許容する。一方、持出し先が電子メール等によるネットワーク外の端末である場合や、外部メディアへの複製・保存である場合には、承認方法を「自動承認」から「手動(ワークフロー)」に変更する。
具体的には、本実施形態の端末承認手段123(管理プログラム)は、フィルタリング検査の結果データに顧客や従業員の個人情報等のデータを含む場合に、フィルタリングテーブルが備えるマスタファイルの「△」を検知する(図23)。次に、持出し要求ファイルから持出し先のアドレス等を抽出し、図示しないネットワーク内のユーザ端末を管理するデータベース等を検索して、ユーザ端末の特定がなされた場合には、承認方法を「自動承認」とする。一方、アドレス等がネットワーク内のユーザ端末に特定できない場合には、承認方法を「自動承認」から「手動(ワークフロー)」に変更する。
これにより、ネットワーク内における通常のデータの持出しについては、簡易な方法で承認がなされるので、ユーザの負担を軽減することができる。
なお、顧客や従業員の個人情報等の相対的な「検索キーワード」であって、ネットワーク内のユーザ端末に持出しを行う場合であっても、持出しの対象となるデータファイルに含まれる「検索キーワード」が、ユーザ端末の外部から流入したデータファイルに含まれるフレーズである場合には、持出しを制限するように設定することもできる。
具体的には、外部への持出しの対象となるデータファイルに含まれる相対的な「検索キーワード」の参照に際して、持出しの要求がなされたユーザ端末の端末管理ナンバーと、フィルタリングテーブルの「流入先端末管理ナンバー」との比較判定を行い、同一であった場合に外部から流入したファイルに含まれたデータとして、承認方法を「自動承認」から「手動(ワークフロー)」に変更するように設定することもできる。
この場合において、フィルタリングテーブルの「流入元端末管理ナンバー」がネットワーク内における特定のユーザ端末である場合に限定して、動作がなされるように設定することもできる。
これにより、たとえば人事部やお客さまセンター等の個人情報を取り扱う部署からのデータの流出を具体的に管理することが可能とする。
以上の通り、本発明のデータ管理システム1は、各種の設定等を変更することで、さまざまな効果を奏することができる。
第1の実施形態にかかるデータ管理システム1の概要を示した図である。 第1の実施形態にかかるデータ管理システム1のシステムブロック図である。 第1の実施形態にかかるデータ管理システム1の管理サーバ10の記憶部13が備える認証DB131の構成例である。 第1の実施形態にかかるデータ管理システム1の管理サーバ10の記憶部13が備える履歴管理DB132の構成例である。 第1の実施形態にかかるデータ管理システム1のユーザ端末2が備える識別情報伝送手段223(キー申請プログラム)のフローを説明する図である。 第1の実施形態にかかるデータ管理システム1のユーザ端末2が備える識別情報伝送手段223(キー申請プログラム)の「設定ファイル」の例を示した図である。 第1の実施形態にかかるデータ管理システム1のユーザ端末2が備える識別情報伝送手段223(キー申請プログラム)により出力される「キー要求ログ」の例を示した図である。 第1の実施形態にかかるデータ管理システム1の管理サーバ10が備える端末承認手段123(管理プログラム)により出力される「持出しキー」の例を示した図である。 第1の実施形態にかかるデータ管理システム1の管理サーバ10が備える端末承認手段123(管理プログラム)のフローを説明する図である。 第1の実施形態にかかるデータ管理システム1の管理サーバ10が備える端末承認手段123(管理プログラム)の処理において、認証DB131から返される「認証結果」の例を示した図である。 第1の実施形態にかかるデータ管理システム1の管理サーバ10が備える端末承認手段123(管理プログラム)において生成される「履歴データ」の例を示した図である。 第1の実施形態にかかるデータ管理システム1のユーザ端末2が備えるデータ流出制御手段224(持出し制御プログラム)の通常時におけるフローを説明する図である。 第1の実施形態にかかるデータ管理システム1のユーザ端末2が備えるデータ流出制御手段224(持出し制御プログラム)の「設定ファイル」の例を示した図である。 第1の実施形態にかかるデータ管理システム1のユーザ端末2が備えるデータ流出制御手段224(持出し制御プログラム)により出力される「実行ログ」の例を示した図である。 第1の実施形態にかかるデータ管理システム1のユーザ端末2が備えるデータ流出制御手段224(持出し制御プログラム)により出力される「フィルタリング検査履歴」の例を示した図である。 第1の実施形態にかかるデータ管理システム1のユーザ端末2が備えるデータ流出制御手段224(持出し制御プログラム)の不正持出し時におけるフローを説明する図である。 第1の実施形態にかかるデータ管理システム1の管理サーバ10が備える履歴保存手段124(管理プログラム)のフローを説明する図である。 第2の実施形態にかかるデータ管理システム1の管理サーバ10の記憶部13が備える履歴管理DB132の構成例である。 第2の実施形態にかかるデータ管理システム1の管理サーバ10の記憶部13が備える履歴管理DB132の端末履歴テーブルの構成例である。 第2の実施形態にかかるデータ管理システム1の管理サーバ10の記憶部13が備えるフィルタリングテーブルの構成例である。 第2の実施形態にかかるデータ管理システム1の管理サーバ10が備える端末承認手段123(管理プログラム)のフローを説明する図である。 第3の実施形態にかかるデータ管理システム1の管理サーバ10の記憶部13が備える履歴管理DB132の流入履歴テーブルの構成例である。 第4の実施形態にかかるデータ管理システム1の管理サーバ10の記憶部13が備えるフィルタリングテーブルの構成例である。
符号の説明
1 データ管理システム
2 ユーザ端末
3 専用回線
4 ワークフローシステムサーバ
5 外部メディア
6 ネットワーク
7 外部端末
10 管理サーバ
11、21、41、71 送受信部
12、22、42、72 中央演算処理部
13、23、43、73 記憶部
14、24、44、74 入力部
15、25、45、75 出力部
20 インターフェース部
121、221 送受信処理手段
122、222 入出力処理手段
123 端末承認手段(管理プログラム)
124 履歴保存手段(管理プログラム)
131 認証DB
132 履歴管理DB
223 識別情報伝送手段(キー申請プログラム)
224 データ流出制御手段(持出し制御プログラム)
225 業務用プログラム
231 ユーザフォルダー
232 持出しフォルダー

Claims (6)

  1. 伝送路を介して接続する管理サーバと端末とのデータ連携により、端末から外部へのデータの流出を管理するデータ管理システムであって、
    前記端末には、
    端末から外部にデータを流出させる操作を受けて、該端末の識別情報を含むデータを、前記管理サーバに伝送する識別情報伝送手段と、
    前記管理サーバから伝送される端末から外部へのデータの流出を許可する設定が埋め込まれた承認データに基づき、端末から外部へのデータの流出を実行するデータ流出制御手段と、
    を備え、
    前記管理サーバには、
    前記端末から伝送された識別情報に基づいて該端末の特定を行い、端末の特定がなされた場合に、端末から外部へのデータの流出を許可する設定を埋め込んだ承認データを生成して、該端末に伝送する端末承認手段と、
    前記端末から伝送された端末の識別情報と、該端末から該識別情報が伝送された日時とに基づいて、端末でなされたデータを端末から外部に流出させる操作を単位とする管理番号の生成を行い、該端末の特定を行う処理の履歴データと、前記承認データを生成して前記端末に伝送する処理の履歴データと、該端末において生成される外部へのデータの流出を実行した処理の履歴データとを、前記管理番号と関連付けてデータファイルに保存する履歴保存手段と、
    を備えることを特徴とするデータ管理システム。
  2. 前記端末承認手段により生成される承認データは有効期限を有し、
    前記データ流出制御手段は、前記管理サーバからの前記承認データの伝送を受けて、前記端末における操作において端末から外部への流出の対象となるデータを、該端末のユーザが使用する保存領域からユーザが使用しない保存領域に複製し、端末から外部へのデータの流出は、該ユーザが使用しない保存領域に複製されたデータに基づいて行われ、
    端末から外部へのデータの流出を実行した場合、または、端末から外部へのデータの流出を実行することなく前記承認データの有効期限が経過した場合には、前記ユーザが使用しない保存領域に複製されたデータを消去することを特徴とする請求項1記載のデータ管理システム。
  3. 端末ごとに設定された端末から外部へのデータの流出を許可する範囲を規定するデータを予め備え、
    前記端末承認手段は、前記特定された端末を、前記端末から外部へのデータの流出を許可する範囲を規定するデータに基づいて判定して、端末に応じて端末から外部へのデータの流出を許可する範囲を制限する承認データを生成することを特徴とする請求項1又は2に記載のデータ管理システム。
  4. 前記データ流出制御手段は、前記管理サーバからの前記承認データの伝送を受けて、前記端末における操作において端末から外部への流出の対象となるデータを、該端末のユーザが使用する保存領域からユーザが使用しない保存領域に複製し、
    前記ユーザが使用しない保存領域に複製したデータにフィルタリング検査を行い、予め定められたデータが検出された場合には、端末から外部へのデータの流出を実行することなく、前記ユーザが使用しない保存領域に複製されたデータを消去することを特徴とする請求項1乃至3のいずれか一に記載のデータ管理システム。
  5. 前記端末承認手段により生成される承認データには、承認を行った端末の識別情報を含み、
    前記データ流出制御手段は、前記承認データに含まれる識別番号の端末以外の端末においては、端末から外部へのデータの流出を実行しないことを特徴とする1乃至4のいずれか一に記載のデータ管理システム。
  6. 伝送路を介して接続する管理サーバと端末とのデータ連携により、端末から外部へのデータの流出を管理するデータ管理方法であって、
    端末において、端末から外部にデータを流出させる操作を受けて、該端末の識別情報を含むデータを、前記管理サーバに伝送するステップと、
    前記管理サーバにおいて、前記端末から伝送された端末の識別情報と、該端末から該識別情報が伝送された日時とに基づいて、前記端末でなされたデータを端末から外部に流出させる操作を単位とする管理番号の生成を行い、データファイルに保存するステップと、
    前記端末から伝送された端末の識別情報に基づいて該端末の特定を行い、端末の特定がなされた場合に、端末から外部へのデータの流出を許可する設定を埋め込んだ承認データを生成して、該端末に伝送するステップと、
    前記端末の特定を行う処理の履歴データと、前記承認データを生成して前記端末に伝送する処理の履歴データを生成して、前記管理番号と関連付けてデータファイルに保存するステップと、
    前記端末において、前記管理サーバから伝送される前記承認データに基づき、端末から外部へのデータの流出を実行するステップと、
    端末において生成される外部へのデータの流出を実行した処理の履歴データを、前記管理サーバが伝送路を介して受信して、前記管理番号と関連付けてデータファイルに保存するステップと、
    を備えることを特徴とするデータ管理方法。
JP2008084395A 2008-03-27 2008-03-27 データ管理システム Expired - Fee Related JP4948460B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008084395A JP4948460B2 (ja) 2008-03-27 2008-03-27 データ管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008084395A JP4948460B2 (ja) 2008-03-27 2008-03-27 データ管理システム

Publications (2)

Publication Number Publication Date
JP2009237997A true JP2009237997A (ja) 2009-10-15
JP4948460B2 JP4948460B2 (ja) 2012-06-06

Family

ID=41251848

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008084395A Expired - Fee Related JP4948460B2 (ja) 2008-03-27 2008-03-27 データ管理システム

Country Status (1)

Country Link
JP (1) JP4948460B2 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009258906A (ja) * 2008-04-15 2009-11-05 Nippon Telegr & Teleph Corp <Ntt> 外部メディア制御方法、システム及び装置
JP2011013862A (ja) * 2009-06-30 2011-01-20 Canon Marketing Japan Inc 文書管理システム、文書管理方法、及びそのプログラム
JP2011103057A (ja) * 2009-11-11 2011-05-26 Hitachi Electronics Service Co Ltd 持出し管理システム
JP2011147088A (ja) * 2010-01-18 2011-07-28 Chugoku Electric Power Co Inc:The 情報処理システム
JP2012123788A (ja) * 2010-12-07 2012-06-28 Estsoft Corp ウェブストレージシステムにおけるファイル管理方法
US8510736B2 (en) 2010-08-26 2013-08-13 Kabushiki Kaisha Toshiba Computer system, information processing apparatus, and security protection method
JP2018041223A (ja) * 2016-09-06 2018-03-15 富士通株式会社 制御プログラム、制御方法、情報処理装置、復号プログラム、復号方法、及び端末装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000057056A (ja) * 1998-08-13 2000-02-25 Fuji Xerox Co Ltd データ処理装置
WO2001082086A1 (en) * 2000-04-24 2001-11-01 Matsushita Electric Industrial Co., Ltd. Access right setting device and manager terminal
JP2006171830A (ja) * 2004-12-13 2006-06-29 Fuji Xerox Co Ltd 出力管理装置、出力管理方法及びそのプログラム
JP2007094493A (ja) * 2005-09-27 2007-04-12 Matsushita Electric Works Ltd アクセス制御システム及びアクセス制御方法
JP2007115192A (ja) * 2005-10-24 2007-05-10 Chial & Associates:Kk ファイル管理システム、情報処理装置、認証システム、およびファイル利用権限設定システム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000057056A (ja) * 1998-08-13 2000-02-25 Fuji Xerox Co Ltd データ処理装置
WO2001082086A1 (en) * 2000-04-24 2001-11-01 Matsushita Electric Industrial Co., Ltd. Access right setting device and manager terminal
JP2006171830A (ja) * 2004-12-13 2006-06-29 Fuji Xerox Co Ltd 出力管理装置、出力管理方法及びそのプログラム
JP2007094493A (ja) * 2005-09-27 2007-04-12 Matsushita Electric Works Ltd アクセス制御システム及びアクセス制御方法
JP2007115192A (ja) * 2005-10-24 2007-05-10 Chial & Associates:Kk ファイル管理システム、情報処理装置、認証システム、およびファイル利用権限設定システム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009258906A (ja) * 2008-04-15 2009-11-05 Nippon Telegr & Teleph Corp <Ntt> 外部メディア制御方法、システム及び装置
JP2011013862A (ja) * 2009-06-30 2011-01-20 Canon Marketing Japan Inc 文書管理システム、文書管理方法、及びそのプログラム
JP2011103057A (ja) * 2009-11-11 2011-05-26 Hitachi Electronics Service Co Ltd 持出し管理システム
JP2011147088A (ja) * 2010-01-18 2011-07-28 Chugoku Electric Power Co Inc:The 情報処理システム
US8510736B2 (en) 2010-08-26 2013-08-13 Kabushiki Kaisha Toshiba Computer system, information processing apparatus, and security protection method
JP2012123788A (ja) * 2010-12-07 2012-06-28 Estsoft Corp ウェブストレージシステムにおけるファイル管理方法
JP2018041223A (ja) * 2016-09-06 2018-03-15 富士通株式会社 制御プログラム、制御方法、情報処理装置、復号プログラム、復号方法、及び端末装置

Also Published As

Publication number Publication date
JP4948460B2 (ja) 2012-06-06

Similar Documents

Publication Publication Date Title
CN112262388B (zh) 使用个人身份信息pii的标记和持久性来保护pii
US7917752B2 (en) Method of controlling the processing of data
US8499152B1 (en) Data positioning and alerting system
US8453258B2 (en) Protecting an electronic document by embedding an executable script
Swanson et al. Generally accepted principles and practices for securing information technology systems
US8504841B1 (en) Systems and methods for software application security management
JP4948460B2 (ja) データ管理システム
JP5789390B2 (ja) 業務情報防護装置および業務情報防護方法、並びにプログラム
US10949503B1 (en) Systems and methods for secure online repositories
Pathak Information technology auditing: an evolving agenda
JP2001118009A (ja) 電子帳票の取得方法、電子帳票システム、電子帳票を取得するプログラムを格納した記憶媒体
JP2006155535A (ja) 個人情報探索プログラム,個人情報管理システムおよび個人情報管理機能付き情報処理装置
JPWO2020066493A1 (ja) 情報処理システム、情報処理方法及び情報処理プログラム
KR101349762B1 (ko) 개인정보를 보호하고 관리하는 방법
JP4764614B2 (ja) 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体
JP2015195042A (ja) 業務情報防護装置および業務情報防護方法、並びにプログラム
JP4191239B2 (ja) アクセス権限制御システム
CN101523374B (zh) 发行隐私
JP4293238B2 (ja) 資産持ち出し管理システム、資産持ち出し管理方法、持ち出し資産、持ち出し資産制御プログラム
JP7748335B2 (ja) 管理装置、電子商取引システム、管理方法、及び、管理プログラム
KR101918501B1 (ko) 보안정책 관리 시스템
JP2016173851A (ja) 業務情報防護装置および業務情報防護方法、並びにプログラム
Aldoseri et al. Strengthening data security in Bahrain: leveraging Microsoft Purview to prevent leakage of sensitive information
JP6091286B2 (ja) ファイル管理システムおよびファイル管理方法
JP7637041B2 (ja) 情報処理装置、情報処理方法及びコンピュータプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100810

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120228

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120306

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150316

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4948460

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150316

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees