JP2005309887A - 不正閲覧監視システム - Google Patents
不正閲覧監視システム Download PDFInfo
- Publication number
- JP2005309887A JP2005309887A JP2004127582A JP2004127582A JP2005309887A JP 2005309887 A JP2005309887 A JP 2005309887A JP 2004127582 A JP2004127582 A JP 2004127582A JP 2004127582 A JP2004127582 A JP 2004127582A JP 2005309887 A JP2005309887 A JP 2005309887A
- Authority
- JP
- Japan
- Prior art keywords
- browsing
- user
- unauthorized
- confidential document
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】機密文書の閲覧がその閲覧許可者に制限されるシステムにおける、機密文書の不正閲覧による被害の軽減を図る。
【解決手段】監視部16は、閲覧許可者が設定された機密文書に対するユーザの閲覧動作を監視する。不正閲覧判定部17は、監視部16の監視結果が予め設定された不正閲覧条件に合致するか否かを判定する。処理実行部19は、不正閲覧判定部17により不正閲覧条件に合致すると判定された場合に、文書の所有者やシステムの管理者にアラートを上げるなどの所定の処理を実行する。
【選択図】図2
【解決手段】監視部16は、閲覧許可者が設定された機密文書に対するユーザの閲覧動作を監視する。不正閲覧判定部17は、監視部16の監視結果が予め設定された不正閲覧条件に合致するか否かを判定する。処理実行部19は、不正閲覧判定部17により不正閲覧条件に合致すると判定された場合に、文書の所有者やシステムの管理者にアラートを上げるなどの所定の処理を実行する。
【選択図】図2
Description
本発明は、閲覧許可者が設定された機密文書の閲覧を制御する機密文書管理システムにおける、機密文書に対する不正閲覧を監視する不正閲覧監視システムに関する。
インターネットの浸透および電子ドキュメント(電子文書)の流通増大により、電子ドキュメントからの情報漏洩を防ぐことが企業の重要な経営課題になりつつある。一般的なドキュメントへのアクセス制御は、ユーザに対して、ユーザ認証を行い、そのユーザに与えられている権限の範囲で操作を認める、というものである。まず、認証に関しては、ユーザ名とパスワードで行うため、パスワードが見破られると、容易にそのユーザになりすまされてしまう。次に、ドキュメントの取得権限があれば、ネットワークを介してドキュメントを取得できるが、ネットワーク上を生のデータが流れることになり、盗聴されてしまう恐れがある。次に、ドキュメントを取得した後は、そのドキュメントに関しては取得したユーザに任されているので、不正に他の人に渡したりすることも可能である。
このように、電子ドキュメントについては、情報が漏洩してしまう危険があらゆるところにある。このため、それを防ぐためのシステムが次々に開発されている。例えば、ドキュメントを暗号化するとともに、閲覧許可者を設定して、閲覧許可者以外のユーザが閲覧することができないようにする機密ドキュメントシステムが知られている。このシステムに関する既存の製品としては、米Authentica社のPageRecallや、クオリティ株式会社のDataKeyServerがある。また、本願の出願人により先になされた特許出願(特願2002−313546)において、関連する技術が提案されている。
なお、特許文献1には、文書に対してその機密度等に応じて設定されたレベルの暗号化を施して、当該文書を保存、転送する技術が開示されている。
しかし、上記システムにおいても、悪意を持った正当なユーザであれば、なりすましを行わせることが可能であり、完全に不正閲覧を防ぐことはできない。
そこで、本発明は、機密文書の閲覧がその閲覧許可者に制限されるシステムにおける、機密文書の不正閲覧による被害の軽減を図ることができる不正閲覧監視システムを提供する。
本発明の不正閲覧監視システムは、ユーザ認証されたユーザから機密文書に対する閲覧要求を受け付け、前記ユーザが前記機密文書に設定された閲覧許可者に該当する場合に、前記ユーザに前記機密文書の閲覧を許可する機密文書管理システムにおける、前記機密文書に対する不正閲覧を監視するシステムであって、前記機密文書に対する前記ユーザの閲覧動作を監視する監視手段と、当該監視手段の監視結果が予め設定された不正閲覧条件に合致するか否かを判定する不正閲覧判定手段と、当該不正閲覧判定手段により不正閲覧条件に合致すると判定された場合に、予め設定された処理を実行する処理実行手段と、を有することを特徴とする。
本発明では、前記不正閲覧条件は、前記ユーザの閲覧動作が現実には複数ユーザによるものと推定される条件を含むことが好ましい。
より具体的には、前記不正閲覧条件は、同じユーザに同じ時期に閲覧されたこと、同じユーザに所定以上離れた場所から所定以内の時間間隔で閲覧されたこと、または同じユーザに所定の期間あるいは時間帯に所定回数以上閲覧されたこと、を含むことが好ましい。
また、本発明では、前記機密文書の内容に応じて、当該機密文書の不正閲覧条件を設定する第1の条件設定手段をさらに有することが好ましい。
また、前記ユーザの過去の閲覧パターンに基づいて将来の閲覧パターンを予測し、前記ユーザの閲覧パターンが予測される閲覧パターンと異なることを不正閲覧条件として設定する第2の条件設定手段をさらに有することが好ましい。
ここで、前記第2の条件設定手段は、機密文書の内容別に将来の閲覧パターンを予測し、機密文書の内容に応じて、当該機密文書の不正閲覧条件を設定することが好ましい。
また、本発明では、前記不正閲覧条件は、前記ユーザについて予め決められたタイムゾーン以外の閲覧時刻に閲覧されたこと、を含むことが好ましい。
ここで、前記閲覧時刻は、閲覧場所に基づいて時差を考慮して決定されることが好ましい。
本発明の不正閲覧監視方法は、ユーザ認証されたユーザから機密文書に対する閲覧要求を受け付け、前記ユーザが前記機密文書に設定された閲覧許可者に該当する場合に、前記ユーザに前記機密文書の閲覧を許可する機密文書管理システムにおいて、不正閲覧監視システムが前記機密文書に対する不正閲覧を監視する方法であって、前記機密文書に対する前記ユーザの閲覧動作を監視する監視ステップと、当該監視ステップの監視結果が予め設定された不正閲覧条件に合致するか否かを判定する不正閲覧判定ステップと、当該不正閲覧判定ステップで不正閲覧条件に合致すると判定された場合に、予め設定された処理を実行する処理実行ステップと、を有することを特徴とする。
本発明の不正閲覧監視プログラムは、ユーザ認証されたユーザから機密文書に対する閲覧要求を受け付け、前記ユーザが前記機密文書に設定された閲覧許可者に該当する場合に、前記ユーザに前記機密文書の閲覧を許可する機密文書管理システムにおいて、前記機密文書に対する不正閲覧を監視するためのプログラムであって、コンピュータに、前記機密文書に対する前記ユーザの閲覧動作を監視する監視ステップと、当該監視ステップの監視結果が予め設定された不正閲覧条件に合致するか否かを判定する不正閲覧判定ステップと、当該不正閲覧判定ステップで不正閲覧条件に合致すると判定された場合に、予め設定された処理を実行する処理実行ステップと、を実行させることを特徴とする。
本発明の機密文書管理システムは、ユーザを認証する認証手段と、当該認証手段により認証されたユーザから機密文書に対する閲覧要求を受け付ける閲覧要求受付手段と、前記ユーザが前記機密文書に設定された閲覧許可者に該当するか否かを判定する権限判定手段と、当該権限判定手段により閲覧許可者に該当すると判定された場合に、前記ユーザに前記機密文書の閲覧を許可する閲覧許可手段と、を有し、機密文書の閲覧を制御するシステムにおいて、前記機密文書に対する前記ユーザの閲覧動作を監視する監視手段と、当該監視手段の監視結果が予め設定された不正閲覧条件に合致するか否かを判定する不正閲覧判定手段と、当該不正閲覧判定手段により不正閲覧条件に合致すると判定された場合に、予め設定された処理を実行する処理実行手段と、を有することを特徴とする。
本発明によれば、機密文書の閲覧がその閲覧許可者に制限されるシステムにおける、機密文書の不正閲覧による被害の軽減を図ることができる。
以下、本発明の実施の形態を図面に従って説明する。
図1は、機密文書管理システムの構成を示すブロック図である。図1に示されるとおり、機密文書管理システムは、機密文書の閲覧を制御する管理サーバ10、文書(ドキュメントともいう)の機密化を行うユーザが利用するクライアント20、および機密文書を閲覧するユーザが利用するクライアント30が、インターネット等のネットワークNを介して互いに接続されて構成される。この機密文書管理システムは、機密文書の閲覧をその機密文書に設定された閲覧許可者に制限するものである。別の言い方をすれば、文書を機密化するとともに、閲覧許可者を設定して、閲覧許可者以外のユーザが閲覧することができないようにするものである。
なお、図1では、説明の簡略化のため、クライアント20およびクライアント30の数を1としているが、それぞれ複数であってもよい。
ここで、文書の機密化とは、ある文書を所定の許可がなければ閲覧できない文書に変換することを意味し、代表的には暗号化である。また、機密文書とは、機密化された文書を意味する。機密化される文書の種類は、特に限定されないが、例えばPDFファイルである。
図1に示されるとおり、管理サーバ10は、制御情報格納部11、認証部12、閲覧要求受付部13、権限判定部14、および閲覧許可部15を有する。
制御情報格納部11は、各機密文書に設定された閲覧許可者等の制御情報を格納する記憶媒体である。ここでは、各機密文書について、文書ID、閲覧許可者のユーザID、および当該機密文書を復号化するための共通鍵が対応付けられて格納されている。ここで、文書IDは、各機密文書を識別するための識別情報である。また、ユーザIDは、各ユーザを識別するための識別情報である。
認証部12は、各ユーザのユーザ認証を行う。ここでは、各ユーザに付与されたユーザID、パスワード、およびデジタル証明書を用いて認証を行う。
閲覧要求受付部13は、認証部12により認証されたユーザから機密文書に対する閲覧要求を受け付ける。ここでは、各機密文書は、文書IDにより特定される。
権限判定部14は、制御情報格納部11を参照して、閲覧を要求しているユーザが機密文書に設定された閲覧許可者に該当するか否かを判定する。
閲覧許可部15は、権限判定部14により閲覧許可者に該当すると判定された場合に、当該ユーザに機密文書の閲覧を許可する。ここでは、当該ユーザが利用しているクライアント30に機密文書を復号化するための共通鍵を送る。
クライアント20は、文書を暗号化する暗号化部21と、暗号化された機密文書に閲覧許可者などの情報を設定する制御情報設定部22とを有する。
クライアント30は、機密文書を復号化する復号化部31と、復号化された文書を表示画面上に表示させる画面制御部32(いわゆるビュワー)とを有する。
上記の管理サーバ10、クライアント20、およびクライアント30はコンピュータであり、上記の各部11〜15、21〜22、31〜32は、ハードディスク等の記憶媒体に格納されたプログラムがCPU等のコンピュータハードウェア資源により実行されることによって実現される。ただし、これらの実現手段は特に限定されない。
次に、上記構成を有する機密文書管理システムの動作について説明する。
[文書の機密化]
クライアント20は、ユーザ(文書の作成者または所有者)による文書の機密化の指示操作を受け付けると、管理サーバ10にアクセスし、ユーザにより入力されるユーザIDとパスワード、およびデジタル証明書を提示する。
クライアント20は、ユーザ(文書の作成者または所有者)による文書の機密化の指示操作を受け付けると、管理サーバ10にアクセスし、ユーザにより入力されるユーザIDとパスワード、およびデジタル証明書を提示する。
管理サーバ10は、受け取ったデジタル証明書等によりユーザ認証および権限チェックを行う。そして、機密化権限を有するユーザであれば、暗号化および復号化するための共通鍵を生成し、この共通鍵をクライアント20に送る。ここで、共通鍵は、クライアント20の公開鍵で暗号化されることが好ましい。
クライアント20は、共通鍵を受け取ると、ユーザに機密化を希望する文書の指定を促す。ユーザから文書の指定を受け付けると、指定された文書を共通鍵で暗号化する。そして、ユーザに機密文書に対する閲覧許可者などの制御情報の設定を促す。クライアント20は、ユーザから受け付けた制御情報を管理サーバ10に送る。
管理サーバ10は、受け取った制御情報を共通鍵とともに文書IDと対応付けて制御情報格納部11に格納する。ここで、文書IDは、管理サーバ10またはクライアント20により適時に発行されるものとする。
その後、機密化を行ったユーザは、機密文書を、電子メール、Web公開、FTP転送、あるいはオフライン配送などの任意の手段で配布する。
[機密文書の閲覧]
クライアント30は、ユーザによる機密文書の閲覧指示操作を受け付けると、管理サーバ10にアクセスし、ユーザにより入力されるユーザIDとパスワード、およびデジタル証明書を提示する。
クライアント30は、ユーザによる機密文書の閲覧指示操作を受け付けると、管理サーバ10にアクセスし、ユーザにより入力されるユーザIDとパスワード、およびデジタル証明書を提示する。
管理サーバ10は、受け取ったデジタル証明書等によりユーザ認証を行う。そして、認証に成功すると、その旨をクライアント30に通知する。
クライアント30は、この通知に応じて、ユーザが閲覧を希望する機密文書の文書IDを管理サーバ10に送る。
管理サーバ10は、文書IDを受け取ると、制御情報格納部11を参照し、受け取った文書IDに設定された閲覧許可者のユーザIDを読み出し、認証されたユーザが閲覧許可者に該当するか否かを判定する。そして、閲覧許可者であれば、文書IDに対応する共通鍵をクライアント30に送る。ここで、共通鍵は、クライアント30の公開鍵で暗号化されることが好ましい。
クライアント30は、送られてきた共通鍵で機密文書を復号化して画面上に表示する。
以上のとおり、上記の機密文書管理システムによれば、機密文書の閲覧を閲覧許可者に限定することができ、閲覧許可者以外のユーザの閲覧を禁止することができる。
しかし、先述したとおり、このようなシステムであっても、悪意を持った正当なユーザであれば、なりすましを行わせて不正閲覧させることが可能であり、完全に不正閲覧を防止することはできない。
そこで、本実施の形態では、機密文書に対する不正閲覧を監視することにより、不正閲覧による被害の軽減を図る。具体的には、機密文書に対するユーザの閲覧動作を監視し、この監視結果が所定の不正閲覧条件に合致した場合に、不正閲覧の可能性ありとして、機密文書の所有者に通知する等の所定の処理を行うこととする。そして、これを実現するために、図1に示される機密文書管理システムに、不正閲覧監視システムを付加することとする。
図2は、本実施の形態に係る不正閲覧監視システムを含む機密文書管理システムの構成を示すブロック図である。
図2に示されるとおり、管理サーバ10に、監視部16、不正閲覧判定部17、条件設定部18、および処理実行部19を追加する。これらの各部16〜19は、記憶媒体に格納された本実施の形態に係る不正閲覧監視プログラムがCPU等のコンピュータハードウェア資源により実行されることによって実現される。ただし、これらの実現手段は特に限定されない。
監視部16は、機密文書に対するユーザの閲覧動作を監視する。ここで、閲覧動作とは、主として画面上での閲覧を意味するが、閲覧動作には、広く閲覧に関する動作、例えば、閲覧の要求(権限なしも含む)、画面コピー、文書内容コピー、印刷等が含まれてもよい。具体的には、監視部16は、管理サーバ10とクライアント30との間でやりとりされるデータを監視することにより、閲覧ユーザ情報(ユーザID)、閲覧文書情報(文書ID)、閲覧日時情報、および閲覧場所情報(IPアドレス)を取得し、ログ情報として管理する。すなわち、誰がいつ何をどこで閲覧したかをログ情報として記録しておく。さらに、本実施の形態では、クライアント30に、ユーザの閲覧ログを監視部16に送信する閲覧ログ送信部33を機能モジュールとして追加する。これにより、監視部16は、閲覧時間(文書を閲覧している時間)や、閲覧時の操作(画面コピー、文書内容のコピー等)を取得することが可能となる。また、クライアント30におけるオフラインでの閲覧を許可した場合に、オフライン中の閲覧ログを閲覧ログ送信部33から取得することが可能となる。この閲覧ログ送信部33は、例えば、ワードプロセッサソフトやビュワーソフトに対するプラグインにより実現される。
不正閲覧判定部17は、監視部16のログ情報を参照して、監視結果が予め設定された不正閲覧条件に合致するか否かを判定する。ここで、不正閲覧条件は、各機密文書に対して予め設定される。不正閲覧条件は、機密文書の所有者により機密化の際や機密化後に設定されてもよいし、管理サーバ10により設定されてもよい。また、閲覧許可者毎に設定されてもよいし、閲覧許可者全員に共通に設定されてもよい。
条件設定部18は、機密文書の内容、または、ユーザの過去の閲覧パターンに応じて、不正閲覧条件を設定する。
処理実行部19は、不正閲覧判定部17により不正閲覧条件に合致すると判定された場合に、管理者にアラートを上げるなど、予め設定された処理を実行する。
[不正閲覧条件]
以下、不正閲覧条件について詳細に説明する。不正閲覧条件は、例えば下記の属性の組み合わせからなる。
1)権限なしアクセス
2)アクセスユーザ(PCのログインユーザ、サービスへのログインユーザ)
3)閲覧日時
4)閲覧場所(IPアドレスなど)
5)所定期間内(例えば1時間あたり、1日あたり)における閲覧回数
6)閲覧時間(文書を閲覧している時間)
7)閲覧パターン(過去の閲覧パターン)
8)閲覧時間帯(午前、午後、夜中など)
9)タイムゾーン(ユーザについて予め決めておく)
10)閲覧時の操作(画面コピー、文書内容コピー)
以下、不正閲覧条件について詳細に説明する。不正閲覧条件は、例えば下記の属性の組み合わせからなる。
1)権限なしアクセス
2)アクセスユーザ(PCのログインユーザ、サービスへのログインユーザ)
3)閲覧日時
4)閲覧場所(IPアドレスなど)
5)所定期間内(例えば1時間あたり、1日あたり)における閲覧回数
6)閲覧時間(文書を閲覧している時間)
7)閲覧パターン(過去の閲覧パターン)
8)閲覧時間帯(午前、午後、夜中など)
9)タイムゾーン(ユーザについて予め決めておく)
10)閲覧時の操作(画面コピー、文書内容コピー)
具体的な不正閲覧条件としては、例えば、次のようなものがある。
悪意をもった正当なユーザがなりすましを行わせた場合、複数のユーザが同一のユーザとして機密文書を閲覧するので、当該ユーザの閲覧パターンが、一人のユーザではありえない、または一人のユーザとは考え難いパターンとなることが想定される。そこで、不正閲覧条件としては、あるユーザの閲覧動作が現実には複数ユーザによるものと推定される条件を設定することが好ましい。このような不正閲覧条件としては、例えば、
1)同じユーザから同じ閲覧日時にアクセスがあった場合は怪しい。そこで、「同じユーザに同じ時期に閲覧されたこと」
2)同じユーザから閲覧日時は多少ずれているが離れた閲覧場所からアクセスがあった場合は怪しい。そこで、「同じユーザに所定以上離れた場所から所定以内の時間間隔で閲覧されたこと」
3)同じユーザから1日に多くのアクセスがあった場合は怪しい。そこで、「同じユーザに所定の期間に所定回数以上閲覧されたこと」
4)同じユーザから夜中の時間帯に多くのアクセスがあった場合は怪しい。そこで、「同じユーザに所定の時間帯に所定回数以上閲覧されたこと」
が挙げられる。
1)同じユーザから同じ閲覧日時にアクセスがあった場合は怪しい。そこで、「同じユーザに同じ時期に閲覧されたこと」
2)同じユーザから閲覧日時は多少ずれているが離れた閲覧場所からアクセスがあった場合は怪しい。そこで、「同じユーザに所定以上離れた場所から所定以内の時間間隔で閲覧されたこと」
3)同じユーザから1日に多くのアクセスがあった場合は怪しい。そこで、「同じユーザに所定の期間に所定回数以上閲覧されたこと」
4)同じユーザから夜中の時間帯に多くのアクセスがあった場合は怪しい。そこで、「同じユーザに所定の時間帯に所定回数以上閲覧されたこと」
が挙げられる。
また、悪意をもった正当なユーザがなりすましを行わせた場合、正当なユーザとは異なるユーザが正当なユーザになりすまして機密文書を閲覧するので、当該ユーザの閲覧パターンが、今までとは異なった閲覧パターンとなることが想定される。そこで、
5)あるユーザの閲覧パターンが当該ユーザの過去の閲覧パターンと異なること
を不正閲覧条件とすることが好ましい。
5)あるユーザの閲覧パターンが当該ユーザの過去の閲覧パターンと異なること
を不正閲覧条件とすることが好ましい。
また、不正閲覧条件として、
6)あるユーザにより、当該ユーザについて予め決められたタイムゾーン以外の閲覧時刻に閲覧されたこと
を設定してもよい。このとき、上記閲覧時刻は、閲覧場所に基づいて時差を考慮して決定されることが好ましい。例えば、日本の管理者が昼休みのみ閲覧可能な機密文書として文書を登録した場合、外国からのアクセスに対しては、時差を考慮して不正アクセスかどうかを検出するのがよい。
6)あるユーザにより、当該ユーザについて予め決められたタイムゾーン以外の閲覧時刻に閲覧されたこと
を設定してもよい。このとき、上記閲覧時刻は、閲覧場所に基づいて時差を考慮して決定されることが好ましい。例えば、日本の管理者が昼休みのみ閲覧可能な機密文書として文書を登録した場合、外国からのアクセスに対しては、時差を考慮して不正アクセスかどうかを検出するのがよい。
これらの他に、不正閲覧条件として、
7)閲覧しているときに、画面または文書内容をコピー取得しようとしたこと
を設定することができる。
7)閲覧しているときに、画面または文書内容をコピー取得しようとしたこと
を設定することができる。
なお、不正閲覧条件は、上記各条件の組み合わせにより構成することができる。また、上記以外の条件を組み合わせてもよい。
また、ユーザの閲覧パターンは、機密文書の内容によって異なる。したがって、ある機密文書に対する不正閲覧条件は、その機密文書の内容に応じて設定されることが好ましい。ここで、機密文書の内容としては、データ量(ページ数、文字数、バイト数など)、文字とイメージとの比率、ジャンル、キーワード、作成者など、閲覧パターンに影響を与える属性が挙げられる。
[不正閲覧条件の設定手順]
次に、機密文書に対する不正閲覧条件の設定手順について、クライアント20のユーザが、機密化の際に設定する場合を例にとって説明する。
次に、機密文書に対する不正閲覧条件の設定手順について、クライアント20のユーザが、機密化の際に設定する場合を例にとって説明する。
クライアント20は、閲覧許可者などの設定終了後、ユーザに、不正閲覧条件の設定方法の選択を促す。まず、「閲覧許可者毎に設定する」、「グループ(ユーザの集合)で設定する」、および「閲覧許可者全員共通に設定する」のいずれかの選択を促す。ついで、「ユーザが設定する」、「サーバのデフォルトを用いる」、および「サーバにより自動設定する」のいずれかの選択を促す。
「ユーザが設定する」が選択された場合、クライアント20のユーザが、ユーザインタフェースを介して入力設定する。ここで、利便性向上の観点より、よく使用されると思われる不正閲覧条件は、管理サーバ10またはクライアント20に組み込みパターンとして用意されている。また、ユーザは、管理サーバ10またはクライアント20に、事前に設定したパターンを登録することができる。さらに、あるユーザにより事前登録されたパターンは、ユーザ間で共有することもできる。
「サーバのデフォルトを用いる」が選択された場合、管理サーバ10に予め設定されている固定の不正閲覧条件が設定される。
「サーバにより自動設定する」が選択された場合、クライアント20は、さらに、自動設定方法の選択を促す。ここでは、自動設定方法には、「過去の閲覧パターンにより設定する」、「機密文書の内容に応じて設定する」、および「過去の閲覧パターンと機密文書の内容とに応じて設定する」がある。ユーザによりいずれかが選択されると、選択結果が管理サーバ10に通知され、管理サーバ10の条件設定部18により、選択結果に応じた設定処理が行われる。
「過去の閲覧パターンにより設定する」が選択された場合、条件設定部18は、閲覧許可者に含まれるユーザ毎に、当該ユーザの過去の閲覧パターンに基づいて将来の閲覧パターンを予測し、当該ユーザの閲覧パターンが予測された閲覧パターンと異なること、を不正閲覧条件として設定する。逆に言えば、条件設定部18は、ユーザの過去の閲覧パターンに基づいて、当該ユーザの閲覧動作とは考えにくい閲覧パターンを特定し、当該ユーザの閲覧パターンが上記考えにくい閲覧パターンに合致すること、を不正閲覧条件として設定する。具体例を挙げると、当該ユーザのログ情報(閲覧履歴)より、1日の最高閲覧回数が5回である場合、1日の閲覧回数が6回以上であること、を不正閲覧条件として設定する。また、午前3時から午前6時までの時間帯に閲覧動作の記録がない場合、午前3時から午前6時までの時間帯に閲覧されたこと、を不正閲覧条件として設定する。
「機密文書の内容に応じて設定する」が選択された場合、条件設定部18は、設定対象の機密文書の内容に応じて、当該機密文書の不正閲覧条件を設定する。具体例を挙げると、条件設定部18は、機密文書のデータ量を抽出し、所定量(例えば5ページ)以下であれば、1日の閲覧回数が4回以上であること、を不正閲覧条件として設定し、所定量(例えば6ページ)以上であれば、1日の閲覧回数が8回以上であること、を不正閲覧条件として設定する。
「過去の閲覧パターンと機密文書の内容とに応じて設定する」が選択された場合、条件設定部18は、閲覧許可者に含まれるユーザ毎に、当該ユーザの過去の閲覧パターンに基づいて、機密文書の内容別に将来の閲覧パターンを予測する。ついで、設定対象の機密文書の内容を認識し、認識された内容に対応する将来の閲覧パターンを特定する。そして、当該ユーザの閲覧パターンが特定された閲覧パターンと異なること、を不正閲覧条件として設定する。
上記のとおりに設定された不正閲覧条件は、管理サーバ10の制御情報格納部11に、文書IDと対応付けて格納される。したがって、不正閲覧判定部17は、制御情報格納部11に格納された不正閲覧条件を参照して判定する。
[不正閲覧の可能性が検出された際の処理]
不正閲覧の可能性が検出された場合における処理実行部19の処理としては、次のようなものがある。
1)ログファイルへの記述
2)電子メールでの通知
3)FAXでの通知
4)携帯電話への音声通知
5)閲覧の一時停止
不正閲覧の可能性が検出された場合における処理実行部19の処理としては、次のようなものがある。
1)ログファイルへの記述
2)電子メールでの通知
3)FAXでの通知
4)携帯電話への音声通知
5)閲覧の一時停止
上記の通知先としては、例えば、システムの管理者、機密文書を機密化したユーザ、機密文書の作成者あるいは所有者が挙げられる。
ここで、不正閲覧の可能性が検出された際の処理は、複数設定されてもよい。また、不正閲覧条件を複数段階の条件とし、複数段階の条件に対応させて複数段階の処理を設定することもできる。ここで、各処理は、各条件の不正閲覧の可能性の大きさに応じて設定されることが好ましい。例えば、「同じユーザに同じ時期に閲覧されたこと」という条件に対しては、不正閲覧の可能性大として、上記1)〜5)のすべての処理を設定し、「1日の閲覧回数が3回以上であること」という条件に対しては、不正閲覧の可能性小として、「ログファイルへの記述」処理を設定する。
なお、不正閲覧の可能性が検出された際の処理は、適時に、例えば、不正閲覧条件の設定の際に、設定されればよい。
[不正閲覧監視システムの動作手順]
以下、不正閲覧監視システムの動作について説明する。ここでは、説明を簡略化するため、監視対象のユーザをユーザU、監視対象の機密文書を機密文書Dとして説明する。図3は、不正閲覧監視システムの動作手順を示すフローチャートである。
以下、不正閲覧監視システムの動作について説明する。ここでは、説明を簡略化するため、監視対象のユーザをユーザU、監視対象の機密文書を機密文書Dとして説明する。図3は、不正閲覧監視システムの動作手順を示すフローチャートである。
監視部16は、常時、各機密文書に対する各ユーザの閲覧動作を監視している。具体的には、監視部16は、管理サーバ10とクライアント30との間でやりとりされるデータから、ユーザID、文書ID、閲覧日時、および閲覧場所を取得する。また、閲覧ログ送信部33から、閲覧時間(文書を閲覧している時間)、閲覧時の操作(画面コピー、文書内容のコピー等)、オフライン時の閲覧ログを取得する。そして、監視部16は、取得した情報をログ情報として記録しておく。
不正閲覧判定部17は、監視部16のログ情報から機密文書Dに対するユーザUの閲覧動作履歴を抽出する(S11)。そして、抽出した閲覧動作履歴が、ユーザUについて機密文書Dに対して設定されている不正閲覧条件に合致するか否かを判定する(S12)。
不正閲覧条件に合致しない場合(S12:NO)、ステップS11に戻る。一方、不正閲覧条件に合致する場合(S12:YES)、処理実行部19は、ユーザUについて機密文書Dに対して設定されている所定の処理を実行する(S13)。
以上説明した本実施の形態によれば、以下の効果が得られる。
(1)機密文書に対するユーザの閲覧動作を監視し、この監視結果が所定の不正閲覧条件に合致する場合に、不正閲覧の可能性ありとして、アラートを上げるなどの所定の処理を実行するので、不正閲覧の可能性がある場合に、作成者等に知らせたり、閲覧を一時停止させたりといった適切な処理を行うことが可能となる。このため、作成者や管理者は、タイムリーにアクションを起こすことができ、被害を最小限に食い止めることができる。
(2)閲覧者情報、閲覧文書情報、閲覧日時情報、閲覧場所情報などをログ情報として記録するので、不正閲覧者の追跡が可能となり、タイムリーに不正閲覧の根本原因を探すことができる。
(3)不正閲覧条件パターンを設定できるので、ユーザ毎に設定しなくてもパターンで設定することができる。機密化のたびにユーザ毎に不正閲覧条件を細かく設定する必要がなく、設定されたパターンから選択することができ、利便性が高い。
(4)ユーザの過去の閲覧パターンに基づいて将来の閲覧パターンを予測し、この予測をもとに不正閲覧条件を設定するので、正当なユーザとは異なる閲覧パターンを検出することができ、なりすましによる不正閲覧を効果的に検知することができる。また、条件設定部18が設定するので、ユーザの手間を省くことができて利便性が高い。閲覧パターンを学習して不正閲覧条件を設定できるので、不正閲覧条件を細かく設定しないこともできる。
(5)文書単位に不正閲覧条件を設定できるので、文書の重要性に見合った設定を行うことができる。
(6)不正閲覧を監視していることを公表することにより、不正閲覧についての心理的な抑止効果がある。
(7)不正閲覧条件が、ユーザの閲覧動作が現実には複数ユーザによるものと推定される条件を含むので、悪意をもった正当なユーザがなりすましを行わせた場合に、同一ユーザ権限を使用した複数ユーザ(正当なユーザも含む)による不正閲覧を検知することができる。
以上、本発明の実施の形態について説明したが、本発明が上記の実施の形態に限定されないことは言うまでもない。
例えば、上記の実施の形態では、管理サーバ10が共通鍵を保管し、ユーザに共通鍵を送付することによって閲覧を許可することとしたが、機密文書の閲覧をその閲覧許可者に制限するためのシステムは、特に限定されない。例えば、機密文書を復号化するための共通鍵を管理サーバ10の公開鍵で暗号化して機密文書に添付し、管理サーバ10が、閲覧許可者からの閲覧要求に応じて、共通鍵を自らの秘密鍵で復号化して閲覧許可者に返送するシステムであってもよい。また、機密文書自体を管理サーバ10で保管しておき、閲覧要求に応じて閲覧許可者に限定して機密文書を閲覧させるシステムであってもよい。
また、上記の実施の形態では、IPアドレスにより閲覧場所を認識することとしたが、GPS等の他の手段により閲覧場所を認識してもよい。
10 管理サーバ、11 制御情報格納部、12 認証部、13 閲覧要求受付部、14 権限判定部、15 閲覧許可部、16 監視部、17 不正閲覧判定部、18 条件設定部、19 処理実行部、20 クライアント、21 暗号化部、22 制御情報設定部、30 クライアント、31 復号化部、32 画面制御部、33 閲覧ログ送信部。
Claims (11)
- ユーザ認証されたユーザから機密文書に対する閲覧要求を受け付け、前記ユーザが前記機密文書に設定された閲覧許可者に該当する場合に、前記ユーザに前記機密文書の閲覧を許可する機密文書管理システムにおける、前記機密文書に対する不正閲覧を監視する不正閲覧監視システムであって、
前記機密文書に対する前記ユーザの閲覧動作を監視する監視手段と、
当該監視手段の監視結果が予め設定された不正閲覧条件に合致するか否かを判定する不正閲覧判定手段と、
当該不正閲覧判定手段により不正閲覧条件に合致すると判定された場合に、予め設定された処理を実行する処理実行手段と、
を有することを特徴とする不正閲覧監視システム。 - 請求項1に記載の不正閲覧監視システムであって、
前記不正閲覧条件は、前記ユーザの閲覧動作が現実には複数ユーザによるものと推定される条件を含むことを特徴とする不正閲覧監視システム。 - 請求項2に記載の不正閲覧監視システムであって、
前記不正閲覧条件は、同じユーザに同じ時期に閲覧されたこと、同じユーザに所定以上離れた場所から所定以内の時間間隔で閲覧されたこと、または同じユーザに所定の期間あるいは時間帯に所定回数以上閲覧されたこと、を含むことを特徴とする不正閲覧監視システム。 - 請求項1〜3のいずれか1項に記載の不正閲覧監視システムであって、
前記機密文書の内容に応じて、当該機密文書の不正閲覧条件を設定する第1の条件設定手段をさらに有することを特徴とする不正閲覧監視システム。 - 請求項1〜4のいずれか1項に記載の不正閲覧監視システムであって、
前記ユーザの過去の閲覧パターンに基づいて将来の閲覧パターンを予測し、前記ユーザの閲覧パターンが予測される閲覧パターンと異なることを不正閲覧条件として設定する第2の条件設定手段をさらに有することを特徴とする不正閲覧監視システム。 - 請求項5に記載の不正閲覧監視システムであって、
前記第2の条件設定手段は、機密文書の内容別に将来の閲覧パターンを予測し、機密文書の内容に応じて、当該機密文書の不正閲覧条件を設定することを特徴とする不正閲覧監視システム。 - 請求項1〜6のいずれか1項に記載の不正閲覧監視システムであって、
前記不正閲覧条件は、前記ユーザについて予め決められたタイムゾーン以外の閲覧時刻に閲覧されたこと、を含むことを特徴とする不正閲覧監視システム。 - 請求項7に記載の不正閲覧監視システムであって、
前記閲覧時刻は、閲覧場所に基づいて時差を考慮して決定されることを特徴とする不正閲覧監視システム。 - ユーザ認証されたユーザから機密文書に対する閲覧要求を受け付け、前記ユーザが前記機密文書に設定された閲覧許可者に該当する場合に、前記ユーザに前記機密文書の閲覧を許可する機密文書管理システムにおいて、不正閲覧監視システムが前記機密文書に対する不正閲覧を監視する不正閲覧監視方法であって、
前記機密文書に対する前記ユーザの閲覧動作を監視する監視ステップと、
当該監視ステップの監視結果が予め設定された不正閲覧条件に合致するか否かを判定する不正閲覧判定ステップと、
当該不正閲覧判定ステップで不正閲覧条件に合致すると判定された場合に、予め設定された処理を実行する処理実行ステップと、
を有することを特徴とする不正閲覧監視方法。 - ユーザ認証されたユーザから機密文書に対する閲覧要求を受け付け、前記ユーザが前記機密文書に設定された閲覧許可者に該当する場合に、前記ユーザに前記機密文書の閲覧を許可する機密文書管理システムにおいて、前記機密文書に対する不正閲覧を監視するための不正閲覧監視プログラムであって、コンピュータに、
前記機密文書に対する前記ユーザの閲覧動作を監視する監視ステップと、
当該監視ステップの監視結果が予め設定された不正閲覧条件に合致するか否かを判定する不正閲覧判定ステップと、
当該不正閲覧判定ステップで不正閲覧条件に合致すると判定された場合に、予め設定された処理を実行する処理実行ステップと、
を実行させることを特徴とする不正閲覧監視プログラム。 - ユーザを認証する認証手段と、
当該認証手段により認証されたユーザから機密文書に対する閲覧要求を受け付ける閲覧要求受付手段と、
前記ユーザが前記機密文書に設定された閲覧許可者に該当するか否かを判定する権限判定手段と、
当該権限判定手段により閲覧許可者に該当すると判定された場合に、前記ユーザに前記機密文書の閲覧を許可する閲覧許可手段と、
を有し、機密文書の閲覧を制御する機密文書管理システムにおいて、
前記機密文書に対する前記ユーザの閲覧動作を監視する監視手段と、
当該監視手段の監視結果が予め設定された不正閲覧条件に合致するか否かを判定する不正閲覧判定手段と、
当該不正閲覧判定手段により不正閲覧条件に合致すると判定された場合に、予め設定された処理を実行する処理実行手段と、
を有することを特徴とする機密文書管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004127582A JP4599882B2 (ja) | 2004-04-23 | 2004-04-23 | 不正閲覧監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004127582A JP4599882B2 (ja) | 2004-04-23 | 2004-04-23 | 不正閲覧監視システム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2005309887A true JP2005309887A (ja) | 2005-11-04 |
| JP2005309887A5 JP2005309887A5 (ja) | 2007-05-17 |
| JP4599882B2 JP4599882B2 (ja) | 2010-12-15 |
Family
ID=35438574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004127582A Expired - Fee Related JP4599882B2 (ja) | 2004-04-23 | 2004-04-23 | 不正閲覧監視システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4599882B2 (ja) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007249304A (ja) * | 2006-03-13 | 2007-09-27 | Nec System Technologies Ltd | 情報処理装置、機密データ監視方法およびプログラム |
| JP2008015600A (ja) * | 2006-07-03 | 2008-01-24 | Fuji Xerox Co Ltd | オブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラム |
| JP2008139940A (ja) * | 2006-11-30 | 2008-06-19 | Hitachi Ltd | アクセス権限判定装置、セキュリティシステム、セキュリティシステムにおけるアクセス権限判定方法、プログラム |
| JP2008178054A (ja) * | 2007-01-22 | 2008-07-31 | Koji Yoshinuma | プライバシーを守る監視システム |
| JP2008204070A (ja) * | 2007-02-19 | 2008-09-04 | Konica Minolta Business Technologies Inc | 文書ファイル、文書ファイル生成装置、及び文書利用方法 |
| JP2010134731A (ja) * | 2008-12-05 | 2010-06-17 | Nec Corp | プライバシ情報保護システムとその方法 |
| JP2010277320A (ja) * | 2009-05-28 | 2010-12-09 | Nec Corp | 閲覧情報収集システム、閲覧情報収集方法、サーバ、及び、プログラム |
| JP2011065397A (ja) * | 2009-09-17 | 2011-03-31 | Nec Corp | 不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法 |
| JP2011180919A (ja) * | 2010-03-02 | 2011-09-15 | Nec Corp | アクセス制御装置及びその制御方法 |
| JP2015026293A (ja) * | 2013-07-26 | 2015-02-05 | 株式会社リコー | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
| JP2016066294A (ja) * | 2014-09-25 | 2016-04-28 | 株式会社日立ソリューションズ | 位置情報を利用したirmプログラム |
| JP2017045095A (ja) * | 2015-08-24 | 2017-03-02 | 富士ゼロックス株式会社 | 画像処理システム、携帯端末、画像処理装置及びプログラム |
| JP2018073114A (ja) * | 2016-10-28 | 2018-05-10 | 株式会社東芝 | 情報管理装置、及び、情報管理システム |
| JP2022038591A (ja) * | 2020-08-27 | 2022-03-10 | デジタルア-ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013109000A1 (ko) * | 2012-01-17 | 2013-07-25 | 주식회사 파수닷컴 | 위험도를 고려한 보안문서 관리 장치 및 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11259571A (ja) * | 1998-03-13 | 1999-09-24 | Nippon Telegr & Teleph Corp <Ntt> | 電子商取引システム不正利用検出方法及び装置 |
| JP2002183181A (ja) * | 2000-12-12 | 2002-06-28 | Fuji Xerox Co Ltd | 文書流通システム |
-
2004
- 2004-04-23 JP JP2004127582A patent/JP4599882B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11259571A (ja) * | 1998-03-13 | 1999-09-24 | Nippon Telegr & Teleph Corp <Ntt> | 電子商取引システム不正利用検出方法及び装置 |
| JP2002183181A (ja) * | 2000-12-12 | 2002-06-28 | Fuji Xerox Co Ltd | 文書流通システム |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4690226B2 (ja) * | 2006-03-13 | 2011-06-01 | Necシステムテクノロジー株式会社 | 情報処理装置、機密データ監視方法およびプログラム |
| JP2007249304A (ja) * | 2006-03-13 | 2007-09-27 | Nec System Technologies Ltd | 情報処理装置、機密データ監視方法およびプログラム |
| JP2008015600A (ja) * | 2006-07-03 | 2008-01-24 | Fuji Xerox Co Ltd | オブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラム |
| JP2008139940A (ja) * | 2006-11-30 | 2008-06-19 | Hitachi Ltd | アクセス権限判定装置、セキュリティシステム、セキュリティシステムにおけるアクセス権限判定方法、プログラム |
| JP2008178054A (ja) * | 2007-01-22 | 2008-07-31 | Koji Yoshinuma | プライバシーを守る監視システム |
| JP2008204070A (ja) * | 2007-02-19 | 2008-09-04 | Konica Minolta Business Technologies Inc | 文書ファイル、文書ファイル生成装置、及び文書利用方法 |
| US8122483B2 (en) | 2007-02-19 | 2012-02-21 | Konica Minolta Business Technologies, Inc. | Document file, document file generating apparatus, and document file usage method |
| JP2010134731A (ja) * | 2008-12-05 | 2010-06-17 | Nec Corp | プライバシ情報保護システムとその方法 |
| JP2010277320A (ja) * | 2009-05-28 | 2010-12-09 | Nec Corp | 閲覧情報収集システム、閲覧情報収集方法、サーバ、及び、プログラム |
| JP2011065397A (ja) * | 2009-09-17 | 2011-03-31 | Nec Corp | 不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法 |
| JP2011180919A (ja) * | 2010-03-02 | 2011-09-15 | Nec Corp | アクセス制御装置及びその制御方法 |
| JP2015026293A (ja) * | 2013-07-26 | 2015-02-05 | 株式会社リコー | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
| JP2016066294A (ja) * | 2014-09-25 | 2016-04-28 | 株式会社日立ソリューションズ | 位置情報を利用したirmプログラム |
| JP2017045095A (ja) * | 2015-08-24 | 2017-03-02 | 富士ゼロックス株式会社 | 画像処理システム、携帯端末、画像処理装置及びプログラム |
| JP2018073114A (ja) * | 2016-10-28 | 2018-05-10 | 株式会社東芝 | 情報管理装置、及び、情報管理システム |
| JP2022038591A (ja) * | 2020-08-27 | 2022-03-10 | デジタルア-ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| JP7121779B2 (ja) | 2020-08-27 | 2022-08-18 | デジタルアーツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4599882B2 (ja) | 2010-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10375116B2 (en) | System and method to provide server control for access to mobile client data | |
| US9348984B2 (en) | Method and system for protecting confidential information | |
| USRE44364E1 (en) | Method of encrypting information for remote access while maintaining access control | |
| US7921288B1 (en) | System and method for providing different levels of key security for controlling access to secured items | |
| US8918839B2 (en) | System and method for providing multi-location access management to secured items | |
| US8543827B2 (en) | Methods and systems for providing access control to secured data | |
| US9118617B1 (en) | Methods and apparatus for adapting the protection level for protected content | |
| US10095844B2 (en) | System and method for preventing unauthorized use of digital media | |
| US20020046350A1 (en) | Method and system for establishing an audit trail to protect objects distributed over a network | |
| US20030051172A1 (en) | Method and system for protecting digital objects distributed over a network | |
| JP4599882B2 (ja) | 不正閲覧監視システム | |
| RU2463721C2 (ru) | Способ отправки электронного файла | |
| JP2003228519A (ja) | デジタル資産にパーベイシブ・セキュリティを提供する方法及びアーキテクチャ | |
| JP2007325274A (ja) | プロセス間データ通信システムおよびプロセス間データ通信方法 | |
| EP1323258A1 (en) | System for protecting objects distributed over a network | |
| JP4465952B2 (ja) | 文書管理システムおよび方法 | |
| JP2002041347A (ja) | 情報提供システムおよび装置 | |
| JP4246112B2 (ja) | ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体 | |
| US20090070594A1 (en) | Transient on-demand data security control | |
| JP2009093670A (ja) | ファイルのセキュリティー管理システムおよび認証サーバ、クライアント装置ならびにプログラムおよび記録媒体 | |
| JP2011203900A (ja) | 情報提供装置 | |
| JP2008242959A (ja) | 利用対象情報管理装置及び利用対象情報管理方法ならびにそのプログラム | |
| Weippl | Security and trust in mobile multimedia |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070323 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070323 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100608 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100806 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100831 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100913 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131008 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |