JP3793944B2 - 機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体 - Google Patents
機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体 Download PDFInfo
- Publication number
- JP3793944B2 JP3793944B2 JP2002140284A JP2002140284A JP3793944B2 JP 3793944 B2 JP3793944 B2 JP 3793944B2 JP 2002140284 A JP2002140284 A JP 2002140284A JP 2002140284 A JP2002140284 A JP 2002140284A JP 3793944 B2 JP3793944 B2 JP 3793944B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- monitoring
- control
- information
- monitoring control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
【0001】
【産業上の利用分野】
本発明は、ネットワーク経由で顧客サイト内のシステムを遠隔運用監視するクライアント・サーバシステムにおける機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御方法を格納した記録媒体に係り、特に顧客の機密情報を顧客の要望に応じて保護することができる機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体に関する。
【0002】
【従来の技術】
近年、インターネットまたはイントラネット対応業務システムが飛躍的に成長する一方、これらのシステムに対する不法侵入やウィルス攻撃などのさまざまな脅威も多数報告されており、システムの安全性に対するユーザの不安も増大している。特に企業内における業務システムには、個人情報をはじめとして漏洩や不正使用が許されない多くの機密情報が蓄積されており、企業経営にとって、これら機密情報の漏洩は、信用失墜、顧客離反、刑事訴訟等、多大な打撃を与える結果となる。しかしながら、近年のシステムのオープン化やインターネットまたはイントラネット接続の進行によって、以前に増して漏洩や不正使用の脅威にされされる可能性が増大している。
【0003】
例えば、地方自治体等においては、近年、住民に対する各種サービス(例えば住民票の登録/変更、印鑑証明の発行、議会の議事録情報の提供他)を行うためのシステムのオープン化が望まれる一方、悪意のある第三者の侵入によって住民台帳や住民資産/税金等の個人情報が漏洩したり不正使用される可能性があり、これらオープン化と機密保持の相反するニーズが発生している。
【0004】
このような背景において、顧客システムの運用管理や障害管理を請け負う保守会社(データセンタ)は、システムの構築・運用の即時性や柔軟性だけでなく、システムの安全性および強固性の保証もサービスとして提供する必要があると認識するようになっている。そして、サービス例としては、企業外部からのシステム不正侵入を阻止するためには、ファイアウォールの設置・管理、侵入検知システムの導入・管理等の対策、企業内での情報漏洩防止策としては、重要書類のデジタル認証、ユーザアクセス管理が挙げられる。
【0005】
従来技術による前述の機密保持技術が記載された文献としては、例えば、予め外部からアクセス要求がある可能性が有る者のアクセス信頼度と複数のデータ等に対して企業機密レベルを予め設定しておき、企業システム内に外部ネットワークを介してアクセス要求があった場合、そのアクセス信頼度や機密度に応じてアクセス対象を制限することが記載された特開2002-84324号公報や、外部からのアクセスされたアドレスを監視し、予め設定したセキュリティ許可が得られたアドレスに対してのみアクセスを許可する技術が記載された特開平9-319715公報が挙げられる。
【0006】
【発明が解決しようとする課題】
前述の従来技術による機密保持技術は、企業が予め機密レベルを設定しておき、許可されたアクセス対象者に対して許可された機密レベルへのアクセスを設定することができるものの、例えば、ある企業のコンピュータシステムと該コンピュータシステムの保守管理を行う保守会社が存在する場合、もし、保守を行うために保守会社に対して無条件にアクセスを許可した場合、企業側にとっては、保守の必要がないときにも保守会社から社内の機密情報がアクセスできることを意味し、企業にとって保守会社の導入を躊躇することが考えられ、逆に保守会社に対してアクセス権を制限したときは、企業のコンピュータシステムに障害が発生した場合に迅速に対応することができず、企業のコンピュータシステムの信頼度が低下すると言う不具合があった。
【0007】
特に前記企業が地方自治体等の公共機関の場合、コンピュータシステム内に住民台帳や住民資産/税金等の個人情報が格納され、近年、個人情報機密保護法の成立も相まって、地方自治体にとっては保守会社から個人情報も容易にアクセスできる環境は好ましくなく、保守会社の導入を躊躇すると言う不具合があった。
【0008】
実際、顧客業務システムの開発や運用保守業務を請け負う第三者(保守会社)が、顧客の機密情報を入手してシステムのテストや障害対策時に利用したり遠隔監視・操作する機会を持つ場合がある。一般的にはこれらの業務遂行には管理者権限をもってシステムにアクセスする必要があるため、この第三者にシステム管理者権限を付与することになる。そのために、第三者によるシステムの運用監視業務では、障害発生時などの非常時では対策などのために必要になるアプリケーションログなどのような機密情報も、定常運用時には閲覧する必要は無いにもかかわらず、システム管理者権限を付与されているために、常に正規の方法で閲覧可能な状態で放置されている状態になっている。第三者は、顧客機密情報へのアクセスが自由であるだけでなく、遠隔操作環境における顧客業務システムが稼動しているコンピュータの設定変更といった重要操作も、特別な事前確認をせずに実行することができると言う不具合があった。
【0009】
本発明の目的は、前記従来技術による不具合を除去することであり、コンピュータシステムを持つ顧客側の企業や地方自治体等が、平常時においては保守会社に対してアクセス権を制限し、且つ緊急時には保守会社による保守を迅速に行うことができる機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体を提供することである。
【0010】
【課題を解決するための手段】
前記目的を達成するために本発明は、監視サーバ・コンピュータからネットワークを経由して複数の被監視サーバ・コンピュータにアクセスすることにより、被監視サーバ・コンピュータ内のアプリケーション及びデータに対するアクセス状況を監視する機密情報アクセス監視制御方法であって、被監視サーバ・コンピュータに格納したデータ及びアプリケーション対応のアクセス制御条件を監視制御エージェントのパラメータ情報として格納するアクセス制御パラメータ定義情報データベースと、該アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に顧客機密情報に対するアクセス状況を監視・制限する監視制御エージェントプログラムと、該監視制御エージェントプログラムによりアクセス監視及び制限を行った結果を記録する監視制御ログデータベースとを用い、前記被監視サーバ・コンピュータが、平常時には、アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に外部からの機密情報に対するアクセス状況の監視・制限と、該アクセス監視及び制限を行った結果の監視制御ログデータベースへの記録とを行い、障害発生時には、前記アクセス状況の監視・制限及び監視制御ログデータベースへの記録を行うと共に、前記顧客機密情報へのアクセス制御条件を緩和することを第1の特徴とする。
【0011】
更に本発明は、監視サーバ・コンピュータからネットワークを経由して複数の被監視サーバ・コンピュータにアクセスすることにより、被監視サーバ・コンピュータ内のアプリケーション及びデータに対するアクセス状況を監視する機密情報アクセス監視制御システムであって、前記被監視サーバ・コンピュータが、アクセス単位の被監視サーバ・コンピュータに格納したデータ及びアプリケーション対応のアクセス制御条件を監視制御エージェントのパラメータ情報として格納するアクセス制御パラメータ定義情報データベースと、平常時には、アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に外部からの機密情報に対するアクセス状況の監視・制限と、該アクセス監視及び制限を行った結果の監視制御ログデータベースへの記録とを行い、障害発生時には、前記アクセス状況の監視・制限及び監視制御ログデータベースへの記録を行うと共に、前記顧客機密情報へのアクセス制御条件を緩和する監視制御エージェントプログラムと、該監視制御エージェントプログラムによりアクセス監視及び制限を行った結果を記録する監視制御ログデータベースとを備えたことを第2の特徴とする。
【0012】
更に本発明は、監視サーバ・コンピュータからネットワークを経由して複数の被監視サーバ・コンピュータにアクセスすることにより、被監視サーバ・コンピュータ内のアプリケーション及びデータに対するアクセス状況を監視する機密情報アクセス監視制御を行うプログラムを記憶した記録媒体であって、被監視サーバ・コンピュータに格納したデータ及びアプリケーション対応のアクセス制御条件を監視制御エージェントのパラメータ情報として格納するアクセス制御パラメータ定義情報データベースと、該アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に顧客機密情報に対するアクセス状況を監視・制限する監視制御エージェントプログラムと、該監視制御エージェントプログラムによりアクセス監視及び制限を行った結果を記録する監視制御ログデータベースとを用い、前記被監視サーバ・コンピュータに、監視制御エージェントプログラムの制御により、平常時には、アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に外部からの機密情報に対するアクセス状況の監視・制限を行う手順と、該アクセス監視及び制限を行った結果の監視制御ログデータベースへの記録を行う手順として機能させ、障害発生時には、前記アクセス状況への監視・制限を行う手順と前記監視制御ログデータベースへ記録する手順として機能させると共に、前記顧客機密情報へのアクセス制御条件を緩和する手順として機能させるプログラムを記録させたコンピュータ読みとり可能にしたことを第3の特徴とする。
【0013】
【発明の実施の形態】
以下、本発明の一実施形態による機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体を図面を参照して詳細に説明する。図1は本実施形態による機密情報アクセス監視制御システムの概念図、図2は本実施形態による機密情報アクセス監視制御システムの一実施形態によるシステム構成図、図3は本機密情報アクセス監視制御システムの具体的構成を示す機能構成図、図4は図3のアクセス制御部62が備える処理機能の構成図、図5は図4のアクセス制御条件設定部621の処理手順を示す動作フローチャート、図6は図4のアクセス制御判定部622の処理手順の動作フローチャート、図7は図4のアクセス制御条件更新部624の処理手順の動作フローチャートである。
【0014】
<本実施形態による機密情報アクセス監視制御システムの位置づけの説明>
まず、本実施形態による機密情報アクセス監視制御システムの位置づけを図1を参照して説明する。一般に顧客機密情報に外部からアクセスする手法は、図1に示す如く、アクセスユーザ2と、該アクセスユーザ2がアクセスするためのアクセス手段3と、このアクセス手段3を制御するアクセス制御4の3つに区分することができ、アクセスユーザ2がアクセス制御4の制御下においてアクセス手段3を用いて顧客機密情報100にアクセスするとして表すことができる。
【0015】
例えば、アクセスユーザ2の外部ユーザは、アクセス制御4のファイアウォールや侵入検知システム等のアクセス制御によって顧客機密情報100にはアクセスできない。これに対して一般正規ユーザは、業務アプリケーションを介して顧客機密情報100にアクセスする機会があり、例えばユーザIDやパスワードの入力等、その業務アプリケーションに実装されているセキュリティによってアクセス制御が行われる。一方、本実施形態の機密情報アクセス監視制御システムは、従来、顧客システム管理者や運用・保守担当者がシステム管理者権限を利用してオペレーションシステムコマンドを含む管理・運用アプリケーションを介して比較的自由に顧客機密情報100にアクセスできる環境にあったものを、本実施形態においては、前記アクセス手段3と顧客機密情報100の間に、本機密情報アクセス監視制御システムを配置することにより、当該システムのアクセス条件にもとづくアクセス制御を行うものである。
【0016】
<システム全体概要の説明>
図2は、本実施形態による機密情報アクセス監視制御システムを含むコンピュータシステムの全体概要を示す構成図である。このシステムは、図2に示す如く、管理操作画面11を持ち、機密情報アクセス監視制御システムの管理部分に関わる監視制御エージェント管理プログラムを搭載してデータを蓄積する保守会社側の監視サーバ・コンピュータ1と、管理操作画面20を持ち、機密情報アクセス監視制御エージェントプログラムを搭載し、データを蓄積する前述の企業側の被監視サーバ・コンピュータ21〜24と、前記監視サーバ・コンピュータ1及び被監視サーバ・コンピュータ21〜24とを接続する公衆通信回線であるネットワーク3と、本機密情報アクセス監視制御システムを実現するプログラム及びファイルを格納した情報記録媒体であるCD−ROM4と、該CD−ROM4と同様に本機密情報アクセス監視制御システムを実現するプログラム及びファイルを格納した情報記録媒体であるフレキシブル・ディスク5とを備える。尚、前記CD−ROM4又はフレキシブル・ディスク5に格納したプログラム及びファイルは、必要に応じて監視サーバ・コンピュータ1や被監視サーバ・コンピュータ21〜24にインストールされて実行されるものとする。
【0017】
<各監視サーバ・システムの説明>
さて、本実施形態による機密情報アクセス監視制御システムの具体的構成は、図3に示す如く、例えば前記企業側の被監視サーバ・コンピュータ21〜24と、例えば前記保守会社に相当する監視サーバ・コンピュータ1とをネットワーク3により相互接続されている。
【0018】
前記被監視サーバ・コンピュータ21〜24は、ユーザ操作画面20と、被監視サーバ・コンピュータ21〜24内において本発明の機密情報アクセス監視制御システムを実装するためにインストールされた監視制御エージェントプログラム6と、該監視制御エージェントプログラム6が使用するパラメータ定義情報データベース71及び監視制御ログ情報データベース72を含む情報蓄積部70とを備える。
【0019】
前記監視制御エージェントプログラム6は、外部との通信制御を行う通信制御部61と、前記図1に示したアクセスユーザからのアクセスを制御するアクセス制御部62と、後述する通信記録(ログ)データを管理する資源管理部63と、暗号化等の制御を行うデータ保護部64と、被監視制御エージェントプログラム内の各機能で発生するイベントを管理するイベント制御部65とを備える。
【0020】
前記情報蓄積部70のパラメータ定義情報データベース71は、平常状態又は障害発生のレベル等の条件に応じた、アクセスユーザ毎又はデータの機密度毎等のアクセス権をパラメータとして格納し、監視制御ログデータベース72は、監視サーバ・コンピュータ1を含むアクセスユーザからのアクセス状況を通信ログとして保管するものである。
【0021】
前記アクセス制御部62は、階層構造を成し、図4に示す如く、顧客機密情報に対するアクセス監視および制限の条件を設定するアクセス制御条件設定部621と、アクセス制御条件設定部621にもとづいて顧客機密情報へのアクセスの可/不可または記録の要不要を判定するアクセス制御判定部622と、顧客機密情報へのアクセス内容を監視制御ログ情報データベース72に格納するアクセス制御記録部623と、顧客機密情報に対して設定されているアクセス監視および制限の条件を変更する際の判定および変更後の動作を指定するアクセス制御条件更新部624とを備える。
【0022】
前記監視サーバ・コンピュータ1は、前記コンピュータ21等と同様に、ユーザ操作画面11、機密情報アクセス監視制御システムを実装する上でインストールされた監視制御エージェント管理プログラム40と、監視制御エージェント管理プログラム40が使用するパラメータ定義情報データベース51及び監視制御ログ情報データベース52を含む情報蓄積部50とを備える。前記監視制御エージェント管理プログラム40は、前記エージェントプログラム6同様に、通信制御部41、アクセス制御部42、資源管理部43、データ保護部44、イベント制御部47とに加え、監視条件や監視経緯ログ等のリポート作成を支援するリポート生成部45、各被監視サーバ・コンピュータ21等内の監視制御エージエントプログラム60の稼動状況等を監視する監視制御エージエント制御部46とを備える。また、監視制御エージェント管理プログラム40内のアクセス制御部42にも、アクセス制御部62と同様の機能階層を実装しており、監視サーバ・コンピュータ内のアクセス制御を可能としている。
【0023】
<アクセス制御条件設定手順>
このように構成された機密情報アクセス監視制御システムは、アクセス制御条件を設定する場合、図5に示す如く、管理者がアクセス制御情報設定画面を呼び出し(ステップ62101)、この画面上で、アクセス監視対象となるアプリケーションやデータファイルの指定、アクセス可能または不可能なユーザ情報の指定、閲覧や更新といったアクセス方法の指定、定常業務、障害解決、構成変更といった業務種別からなるアクセス制御条件を設定(62102)する。
【0024】
このとき管理者は、一つのアクセス監視対象またはアクセス監視対象グループに対して、複数のアクセス制御条件を同時に設定し、その内のどのアクセス制御条件を有効にするかを指定できるようにする。また、このアクセス制御条件の変更作業が可能な管理者の設定も、アクセス制御条件のパラメータとして定義する。
【0025】
この設定は、運用モードを平常時/低レベル障害発生時/高レベル障害発生時とした場合、平常時には、監視サーバ・コンピュータ1が被監視サーバ・コンピュータ21〜24に対してアクセス可能な範囲としては、運用・保守用のアプリケーションを介してデータに間接的にのみアクセス可能とし、ログファイルやデータベーステーブルの内容を直接読み込み不能な設定を行い、低レベル障害発生時には、アプリケーションが出力したログやイベントログファイル(内容の一部に住民情報そのものや住民情報システムにアクセスするために必要な情報が入っている可能性あり)の被監視サーバ・コンピュータ上での参照のみが可能な設定を行い、高レベル障害発生時には、障害の解析のためにアプリケーションが出力したログやイベントログファイル又は住民情報のデータベースファイルそのものの外部持ち出し(外部記録媒体への複写や監視サーバ・コンピュータ1への転送)を可能とする設定が考えられる。
【0026】
また前記設定としては、被監視サーバ・コンピュータ21等にインストールされているシステム(アプリケーション)単位に関連するファイルやアプリケーションのアクセス制御を行うことができるため、 被監視サーバ内のどのシステムにおいて、障害が発生したかが予め判っている場合、そのシステムに対して設定されているアクセス制御条件のみ緩和する設定を行う。
【0027】
具体的に説明すると、例えば、住民情報システムのアクセス制御対象に住民情報データファイルがあり、地域/地図情報システムのアクセス制御対象に地図情報データベースファイルがあり、障害が発生した時のみ、それぞれのデータベースファイルの内容を参照できるように設定している場合、住民情報システムに何らかの障害が発生したことが判っている場合は、住民情報システムのアクセス制御条件のみ障害対策用に緩和するため、地域/地図情報システムのデータベースファイルにはアクセスできないように設定することができる。但し、複数のシステムが共通してアクセス制御対象になっているファイルあるいはアプリケーションが存在する場合は、それぞれのアクセス制御条件が矛盾しないように、優先順位を設定する必要がある。
【0028】
更に前記設定としては、指定されたハードディスク/指定されたフォルダ/月次(月末日)処理も設定することができる。
また、これら設定は、監視側と被監視側とで予め想定可能な障害に応じた障害発生時のマニュアルを作成しておき、被監視側の管理者が、何らかの障害発生時に前記マニュアルを参照して後述する運用モードの変更を行うことができる。
【0029】
アクセス制御条件設定部621(図4)は、これらのアクセス制御条件を監視制御エージェントのパラメータ情報として、パラメータ定義情報データベース71に格納し(ステップ62103)、これと同時に監視制御エージェント管理プログラム40に同パラメータ情報を転送し、パラメータ定義情報データベース51にバックアップ情報として格納する(ステップ62104)。
【0030】
<アクセス制御設定手順>
この機密情報アクセス監視制御システムは、外部からの顧客機密情報へのアクセスに対し、アクセス制御判定部622が、監視制御エージェントプログラム6が起動時にパラメータ定義情報データベース71からアクセス制御条件パラメータ情報を読み込み(ステップ62201)、該アクセス制御条件パラメータに設定されているアクセス監視対象となるアプリケーションやデータファイルに対するアクセス状況を監視し(ステップ62202)、アクセス監視対象に対するアクセスがあった場合、監視記録をするかどうかを指定するアクセス監視条件に基づいてアクセス記録要不要を判定し(ステップ62203)、アクセス記録要と判定した場合は、アクセス制御記録部623が監視制御ログ情報データベース72にアクセス状況を記録する(ステップ62204)。
【0031】
従って本システムは、平常時〜障害発生時において、常に外部からのアクセス状況を監視及び判定を行い、必要なら監視記録を残すことによって、必要なら外部アクセスに対する評価を行うことができる。即ち、不正な外部からの侵入が想定された場合は、その侵入元やアクセスされたファイル内容を知ることができ、その対策に利用することができる。
【0032】
次いで本処理は、アクセスの制限をするかどうかを指定するアクセス制限条件に基づいてアクセス制限要不要を判定し(ステップ62205)、アクセス制限要と判定した場合はアクセス制御記録部623が監視制御ログ情報データベース72にアクセス状況を記録し(ステップ62206)、且つアクセス制限を実施する(ステップ62207)ことにより、アクセス権限がないアクセスの侵入を防止し、さらに記録を残すことができる。
【0033】
更に本処理は、アクセス状況について通知するかどうかを指定する通知条件に基づいて通知要不要を判定し(ステップ62208)、通知要と判定した場合、アクセス制御判定部622がイベント制御部65を介して監視制御エージェント管理プログラム40に通知内容を転送する処理を行う(ステップ62209)ことにより、例えば不正アクセスを管理者に通報することができる。
【0034】
<アクセス制御条件更新手順>
本実施形態による機密情報アクセス監視制御システムは、例えば障害発生時等において被監視側により顧客機密情報へのアクセス制御条件を変更する場合、図7に示す如く、管理者が監視制御エージェントプログラムにログインしてアクセス制御情報設定画面を呼び出し(ステップ62401)、画面上でアクセス制御条件更新部に対して該当するアクセス監視対象の更新を要求(ステップ62402)すると、このとき監視制御エージェントプログラムにログインしているユーザ情報を参照し該当するアクセス対象のアクセス制御条件の変更が可能であるかどうかを判定し(ステップ62403)、不可能であれば処理を終了し(ステップ62404)、アクセス制御条件が変更可能であるユーザでログインしている場合は、次に変更後のアクセス制御条件の有効条件を設定する(ステップ62405)。
【0035】
この変更後のアクセス制御条件の有効条件としては、例えば、変更後のアクセス制御条件が有効な期間や時間帯の設定(例えば営業日/営業時間内等)、有効なアクセス回数の上限設定のほか、このようなアクセスの中で一時的に有効な第2パスワードを発行し、通常アクセス時のログインIDと、パスワードに加えてこの第2パスワードを入力しなければ、当該顧客機密情報へのアクセスを許可しないようにする。アクセス制御条件更新部624は、変更されたアクセス制御条件での運用を有効にするように再設定し(ステップ62406)、監視制御エージェントのパラメータ情報として変更後のアクセス制御条件の有効条件と共にパラメータ定義情報データベース71に格納し(ステップ62407)、これと同時に監視制御エージェント管理プログラム40に同パラメータ情報を転送し、パラメータ定義情報データベース51にバックアップ情報として格納する(ステップ62408)。
【0036】
その後、アクセス制御条件判定部622は、変更後のアクセス制御条件と有効条件に基づいて顧客機密情報へのアクセス状況を監視し、無効になった時点で、アクセス制御条件更新部624に対してアクセス制御条件の再設定を要求する。このとき、通知条件に該当する場合はイベント制御部65に対して通知を要求し、記録条件に該当する場合はアクセス制御記録部に対してはログ記録を要求する。
【0037】
<本実施形態の全体動作及び効果>
このように構成した機密情報アクセス監視制御システムは、平常時には、監視サーバ・コンピュータ1が被監視サーバ・コンピュータ21〜24に対して、運用・保守用のアプリケーションを介してデータに間接的にアクセスするアクセス権限しか与えないため、平常時においては被監視サーバ・コンピュータ側の企業にとっては内部の機密情報が外部に漏れる危惧がなくなり、低レベル障害発生時には被監視サーバ・コンピュータ側の管理者が、前記障害発生時のマニュアルを参照して運用モードを例えば低レベルの障害発生モードに変更することにより、アプリケーションが出力したログやイベントログファイルに対するアクセス権を監視サーバ・コンピュータ側に与えることにより、容易に保守を行うことができ、この低レベル障害モードでは対応ができない場合は、管理者が高レベル障害モードに変更し、障害の解析のために、アプリケーションが出力したログやイベントログファイル又は住民情報のデータベースファイルそのものの外部持ち出しを許可することにより、障害に対応することができる。
【0038】
また、被監視サーバ・コンピュータ21等内のどのシステムにおいて、障害が発生したかが予め判っている場合、管理者が当該障害発生システム、例えば住民情報システムに何らかの障害が発生したことが判っている場合は、住民情報システムのアクセス制御条件のみ障害対策用に緩和するため、地域/地図情報システムのデータベースファイルにはアクセスを制限しつつ、必要な保守行うことができる。
また、管理者が前述の一時的に有効な第2バスワードを設定することにより、通常のID及びパスワードに加え、この第2パスワードを入力しなければ、当該顧客機密情報へのアクセスを許可しないようにすることにより、時間的な制限も加えたアクセスを被監視側で設定することもできる。
【0039】
【発明の効果】
以上説明したように、本発明によれば、機密情報へのシステム管理者やシステム運用者によるアクセス制限の条件を業務別に様々なレベルで多重に設定し、これをもとにアクセス状況を監視したり制限をすることにより、業務によっては不必要なアクセスを回避することができ、顧客の機密情報の保護が可能となる。このように多重に設定されたアクセス制限の条件は、予め指定され限られたユーザによって緩和したり強力にしたりすることができ、定常時には運用担当者に開示できない顧客業務システム内の機密情報を、障害発生時などの非常時には顧客側のシステム管理者が一時的に運用担当者から閲覧可能にするようにアクセス条件を緩和するなど、顧客主導型のシステム内機密情報保護体制を確立でき、かつ運用管理業者の顧客業務システムの安全性の保証責任業務を支援することができる。
【0040】
また、これまで、システム管理や運用の体制の整備やこれらの業務に携わる関係者教育によって対応してきたセキュリティ対策がシステム的に対応できるようになり、システム管理・運用請負業者は、多種多様な顧客業務システム環境を、同質で効率的に管理することができる。
【0041】
更に、個人情報を保護する意味合いから、外部とのネットワーク接続や遠隔監視に制限を設けていた顧客業務システムに本発明を適用することによって、顧客による信頼度が向上し、かつ遠隔監視環境の導入に対する理解を深めることができ、例えば公共団体等における個人情報の流出の危惧に対する対策を提言することもできる。
【0042】
そして、監視制御エージェントプログラム60と監視制御エージェント管理プログラム40間の通信には複数プロトコルを採用でき、特にインターネットに対応するプロトコルを利用できるようにすることによる新たなセキュリティフォールが開くことを防止することができる。
【 図面の簡単な説明】
【図1】本発明の一実施形態による機密情報アクセス監視制御システムの概念図。
【図2】本実施形態による機密情報アクセス監視制御システムの一実施形態によるシステム構成図。
【図3】本機密情報アクセス監視制御システムの具体的構成を示す機能構成図。
【図4】図4は図3のアクセス制御部62が備える処理機能の構成図。
【図5】図5は図4のアクセス制御条件設定部621の処理手順を示す動作フローチャート。
【図6】図4のアクセス制御判定部622の処理手順の動作フローチャート。
【図7】図4のアクセス制御条件更新部624の処理手順の動作フローチャート。
【符号の説明】
1:被監視サーバ・コンピュータ、2:アクセスユーザ、3:アクセス手段、4:CD−ROM、5:フレキシブルディスク、6:監視制御エージェントプログラム、62:アクセス制御部、63:資源管理部、64:データ保護部、65:イベント制御部、61:通信制御部、71:パラメータ定義情報、72:監視制御ログ、40:監視制御エージェントプログラム、42:アクセス制御部、43:資源管理部、44:データ保護部、45:イベント制御部、41:通信制御部、41:パラメータ定義情報、42:監視制御ログ。
【産業上の利用分野】
本発明は、ネットワーク経由で顧客サイト内のシステムを遠隔運用監視するクライアント・サーバシステムにおける機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御方法を格納した記録媒体に係り、特に顧客の機密情報を顧客の要望に応じて保護することができる機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体に関する。
【0002】
【従来の技術】
近年、インターネットまたはイントラネット対応業務システムが飛躍的に成長する一方、これらのシステムに対する不法侵入やウィルス攻撃などのさまざまな脅威も多数報告されており、システムの安全性に対するユーザの不安も増大している。特に企業内における業務システムには、個人情報をはじめとして漏洩や不正使用が許されない多くの機密情報が蓄積されており、企業経営にとって、これら機密情報の漏洩は、信用失墜、顧客離反、刑事訴訟等、多大な打撃を与える結果となる。しかしながら、近年のシステムのオープン化やインターネットまたはイントラネット接続の進行によって、以前に増して漏洩や不正使用の脅威にされされる可能性が増大している。
【0003】
例えば、地方自治体等においては、近年、住民に対する各種サービス(例えば住民票の登録/変更、印鑑証明の発行、議会の議事録情報の提供他)を行うためのシステムのオープン化が望まれる一方、悪意のある第三者の侵入によって住民台帳や住民資産/税金等の個人情報が漏洩したり不正使用される可能性があり、これらオープン化と機密保持の相反するニーズが発生している。
【0004】
このような背景において、顧客システムの運用管理や障害管理を請け負う保守会社(データセンタ)は、システムの構築・運用の即時性や柔軟性だけでなく、システムの安全性および強固性の保証もサービスとして提供する必要があると認識するようになっている。そして、サービス例としては、企業外部からのシステム不正侵入を阻止するためには、ファイアウォールの設置・管理、侵入検知システムの導入・管理等の対策、企業内での情報漏洩防止策としては、重要書類のデジタル認証、ユーザアクセス管理が挙げられる。
【0005】
従来技術による前述の機密保持技術が記載された文献としては、例えば、予め外部からアクセス要求がある可能性が有る者のアクセス信頼度と複数のデータ等に対して企業機密レベルを予め設定しておき、企業システム内に外部ネットワークを介してアクセス要求があった場合、そのアクセス信頼度や機密度に応じてアクセス対象を制限することが記載された特開2002-84324号公報や、外部からのアクセスされたアドレスを監視し、予め設定したセキュリティ許可が得られたアドレスに対してのみアクセスを許可する技術が記載された特開平9-319715公報が挙げられる。
【0006】
【発明が解決しようとする課題】
前述の従来技術による機密保持技術は、企業が予め機密レベルを設定しておき、許可されたアクセス対象者に対して許可された機密レベルへのアクセスを設定することができるものの、例えば、ある企業のコンピュータシステムと該コンピュータシステムの保守管理を行う保守会社が存在する場合、もし、保守を行うために保守会社に対して無条件にアクセスを許可した場合、企業側にとっては、保守の必要がないときにも保守会社から社内の機密情報がアクセスできることを意味し、企業にとって保守会社の導入を躊躇することが考えられ、逆に保守会社に対してアクセス権を制限したときは、企業のコンピュータシステムに障害が発生した場合に迅速に対応することができず、企業のコンピュータシステムの信頼度が低下すると言う不具合があった。
【0007】
特に前記企業が地方自治体等の公共機関の場合、コンピュータシステム内に住民台帳や住民資産/税金等の個人情報が格納され、近年、個人情報機密保護法の成立も相まって、地方自治体にとっては保守会社から個人情報も容易にアクセスできる環境は好ましくなく、保守会社の導入を躊躇すると言う不具合があった。
【0008】
実際、顧客業務システムの開発や運用保守業務を請け負う第三者(保守会社)が、顧客の機密情報を入手してシステムのテストや障害対策時に利用したり遠隔監視・操作する機会を持つ場合がある。一般的にはこれらの業務遂行には管理者権限をもってシステムにアクセスする必要があるため、この第三者にシステム管理者権限を付与することになる。そのために、第三者によるシステムの運用監視業務では、障害発生時などの非常時では対策などのために必要になるアプリケーションログなどのような機密情報も、定常運用時には閲覧する必要は無いにもかかわらず、システム管理者権限を付与されているために、常に正規の方法で閲覧可能な状態で放置されている状態になっている。第三者は、顧客機密情報へのアクセスが自由であるだけでなく、遠隔操作環境における顧客業務システムが稼動しているコンピュータの設定変更といった重要操作も、特別な事前確認をせずに実行することができると言う不具合があった。
【0009】
本発明の目的は、前記従来技術による不具合を除去することであり、コンピュータシステムを持つ顧客側の企業や地方自治体等が、平常時においては保守会社に対してアクセス権を制限し、且つ緊急時には保守会社による保守を迅速に行うことができる機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体を提供することである。
【0010】
【課題を解決するための手段】
前記目的を達成するために本発明は、監視サーバ・コンピュータからネットワークを経由して複数の被監視サーバ・コンピュータにアクセスすることにより、被監視サーバ・コンピュータ内のアプリケーション及びデータに対するアクセス状況を監視する機密情報アクセス監視制御方法であって、被監視サーバ・コンピュータに格納したデータ及びアプリケーション対応のアクセス制御条件を監視制御エージェントのパラメータ情報として格納するアクセス制御パラメータ定義情報データベースと、該アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に顧客機密情報に対するアクセス状況を監視・制限する監視制御エージェントプログラムと、該監視制御エージェントプログラムによりアクセス監視及び制限を行った結果を記録する監視制御ログデータベースとを用い、前記被監視サーバ・コンピュータが、平常時には、アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に外部からの機密情報に対するアクセス状況の監視・制限と、該アクセス監視及び制限を行った結果の監視制御ログデータベースへの記録とを行い、障害発生時には、前記アクセス状況の監視・制限及び監視制御ログデータベースへの記録を行うと共に、前記顧客機密情報へのアクセス制御条件を緩和することを第1の特徴とする。
【0011】
更に本発明は、監視サーバ・コンピュータからネットワークを経由して複数の被監視サーバ・コンピュータにアクセスすることにより、被監視サーバ・コンピュータ内のアプリケーション及びデータに対するアクセス状況を監視する機密情報アクセス監視制御システムであって、前記被監視サーバ・コンピュータが、アクセス単位の被監視サーバ・コンピュータに格納したデータ及びアプリケーション対応のアクセス制御条件を監視制御エージェントのパラメータ情報として格納するアクセス制御パラメータ定義情報データベースと、平常時には、アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に外部からの機密情報に対するアクセス状況の監視・制限と、該アクセス監視及び制限を行った結果の監視制御ログデータベースへの記録とを行い、障害発生時には、前記アクセス状況の監視・制限及び監視制御ログデータベースへの記録を行うと共に、前記顧客機密情報へのアクセス制御条件を緩和する監視制御エージェントプログラムと、該監視制御エージェントプログラムによりアクセス監視及び制限を行った結果を記録する監視制御ログデータベースとを備えたことを第2の特徴とする。
【0012】
更に本発明は、監視サーバ・コンピュータからネットワークを経由して複数の被監視サーバ・コンピュータにアクセスすることにより、被監視サーバ・コンピュータ内のアプリケーション及びデータに対するアクセス状況を監視する機密情報アクセス監視制御を行うプログラムを記憶した記録媒体であって、被監視サーバ・コンピュータに格納したデータ及びアプリケーション対応のアクセス制御条件を監視制御エージェントのパラメータ情報として格納するアクセス制御パラメータ定義情報データベースと、該アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に顧客機密情報に対するアクセス状況を監視・制限する監視制御エージェントプログラムと、該監視制御エージェントプログラムによりアクセス監視及び制限を行った結果を記録する監視制御ログデータベースとを用い、前記被監視サーバ・コンピュータに、監視制御エージェントプログラムの制御により、平常時には、アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に外部からの機密情報に対するアクセス状況の監視・制限を行う手順と、該アクセス監視及び制限を行った結果の監視制御ログデータベースへの記録を行う手順として機能させ、障害発生時には、前記アクセス状況への監視・制限を行う手順と前記監視制御ログデータベースへ記録する手順として機能させると共に、前記顧客機密情報へのアクセス制御条件を緩和する手順として機能させるプログラムを記録させたコンピュータ読みとり可能にしたことを第3の特徴とする。
【0013】
【発明の実施の形態】
以下、本発明の一実施形態による機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体を図面を参照して詳細に説明する。図1は本実施形態による機密情報アクセス監視制御システムの概念図、図2は本実施形態による機密情報アクセス監視制御システムの一実施形態によるシステム構成図、図3は本機密情報アクセス監視制御システムの具体的構成を示す機能構成図、図4は図3のアクセス制御部62が備える処理機能の構成図、図5は図4のアクセス制御条件設定部621の処理手順を示す動作フローチャート、図6は図4のアクセス制御判定部622の処理手順の動作フローチャート、図7は図4のアクセス制御条件更新部624の処理手順の動作フローチャートである。
【0014】
<本実施形態による機密情報アクセス監視制御システムの位置づけの説明>
まず、本実施形態による機密情報アクセス監視制御システムの位置づけを図1を参照して説明する。一般に顧客機密情報に外部からアクセスする手法は、図1に示す如く、アクセスユーザ2と、該アクセスユーザ2がアクセスするためのアクセス手段3と、このアクセス手段3を制御するアクセス制御4の3つに区分することができ、アクセスユーザ2がアクセス制御4の制御下においてアクセス手段3を用いて顧客機密情報100にアクセスするとして表すことができる。
【0015】
例えば、アクセスユーザ2の外部ユーザは、アクセス制御4のファイアウォールや侵入検知システム等のアクセス制御によって顧客機密情報100にはアクセスできない。これに対して一般正規ユーザは、業務アプリケーションを介して顧客機密情報100にアクセスする機会があり、例えばユーザIDやパスワードの入力等、その業務アプリケーションに実装されているセキュリティによってアクセス制御が行われる。一方、本実施形態の機密情報アクセス監視制御システムは、従来、顧客システム管理者や運用・保守担当者がシステム管理者権限を利用してオペレーションシステムコマンドを含む管理・運用アプリケーションを介して比較的自由に顧客機密情報100にアクセスできる環境にあったものを、本実施形態においては、前記アクセス手段3と顧客機密情報100の間に、本機密情報アクセス監視制御システムを配置することにより、当該システムのアクセス条件にもとづくアクセス制御を行うものである。
【0016】
<システム全体概要の説明>
図2は、本実施形態による機密情報アクセス監視制御システムを含むコンピュータシステムの全体概要を示す構成図である。このシステムは、図2に示す如く、管理操作画面11を持ち、機密情報アクセス監視制御システムの管理部分に関わる監視制御エージェント管理プログラムを搭載してデータを蓄積する保守会社側の監視サーバ・コンピュータ1と、管理操作画面20を持ち、機密情報アクセス監視制御エージェントプログラムを搭載し、データを蓄積する前述の企業側の被監視サーバ・コンピュータ21〜24と、前記監視サーバ・コンピュータ1及び被監視サーバ・コンピュータ21〜24とを接続する公衆通信回線であるネットワーク3と、本機密情報アクセス監視制御システムを実現するプログラム及びファイルを格納した情報記録媒体であるCD−ROM4と、該CD−ROM4と同様に本機密情報アクセス監視制御システムを実現するプログラム及びファイルを格納した情報記録媒体であるフレキシブル・ディスク5とを備える。尚、前記CD−ROM4又はフレキシブル・ディスク5に格納したプログラム及びファイルは、必要に応じて監視サーバ・コンピュータ1や被監視サーバ・コンピュータ21〜24にインストールされて実行されるものとする。
【0017】
<各監視サーバ・システムの説明>
さて、本実施形態による機密情報アクセス監視制御システムの具体的構成は、図3に示す如く、例えば前記企業側の被監視サーバ・コンピュータ21〜24と、例えば前記保守会社に相当する監視サーバ・コンピュータ1とをネットワーク3により相互接続されている。
【0018】
前記被監視サーバ・コンピュータ21〜24は、ユーザ操作画面20と、被監視サーバ・コンピュータ21〜24内において本発明の機密情報アクセス監視制御システムを実装するためにインストールされた監視制御エージェントプログラム6と、該監視制御エージェントプログラム6が使用するパラメータ定義情報データベース71及び監視制御ログ情報データベース72を含む情報蓄積部70とを備える。
【0019】
前記監視制御エージェントプログラム6は、外部との通信制御を行う通信制御部61と、前記図1に示したアクセスユーザからのアクセスを制御するアクセス制御部62と、後述する通信記録(ログ)データを管理する資源管理部63と、暗号化等の制御を行うデータ保護部64と、被監視制御エージェントプログラム内の各機能で発生するイベントを管理するイベント制御部65とを備える。
【0020】
前記情報蓄積部70のパラメータ定義情報データベース71は、平常状態又は障害発生のレベル等の条件に応じた、アクセスユーザ毎又はデータの機密度毎等のアクセス権をパラメータとして格納し、監視制御ログデータベース72は、監視サーバ・コンピュータ1を含むアクセスユーザからのアクセス状況を通信ログとして保管するものである。
【0021】
前記アクセス制御部62は、階層構造を成し、図4に示す如く、顧客機密情報に対するアクセス監視および制限の条件を設定するアクセス制御条件設定部621と、アクセス制御条件設定部621にもとづいて顧客機密情報へのアクセスの可/不可または記録の要不要を判定するアクセス制御判定部622と、顧客機密情報へのアクセス内容を監視制御ログ情報データベース72に格納するアクセス制御記録部623と、顧客機密情報に対して設定されているアクセス監視および制限の条件を変更する際の判定および変更後の動作を指定するアクセス制御条件更新部624とを備える。
【0022】
前記監視サーバ・コンピュータ1は、前記コンピュータ21等と同様に、ユーザ操作画面11、機密情報アクセス監視制御システムを実装する上でインストールされた監視制御エージェント管理プログラム40と、監視制御エージェント管理プログラム40が使用するパラメータ定義情報データベース51及び監視制御ログ情報データベース52を含む情報蓄積部50とを備える。前記監視制御エージェント管理プログラム40は、前記エージェントプログラム6同様に、通信制御部41、アクセス制御部42、資源管理部43、データ保護部44、イベント制御部47とに加え、監視条件や監視経緯ログ等のリポート作成を支援するリポート生成部45、各被監視サーバ・コンピュータ21等内の監視制御エージエントプログラム60の稼動状況等を監視する監視制御エージエント制御部46とを備える。また、監視制御エージェント管理プログラム40内のアクセス制御部42にも、アクセス制御部62と同様の機能階層を実装しており、監視サーバ・コンピュータ内のアクセス制御を可能としている。
【0023】
<アクセス制御条件設定手順>
このように構成された機密情報アクセス監視制御システムは、アクセス制御条件を設定する場合、図5に示す如く、管理者がアクセス制御情報設定画面を呼び出し(ステップ62101)、この画面上で、アクセス監視対象となるアプリケーションやデータファイルの指定、アクセス可能または不可能なユーザ情報の指定、閲覧や更新といったアクセス方法の指定、定常業務、障害解決、構成変更といった業務種別からなるアクセス制御条件を設定(62102)する。
【0024】
このとき管理者は、一つのアクセス監視対象またはアクセス監視対象グループに対して、複数のアクセス制御条件を同時に設定し、その内のどのアクセス制御条件を有効にするかを指定できるようにする。また、このアクセス制御条件の変更作業が可能な管理者の設定も、アクセス制御条件のパラメータとして定義する。
【0025】
この設定は、運用モードを平常時/低レベル障害発生時/高レベル障害発生時とした場合、平常時には、監視サーバ・コンピュータ1が被監視サーバ・コンピュータ21〜24に対してアクセス可能な範囲としては、運用・保守用のアプリケーションを介してデータに間接的にのみアクセス可能とし、ログファイルやデータベーステーブルの内容を直接読み込み不能な設定を行い、低レベル障害発生時には、アプリケーションが出力したログやイベントログファイル(内容の一部に住民情報そのものや住民情報システムにアクセスするために必要な情報が入っている可能性あり)の被監視サーバ・コンピュータ上での参照のみが可能な設定を行い、高レベル障害発生時には、障害の解析のためにアプリケーションが出力したログやイベントログファイル又は住民情報のデータベースファイルそのものの外部持ち出し(外部記録媒体への複写や監視サーバ・コンピュータ1への転送)を可能とする設定が考えられる。
【0026】
また前記設定としては、被監視サーバ・コンピュータ21等にインストールされているシステム(アプリケーション)単位に関連するファイルやアプリケーションのアクセス制御を行うことができるため、 被監視サーバ内のどのシステムにおいて、障害が発生したかが予め判っている場合、そのシステムに対して設定されているアクセス制御条件のみ緩和する設定を行う。
【0027】
具体的に説明すると、例えば、住民情報システムのアクセス制御対象に住民情報データファイルがあり、地域/地図情報システムのアクセス制御対象に地図情報データベースファイルがあり、障害が発生した時のみ、それぞれのデータベースファイルの内容を参照できるように設定している場合、住民情報システムに何らかの障害が発生したことが判っている場合は、住民情報システムのアクセス制御条件のみ障害対策用に緩和するため、地域/地図情報システムのデータベースファイルにはアクセスできないように設定することができる。但し、複数のシステムが共通してアクセス制御対象になっているファイルあるいはアプリケーションが存在する場合は、それぞれのアクセス制御条件が矛盾しないように、優先順位を設定する必要がある。
【0028】
更に前記設定としては、指定されたハードディスク/指定されたフォルダ/月次(月末日)処理も設定することができる。
また、これら設定は、監視側と被監視側とで予め想定可能な障害に応じた障害発生時のマニュアルを作成しておき、被監視側の管理者が、何らかの障害発生時に前記マニュアルを参照して後述する運用モードの変更を行うことができる。
【0029】
アクセス制御条件設定部621(図4)は、これらのアクセス制御条件を監視制御エージェントのパラメータ情報として、パラメータ定義情報データベース71に格納し(ステップ62103)、これと同時に監視制御エージェント管理プログラム40に同パラメータ情報を転送し、パラメータ定義情報データベース51にバックアップ情報として格納する(ステップ62104)。
【0030】
<アクセス制御設定手順>
この機密情報アクセス監視制御システムは、外部からの顧客機密情報へのアクセスに対し、アクセス制御判定部622が、監視制御エージェントプログラム6が起動時にパラメータ定義情報データベース71からアクセス制御条件パラメータ情報を読み込み(ステップ62201)、該アクセス制御条件パラメータに設定されているアクセス監視対象となるアプリケーションやデータファイルに対するアクセス状況を監視し(ステップ62202)、アクセス監視対象に対するアクセスがあった場合、監視記録をするかどうかを指定するアクセス監視条件に基づいてアクセス記録要不要を判定し(ステップ62203)、アクセス記録要と判定した場合は、アクセス制御記録部623が監視制御ログ情報データベース72にアクセス状況を記録する(ステップ62204)。
【0031】
従って本システムは、平常時〜障害発生時において、常に外部からのアクセス状況を監視及び判定を行い、必要なら監視記録を残すことによって、必要なら外部アクセスに対する評価を行うことができる。即ち、不正な外部からの侵入が想定された場合は、その侵入元やアクセスされたファイル内容を知ることができ、その対策に利用することができる。
【0032】
次いで本処理は、アクセスの制限をするかどうかを指定するアクセス制限条件に基づいてアクセス制限要不要を判定し(ステップ62205)、アクセス制限要と判定した場合はアクセス制御記録部623が監視制御ログ情報データベース72にアクセス状況を記録し(ステップ62206)、且つアクセス制限を実施する(ステップ62207)ことにより、アクセス権限がないアクセスの侵入を防止し、さらに記録を残すことができる。
【0033】
更に本処理は、アクセス状況について通知するかどうかを指定する通知条件に基づいて通知要不要を判定し(ステップ62208)、通知要と判定した場合、アクセス制御判定部622がイベント制御部65を介して監視制御エージェント管理プログラム40に通知内容を転送する処理を行う(ステップ62209)ことにより、例えば不正アクセスを管理者に通報することができる。
【0034】
<アクセス制御条件更新手順>
本実施形態による機密情報アクセス監視制御システムは、例えば障害発生時等において被監視側により顧客機密情報へのアクセス制御条件を変更する場合、図7に示す如く、管理者が監視制御エージェントプログラムにログインしてアクセス制御情報設定画面を呼び出し(ステップ62401)、画面上でアクセス制御条件更新部に対して該当するアクセス監視対象の更新を要求(ステップ62402)すると、このとき監視制御エージェントプログラムにログインしているユーザ情報を参照し該当するアクセス対象のアクセス制御条件の変更が可能であるかどうかを判定し(ステップ62403)、不可能であれば処理を終了し(ステップ62404)、アクセス制御条件が変更可能であるユーザでログインしている場合は、次に変更後のアクセス制御条件の有効条件を設定する(ステップ62405)。
【0035】
この変更後のアクセス制御条件の有効条件としては、例えば、変更後のアクセス制御条件が有効な期間や時間帯の設定(例えば営業日/営業時間内等)、有効なアクセス回数の上限設定のほか、このようなアクセスの中で一時的に有効な第2パスワードを発行し、通常アクセス時のログインIDと、パスワードに加えてこの第2パスワードを入力しなければ、当該顧客機密情報へのアクセスを許可しないようにする。アクセス制御条件更新部624は、変更されたアクセス制御条件での運用を有効にするように再設定し(ステップ62406)、監視制御エージェントのパラメータ情報として変更後のアクセス制御条件の有効条件と共にパラメータ定義情報データベース71に格納し(ステップ62407)、これと同時に監視制御エージェント管理プログラム40に同パラメータ情報を転送し、パラメータ定義情報データベース51にバックアップ情報として格納する(ステップ62408)。
【0036】
その後、アクセス制御条件判定部622は、変更後のアクセス制御条件と有効条件に基づいて顧客機密情報へのアクセス状況を監視し、無効になった時点で、アクセス制御条件更新部624に対してアクセス制御条件の再設定を要求する。このとき、通知条件に該当する場合はイベント制御部65に対して通知を要求し、記録条件に該当する場合はアクセス制御記録部に対してはログ記録を要求する。
【0037】
<本実施形態の全体動作及び効果>
このように構成した機密情報アクセス監視制御システムは、平常時には、監視サーバ・コンピュータ1が被監視サーバ・コンピュータ21〜24に対して、運用・保守用のアプリケーションを介してデータに間接的にアクセスするアクセス権限しか与えないため、平常時においては被監視サーバ・コンピュータ側の企業にとっては内部の機密情報が外部に漏れる危惧がなくなり、低レベル障害発生時には被監視サーバ・コンピュータ側の管理者が、前記障害発生時のマニュアルを参照して運用モードを例えば低レベルの障害発生モードに変更することにより、アプリケーションが出力したログやイベントログファイルに対するアクセス権を監視サーバ・コンピュータ側に与えることにより、容易に保守を行うことができ、この低レベル障害モードでは対応ができない場合は、管理者が高レベル障害モードに変更し、障害の解析のために、アプリケーションが出力したログやイベントログファイル又は住民情報のデータベースファイルそのものの外部持ち出しを許可することにより、障害に対応することができる。
【0038】
また、被監視サーバ・コンピュータ21等内のどのシステムにおいて、障害が発生したかが予め判っている場合、管理者が当該障害発生システム、例えば住民情報システムに何らかの障害が発生したことが判っている場合は、住民情報システムのアクセス制御条件のみ障害対策用に緩和するため、地域/地図情報システムのデータベースファイルにはアクセスを制限しつつ、必要な保守行うことができる。
また、管理者が前述の一時的に有効な第2バスワードを設定することにより、通常のID及びパスワードに加え、この第2パスワードを入力しなければ、当該顧客機密情報へのアクセスを許可しないようにすることにより、時間的な制限も加えたアクセスを被監視側で設定することもできる。
【0039】
【発明の効果】
以上説明したように、本発明によれば、機密情報へのシステム管理者やシステム運用者によるアクセス制限の条件を業務別に様々なレベルで多重に設定し、これをもとにアクセス状況を監視したり制限をすることにより、業務によっては不必要なアクセスを回避することができ、顧客の機密情報の保護が可能となる。このように多重に設定されたアクセス制限の条件は、予め指定され限られたユーザによって緩和したり強力にしたりすることができ、定常時には運用担当者に開示できない顧客業務システム内の機密情報を、障害発生時などの非常時には顧客側のシステム管理者が一時的に運用担当者から閲覧可能にするようにアクセス条件を緩和するなど、顧客主導型のシステム内機密情報保護体制を確立でき、かつ運用管理業者の顧客業務システムの安全性の保証責任業務を支援することができる。
【0040】
また、これまで、システム管理や運用の体制の整備やこれらの業務に携わる関係者教育によって対応してきたセキュリティ対策がシステム的に対応できるようになり、システム管理・運用請負業者は、多種多様な顧客業務システム環境を、同質で効率的に管理することができる。
【0041】
更に、個人情報を保護する意味合いから、外部とのネットワーク接続や遠隔監視に制限を設けていた顧客業務システムに本発明を適用することによって、顧客による信頼度が向上し、かつ遠隔監視環境の導入に対する理解を深めることができ、例えば公共団体等における個人情報の流出の危惧に対する対策を提言することもできる。
【0042】
そして、監視制御エージェントプログラム60と監視制御エージェント管理プログラム40間の通信には複数プロトコルを採用でき、特にインターネットに対応するプロトコルを利用できるようにすることによる新たなセキュリティフォールが開くことを防止することができる。
【 図面の簡単な説明】
【図1】本発明の一実施形態による機密情報アクセス監視制御システムの概念図。
【図2】本実施形態による機密情報アクセス監視制御システムの一実施形態によるシステム構成図。
【図3】本機密情報アクセス監視制御システムの具体的構成を示す機能構成図。
【図4】図4は図3のアクセス制御部62が備える処理機能の構成図。
【図5】図5は図4のアクセス制御条件設定部621の処理手順を示す動作フローチャート。
【図6】図4のアクセス制御判定部622の処理手順の動作フローチャート。
【図7】図4のアクセス制御条件更新部624の処理手順の動作フローチャート。
【符号の説明】
1:被監視サーバ・コンピュータ、2:アクセスユーザ、3:アクセス手段、4:CD−ROM、5:フレキシブルディスク、6:監視制御エージェントプログラム、62:アクセス制御部、63:資源管理部、64:データ保護部、65:イベント制御部、61:通信制御部、71:パラメータ定義情報、72:監視制御ログ、40:監視制御エージェントプログラム、42:アクセス制御部、43:資源管理部、44:データ保護部、45:イベント制御部、41:通信制御部、41:パラメータ定義情報、42:監視制御ログ。
Claims (3)
- 監視サーバ・コンピュータからネットワークを経由して複数の被監視サーバ・コンピュータにアクセスすることにより、被監視サーバ・コンピュータ内のアプリケーション及びデータに対するアクセス状況を監視する機密情報アクセス監視制御方法であって、
被監視サーバ・コンピュータに格納したデータ及びアプリケーション対応のアクセス制御条件を監視制御エージェントのパラメータ情報として格納するアクセス制御パラメータ定義情報データベースと、
該アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に顧客機密情報に対するアクセス状況を監視・制限する監視制御エージェントプログラムと、
該監視制御エージェントプログラムによりアクセス監視及び制限を行った結果を記録する監視制御ログデータベースとを用い、
前記被監視サーバ・コンピュータが、
平常時には、アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に外部からの機密情報に対するアクセス状況の監視・制限と、該アクセス監視及び制限を行った結果の監視制御ログデータベースへの記録とを行い、
障害発生時には、前記アクセス状況の監視・制限及び監視制御ログデータベースへの記録を行うと共に、前記顧客機密情報へのアクセス制御条件を緩和することを特徴とする機密情報アクセス監視制御方法。 - 監視サーバ・コンピュータからネットワークを経由して複数の被監視サーバ・コンピュータにアクセスすることにより、被監視サーバ・コンピュータ内のアプリケーション及びデータに対するアクセス状況を監視する機密情報アクセス監視制御システムであって、
前記被監視サーバ・コンピュータが、アクセス単位の被監視サーバ・コンピュータに格納したデータ及びアプリケーション対応のアクセス制御条件を監視制御エージェントのパラメータ情報として格納するアクセス制御パラメータ定義情報データベースと、
平常時には、アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に外部からの機密情報に対するアクセス状況の監視・制限と、該アクセス監視及び制限を行った結果の監視制御ログデータベースへの記録とを行い、
障害発生時には、前記アクセス状況の監視・制限及び監視制御ログデータベースへの記録を行うと共に、前記顧客機密情報へのアクセス制御条件を緩和する監視制御エージェントプログラムと、
該監視制御エージェントプログラムによりアクセス監視及び制限を行った結果を記録する監視制御ログデータベースと、
を備えたことを特徴とする機密情報アクセス監視制御システム。 - 監視サーバ・コンピュータからネットワークを経由して複数の被監視サーバ・コンピュータにアクセスすることにより、被監視サーバ・コンピュータ内のアプリケーション及びデータに対するアクセス状況を監視する機密情報アクセス監視制御を行うプログラムを記憶した記録媒体であって、
被監視サーバ・コンピュータに格納したデータ及びアプリケーション対応のアクセス制御条件を監視制御エージェントのパラメータ情報として格納するアクセス制御パラメータ定義情報データベースと、該アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に顧客機密情報に対するアクセス状況を監視・制限する監視制御エージェントプログラムと、該監視制御エージェントプログラムによりアクセス監視及び制限を行った結果を記録する監視制御ログデータベースとを用い、
前記被監視サーバ・コンピュータに、監視制御エージェントプログラムの制御により、
平常時には、アクセス制御パラメータ定義情報データベースに格納されたアクセス制御条件を基に外部からの機密情報に対するアクセス状況の監視・制限を行う手順と、該アクセス監視及び制限を行った結果の監視制御ログデータベースへの記録を行う手順として機能させ、
障害発生時には、前記アクセス状況への監視・制限を行う手順と前記監視制御ログデータベースへ記録する手順として機能させると共に、前記顧客機密情報へのアクセス制御条件を緩和する手順として機能させるプログラムを記録させたコンピュータ読みとり可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002140284A JP3793944B2 (ja) | 2002-05-15 | 2002-05-15 | 機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002140284A JP3793944B2 (ja) | 2002-05-15 | 2002-05-15 | 機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003330802A JP2003330802A (ja) | 2003-11-21 |
| JP3793944B2 true JP3793944B2 (ja) | 2006-07-05 |
Family
ID=29701201
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002140284A Expired - Fee Related JP3793944B2 (ja) | 2002-05-15 | 2002-05-15 | 機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3793944B2 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4585213B2 (ja) | 2004-03-24 | 2010-11-24 | 株式会社日立製作所 | データ保護方法及び認証方法並びにプログラム |
| US7130971B2 (en) * | 2004-03-30 | 2006-10-31 | Hitachi, Ltd. | Assuring genuineness of data stored on a storage device |
| JP2005092891A (ja) * | 2004-10-06 | 2005-04-07 | Toyo Commun Equip Co Ltd | アクセス制御エージェントシステム、秘匿情報の漏洩及び改竄防止方法、ネットワークシステムプログラム、及び記録媒体 |
| JP4570517B2 (ja) * | 2005-06-20 | 2010-10-27 | 中国電力株式会社 | アクセス数集計通知システムおよびアクセス数集計通知方法 |
| JP2007026020A (ja) * | 2005-07-15 | 2007-02-01 | Yokogawa Electric Corp | フィールド機器システム |
| JP4607023B2 (ja) * | 2006-01-24 | 2011-01-05 | エヌ・ティ・ティ・コムウェア株式会社 | ログ収集システム及びログ収集方法 |
| JP4690226B2 (ja) * | 2006-03-13 | 2011-06-01 | Necシステムテクノロジー株式会社 | 情報処理装置、機密データ監視方法およびプログラム |
| JP4933218B2 (ja) * | 2006-10-31 | 2012-05-16 | 株式会社野村総合研究所 | リモートアクセス制御装置 |
| JP4769241B2 (ja) * | 2007-09-25 | 2011-09-07 | Sky株式会社 | アクセス権限制御システム |
| JP4605252B2 (ja) * | 2008-05-21 | 2011-01-05 | 富士ゼロックス株式会社 | 医療情報アクセス制御装置および医療情報アクセス制御プログラム |
| JP6223205B2 (ja) * | 2014-01-27 | 2017-11-01 | キヤノン株式会社 | 画像形成装置及びその制御方法、並びにプログラム |
| JP6705695B2 (ja) * | 2016-05-19 | 2020-06-03 | 株式会社日立製作所 | ファイル管理システム及び方法 |
| JP6790051B2 (ja) | 2018-12-14 | 2020-11-25 | 株式会社日立製作所 | 計算機システム |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06250886A (ja) * | 1993-02-22 | 1994-09-09 | Hitachi Ltd | 計算機システムの遠隔監視方法及び遠隔計算機管理システム |
| JPH0946668A (ja) * | 1995-07-26 | 1997-02-14 | Canon Inc | アクセス制御方式 |
| JP2000099470A (ja) * | 1998-09-18 | 2000-04-07 | Sony Corp | データベース装置、情報管理装置とその方法およびデータ管理プログラムが記録されたコンピュータ読み取り可能な記録媒体 |
| JP2001195294A (ja) * | 2000-01-12 | 2001-07-19 | Nec Software Kobe Ltd | 資源アクセス制御装置,資源アクセス制御方法および記録媒体 |
| JP4950384B2 (ja) * | 2000-03-28 | 2012-06-13 | 株式会社東芝 | 医療用画像診断装置及びそのセキュリティ管理方法 |
-
2002
- 2002-05-15 JP JP2002140284A patent/JP3793944B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003330802A (ja) | 2003-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8769605B2 (en) | System and method for dynamically enforcing security policies on electronic files | |
| Swanson et al. | Generally accepted principles and practices for securing information technology systems | |
| JP6055798B2 (ja) | 自律型セキュリティ保護を組み込まれるデータ認知のシステムおよび方法 | |
| JP4667361B2 (ja) | 適応的透過暗号化 | |
| US9197668B2 (en) | Access control to files based on source information | |
| US8719901B2 (en) | Secure consultation system | |
| EP1977364B1 (en) | Securing data in a networked environment | |
| JP4667360B2 (ja) | ディジタル資産の管理された配布 | |
| CN101895578A (zh) | 基于综合安全审计的文档监控管理*** | |
| US20080183603A1 (en) | Policy enforcement over heterogeneous assets | |
| JP3793944B2 (ja) | 機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体 | |
| JP2006260176A (ja) | 機密文書管理方法及び機密文書管理システム | |
| Talukder et al. | Mobile technology in healthcare environment: Security vulnerabilities and countermeasures | |
| Choi et al. | A HIPAA security and privacy compliance audit and risk assessment mitigation approach | |
| Miroshnikov | Windows security monitoring: scenarios and patterns | |
| Butler | Privileged password sharing:“root” of all evil | |
| Abrams et al. | Bellingham, Washington, control system cyber security case study | |
| Klein et al. | Information security considerations in open systems architectures | |
| Talukder | Privacy and security vulnerabilities in health care infrastructure mobile technology | |
| Βλαχάκης | GDPR, from theory to practice. Development of a minimum basic data protection system for public and private sector entities | |
| Simmel et al. | SECURITY IMPROVEMENT MODULE CMU/SEI-SIM-004 | |
| CN116720221A (zh) | 一种基于删除指令管控的数据防勒索方法及*** | |
| Haber et al. | Sample Privileged Access Management Use Cases | |
| Ford et al. | Securing Network Servers | |
| Corsava et al. | Autonomous agents-based security infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051207 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051220 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060314 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060330 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090421 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100421 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100421 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110421 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110421 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120421 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130421 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130421 Year of fee payment: 7 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130421 Year of fee payment: 7 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140421 Year of fee payment: 8 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |