JP5542859B2 - ログ管理装置、ログ蓄積方法、ログ検索方法、およびプログラム - Google Patents
ログ管理装置、ログ蓄積方法、ログ検索方法、およびプログラム Download PDFInfo
- Publication number
- JP5542859B2 JP5542859B2 JP2012071822A JP2012071822A JP5542859B2 JP 5542859 B2 JP5542859 B2 JP 5542859B2 JP 2012071822 A JP2012071822 A JP 2012071822A JP 2012071822 A JP2012071822 A JP 2012071822A JP 5542859 B2 JP5542859 B2 JP 5542859B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- file
- file operation
- importance
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Description
この発明は、電子ファイルに対するファイル操作ログを蓄積し、蓄積されたログを検索して電子ファイルに関する操作の履歴を追跡するログ管理技術に関する。
情報漏えい対策の一つとして、重要情報の漏えいの有無を確認することが有効である。具体的には、定期的に重要情報が漏えいしていないかを確認することや、情報の外部出力に関する操作履歴を検査し、その操作が不正な漏えい行為であるかどうかを確認することなどである。このような重要情報の情報漏えい対策を行う方法の一つとして、ファイル操作ログを用いる方法がある。ファイル操作ログとは、電子ファイル(以下、「ファイル」という)を操作する端末において、端末の利用者がファイルに対する操作を行った際に出力されるログである。
ファイル操作ログを用いて行う情報漏えい対策は、例えば以下のように行う。まず、すべての監視対象端末からファイル操作ログを収集して一元的に蓄積する。次に、蓄積されたファイル操作ログに対して、ファイルの保存場所や操作内容などのファイル操作に関する情報などを検索条件として検索する。このようにすることで、ファイルを外部に出力する行為を示すログを抽出することができる。
また、任意のファイル操作ログを起点として時系列に追跡することで、特定のファイルに対する一連のファイル操作を明らかにすることができる。この追跡結果からファイルの流通経路を調査することで、重要情報の漏えい有無の確認や情報漏えい後の原因を調査することが行われている。ここでは、追跡調査において、起点とするファイル操作ログを起点ログと呼ぶ。起点ログに記載された操作時刻を基準として、過去方向に向かって一連のログを追跡する処理を由来追跡と呼び、未来方向に向かって一連のログを追跡する処理を派生追跡と呼ぶ。
このようなファイル操作ログを用いた情報漏えい対策を行うことができる機能を有する製品として、例えば、非特許文献1や非特許文献2に記載の製品が市場に流通している。
また、重要情報の漏えい有無を確認する作業の効率を向上するために、重要度の高いファイルに対する操作のみを抽出して確認作業を行う方法が考えられている(非特許文献3)。ファイルの重要度を決定する方法として、あらかじめ登録したキーワードがどの程度含まれているかで重要度を決定する方式(以下、従来技術1とする)、ファイルのフィンガープリントを測定し、機密文書のファイル形式や文書内容と特徴点が共通しているかで重要度を決定する方式(以下、従来技術2とする)、データベースやCSV(カンマ区切り)ファイル内のデータと同じ情報が含まれているかで重要度を決定する方式(以下、従来技術3とする)、あらかじめ登録しておいたソフトウェア等により出力されたファイルか否かで重要度を決定する方式(以下、従来技術4とする)などが考案されている。
株式会社日立製作所、"統合システム運用管理 JP1:ダウンロードした後のファイル操作をログで追跡できるようにする。:ソフトウェア:日立"、[online]、[平成24年1月30日検索]、インターネット<URL:http://www.hitachi.co.jp/Prod/comp/soft1/jp1/topics/solution/it_comp/i_vol4_01.html>
株式会社ソリトンシステムズ、"情報漏洩対策 InfoTrace | 特長・機能"、[online]、[平成24年1月30日検索]、インターネット<URL:http://www.soliton.co.jp/products/pc_security/infotrace/infotrace/feature.html>
日経コンピュータ、"徹底取材 DLP製品 重要ファイルだけを「社外秘」に 中身に潜むキーワードで判定"、日経コンピュータ、日経BP社、2010年4月28日号、p.98-101
しかしながら、従来のログ管理技術では、由来追跡や派生追跡にあたって起点ログの操作時刻やファイル名や保存場所などを用いた複雑な条件を検索条件として用いているため、検索対象のファイル操作ログが大量である場合には追跡に要する処理量が増大する。そのため、追跡調査の所要時間が長くなり、全体として情報漏えい対策の作業効率が低下する要因となっていた。
また、ファイルを外部出力したことを示すファイル操作ログが抽出されるたびに由来追跡や派生追跡を用いた原因調査を行うのでは、重要情報の漏えい有無を確認する作業の効率が悪い。重要情報の漏えい有無を確認する作業の効率を向上するためには、重要度の高いファイルに対する操作であり、かつ操作の妥当性が疑わしい外部出力に関するファイル操作ログのみを抽出して確認作業を行うことが有効である。そのためにはファイル操作ログの検索にあたって、ファイル操作情報のみでなくファイルの重要度や操作の妥当性を判断するための適切な属性情報を検索条件とすることが考えられる。
しかしながら、従来のログ管理技術は、ファイル操作ログを検索し確認することは可能であるが、所有者情報などの属性情報を検索条件とすることはできなかった。そのため、重要情報の漏えい有無を確認するためには外部出力に関するファイル操作ログをそれぞれ確認する必要があり、追跡すべきファイル操作ログを特定するための作業量が大きくなっていた。この点も情報漏えい対策の作業効率が低下する要因となっていた。
さらに、従来のファイルの重要度を決定する方式は、機械的にファイルの重要度を設定するものである。例えば、従来技術1や従来技術3では、キーワードが含まれていなくても重要なファイルがあれば、逆にキーワードが含まれていても重要ではないファイルもある。従来技術2では、特徴点を比較して文書の内容が似たファイルを抽出しても、全く構成の異なる重要な文書は特定することができない。従来技術4では、特定のアプリケーションが出力するファイルが常に重要であるとは限らない。このように、従来のファイルの重要度の決定方式では、常に適切な重要度を設定することはできない。また、ファイルの重要度は時間の経過と共に重要でなくなったり、逆に重要になったり変化するが、従来のファイルの重要度の決定方式では、これらの経年変化を加味して重要度を正確に評価することができない。
この発明はこのような点に鑑みてなされたものであり、ファイル操作ログの追跡に要する処理量を軽減し、追跡すべきファイル操作ログの特定を容易にし、さらに追跡すべきファイル操作ログの特定に用いる属性情報として経年変化を加味したより適切な値を設定することで、全体として情報漏えい対策の効率を向上することができるログ管理技術を提供することを目的とする。
上記の課題を解決するために、この発明のログ管理装置は、1台以上の監視対象端末から受信する、少なくとも操作日時と操作対象ファイルを示す情報を含むファイル操作ログを蓄積し、検索端末から指定された検索条件に基づいて、蓄積されたファイル操作ログを検索する。この発明のログ管理装置は、ログ識別情報生成部と親ログ抽出部と親ログ識別情報生成部とログ検索部とログ追跡部とを備える。ログ識別情報生成部は、ファイル操作ログを一意に識別するログ識別情報を、ファイル操作ログに付加する。親ログ抽出部は、蓄積されたファイル操作ログから、ファイル操作ログと操作対象ファイルが同じでありファイル操作ログと操作日時が最も近いファイル操作ログである親ログを抽出する。親ログ識別情報生成部は、親ログが抽出された場合には、親ログに含まれるログ識別情報をファイル操作ログに親ログ識別情報として付加し、親ログが抽出されなかった場合には、空文字列をファイル操作ログに親ログ識別情報として付加する。ログ検索部は、蓄積されたファイル操作ログから、検索条件に合致するファイル操作ログを抽出し検索結果を生成する。ログ追跡部は、検索端末により検索結果から選択されたファイル操作ログである起点ログを用いて、蓄積されたファイル操作ログから起点ログと操作対象ファイルが同じであり起点ログよりも操作日時が古いファイル操作ログを抽出する由来追跡と、蓄積されたファイル操作ログから起点ログと操作対象ファイルが同じであり起点ログよりも操作日時が新しいファイル操作ログを抽出する派生追跡とにより、追跡結果を生成する。
また、この発明のログ管理装置において好ましくは、親ログが抽出された場合には、親ログに付加された属性情報をファイル操作ログに付加し、親ログが抽出されなかった場合には、空文字列を属性情報としてファイル操作ログに付加する属性情報生成部をさらに備え、検索端末が指定する検索条件は、属性情報に対する条件を含む。
また、この発明のログ管理装置において好ましくは、重要度設定記憶部と重要度生成部をさらに備える。重要度設定記憶部は、1台以上の重要度設定端末から受信する、少なくとも設定ユーザを示す情報と設定対象ファイルを示す情報と設定重要度を含む重要度設定情報を蓄積する。重要度生成部は、重要度設定記憶部に蓄積された重要度設定情報から、設定対象ファイルが同一の重要度設定情報を抽出し、抽出された重要度設定情報に含まれる設定重要度を平均して現行重要度を計算する。
この発明のログ管理装置は、ファイル操作ログを蓄積する際に、操作対象ファイルが同じであり操作日時が最も近いファイル操作ログを親ログとして抽出し、その親ログを一意に識別する親ログ識別情報をファイル操作ログに付加する。これにより、ファイル操作ログを追跡する際に、親ログ識別情報のみから由来追跡や派生追跡を行うことができる。そのため、追跡に要する処理量を軽減することができる。また、この発明の一実施形態によれば、ファイル操作ログを検索する際に、ファイルの重要度や所有者情報などの属性情報を検索条件として指定することができる。そのため、追跡すべきファイル操作ログの特定を容易に行うことができる。さらに、この発明の一実施形態によれば、ファイルの重要度を利用者の投票により決定する。多数の利用者による重要度評価を行うことで集合知により個々のファイルにふさわしい重要度を設定することができる。したがって、この発明のログ管理装置によれば、情報漏えい対策の作業効率を全体として向上することができる。
以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
図1は、この実施例のログ管理装置100と周辺機器の構成を示すブロック図である。ログ管理装置100と検索端末200とn台の監視対象装置3001〜300nは、ネットワーク1に接続される。ネットワーク1は、ログ管理装置100と検索端末200、およびログ管理装置100とn台の監視対象装置3001〜300nそれぞれとが相互に通信可能なように構成される。ネットワーク1は、例えば、インターネットやLAN、WANなどで構成することができる。ログ管理装置100は、ログ識別情報生成部110と親ログ抽出部120と親ログ識別情報生成部130と属性情報生成部140と属性情報更新部150とログ検索部160とログ追跡部170と属性情報設定条件記憶部180とログ記憶部190を備える。
[ログ蓄積方法の説明]
監視対象装置3001〜300nは自装置上でのファイル操作を監視し、ファイル操作がなされる都度、その操作内容を記述したファイル操作ログを生成し、ログ管理装置100へ送信する。ファイル操作の監視は、後述するファイル操作ログに設定される情報が取得できる方法であれば、既知のいかなる方法も用いることができる。例えば、監視対象装置3001〜300nで常時動作するエージェントプログラムにより取得してもよいし、監視対象装置3001〜300nを構成する基本ソフトウェア(Operation System)の提供するセキュリティログから取得してもよい。
監視対象装置3001〜300nは自装置上でのファイル操作を監視し、ファイル操作がなされる都度、その操作内容を記述したファイル操作ログを生成し、ログ管理装置100へ送信する。ファイル操作の監視は、後述するファイル操作ログに設定される情報が取得できる方法であれば、既知のいかなる方法も用いることができる。例えば、監視対象装置3001〜300nで常時動作するエージェントプログラムにより取得してもよいし、監視対象装置3001〜300nを構成する基本ソフトウェア(Operation System)の提供するセキュリティログから取得してもよい。
図2にファイル操作ログの構成例を示す。「日時=」に続く文字列は、操作が行われた日時(以下、操作日時)を表す。「ホスト=」に続く文字列は、ファイル操作が行われた監視対象装置3001〜300n(以下、操作装置)の名称を表す。「ユーザ=」に続く文字列は、ファイル操作が行われた際に、操作装置にログインしていたユーザを表す。「アプリケーション=」に続く文字列は、ファイル操作に用いられたアプリケーションの名称を表す。「操作種別=」に続く文字列は、ファイル操作内容の種別を表す。「元ファイル名=」に続く文字列は、ファイル操作前のファイル名を表す。「元ファイルパス=」に続く文字列は、ファイル操作前のファイルパスを表す。「先ファイル名=」に続く文字列は、ファイル操作後のファイル名を表す。「先ファイルパス=」に続く文字列は、ファイル操作後のファイルパスを表す。操作種別には、作成(Create)、削除(Delete)、参照(Read)、更新(Modify)、複製(Copy)、移動(Move)、改名(Rename)などが設定される。元ファイルパスおよび先ファイルパスは、ローカルパスで設定してもよいし、ネットワークパスで設定してもよい。ローカルパスとは、装置に搭載されているディスクドライブを示す情報を含むファイルパスの記述方式である。ネットワークパスとは、ファイルを保有する装置のホスト名を含むファイルパスの記述方法である。パスの記述方法は装置を構成する基本ソフトウェアによって異なるが、例えば、Microsoft社のWindows(登録商標)であれば、ローカルパスはディスクドライブのドライブ文字で始まる文字列となり、ネットワークパスは「\\」にホスト名が続いた文字列から始まる文字列となる。
図2(A)は、ファイルが生成された際に出力されるファイル操作ログの例である。2011年12月12日12時15分23.223秒に、ホスト名が「PC_02」であるいずれかの監視対象装置3001〜300nにおいて、ユーザ「User_B」が、アプリケーション「notepad.exe」を用いて、ファイルパスが「C:\My Documents\議事録.txt」であるファイル名「議事録.txt」を、作成したことを示している。操作種別が作成(Create)の場合、ファイル操作の前には操作対象ファイルが存在しなかったため、先ファイル名および先ファイルパスには空文字列が設定される。操作種別が削除(Delete)のようにファイル操作の後には操作対象ファイルが存在しなくなる場合や、参照(Read)や更新(Modify)のように、ファイル操作の前後で操作対象ファイルのファイル名およびファイルパスが変更されない場合にも、先ファイル名および先ファイルパスには空文字列が設定される。
図2(B)は、ファイルが複製された際に出力されるファイル操作ログの例である。2011年12月12日13時02分54.486秒に、ホスト名が「PC_03」である監視対象装置300において、ユーザ「User_C」が、アプリケーション「explorer.exe」を用いて、ファイルパスが「\\192.168.0.10\設計\設計資料.doc」であるファイル名「設計資料.doc」を、ファイルパス「C:\My Documents\設計資料.doc」であるファイル名「設計資料.doc」として、複製したことを示している。操作種別が複製(Copy)もしくは移動(Move)もしくは改名(Rename)の場合には、ファイル操作の前後で操作対象ファイルのファイル名もしくはファイルパスが変更されるため、先ファイル名および先ファイルパスが設定される。
ログ記憶部190には、以前に受信したファイル操作ログが記憶されている。ログ記憶部190は、例えば、RAM(Random Access Memory)や、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、リレーショナルデータベースやキーバリューストアなどのミドルウェア、又は、ハードディスクや光ディスクなどの補助記憶装置により構成することができる。ここでは、ログ記憶部190をリレーショナルデータベースにより構成した場合を例として説明する。この場合、蓄積されたファイル操作ログは、各要素に対応するカラムを持つテーブルに、1件のファイル操作ログを1レコードとして登録される。
図3を参照して、ログ管理装置100の備えるログ識別情報生成部110の動作を説明する。ログ識別情報生成部110は、いずれかの監視対象装置3001〜300nからファイル操作ログを受信する(S1101)。次に、受信したファイル操作ログから各要素の値を抽出する(S1102)。続いて、受信したファイル操作ログを一意に識別するログ識別情報を生成する(S1103)。ログ識別情報は、ログ記憶部190に記憶されているすべてのファイル操作ログと重複しない値であればよい。例えば、ログ記憶部190に記憶されているログ識別情報の中で最も大きい値に1を加算した値としてもよいし、ファイル操作ログの内容を入力としたハッシュ関数の出力としてもよい。ハッシュ関数とは、任意長のビット列をより短い一定の長さに圧縮して、元のビット列に変換できないハッシュ値を生成可能な関数である。代表的なハッシュ関数にはSHA−1やMD5といったものが挙げられる。次に、生成したログ識別情報をファイル操作ログに付加してログ記憶部190へ記憶する(S1104)。そして、受信したファイル操作ログに付加したログ識別情報を親ログ抽出部120へ通知する(S1105)。
図4を参照して、ログ管理装置100がログ記憶部190に記憶したファイル操作ログに情報を付加する動作を説明する。親ログ抽出部120は、ログ識別情報生成部110からログ識別情報を通知されると、ログ記憶部190からそのログ識別情報により識別されるファイル操作ログを抽出する(S1201)。抽出したファイル操作ログに含まれる操作種別を参照し、操作種別が作成(Create)であるかどうかを判定する(S1202)。操作種別が作成(Create)以外であれば、ログ記憶部190から親ログを抽出する(S1203)。親ログは、ファイル操作ログと操作対象ファイルが同じであり、かつファイル操作ログと操作日時が最も近いファイル操作ログである。親ログの抽出は、以下の(1)から(3)の条件を満たすファイル操作ログをログ記憶部190から抽出することで行う。複数件のファイル操作ログが抽出された場合には、操作日時が最も新しい時刻であるファイル操作ログを親ログとする。
(1):操作日時がファイル操作ログの操作日時よりも過去の時刻であること。
(2−1):ファイル操作ログの操作種別が複製(Copy)もしくは移動(Move)もしくは改名(Rename)である場合には、先ファイルパスがファイル操作ログの元ファイルパスと一致すること。
(2−2):ファイル操作ログの操作種別が作成(Create)もしくは削除(Delete)もしくは参照(Read)もしくは更新(Modify)である場合には、元ファイルパスがファイル操作ログの元ファイルパスと一致すること。
(3):ファイル操作ログの元ファイルパスがローカルパスで設定されている場合には、ホスト名の値がファイル操作ログのホスト名と一致すること。
(1):操作日時がファイル操作ログの操作日時よりも過去の時刻であること。
(2−1):ファイル操作ログの操作種別が複製(Copy)もしくは移動(Move)もしくは改名(Rename)である場合には、先ファイルパスがファイル操作ログの元ファイルパスと一致すること。
(2−2):ファイル操作ログの操作種別が作成(Create)もしくは削除(Delete)もしくは参照(Read)もしくは更新(Modify)である場合には、元ファイルパスがファイル操作ログの元ファイルパスと一致すること。
(3):ファイル操作ログの元ファイルパスがローカルパスで設定されている場合には、ホスト名の値がファイル操作ログのホスト名と一致すること。
親ログ識別情報生成部130は、親ログ抽出部120が親ログを抽出したかどうかを判定する(S1301)。親ログが抽出されていた場合には、その親ログに付加されたログ識別情報を親ログ識別情報として生成する。次に、生成した親ログ識別情報をファイル操作ログに付加する(S1302)。親ログが抽出されていなかった場合には、空文字列を親ログ識別情報として生成する。操作種別が作成(Create)である場合にも、空文字列を親ログ識別情報として生成する。次に、生成した親ログ識別情報をファイル操作ログに付加する(S1303)。そして、ログ記憶部190に記憶されている該当レコードを親ログ識別情報が付加されたファイル操作ログで更新する。
属性情報生成部140は、親ログ抽出部120が親ログを抽出したかどうかを判定する(S1401)。親ログが抽出されていた場合には、その親ログに付加された属性情報を抽出する。次に、抽出した属性情報をファイル操作ログに付加する(S1402)。親ログが抽出されていなかった場合には、すべての要素を空文字列に設定した属性情報を生成する。操作種別が作成(Create)である場合にも、すべての要素を空文字列に設定した属性情報を生成する。次に、生成した属性情報をファイル操作ログに付加する(S1403)。そして、属性情報が付加されたファイル操作ログをログ記憶部190に更新登録する。
属性情報は、情報漏えい対策としてファイル操作ログを検索する際に利用することができる有益な情報であり、監視対象装置3001〜300nもしくはログ管理装置100が認識することができる属性であれば、適宜選択することができる。例えば、操作対象ファイルの重要度、操作対象ファイルの所有者情報、操作対象ファイルの作成者情報、操作対象ファイルの作成場所情報、操作対象ファイルへのアクセスが許可される装置やユーザなどの対象情報、もしくは許可されない対象情報、操作対象ファイルの流通が許可される保存場所情報、もしくは許可されない保存場所情報、操作対象ファイルに対して許可される操作種別情報、もしくは許可されない操作種別情報、任意の条件に対する真偽を示すフラグ、任意の文字列、などが考えられる。以降の説明では、属性情報として、操作対象ファイルの重要度と操作対象ファイルの所有者情報を利用した場合を例として説明する。
図5にログ記憶部190に蓄積されたファイル操作ログの構成例を示す。この構成例は、上述の通り、ログ記憶部190をリレーショナルデータベースにより構成した場合の例である。より具体的には、図5はファイル操作ログを蓄積するテーブルの登録状態を表した模式図である。カラム「ログ識別情報」には、ログ識別情報生成部110の生成したログ識別情報の値が登録される。カラム「操作日時」「ホスト」「ユーザ」「アプリケーション」「操作種別」「元ファイル名」「元ファイルパス」「先ファイル名」「先ファイルパス」には、それぞれ受信したファイル操作ログに設定されていた同名の要素の値が登録される。これらの値は、ログ識別情報生成部110によって登録される(S1104)。カラム「親ログ識別情報」は、親ログ識別情報生成部130の生成した親ログ識別情報の値が登録される(S1302、S1303)。カラム「重要度」「所有者」は属性情報であり、属性情報生成部140が属性情報として生成した重要度と所有者の値がそれぞれ登録される(S1402、S1403)。
図5において、ログ識別情報が「0101」であるレコード502は、図2(A)に示すファイル操作ログが登録されたレコードである。レコード502のカラム「親ログ識別情報」は空文字列が設定されている。これはレコード502には親ログが存在しないことを示している。また、カラム「重要度」「所有者」も空文字列が設定されている。これはレコード502には重要度や所有者などの属性情報が設定されていないことを示している。
ログ識別情報が「0102」であるレコード503は、図2(B)に示すファイル操作ログが登録されたレコードである。レコード503のカラム「親ログ識別情報」は、「0100」が設定されている。これはレコード503の親ログはログ識別情報が「0100」であるレコード501であることを示している。また、レコード503のカラム「重要度」は「高」である。これはレコード503の操作対象ファイル「設計情報.doc」の重要度が「高」であることを示している。同様に、レコード503のカラム「所有者」は「設計課」であるため、レコード503の操作対象ファイル「設計情報.doc」の所有者は「設計課」であることがわかる。レコード503の「重要度」「所有者」の値は、親ログであるレコード501の「重要度」「所有者」の値と同じ値が設定されている。これは、属性情報生成部140が親ログの属性情報を抽出してファイル操作ログに付加したことによるものである(S1402)。
属性情報設定条件記憶部180には、あらかじめ定められた属性情報設定条件が記憶されている。属性情報設定条件記憶部180は、例えば、RAM(Random Access Memory)や、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、リレーショナルデータベースやキーバリューストアなどのミドルウェア、又は、ハードディスクや光ディスクなどの補助記憶装置により構成することができる。ここでは、属性情報設定条件記憶部180をリレーショナルデータベースにより構成した場合を例として説明する。この場合、属性情報設定条件は、ログ検査条件と属性情報設定値の各要素をカラムに持つテーブルに、1件の属性情報設定条件を1レコードとして登録される。
図6に属性情報設定条件記憶部180の記憶する属性情報設定条件の構成例を示す。この構成例は、上述の通り、属性情報設定条件記憶部180をリレーショナルデータベースにより構成した場合の例である。より具体的には、図6は属性情報設定条件を登録するテーブルを表した模式図である。カラム「設定番号」には、各属性情報設定条件を一意に識別する番号が登録される。カラム「元ファイル名」「元ファイルパス」「先ファイル名」「先ファイルパス」には、ログ記憶部190に蓄積されたファイル操作ログの同名の各カラムに対する条件であるログ検査条件を登録する。カラム「重要度」「所有者」には、ログ検査条件に合致したファイル操作ログの同名の各カラムに更新登録するべき値を登録する。例えば、レコード603に登録された属性情報設定条件は、「元ファイル名」もしくは「先ファイル名」に「重要」という文字列を含み、かつ「元ファイルパス」もしくは「先ファイルパス」に「\\192.168.0.10\総務\」という文字列を含む場合には、ファイル操作ログに付加された属性情報に含まれる重要度の値を「高」、所有者の値を「総務課」に更新してログ記憶部190に登録することを表している。
図7を参照して、ログ管理装置100の備える属性情報更新部150の動作を説明する。属性情報更新部150は、属性情報生成部140の処理に引き続き実行される。まず、属性情報更新部150は、属性情報設定条件記憶部180からすべての属性情報設定条件を読み出す(S1501)。次に、ファイル操作ログの各要素に設定されている値が、いずれかの属性情報設定条件に含まれるログ検査条件と合致するかどうかを確認する(1502)。続いて、ログ検査条件と合致する属性情報設定条件が存在したかどうかを判定する(S1503)。ログ検査条件と合致する属性情報設定条件が存在した場合には、ファイル操作ログに付加された属性情報の各要素に設定された値を、その属性情報設定条件に含まれる属性情報設定値に設定されている値に更新して、ログ記憶部190に登録する(S1504)。ログ検査条件に該当する属性情報設定条件が存在しなかった場合には、そのまま処理を終了する。
図5に示されたログ記憶部190に蓄積されたファイル操作ログの構成例において、ログ識別情報が「0103」であるレコード504は、親ログ識別情報が「0101」に設定されているため、レコード504の親ログはレコード502である。レコード502の重要度と所有者は空文字列が設定されている。一方、レコード504の重要度は「低」であり、所有者は「総務課」である。これは、属性情報生成部140の処理により、レコード504の属性情報が親ログであるレコード502の値に設定されたが、その後の属性情報更新部150の処理により、図6の属性情報設定条件の構成例におけるレコード602のログ検査条件に合致することから、レコード602に設定されている属性情報設定値である重要度「低」と所有者「総務課」に更新登録されたことを示している。
また、図5において、ログ識別情報が「0107」であるレコード508は、親ログ識別情報が「0103」に設定されている。つまり、レコード508の親ログはレコード504である。レコード504の重要度は「低」であり、所有者は「総務課」である。一方、レコード508の重要度は「高」であり、所有者は「総務課」である。これは、属性情報生成部140の処理により、レコード508の属性情報が親ログであるレコード504の値に設定されたが、その後の属性情報更新部150の処理により、図6の属性情報設定条件の構成例におけるレコード603のログ検査条件に合致することから、レコード603に設定されている属性情報設定値である重要度「高」と所有者「総務課」に更新登録されたことを示している。
[ログ検索方法の説明]
図8に検索端末200が検索結果を表示する例を示す。検索端末200は、ログ検索画面70の検索ボタン711が押下されると、検索条件欄71に入力されている検索条件をログ管理装置100へ送信する。検索条件欄71には、ファイルパス、日時範囲、ユーザ、操作種別、重要度、所有者のそれぞれに対する検索条件を入力することができる。図8では、ファイルパスに「\\192.168.0.10\設計\設計資料.doc」を指定し、日時範囲を2011年12月12日0時0分0秒から23時59分59秒と指定している。ユーザおよび操作種別は「*」が指定されている。これはすべてのユーザおよび操作種別を抽出することを示している。重要度は「高」が指定されている。これは、重要度が「高」であるファイル操作ログのみを抽出することを示している。所有者は「設計課」が指定されている。これは、所有者が「設計課」であるファイル操作ログのみを抽出することを示している。
図8に検索端末200が検索結果を表示する例を示す。検索端末200は、ログ検索画面70の検索ボタン711が押下されると、検索条件欄71に入力されている検索条件をログ管理装置100へ送信する。検索条件欄71には、ファイルパス、日時範囲、ユーザ、操作種別、重要度、所有者のそれぞれに対する検索条件を入力することができる。図8では、ファイルパスに「\\192.168.0.10\設計\設計資料.doc」を指定し、日時範囲を2011年12月12日0時0分0秒から23時59分59秒と指定している。ユーザおよび操作種別は「*」が指定されている。これはすべてのユーザおよび操作種別を抽出することを示している。重要度は「高」が指定されている。これは、重要度が「高」であるファイル操作ログのみを抽出することを示している。所有者は「設計課」が指定されている。これは、所有者が「設計課」であるファイル操作ログのみを抽出することを示している。
図9を参照して、ログ管理装置100の備えるログ検索部160の動作を説明する。ログ検索部160は、検索端末200から検索条件を受信する(S1601)。次に、ログ記憶部190に蓄積されたファイル操作ログから、検索条件に合致するファイル操作ログを抽出して検索結果を生成する(S1602)。検索条件欄71でファイルパスに入力された条件は、ファイル操作ログの元ファイルパスもしくは先ファイルパスのいずれかが入力値と一致するかどうかを判定される。日時範囲に入力された条件は、ファイル操作ログの操作日時が入力値の範囲内にあるかどうかを判定される。ユーザ、操作種別、重要度、所有者は、ファイル操作ログのそれぞれに対応する同名のカラムが入力値と一致するかどうかを判定される。続いて、検索条件に合致するファイル操作ログが抽出されたかどうかを判定する(S1603)。検索条件に合致するファイル操作ログが抽出された場合には、抽出された検索結果を検索端末200へ送信する(S1604)。検索条件に合致するファイル操作ログが抽出されなかった場合には、検索条件に合致するファイル操作ログは存在しなかったことを示す情報を検索端末200へ返信する(S1605)。
検索端末200は、ログ管理装置100から検索結果を受信すると、検索結果欄72へ検索結果を表示する。図8は、検索条件欄71の例のように検索条件を設定して、図5の例のように蓄積されたファイル操作ログを検索した場合の検索結果を表示した例である。検索結果721、722,723は、それぞれ図5のレコード501、503、507が抽出された検索結果を表示した例である。図8のように検索条件を指定することで、利用者は、例えば、自部署が所有者となっているファイルのうち重要度が高いファイルのファイル操作ログのみを抽出することができる。このとき、自部署に所属していないユーザによるファイル操作ログが存在するのであれば、そのファイル操作ログに記載されたファイル操作行為の妥当性は疑わしいと判断することができる。
検索端末200は、検索結果欄72の各検索結果721〜723に表示されている検索ボタン731〜733が押下されると、検索端末200はその検索ボタンに対応するファイル操作ログの情報を起点ログとして追跡要求をログ管理装置100へ送信する。送信する起点ログの情報は少なくともログ識別情報を含んでいなければならない。
図10を参照して、ログ管理装置100の備えるログ追跡部170の動作を説明する。ログ追跡部170は、検索端末200から起点ログの情報を受信する(S1701)。次に、起点ログを起点として由来追跡を実施する(S1702)。由来追跡とは、起点ログと操作対象ファイルが同じであり、かつ起点ログよりも操作日時が古いファイル操作ログを抽出する追跡方法である。由来追跡は以下の(1)から(3)の手順で行われる。
(1):ログ記憶部190に蓄積されたファイル操作ログから、ログ識別情報の値が起点ログに含まれる親ログ識別情報の値と同じファイル操作ログを抽出する。
(2):ログ記憶部190に蓄積されたファイル操作ログから、ログ識別情報の値が手順(1)の抽出結果に含まれる親ログ識別情報の値と同じファイル操作ログを抽出する。
(3):親ログ識別情報に空文字列が設定されているファイル操作ログが抽出されるまで手順(2)の処理を繰り返し実行する。
(1):ログ記憶部190に蓄積されたファイル操作ログから、ログ識別情報の値が起点ログに含まれる親ログ識別情報の値と同じファイル操作ログを抽出する。
(2):ログ記憶部190に蓄積されたファイル操作ログから、ログ識別情報の値が手順(1)の抽出結果に含まれる親ログ識別情報の値と同じファイル操作ログを抽出する。
(3):親ログ識別情報に空文字列が設定されているファイル操作ログが抽出されるまで手順(2)の処理を繰り返し実行する。
次に、起点ログを起点として派生追跡を実施する(S1703)。派生追跡とは、起点ログと操作対象ファイルが同じであり、かつ起点ログよりも操作日時が新しいファイル操作ログを抽出する追跡方法である。派生追跡は以下の(1)から(4)の手順で行われる。
(1):ログ記憶部190に蓄積されたファイル操作ログから、親ログ識別情報が起点ログに含まれるログ識別情報と同じファイル操作ログを抽出する。
(2):ログ記憶部190に蓄積されたファイル操作ログから、親ログ識別情報が手順(1)の抽出結果に含まれるログ識別情報と同じファイル操作ログを抽出する。
(3):ファイル操作ログが抽出されなくなるまで手順(2)の処理を繰り返し実行する。
(4):手順(1)もしくは手順(2)において複数件のファイル操作ログが抽出された場合には、それぞれのファイル操作ログについて、手順(2)および手順(3)の処理を実行する。
(1):ログ記憶部190に蓄積されたファイル操作ログから、親ログ識別情報が起点ログに含まれるログ識別情報と同じファイル操作ログを抽出する。
(2):ログ記憶部190に蓄積されたファイル操作ログから、親ログ識別情報が手順(1)の抽出結果に含まれるログ識別情報と同じファイル操作ログを抽出する。
(3):ファイル操作ログが抽出されなくなるまで手順(2)の処理を繰り返し実行する。
(4):手順(1)もしくは手順(2)において複数件のファイル操作ログが抽出された場合には、それぞれのファイル操作ログについて、手順(2)および手順(3)の処理を実行する。
そして、由来追跡により抽出されたファイル操作ログと、派生追跡により抽出されたファイル操作ログと起点ログとを併合して追跡結果を生成する。検索端末200が追跡結果を表示する処理を軽減するために、併合した追跡結果は操作日時を基準として時系列に整列してもよい。
続いて、ログ追跡部170は、由来追跡もしくは派生追跡により追跡結果が抽出されたかどうかを判定する(S1704)。由来追跡もしくは派生追跡により追跡結果が抽出された場合には、抽出された追跡結果を検索端末200へ送信する(S1705)。由来追跡および派生追跡により追跡結果が抽出されなかった場合には、追跡対象のファイル操作ログは存在しなかったことを示す情報を検索端末200へ返信する(S1706)。
図11に検索端末200が追跡結果を表示する例を示す。検索端末200は、ログ管理装置100から追跡結果を受信すると、ログ追跡画面80に受信した追跡結果を樹形図に整形して表示する。図11は、図8のログ検索画面70において、追跡ボタン731を押下した場合の追跡結果を表示した例である。
樹形図は追跡結果に含まれるファイル操作ログを各ノードとして、画面上部から画面下部に向かって操作日時の時系列に配列される。各ノード811〜823の四角枠内には追跡結果レコードの元ファイルパスもしくは先ファイルパスが表示される。ファイルパスがローカルパスである場合にはさらにホスト名が表示される。四角枠を接続する矢印に隣接して、操作日時、操作種別、ユーザが表示される。この例では、図5におけるレコード501が起点ログとして選択されたものとして、ノード813が起点ログを表示しているものとする。ノード813より画面上部に表示されているノード811〜812が由来追跡による追跡結果を表している。ノード813より画面下部に表示されているノード814,821〜823が派生追跡による追跡結果を表している。ノード821はノード813から複製(Copy)されているため、一連のファイル操作がノード814とノード821〜823とに枝分かれしていることがわかる。由来追跡の追跡結果と派生追跡の追跡結果とは起点ログであるノード813により連結されて一連のファイル操作として表示される。
図11のように、妥当性の疑わしいファイル操作行為のファイル操作ログを起点ログとして追跡を行うことで、利用者は、例えば、自部署が所有者となっているファイルのうち重要度が高いファイルの流通状況を確認することができる。例えばノード823のように移動(Move)を示す操作であり、かつ移動先のファイルパスが外部記録媒体を割り当てるドライブ文字(G:)を含むファイルパスである場合には、操作対象のファイルが外部記録媒体に移動した操作行為であると分析することができる。これにより重要情報の漏えい行為の発生を認知することができる。
また、ログ追跡画面80に表示されている樹形図において、任意のノードを選択した状態で再追跡ボタン81を押下することで、検索端末200は選択されているノードに対応するファイル操作ログを起点ログとした追跡要求をログ管理装置100へ送信する。ログ管理装置100のログ追跡部170は、新たに選択された起点ログを起点とした由来追跡および派生追跡を行い、追跡結果を検索端末200へ送信する。これにより、検索端末200は新たに選択した起点ログが示す操作対象ファイルに関する追跡結果をログ追跡画面80に再表示することができる。
このように、この実施例のログ管理装置100は、ファイル操作ログを蓄積する際に、操作対象ファイルが同じであり操作日時が最も近いファイル操作ログを親ログとして抽出し、その親ログを一意に識別する親ログ識別情報をファイル操作ログに付加する。これにより、ファイル操作ログを追跡する際に、親ログ識別情報のみから由来追跡や派生追跡を行うことができる。そのため、追跡に要する処理量を軽減することができる。また、この実施例のログ管理装置100は、ファイル操作ログを検索する際に、ファイルの重要度や所有者情報などの属性情報を検索条件として指定することができる。そのため、追跡すべきファイル操作ログの特定を容易に行うことができる。したがって、この実施例のログ管理装置100によれば、情報漏えい対策の作業効率が全体として向上することができる。
図12は、この実施例のログ管理装置105と周辺機器の構成を示すブロック図である。この実施例では、ログ管理装置105と検索端末200とn台の監視対象装置3001〜300nに加えて、m台の重要度設定端末5001〜500mがネットワーク1に接続される。ネットワーク1は、ログ管理装置105と検索端末200、およびログ管理装置100とn台の監視対象装置3001〜300nそれぞれ、さらにログ管理装置105とm台の重要度設定端末5001〜500mそれぞれとが相互に通信可能なように構成される。この実施例のログ管理装置105は、実施例1のログ管理装置100と同様に、ログ識別情報生成部110と親ログ抽出部120と親ログ識別情報生成部130とログ検索部161とログ追跡部170とログ記憶部190を備え、さらに重要度設定受信部410と重要度生成部420と重要度設定表示部430と現行重要度表示部440と重要度設定記憶部480と現行重要度記憶部490を備える。
[重要度設定方法の説明]
重要度設定端末5001〜500mは、利用者の操作に基づいて、重要度および関連情報を含む重要度設定情報を生成し、ログ管理装置105へ送信する。重要度設定情報には、重要度設定操作が行われた際にその重要度設定端末にログインしていたユーザを示す情報と、重要度を設定する対象のファイル名、およびファイルパス、そして設定しようとする重要度が、少なくとも含まれる。ユーザやファイル名やファイルパスについては、ファイル操作ログのユーザや操作対象ファイルのファイル名やファイルパスと同様である。この発明では、重要度はあらかじめ定めた範囲の数値である。重要度設定情報の生成と送信は、重要度設定端末5001〜500m上で常時動作するエージェントプログラムにより実行される。
重要度設定端末5001〜500mは、利用者の操作に基づいて、重要度および関連情報を含む重要度設定情報を生成し、ログ管理装置105へ送信する。重要度設定情報には、重要度設定操作が行われた際にその重要度設定端末にログインしていたユーザを示す情報と、重要度を設定する対象のファイル名、およびファイルパス、そして設定しようとする重要度が、少なくとも含まれる。ユーザやファイル名やファイルパスについては、ファイル操作ログのユーザや操作対象ファイルのファイル名やファイルパスと同様である。この発明では、重要度はあらかじめ定めた範囲の数値である。重要度設定情報の生成と送信は、重要度設定端末5001〜500m上で常時動作するエージェントプログラムにより実行される。
図13を参照して、重要度設定端末5001〜500mがファイルに重要度を設定する操作の例を説明する。この例では、重要度設定端末5001〜500mをGUI(グラフィカルユーザインターフェース)によりマウス等のポインティングデバイスによる操作が可能なことを前提として説明する。重要度設定画面85には、重要度を設定する対象となるファイルの一覧が表示される。ユーザは任意のファイル851を選択し操作メニューを表示する。表示された操作メニュー852には、「重要度設定」メニューが含まれる。次に、「重要度設定」メニューを選択するとサブメニュー853が表示される。サブメニュー853ではあらかじめ定めた段階数の重要度が設定可能となっている。例えば、図13では、サブメニュー853に異なる重要度を示す5つの星印が横一列に並んでおり、一方の星印8541が重要度1を表し、他方の星印8545が重要度5を表すものとする。初期表示では現在設定されている重要度が表示され、利用者が設定したい段階の重要度を示す星印を選択することで、設定する重要度が決定される。
[重要度生成方法の説明]
図14を参照して、ログ管理装置105が重要度を生成する動作の例を説明する。重要度設定受信部410は、いずれかの重要度設定端末5001〜500mから重要度設定情報を受信する(S4101)。重要度設定受信部410は、受信した重要度設定情報を重要度設定記憶部480に順次記憶する(S4102)。
図14を参照して、ログ管理装置105が重要度を生成する動作の例を説明する。重要度設定受信部410は、いずれかの重要度設定端末5001〜500mから重要度設定情報を受信する(S4101)。重要度設定受信部410は、受信した重要度設定情報を重要度設定記憶部480に順次記憶する(S4102)。
重要度設定記憶部480は、例えば、RAM(Random Access Memory)や、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、リレーショナルデータベースやキーバリューストアなどのミドルウェア、又は、ハードディスクや光ディスクなどの補助記憶装置により構成することができる。ここでは、重要度設定記憶部480をリレーショナルデータベースにより構成した場合を例として説明する。この場合、受信した重要度設定情報は、各要素に対応するカラムを持つテーブルに、1件の重要度設定情報を1レコードとして登録される。この際、ログ管理装置105のシステム時刻をその重要度設定情報の設定日時として付加して記憶する。
重要度生成部420は、重要度設定記憶部480に記憶されている重要度設定情報から、受信した重要度設定情報と設定対象ファイル名および設定対象ファイルパスが一致する重要度設定情報を抽出する(S4201)。
蓄積された重要度設定情報から、同一の設定対象ファイルに対する重要度設定情報を抽出する際に、設定日時の新しい重要度設定情報のみを抽出するようにすることができる。例えば、設定日時の新しい順にあらかじめ定めた件数のみを抽出するようにしてもよいし、設定日時があらかじめ定めた期間前の日時以降の重要度設定情報のみを抽出するようにしてもよい。また、あらかじめ定めた件数のうち、あらかじめ定めた期間内の重要度設定情報のみを抽出するなど、期間と件数の両方を考慮するように構成することもできる。件数を基準とする場合には、ファイルによって考慮される期間が異なる場合があり、一方、期間を基準とする場合には、一定期間重要度設定操作が行われなかった場合には重要度設定情報が抽出されない場合があることに留意する必要がある。このように構成することで、計算対象となる重要度設定情報が一定の新しい重要度設定情報に限定されるため、経年による重要度の変化を加味した重要度を生成することができる。
次に、重要度生成部420は、抽出された重要度設定情報に含まれる設定重要度の平均を計算する(S4202)。そして、計算した平均値を、その設定対象ファイルの現行重要度として、現行重要度記憶部490へ記憶する(S4203)。
現行重要度記憶部490は、例えば、RAM(Random Access Memory)や、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、リレーショナルデータベースやキーバリューストアなどのミドルウェア、又は、ハードディスクや光ディスクなどの補助記憶装置により構成することができる。ここでは、現行重要度記憶部490をリレーショナルデータベースにより構成した場合を例として説明する。この場合、少なくとも対象ファイル名と対象ファイルパスと現行重要度をカラムに持つテーブルに、対象ファイル名と対象ファイルパス毎に1件のレコードが登録される。
重要度生成部420は、すでに同一の対象ファイル名と対象ファイルパスの組み合わせが登録されているかどうかを確認し、登録があればそのレコードの現行重要度のカラムを計算した現行重要度の値で更新する。登録がなければ重要度設定情報の対象ファイル名および対象ファイルパスと計算した現行重要度の値を組として新規レコードを登録する。
[重要度設定表示方法の説明]
図15にいずれかの重要度設定端末5001〜500mが重要度設定情報を表示する例を示す。ここでは、重要度設定端末500i(1≦i≦m)が重要度設定を表示するものとする。重要度設定端末500iは重要度設定表示画面90が起動されると、重要度設定取得要求をログ管理装置105へ送信する。このとき、特定のファイル名もしくはファイルパスの重要度設定情報のみを取得する重要度設定取得要求を送信してもよい。
図15にいずれかの重要度設定端末5001〜500mが重要度設定情報を表示する例を示す。ここでは、重要度設定端末500i(1≦i≦m)が重要度設定を表示するものとする。重要度設定端末500iは重要度設定表示画面90が起動されると、重要度設定取得要求をログ管理装置105へ送信する。このとき、特定のファイル名もしくはファイルパスの重要度設定情報のみを取得する重要度設定取得要求を送信してもよい。
重要度設定情報表示部430は、重要度設定端末500iから重要度設定取得要求を受信すると、重要度設定記憶部480に蓄積された重要度設定情報から、重要度設定情報を抽出する。特定のファイル名もしくはファイルパスの重要度設定情報のみを取得する場合には、指定されたファイル名もしくはファイルパスと一致する重要度設定情報のみを抽出する。重要度設定情報が抽出された場合には、抽出された重要度設定情報を重要度設定端末500iへ送信する。重要度設定情報が抽出されなかった場合には、重要度設定情報は存在しなかったことを示す情報を500iへ返信する。
重要度設定端末500iは、ログ管理装置105から重要度設定情報を受信すると、設定日時の新しい順に重要度設定表示欄91の一方から他方へ重要度設定情報を表示する。このように構成することにより、利用者は自分が設定した重要度が正しく設定されているか否かを確認することができる。また、特定のファイル名もしくはファイルパスの重要度設定情報のみを表示した場合には、複数のユーザが異なる重要度を設定している場合に、それぞれのユーザの設定する重要度が妥当であるか否かを互いに確認し合うことができる。
[現行重要度表示方法の説明]
図16にいずれかの重要度設定端末5001〜500mが現行重要度を表示する例を示す。ここでは、重要度設定端末500i(1≦i≦m)が現行重要度を表示するものとする。重要度設定端末500iは重要度表示画面95が起動されると、現行重要度取得要求をログ管理装置105へ送信する。
図16にいずれかの重要度設定端末5001〜500mが現行重要度を表示する例を示す。ここでは、重要度設定端末500i(1≦i≦m)が現行重要度を表示するものとする。重要度設定端末500iは重要度表示画面95が起動されると、現行重要度取得要求をログ管理装置105へ送信する。
現行重要度表示部440は、重要度設定端末500iから現行重要度取得要求を受信すると、現行重要度記憶部490に記憶されている現行重要度を抽出する。現行重要度が抽出された場合には、抽出された現行重要度を重要度設定端末500iへ送信する。現行重要度が抽出されなかった場合には、現行重要度が設定されているファイルはないことを示す情報を500iへ返信する。
重要度設定端末500iは、ログ管理装置105から現行重要度を受信すると、ファイル名に基づいて並び替えて現行重要度表示欄96の一方から他方へ重要度設定情報を表示する。このように構成することにより、利用者はそれぞれのファイルに設定されている現行重要度の現在の状況を確認することができる。
現行重要度を検索端末200に表示するように構成することもできる。図17に検索端末200が現行重要度を表示する例を示す。検索端末200が、検索条件をログ管理装置105へ送信する動作は、実施例1と同様である。
図18を参照して、ログ管理装置105の備えるログ検索部161の動作を説明する。ログ検索部161は、実施例1と同様に、検索端末200から受信した検索条件に基づいて、ファイル操作ログを検索し、検索条件に合致するファイル操作ログが抽出されたかどうかを判定する(S1601〜S1603)。検索条件に合致するファイル操作ログが抽出された場合には、抽出されたファイル操作ログそれぞれの操作対象ファイルについて、現行重要度を現行重要度記憶部490から取得する(S1611)。そして、抽出された検索結果に取得した現行重要度を付加して検索端末200へ送信する(S1604)。検索条件に合致するファイル操作ログが抽出されなかった場合には、検索条件に合致するファイル操作ログは存在しなかったことを示す情報を検索端末200へ返信する(S1605)。
検索端末200は、ログ管理装置105から受信した検索結果を検索結果欄72へ表示する。ログ管理装置105のログ検索部161が抽出した現行重要度は、重要度のカラム74へ表示される。このように構成することで、重要情報の漏えい有無の確認を最新の重要度に基づいて行うことができ、ファイルの重要度の経年変化を考慮した情報漏えい対策を効率的に行うことができる。
[プログラム、記録媒体]
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施例において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
また、上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
1 ネットワーク
100,105 ログ管理装置
110 ログ識別情報生成部
120 親ログ抽出部
130 親ログ識別情報生成部
140 属性情報生成部
150 属性情報更新部
160,161 ログ検索部
170 ログ追跡部
180 属性情報設定条件記憶部
190 ログ記憶部
410 重要度設定受信部
420 重要度生成部
430 重要度設定表示部
440 現行重要度表示部
480 重要度設定記憶部
490 現行重要度記憶部
200 検索端末
300 監視対象装置
500 重要度設定端末
50 ファイル操作ログテーブル
501−508 レコード
60 属性情報設定条件テーブル
601−603 レコード
70 ログ検索画面
71 検索条件欄
711 検索ボタン
72 検索結果欄
721−723 検索結果
731−733 追跡ボタン
80 ログ追跡画面
81 再追跡ボタン
811−823 ノード
85 重要度設定画面
90 重要度設定表示画面
91 重要度設定表示欄
95 重要度表示画面
96 現行重要度表示欄
100,105 ログ管理装置
110 ログ識別情報生成部
120 親ログ抽出部
130 親ログ識別情報生成部
140 属性情報生成部
150 属性情報更新部
160,161 ログ検索部
170 ログ追跡部
180 属性情報設定条件記憶部
190 ログ記憶部
410 重要度設定受信部
420 重要度生成部
430 重要度設定表示部
440 現行重要度表示部
480 重要度設定記憶部
490 現行重要度記憶部
200 検索端末
300 監視対象装置
500 重要度設定端末
50 ファイル操作ログテーブル
501−508 レコード
60 属性情報設定条件テーブル
601−603 レコード
70 ログ検索画面
71 検索条件欄
711 検索ボタン
72 検索結果欄
721−723 検索結果
731−733 追跡ボタン
80 ログ追跡画面
81 再追跡ボタン
811−823 ノード
85 重要度設定画面
90 重要度設定表示画面
91 重要度設定表示欄
95 重要度表示画面
96 現行重要度表示欄
Claims (10)
- 1台以上の監視対象端末から受信する、少なくとも操作日時と操作対象ファイルを示す情報を含むファイル操作ログを蓄積し、検索端末から指定された属性情報に対する条件を含む検索条件に基づいて、蓄積されたファイル操作ログを検索するログ管理装置であって、
前記ファイル操作ログを受信した際に、前記ファイル操作ログを一意に識別するログ識別情報を、前記ファイル操作ログに付加するログ識別情報生成部と、
前記ファイル操作ログを受信した際に、前記蓄積されたファイル操作ログから、前記ファイル操作ログと操作対象ファイルが同じであり前記ファイル操作ログと操作日時が最も近いファイル操作ログである親ログを抽出する親ログ抽出部と、
前記ファイル操作ログを受信した際に、前記親ログが抽出された場合には、当該親ログに含まれる前記ログ識別情報を前記ファイル操作ログに親ログ識別情報として付加し、前記親ログが抽出されなかった場合には、空文字列を前記ファイル操作ログに親ログ識別情報として付加して当該ファイル操作ログを蓄積する親ログ識別情報生成部と、
前記ファイル操作ログを受信した際に、前記親ログが抽出された場合には、当該親ログに付加された属性情報を前記ファイル操作ログに付加し、前記親ログが抽出されなかった場合には、空文字列を属性情報として前記ファイル操作ログに付加して当該ファイル操作ログを蓄積する属性情報生成部と、
あらかじめ設定された、少なくともログ検査条件と属性情報設定値を含む属性情報設定条件に基づいて、前記ログ検査条件に合致する場合には、前記ファイル操作ログに付加された前記属性情報を当該属性情報設定値で更新する属性情報更新部と、
前記蓄積されたファイル操作ログから、前記検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索部と、
前記検索端末により前記検索結果から選択されたファイル操作ログである起点ログを用いて、前記蓄積されたファイル操作ログから当該起点ログと操作対象ファイルが同じであり当該起点ログよりも操作日時が古いファイル操作ログを抽出する由来追跡と、前記蓄積されたファイル操作ログから当該起点ログと操作対象ファイルが同じであり当該起点ログよりも操作日時が新しいファイル操作ログを抽出する派生追跡とにより、追跡結果を生成するログ追跡部と、
を備えることを特徴とするログ管理装置。 - 請求項1に記載のログ管理装置であって、
前記ファイル操作ログは、
前記操作対象ファイルの操作前の位置情報である元ファイルパスと、前記操作対象ファイルの操作後の位置情報である先ファイルパスと、操作種別をさらに含み、
前記親ログ抽出部は、
前記操作種別が作成もしくは削除もしくは参照もしくは編集を示す場合には、元ファイルパスが前記ファイル操作ログの前記元ファイルパスと等しいことにより前記ファイル操作ログと操作対象ファイルが同じであると判断し、前記操作種別が移動もしくは複製もしくは改名を示す場合には、先ファイルパスが前記ファイル操作ログの前記元ファイルパスと等しいことにより前記ファイル操作ログと操作対象ファイルが同じであると判断する
ことを特徴とするログ管理装置。 - 請求項1または2に記載のログ管理装置であって、
前記属性情報は、
前記ファイル操作ログの示す前記操作対象ファイルの重要度と前記ファイル操作ログの所有者情報を含む
ことを特徴とするログ管理装置。 - 請求項1に記載のログ管理装置であって、
1台以上の重要度設定端末から受信する、少なくとも設定ユーザを示す情報と設定対象ファイルを示す情報と設定重要度を含む重要度設定情報を蓄積する重要度設定記憶部と、
前記重要度設定記憶部に蓄積された重要度設定情報から、前記設定対象ファイルが同一の重要度設定情報を抽出し、抽出された重要度設定情報に含まれる設定重要度を平均して現行重要度を計算する重要度生成部と、
をさらに備えることを特徴とするログ管理装置。 - 請求項4に記載のログ管理装置であって、
前記重要度設定情報は、設定日時をさらに含み、
前記重要度生成部は、前記重要度設定記憶部に蓄積された重要度設定情報から、前記設定日時に基づいてあらかじめ定めた条件を満たす重要度設定情報を抽出する
ことを特徴とするログ管理装置。 - 請求項4または5に記載のログ管理装置であって、
前記重要度設定記憶部に蓄積された重要度設定情報を抽出する重要度設定表示部
をさらに備えることを特徴とするログ管理装置。 - 請求項4から6のいずれかに記載のログ管理装置であって、
前記現行重要度を抽出する現行重要度表示部
をさらに備えることを特徴とするログ管理装置。 - 1台以上の監視対象端末から受信する、少なくとも操作日時と操作対象ファイルを示す情報を含むファイル操作ログを蓄積するログ蓄積方法であって、
前記ファイル操作ログを受信した際に、前記ファイル操作ログを一意に識別するログ識別情報を、前記ファイル操作ログに付加するログ識別情報生成ステップと、
前記ファイル操作ログを受信した際に、前記蓄積されたファイル操作ログから、前記ファイル操作ログと操作対象ファイルが同じであり前記ファイル操作ログと操作日時が最も近いファイル操作ログである親ログを抽出する親ログ抽出ステップと、
前記ファイル操作ログを受信した際に、前記親ログが抽出された場合には、当該親ログに含まれる前記ログ識別情報を前記ファイル操作ログに親ログ識別情報として付加し、前記親ログが抽出されなかった場合には、空文字列を前記ファイル操作ログに親ログ識別情報として付加して当該ファイル操作ログを蓄積する親ログ識別情報生成ステップと、
前記ファイル操作ログを受信した際に、前記親ログが抽出された場合には、当該親ログに付加された属性情報を前記ファイル操作ログに付加し、前記親ログが抽出されなかった場合には、空文字列を属性情報として前記ファイル操作ログに付加して当該ファイル操作ログを蓄積する属性情報生成ステップと、
あらかじめ設定された、少なくともログ検査条件と属性情報設定値を含む属性情報設定条件に基づいて、前記ログ検査条件に合致する場合には、前記ファイル操作ログに付加された前記属性情報を当該属性情報設定値で更新する属性情報更新ステップと、
を含むことを特徴とするログ蓄積方法。 - 検索端末から指定された属性情報に対する条件を含む検索条件に基づいて、少なくとも操作日時と操作対象ファイルを示す情報を含むファイル操作ログに、当該ファイル操作ログを一意に識別する情報と、当該ファイル操作ログと操作対象ファイルが同じであり操作日時が最も近いファイル操作ログである親ログを一意に識別する情報と当該親ログに付加された属性情報とを付加して蓄積されたファイル操作ログを検索するログ検索方法であって、
あらかじめ設定された、少なくともログ検査条件と属性情報設定値を含む属性情報設定条件に基づいて、前記ログ検査条件に合致する場合には、前記ファイル操作ログに付加された前記属性情報を当該属性情報設定値で更新する属性情報更新ステップと、
前記蓄積されたファイル操作ログから、前記検索条件に合致するファイル操作ログを抽出し検索結果を生成するログ検索ステップと、
前記検索端末により前記検索結果から選択されたファイル操作ログである起点ログを用いて、前記蓄積されたファイル操作ログから当該起点ログと操作対象ファイルが同じであり当該起点ログよりも操作日時が古いファイル操作ログを抽出する由来追跡と、前記蓄積されたファイル操作ログから当該起点ログと操作対象ファイルが同じであり当該起点ログよりも操作日時が新しいファイル操作ログを抽出する派生追跡とにより、追跡結果を生成するログ追跡ステップと、
を含むことを特徴とするログ検索方法。 - 請求項1から7のいずれかに記載のログ管理装置としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012071822A JP5542859B2 (ja) | 2012-02-14 | 2012-03-27 | ログ管理装置、ログ蓄積方法、ログ検索方法、およびプログラム |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012029538 | 2012-02-14 | ||
| JP2012029538 | 2012-02-14 | ||
| JP2012071822A JP5542859B2 (ja) | 2012-02-14 | 2012-03-27 | ログ管理装置、ログ蓄積方法、ログ検索方法、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013191188A JP2013191188A (ja) | 2013-09-26 |
| JP5542859B2 true JP5542859B2 (ja) | 2014-07-09 |
Family
ID=49391304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012071822A Active JP5542859B2 (ja) | 2012-02-14 | 2012-03-27 | ログ管理装置、ログ蓄積方法、ログ検索方法、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5542859B2 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6053182B2 (ja) * | 2014-03-03 | 2016-12-27 | 日本電信電話株式会社 | トレースシステム及びトレース方法 |
| US20160048529A1 (en) * | 2014-08-13 | 2016-02-18 | Netapp Inc. | Coalescing storage operations |
| JP6468029B2 (ja) * | 2015-03-30 | 2019-02-13 | 富士通株式会社 | 危険性判定方法、装置、システム及びプログラム |
| JP6577241B2 (ja) * | 2015-05-21 | 2019-09-18 | 日本電信電話株式会社 | ログ抽出システム、ログ抽出方法およびログ抽出プログラム |
| JP6461837B2 (ja) * | 2016-02-12 | 2019-01-30 | 株式会社東芝 | 情報処理装置、システム、プログラム及び方法 |
| JP6668948B2 (ja) * | 2016-05-27 | 2020-03-18 | 富士通株式会社 | ファイル判定プログラム、ファイル判定装置およびファイル判定方法 |
| JP6811639B2 (ja) * | 2017-02-20 | 2021-01-13 | 三菱スペース・ソフトウエア株式会社 | ファイル監視装置およびファイル監視プログラム |
| JP6880961B2 (ja) * | 2017-04-14 | 2021-06-02 | 富士通株式会社 | 情報処理装置、およびログ記録方法 |
| CN110222242B (zh) * | 2019-05-21 | 2022-10-11 | 无线生活(杭州)信息科技有限公司 | 配置追踪方法及装置 |
| CN111352760B (zh) * | 2020-02-27 | 2023-06-13 | 深圳市腾讯网域计算机网络有限公司 | 一种数据处理的方法以及相关装置 |
| CN116701426B (zh) * | 2023-08-07 | 2024-04-05 | 荣耀终端有限公司 | 数据处理方法、电子设备及存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4280399B2 (ja) * | 1999-07-06 | 2009-06-17 | キヤノン株式会社 | 情報処理装置、情報処理方法、記憶媒体 |
| JP2006003401A (ja) * | 2004-06-15 | 2006-01-05 | Equos Research Co Ltd | 車載端末装置 |
| JP4887620B2 (ja) * | 2004-12-10 | 2012-02-29 | 富士ゼロックス株式会社 | 文書検索装置および方法 |
| JP2007265031A (ja) * | 2006-03-28 | 2007-10-11 | Toshiba Corp | 辞書コンテンツ処理装置、コンテンツ表示システムおよびコンテンツ表示方法 |
| JP2008077397A (ja) * | 2006-09-21 | 2008-04-03 | Fujitsu Ltd | 記憶装置、制御方法および制御プログラム |
| JP5104642B2 (ja) * | 2008-08-13 | 2012-12-19 | 富士通株式会社 | データ閲覧管理システム |
| JP5238521B2 (ja) * | 2009-01-08 | 2013-07-17 | 株式会社日立製作所 | 来歴管理システム、来歴管理サーバ及びその管理方法 |
| JP2011060245A (ja) * | 2009-09-14 | 2011-03-24 | Canon Inc | 情報処理装置、情報処理方法及びプログラム |
-
2012
- 2012-03-27 JP JP2012071822A patent/JP5542859B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013191188A (ja) | 2013-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5542859B2 (ja) | ログ管理装置、ログ蓄積方法、ログ検索方法、およびプログラム | |
| US10618137B2 (en) | Automated constructing method of cloud manufacturing service and cloud manufacturing system | |
| US20180276304A1 (en) | Advanced computer implementation for crawling and/or detecting related electronically catalogued data using improved metadata processing | |
| CN102193970B (zh) | 知晓元数据的搜索引擎 | |
| KR101407060B1 (ko) | 인터넷을 통해 수집한 데이터의 분석과 증거화 방법 및 이를 이용한 데이터 분석과 증거화 시스템 | |
| US8671108B2 (en) | Methods and systems for detecting website orphan content | |
| JP2005078612A (ja) | ファイル共有システム及びファイル共有装置間のファイル移行方法 | |
| US10331441B2 (en) | Source code mapping through context specific key word indexes and fingerprinting | |
| JP2011065546A (ja) | ファイル検索システム及びプログラム | |
| CN105229601A (zh) | 软件构建优化 | |
| KR101764674B1 (ko) | 침해 자원에 대한 그래프 데이터베이스 생성 방법 및 그 장치 | |
| CN113687974B (zh) | 客户端日志处理方法、装置及计算机设备 | |
| US20140358868A1 (en) | Life cycle management of metadata | |
| US9910968B2 (en) | Automatic notifications for inadvertent file events | |
| JPWO2014049804A1 (ja) | 分散システムにおけるシステム動作トレース方法 | |
| KR20090005846A (ko) | 전자 컨텐트 가이드 생성 방법 및 그 장치 | |
| JP2010224705A (ja) | ログ検索システム | |
| EP3769269A1 (en) | User-centric artificial intelligence knowledge base | |
| US20130006997A1 (en) | Information processing apparatus, client management method and client management system | |
| CN111723245B (zh) | 数据存储***中建立不同类型存储对象关联关系的方法 | |
| CN102541542B (zh) | 存储和发布内容存储设备的内容 | |
| Thanekar et al. | A study on digital forensics in hadoop | |
| US20180020075A1 (en) | Apparatus and method for providing data based on cloud service | |
| US9135253B2 (en) | Simulating accesses for archived content | |
| US8533135B2 (en) | Model generating device and model generating method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131224 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140204 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140304 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140324 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140430 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140507 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5542859 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |