[第1の実施形態]
以下、図面を参照して、本発明の第1の実施形態を詳細に説明する。
図1は、本発明の情報セキュリティ監視処理を適用したテレワーク管理支援システムの構成の一例を示すシステム構成図である。
テレワーク管理支援システム100は、1または複数の管理サーバ101、1または複数のデータベースサーバ102、1または複数のテレワーカ用PC111、1または複数の管理者用PC121がインターネット130を介して接続される構成となっている。
管理サーバ101は、テレワーカの離席状況、他者による覗き込み、あるいはなりすましの証跡データをテレワーク情報として一元管理するサーバであり、サービス環境ネットワーク104上に構築されている。
管理サーバ101へは、テレワーカ用PC111と管理者用PC121が、アカウントIDとパスワードを用いた認証処理により接続し、管理サーバ101は、テレワーカ用PC111からテレワーク情報を受信した場合は、データベースサーバ102に格納する。また、管理者用PC121からテレワーク情報の取得要求があった場合は、データベースサーバ102から必要なテレワーク情報を取り出す。
データベースサーバ102は、管理サーバ101の操作にもとづいてテレワーク情報を記憶するサーバであり、サービス環境ネットワーク104上に構築されており、データベースサーバ102は、テレワーク情報のほかに、管理サーバ101への接続用アカウントIDとパスワードも記憶する。なお、データベースサーバ102は、管理サーバ101からの接続のみ許可し、外部からは接続できない構成をとることが可能である。
テレワーカ用PC111は、テレワーク情報の基となる証跡データを作成する端末であり、自宅ネットワーク110上に存在し、証跡データは、専用アプリケーションにより作成され、ルータ112、インターネット130、及びルータ103を介して管理サーバ101へ送信される。本実施形態の情報セキュリティ監視処理は、この専用アプリケーション内の機能として動作する。
管理者用PC121は、テレワーク情報を確認するための端末であり、社内ネットワーク120上に存在し、テレワーク情報の確認には、ウェブ管理コンソール(ウェブブラウザ上で動作)を使用し、ルータ122、インターネット130、及びルータ103を介して管理サーバ101に接続する。
以下、図2を用いて図1に示した管理サーバ101、データベースサーバ102、テレワーカ用PC111、及び管理者用PC121に適用可能な情報処理装置のハードウェア構成について説明する。
図2は、図1に示した管理サーバ101、データベースサーバ102、テレワーカ用PC111、及び管理者用PC121に適用可能な情報処理装置のハードウェア構成を示すブロック図である。各装置ともに、同様な構成を備えるため、同一の符号を用いて説明を行う。
図2において、201はCPUで、システムバス204に接続される各デバイスやコントローラを統括的に制御する。また、ROM202あるいは外部メモリ212には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各サーバ或いは各PCの実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ212からRAM203にロードして、該ロードしたプログラムを実行することで各種動作を実現するものである。
また、205は入力コントローラで、キーボード(KB)209、ウェブカメラ210や不図示のマウス等のポインティングデバイス等からの入力を制御する。206はビデオコントローラで、CRTディスプレイ(CRT)211等の表示器への表示を制御する。なお、図2では、CRT211と記載しているが、表示器はCRTだけでなく、液晶ディスプレイ等の他の表示器であってもよい。これらは必要に応じて管理者が使用するものである。
207はメモリコントローラで、ブートプログラム、各種のアプリケーション、フォントデータ、ユーザファイル、編集ファイル、各種データ等を記憶する外部記憶装置(ハードディスク(HD))や、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ212へのアクセスを制御する。
208は通信I/Fコントローラで、ネットワーク(例えば、図1に示したネットワーク104)を介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信等が可能である。
なお、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、CRT211上での表示を可能としている。また、CPU201は、CRT211上の不図示のマウスカーソル等でのユーザ指示を可能とする。
本発明を実現するための後述する各種プログラムは、外部メモリ212に記録されており、必要に応じてRAM203にロードされることによりCPU201によって実行されるものである。さらに、上記プログラムの実行時に用いられる設定ファイル等も外部メモリ212に格納されており、これらについての詳細な説明も後述する。
以下、図3を用いて、本発明の情報セキュリティ監視処理を適用したテレワーク管理支援システム100における全体の流れを説明する。
テレワーク管理支援システム100において、テレワーカ用PC111では本人認証処理による労務監視及び情報セキュリティ監視、管理サーバ101とデータベースサーバ102とでは、監視情報の管理、管理者用PC121では監視情報の表示をおこなう。
テレワーカ用PC111は、専用アプリケーションを用いて、ウェブカメラ210で撮影して得られたデータに基づく画像を用いて、本人認証処理を行う。専用アプリケーションでは、アカウントIDとパスワードを使用して、管理サーバ101と通信接続を確立する。
管理サーバ101と接続を確立後、本人認証処理によりテレワーカの労務監視及び情報セキュリティ監視をおこなう。監視中、離席や本人なりすまし、第三者覗きこみ等をイベントとして検出する。イベントが検出された場合は、テレワーカ用PC111は管理サーバ101へイベントの証跡データを送信する。
管理サーバ101は、テレワーカ用PC111からイベントの証跡データを受信すると、テレワーク情報としてデータベースサーバ102上のテレワーク情報を記憶するテーブルへ記憶する。また証跡データの受信時、管理サーバ101は管理者用PC121へ検出通知メールを送信する。
管理者用PC121では、ウェブ管理コンソールを用いて、管理サーバ上のテレワーカのイベントの証跡データを確認できる。ウェブ管理コンソールは、ウェブブラウザから専用URLへアクセスすることで利用できる。ウェブ管理コンソールでは、イベントを検出した際の時刻や画像のほか、起動中のアプリケーションや照会中のファイル等を確認できる。
次に、図3を参照して、本実施形態におけるテレワーカ用PC111の各機能について説明する。なお、本システムには主に労務監視、情報セキュリティ監視の2つの目的があるが、以下では本発明の目的である情報セキュリティ監視に特化して説明する。
テレワーカ用PC111は、撮像部303、カメラ画像取得部304を備えており、撮像部303は、被写体となるテレワーカを撮影するためのカメラを示しており、前述したウェブカメラ210に該当し、カメラ画像取得部304は、撮像部303で撮影して得られた画像(以下、カメラ画像と呼ぶ)をデータとして取得する。カメラ画像を取得するタイミングは、事前に設定された時間間隔ごとに取得することにしてもよいし、繰り返し処理の中で前回の処理が終了次第取得することにしてもよい。
また、テレワーカ用PC111は、ユーザ情報記憶部301、人物特定部305、及び端末前方状況変化検出部306を備えている。
ユーザ情報記憶部301は、顔認識に必要な顔写真データを含む、本システムにより管理されるユーザに関する情報を記憶している。本実施形態ではユーザ情報を直接テレワーカ用PC111の外部メモリ212(例えば、ハードディスク)に保存しているが、データベースサーバ102にユーザ情報を保存しておき、本システム起動時等のイベント発生時や、予め決められた時刻にデータベースサーバ102からユーザ情報の差分データをテレワーカ用PC111に配信する形態でもよい。
人物特定部305は、カメラ画像取得部304により取得されたカメラ画像に写っている人の顔を認識し、ユーザ情報記憶部301に記憶されている顔写真データをもとに人物を特定する。これらは、既知の顔検出技術、顔認識技術を用いることによって実現できる。
さらに人物特定部305は、特定された人物により、端末前方状態を区分する。
端末前方状態とは、カメラ画像にテレワーカ本人のみが写っている場合は「本人のみ」、テレワーカ本人と、ユーザ情報記憶部301に記憶されている他のユーザ(以下、他ユーザと呼ぶ)とが共に写っている場合や、他ユーザのみが写っている場合は「他ユーザ写り込み」、テレワーカ本人と、人物特定部305によりユーザ情報記憶部301に記憶されているユーザとは特定されなかった人物(以下、第三者と呼ぶ)とが共に写っている場合や、第三者のみが写っている場合は「第三者写り込み」、カメラ画像に一人も人が写っていない場合は「離席」と区分する。
端末前方状況変化検出部306は、人物特定部305により特定されたカメラ画像内の人物と、前回処理でのカメラ画像内の人物とを比較することにより、端末前方状況に変化があったかどうかを検出する。
例えば、カメラ画像内の人物が本人のみの状況から、カメラ画像内の人物が本人と第三者の状況に変化した場合や、カメラ画像内の人物が本人と他ユーザの状況から、カメラ画像内の人物が他ユーザのみの状況に変化した場合などに「端末前方状況変化あり」と判定する。逆に、カメラ画像内の人物に変化がない場合は「端末前方状況変化なし」と判定する。
また、テレワーカ用PC111は、端末画面情報取得部307、端末画面変化検出部308、及び権限チェック部309を備えている。
端末画面情報取得部307は、端末画面に表示されているウィンドウに関する情報を取得する。
ここで取得する情報は、端末画面に表示されているウィンドウの数、アクティブとなっている(通常最前面にある)ウィンドウのウィンドウID、各ウィンドウについてのウィンドウID、ウィンドウサイズ(縦横のピクセル数)、ウィンドウ位置(画面内座標)、起動されているアプリケーションの種類、開かれているファイルのID(ファイルパスやファイル名称)など、である。これらは起動しているOS(オペレーティングシステム)から取得することができる。
端末画面変化検出部308は、端末画面情報取得部307により取得された端末画面情報と、前回処理での端末画面情報とを比較することにより、端末画面に変化があったかどうかを判定する。
比較する項目としては、アクティブウィンドウのID、ウィンドウの数、各ウィンドウのウィンドウサイズ、ウィンドウ位置である。
なお、本実施形態では端末画面に表示されているウィンドウに関する情報を基に端末画面の変化の有無を判定しているが、端末画面のキャプチャ画像を画素ごとに前後比較することにより端末画面の変化の有無を判定してもよい。
この判定方法により、より厳密に端末画面の変化の有無を捉えることができるが、反面、画面上の1画素でも変化すると「端末画面変化あり」と判定されるため、後述する証跡データの送信が頻繁となる可能性がある。
そのため、基本はウィンドウに関する情報を基に画面変化を判定し、さらに、一定時間間隔で端末画面のキャプチャ画像を取得して比較することにより画面変化を判定する、といった両者併用の形態を取ってもよい。
権限チェック部309は、端末画面情報取得部307により取得された端末画面情報のうち、各ウィンドウで起動されているアプリケーションの種類および開かれているファイルのIDに対し、カメラ画像内の人物が実行権限およびアクセス権限を所有しているかどうかをチェックする。
これらの権限情報はOSにより管理されており、OSから権限情報を取得し、チェックすることができる。
ただし、OS標準の権限情報ではなく、独自の権限情報を設定し権限チェックに利用してもよい。
チェック例として、カメラ画像内に他ユーザが存在する場合、ユーザ情報記憶部301に記憶されている他ユーザのシステムユーザID(OSのユーザID)に対して、画面内の各ウィンドウで起動されているアプリケーションおよび開かれているファイルに対する実行およびアクセス権限を所有しているかどうかを、OS管理の権限情報をもとにチェックし、権限を有していない場合には「権限上問題あり」、権限を有している場合には「権限上問題なし」と判定する。
カメラ画像内に第三者が存在する場合、第三者が端末画面を見ている状態にあること自体がセキュリティ上の問題となり、常に「権限上問題あり」となるため、本実施形態では第三者に対して権限チェックは不要としている。
ただし、アプリケーションやファイルに、第三者(匿名ユーザ)に対する実行権限やアクセス権限が設定されている場合には、第三者に対する権限チェックを実施してもよい。
また、画面内の各ウィンドウで起動されているアプリケーションおよび開かれているファイルは、OSにて認証済みである本人の権限にて実行およびアクセスされているため、本実施形態では本人に対して権限チェックは不要としている。
ただし、本人が不正な方法でアプリケーション実行やファイルアクセスする可能性があることを考慮し、本人に対する権限チェックを実施してもよい。
また、テレワーカ用PC111は、証跡データ送信制御部310、端末画面画像取得部311を備えている。
証跡データ送信制御部310は、端末前方状況変化検出部306による判定結果、端末画面変化検出部308による判定結果、及び権限チェック部309による判定結果を基に、管理サーバ101に証跡データを送信するかどうかを判断し、送信すると判断した場合には、カメラ画像取得部304により取得されたカメラ画像、後述する端末画面画像取得部311により取得された端末画面画像、及び端末画面情報取得部307により取得された端末画面情報を合わせて証跡データを作成し、管理サーバ101に送信する。
端末画面画像取得部311は、証跡データ送信制御部310により証跡データを管理サーバ101に送信すると判断した場合に、端末画面画像を取得(キャプチャ)する。
以下、図4を参照して、本実施形態のテレワーク管理支援システム100における情報セキュリティ監視処理のフローについて説明する。
図4で説明する情報セキュリティ監視処理は、テレワーク管理支援システム100において、テレワーカ用PC111上で専用アプリケーションが起動されている間、繰り返し実行される。
ステップS401では、撮像部303により端末前方を撮影することにより得られたカメラ画像を、カメラ画像取得部304が取得する。
ステップS402では、人物特定部305が、ステップS401にて取得されたカメラ画像に対し、人の顔を認識し、ユーザ情報記憶部301に記憶されたユーザごとの顔写真データを基に人物を特定する。人物を特定できなかった場合は「第三者」とする。
本実施形態では、第三者を個人として特定していないが、複数の第三者が存在する場合を考慮し、一度カメラ画像に写り込んだ第三者の顔写真を顔認識に使用し、第三者を個人として特定してもよい。
また、人物特定部305が、特定された人物を基に、端末前方状態を区分する。ここで区分する端末前方状態は、前述の通り「本人のみ」、「第三者写り込み」、「他ユーザ写り込み」、「離席」の4種類である。
ステップS404では、端末前方状況変化検出部306が、ステップS402にて特定されたカメラ画像内の人物と、前回処理でのカメラ画像内の人物とを比較することにより、端末前方状況に変化があったかどうかを検出し、変化があった場合には「端末前方状況変化あり」、変化がなかった場合には「端末前方状況変化なし」とする。
ステップS404において「端末前方状況変化あり」と判定された場合は、後述するステップS406およびステップS407により証跡データ送信制御部310が証跡データを作成し、管理サーバ101に証跡データを送信する。
ステップS404において「端末前方状況変化なし」と判定された場合は、ステップS409以降を実行する。
ステップS409において、端末前方状態ごとに以降の処理を分岐する。
端末前方状態が「本人のみ」または「離席」の場合、情報セキュリティ上の問題点はないため何もせず、ステップS408にて終了判断を実行する。
ステップS409において端末前方状態が「第三者写り込み」の場合、まず、ステップS410において端末画面情報取得部307が、端末画面に表示されているウィンドウに関する情報を取得する。
ここで取得する情報は、端末画面に表示されているウィンドウの数、アクティブとなっている(通常最前面にある)ウィンドウのウィンドウID、各ウィンドウについてのウィンドウID、ウィンドウサイズ(縦横のピクセル数)、ウィンドウ位置(画面内座標)、起動されているアプリケーションの種類、開かれているファイルのID(ファイルパスやファイル名称)など、である。
次にステップS411において、端末画面変化検出部308が、ステップS410にて取得された端末画面情報と、前回処理での端末画面情報とを比較することにより、端末画面に変化があったかどうかを判定する。端末画面変化検出処理の詳細については後述する。
続いてステップS412において、ステップS411での判定結果が「端末画面変化あり」の場合、後述するステップS406およびステップS407により証跡データ送信制御部310が証跡データを作成し、管理サーバ101に証跡データを送信する。また、ステップS411での判定結果が「端末画面変化なし」の場合、何もせず、ステップS408にて終了判断を実行する。
ステップS409において端末前方状態が「他ユーザ写り込み」の場合、まず、ステップS413において、端末画面情報取得部307が、端末画面に表示されているウィンドウに関する情報を取得する。取得する情報は前述の通りである。
次にステップS414において、端末画面変化検出部308が、ステップS413にて取得された端末画面情報と、前回処理での端末画面情報とを比較することにより、端末画面に変化があったかどうかを判定する。端末画面変化検出処理の詳細については後述する。
続いてS415において、ステップS414での判定結果が「端末画面変化あり」の場合、後述するステップS416により他ユーザが正当な権限を有しているかどうかをチェックする。また、ステップS414での判定結果が「端末画面変化なし」の場合、何もせず、ステップS408にて終了判断を実行する。
ステップS416では、権限チェック部309が、端末画面情報取得部307により取得された端末画面情報のうち、各ウィンドウで起動されているアプリケーションの種類および開かれているファイルのIDに対し、カメラ画像内の人物が実行権限およびアクセス権限を所有しているかどうかをチェックする。これらの権限情報はOSにより管理されており、OSから権限情報を取得し、チェックすることができる。
他ユーザが各ウィンドウで起動されているアプリケーションの種類および開かれているファイルのIDに対し、実行およびアクセス権限を有している場合は「権限上問題なし」、有していない場合は「権限上問題あり」と判定する。
ステップS417では、前回または今回のステップS416での判定結果が「権限上問題あり」の場合、後述するステップS406およびステップS407により証跡データを作成し、管理サーバ101に証跡データを送信する。
今回の権限チェック結果だけではなく、前回の権限チェック結果が「権限上問題あり」の場合にも証跡データを送信するのは、どの時点で権限上の問題が解消したかを確認できるようにするためである。つまり、前回の権限チェック結果が「権限上問題あり」で、かつ、今回の権限チェック結果が「権限上問題なし」であれば、今回の時点で権限上の問題が解消したと判断できる。
ステップS406では、証跡データ送信制御部310が、管理サーバ101に証跡データを送信するかどうかを判断し、送信すると判断した場合に、端末画面画像取得部311が端末画面画像を取得(キャプチャ)する。
ここで、本実施形態における証跡データを送信する条件を整理すると、端末前方状況変化検出部306による判定結果が「端末前方状況変化あり」の場合、または、端末前方状態が「第三者写り込み」かつ端末画面変化検出部308による判定結果が「端末画面変化あり」の場合、または、端末前方状態が「他ユーザ写り込み」かつ端末画面変化検出部308による判定結果が「端末画面変化あり」かつ権限チェック部309による前回または今回の判定結果が「権限上問題あり」の場合である。
ステップS407では、証跡データ送信制御部310が、ステップS401にて取得された端末前方のカメラ画像、ステップS406にて取得された端末画面画像、及びステップS410またはステップS413により取得された端末画面情報を合わせて証跡データを作成し、管理サーバ101に送信する。証跡データの詳細については後述する。
ステップS408では、情報セキュリティ監視処理を終了するかどうかを判断し、終了判断がなされない場合は、ステップS401のカメラ画像取得から繰り返す。通常、情報セキュリティ監視処理は、テレワーカ用PC111にてテレワーク管理支援システムの専用アプリケーションが起動されている間は常に繰り返し実行され、処理終了の判断がなされるのは、OSのシャットダウンに伴う専用アプリケーションの終了処理時や、専用アプリケーション更新時、システムメンテナンス実施時などの場合である。
以下、図5を参照して、前記ステップS411およびステップ414の端末画面変化検出処理の詳細フローについて説明する。
さらに、図6〜図11にて端末画面変化の各種ケースについて説明する。図6〜図11の見方については、各図面において、上部と下部に分けて図示を行っており、上部に変更前(前回)の端末画面状態、下部に変更後(今回)の端末画面状態を示し、端末画面全体601の中に1または複数のウィンドウの表示状況を図示している。
ステップS501では、システム起動直後かどうかを判断し、システム起動直後であればステップS507にて「端末画面変化あり」と判定する。
つまり、システム起動直後には前回端末画面情報がまだ記録されていないか、または、前回端末画面情報が前回システム終了直前の端末画面情報となるため、常に「端末画面変化あり」とする。
ステップS502では、アクティブウィンドウのIDの変化があったかどうかを判断し、変化があった場合には「アクティブウィンドウ遷移あり」と判定する。
図6、図7において、ステップS502にて「アクティブウィンドウ遷移あり」と判定されるケースを例示している。
図6で示されるのはウィンドウ切替のケースであり、変更前に「ウィンドウA」602がアクティブであったが、変更後に「ウィンドウA」602が非アクティブとなり、かつ、「ウィンドウB」603がアクティブになることにより、変更前にほぼ隠れていた「ウィンドウB」603の表示内容が見えるようになる。
一方、図7で示されるのは、アプリケーションの新規起動のケースであり、変更前に「ウィンドウA」702がアクティブであったが、変更後に「ウィンドウA」702で起動されていたアプリケーションとは異なるアプリケーションが「ウィンドウB」703で新規起動され、「ウィンドウB」703がアクティブになることにより、変更前に存在しなかった「ウィンドウB」703の表示内容が見えるようになる。
但し、アプリケーションが異なる旨を記載したが、同一のアプリケーションで、それぞれ別のウィンドウが起動される態様も同様である。
ステップS503では、表示されているウィンドウ数の変化があったかどうかを判断し、変化があった場合には「ウィンドウ数増減あり」と判定する。
図8、図9において、ステップS503にて「ウィンドウ数増減あり」と判定されるケースを例示している。
図8で示されるのはウィンドウ数増加のケースであり、変更前のウィンドウ数は2、変更後のウィンドウ数は3となっており、変更前に存在しなかった「ウィンドウC」804の表示内容が見えるようになる。
図8では、新たに起動された「ウィンドウC」804が変更後に非アクティブとなっているが、「ウィンドウC」804を起動した直後に「ウィンドウA」802をアクティブ化することにより、この状態が発生する。
一方、図9で示されるのはウィンドウ数減少のケースであり、変更前のウィンドウ数は3、変更後のウィンドウ数は2となっており、変更前にほぼ隠れていた「ウィンドウC」904の表示内容が見えるようになる。
図9では、非アクティブであった「ウィンドウB」903が終了されているが、「ウィンドウB」903をアクティブ化した直後に終了することにより、この状態が発生する。
ステップS504では、各ウィンドウの縦および横のピクセル数の変化があったかどうかを判断し、変化があった場合には「ウィンドウサイズ変化あり」と判定する。単なるウィンドウサイズの変更だけではなく、ウィンドウの最大化、および、ウィンドウのアイコン化の場合も含まれる。
図10、図11において、ステップS504にて「ウィンドウサイズ変化あり」と判定されるケースを例示している。
図10で示されるのはウィンドウサイズ縮小のケースであり、「ウィンドウA」1002のウィンドウサイズを縮小することにより、変更前にほぼ隠れていた「ウィンドウB」1003の表示内容が見えるようになる。
一方、図11で示されるのはウィンドウサイズ拡大のケースであり、「ウィンドウB」1103のウィンドウサイズを拡大することにより、変更前にほぼ隠れていた「ウィンドウB」1103の表示内容が見えるようになる。
図11では、変更前後で非アクティブな「ウィンドウB」1103のウィンドウサイズが拡大されているが、「ウィンドウB]1103をアクティブ化しウィンドウサイズを拡大した直後に、「ウィンドウA」1102をアクティブ化することにより、この状態が発生する。
S505では、各ウィンドウの画面内での表示位置(左上角の座標)の変化があったかどうかを判断し、変化があった場合には「ウィンドウ位置変化あり」と判定する。
図12において、ステップS505にて「ウィンドウ位置変化あり」と判定されるケースを例示している。図12では、「ウィンドウA」1202を左上方向に移動することにより、変更前にほぼ隠れていた「ウィンドウB」1103の表示内容が見えるようになる。
上記の通り、端末画面の表示状況が変化することにより、変更前には見えなかったウィンドウ内の表示内容が、変更後には見えるようになる場合があり、端末画面前方で画面を見ている人物によってはセキュリティ上の大きな問題となる。
上記のように端末画面の表示状況が変化するごとに、情報セキュリティ上の危険度が変化するため、端末画面変化検出処理では、端末画面の変化を捉え、証跡データを送信するかどうかの判断に使用する。
端末画面変化検出処理の結果として、ステップS506では、上記のどの条件も満たさなかった場合には「端末画面変化なし」と判定し、ステップS507では、上記いずれかの条件を満たした場合に「端末画面変化あり」と判定する。
なお、本実施形態では、端末画面に表示されているウィンドウに関する情報を基に端末画面の変化の有無を判定しているが、端末画面変化検出部308の説明で記述したように端末画面のキャプチャ画像を画素ごとに前後比較することにより端末画面の変化の有無を判定してもよい。また、両者併用の形態を取ってもよい。
図13は、本実施形態のテレワーク管理支援システムにおける証跡データの一例を示すデータ構成図である。
図13に示すように、証跡データは、証跡ID欄1301、端末ID欄1302、日時欄1303、端末前方状態欄1304、ユーザID欄1305、カメラ画像欄1306、端末画面画像欄1307、起動アプリケーション欄1308、表示ファイル欄1309から構成される。
証跡ID欄1301に設定されるデータは、証跡データを特定するため、各証跡データに一意に設定された英数字列である。
端末ID欄1302に設定されるデータは、どのテレワーカ用PC111から送信された証跡データかを特定するための、各テレワーカ用PC111に割り振られた英数字列である。
日時欄1303に設定されるデータは、いつ証跡データが取得されたかを表す、日付および時刻である。
端末前方状態欄1304に設定されるデータは、人物特定部305にて区分された端末前方状態であり、「本人のみ」、「他ユーザ写り込み」、「第三者写り込み」、「離席」のいずれかが設定される。
ユーザID欄1305に設定されるデータは、人物特定部305にて特定された、カメラ画像に写っているユーザのIDであり、複数のユーザが特定された場合には、該当するユーザIDが羅列される。
また、人物特定部305にてユーザが特定できなかった場合、つまり第三者の場合は、「????」が設定される。
ただし、人物特定部305が第三者を個人として特定する場合には、「第三者A」、「第三者B」等を設定すればよい。
カメラ画像欄1306に設定されるデータは、カメラ画像取得部304にて取得されたカメラ画像に対するリンク先、つまり、フォルダパス名およびファイル名を表しており、リンク先で指定される場所に実際のカメラ画像が格納されている。
端末画面画像欄1307に設定されるデータは、端末画面画像取得部311にて取得された端末画面画像に対するリンク先、つまり、フォルダパス名およびファイル名を表しており、リンク先で指定される場所に実際の端末画面画像が格納されている。
起動アプリケーション欄1308に設定されるデータは、端末画面情報取得部307にて取得された、各ウィンドウにて起動されているアプリケーションの名称であり、複数のアプリケーションが起動されている場合には、該当するアプリケーション名称が羅列される。
また、端末画面上にウィンドウが1つも表示されていない場合、つまりアプリケーションがウィンドウ上で1つも起動されていない場合は「−」が設定される。
また、起動されているアプリケーションに対し、特定された他ユーザが実行権限を有していない場合には、権限違反を意味する「★」がアプリケーション名称の後に設定される。(本例では対象なし。)
本実施形態では権限チェック部309が他ユーザに対してのみ権限チェックを実施しているため、端末前方状態が「他ユーザ写り込み」の場合のみにチェック結果「★」を設定しているが、第三者や本人に対しても権限チェックを実施する場合は、端末前方状態が「第三者写り込み」や「本人のみ」の場合にもチェック結果を表示し、さらに、人物ごとに印を変えてもよい。例えば、本人の場合は「☆」、第三者の場合は「◇」など。
表示ファイル欄1309に設定されるデータは、端末画面情報取得部307にて取得された、各ウィンドウにて開かれているファイルの名称であり、複数のファイルが開かれている場合には、該当するファイル名称が羅列される。
また、端末画面上にウィンドウが1つも表示されていない場合、つまりファイルがウィンドウ上で1つも開かれていない場合は「−」が設定される。
また、開かれているファイルに対し、特定された他ユーザがアクセス権限を有していない場合には、権限違反を意味する「★」がファイル名称の後に設定される。
本実施形態では権限チェック部309が他ユーザに対してのみ権限チェックを実施しているため、端末前方状態が「他ユーザ写り込み」の場合のみにチェック結果「★」を設定しているが、第三者や本人に対しても権限チェックを実施する場合は、端末前方状態が「第三者写り込み」や「本人のみ」の場合にもチェック結果を表示し、さらに、人物ごとに印を変えてもよい。例えば、本人の場合は「☆」、第三者の場合は「◇」など。
以下に、図13のデータ例の場合の情報セキュリティ監視結果について説明する。
図13のデータ例は、同一端末(端末ID=30011)に対する連続した証跡データを示している。データ例の証跡データの取得日は全て2014年4月9日である。
証跡データ1321では、同日の最初の証跡データであることから、8時50分10秒にPC起動と同時にテレワーク管理支援システムを起動したことを表している。ここでは、端末前方状態が「本人のみ」であり、情報セキュリティ上問題はない。
証跡データ1322では、10時35分20秒に端末前方状態が「第三者写り込み」に変化しており、ユーザIDが本人の「0001」と第三者を表す「????」であることから、第三者による覗きこみが発生したことを表している。
その時にウィンドウにて起動していたアプリケーションは「表計算A」と「文書編集B」、開いていたファイルは「開発計画01」と「商品情報02」であり、さらに、その時のカメラ画像および端末画面画像を確認することができる。
証跡データ取得時のカメラ画像および端末画面画像については、以下の証跡データでも同様に確認することができる。
証跡データ1323では、10時35分45秒に端末前方状態が「本人のみ」に変化しており、第三者による覗きこみが終了したことを表している。
証跡データ1324では、11時10分15秒に端末前方状態が「離席」に変化しており、本人が離席したことを表している。その時にウィンドウにて起動していたアプリケーションおよび開いていたファイルはなかったことを確認することができる。
証跡データ1325では、11時12分10秒に端末前方状態が「本人のみ」に変化しており、本人が席に戻ってきたことを表している。
証跡データ1326では、11時20分32秒に端末前方状態が「他ユーザ写り込み」に変化しており、ユーザIDが本人の「0001」と他ユーザの「0002」であることから、本人と他ユーザ「0002」とが共に端末画面を見ていたことを表している。
その時に起動していたアプリケーションは「表計算A」であり、開いていたファイルは「設計書03」であることを確認できる
証跡データ1327では、11時22分51秒に起動アプリケーションに「描画編集C」、表示ファイルに「提案書04」が追加されていることから、新規でアプリケーション「描画編集C」を起動し、ファイル「提案書04」を開いたことを表している。
また、ファイル名「提案書04」の後に権限違反を表す「★」が設定されていることから、他ユーザ「0002」が本ファイルに対するアクセス権限を有していないことを確認できる。
証跡データ1328では、11時25分43秒に起動アプリケーションから「描画編集C」、表示ファイルから「提案書04」が削除され、「★」が設定されていないことから、証跡データ1327での権限上の問題が解消されたことを表している。
証跡データ1329では、11時35分45秒に端末前方状態が「本人のみ」に変化しており、証跡データ1328取得時以降は権限上の問題が発生せず、他ユーザが端末前方を離れたことを表している。
証跡データ1330では、12時01分12秒端末前方状態が「離席」に変化しており、起動アプリケーションに「文書編集B」、表示ファイルに「作業報告06」が設定されていることから、当ファイルを開いた状態で本人が離席したことを表している。
証跡データ1331では、12時45分22秒に端末前方状態が「本人のみ」に変化しており、本人が席に戻ってきたことを表している。
また、証跡データ1330取得時から証跡データ1331取得時までの間の証跡データが存在していないことから、その間に情報セキュリティ上の問題は発生していないことを確認できる。
上記のように、証跡データにより、情報セキュリティ上の問題の発生時点、解消時点、さらに問題発生時の状況を確認することができる。問題発生時の状況とは、端末画面を見ていた人物、起動していたアプリケーション、開いていたファイル、権限違反の有無、端末前方のカメラ画像、端末画面画像、など、である。
図14は、本実施形態のテレワーク管理支援システムにおけるユーザ情報の一例を示すデータ構成図である。本ユーザ情報は、ユーザ情報記憶部301にて記憶され、ステップS402の人物特定、及びステップS416の権限チェックにて使用される。
図14に示すように、ユーザ情報は、ユーザID欄1401、システムユーザID欄1402、部門コード欄1403、登録顔写真欄1404から構成される。
ユーザID欄1401に設定されるデータは、本テレワーク管理支援システムを使用するユーザを特定する英数字列である。
システムユーザID欄1402に設定されるデータは、テレワーカ用PC111を使用するためのユーザを特定する英数字列であり、本実施形態ではOSのログインIDが設定される。また、アプリケーションおよびファイルに対する権限チェックの際には、基本的に本IDに対して付与された権限情報を参照する。
部門コード欄1403に設定されるデータは、当ユーザが所属する部門を表す英数字列である。アプリケーションおよびファイルに対する権限が、個別ユーザに対してだけでなく、部門に対して設定されている場合には、本コードによる権限チェックも実施する。
登録顔写真欄1404に設定されるデータは、顔認識に使用される顔写真データに対するリンク先、つまり、フォルダパス名およびファイル名を表しており、リンク先で指定される場所に実際の顔写真データが格納されている。
以下、図15を参照して、本実施形態の管理者用画面の一例について説明する。
管理者用画面1501は管理者用PC121のCRT211に表示され、証跡データ、証跡データに登録されたカメラ画像、端末画面画像を確認することができる。
管理者用画面1501は、選択条件設定部1502、証跡データ表示部1503、カメラ画像表示部1504、及び端末画面画像表示部1505より構成される。
選択条件設定部1502では、端末ID、日時、端末前方状態の値または値範囲が選択条件として設定される。
証跡データ表示部1503では、選択条件設定部1502にて設定された選択条件に適合する証跡データが一覧として表示される。
証跡データ表示部1503に表示される項目は、基本的に図13にて示される証跡データの項目と同じであり、加えてデータ選択のためのデータ選択欄が表示される。
証跡データ表示部1503のデータ選択欄にて1つの証跡データを選択することにより、カメラ画像表示部1504、及び端末画面画像表示部1505に、選択された証跡データに登録されているカメラ画像、及び端末画面画像が表示される。
[第2の実施形態]
次に本発明の第2の実施形態について説明する。
なお、第1の実施形態に係る構成、及びフローチャートにおける処理については、同一のものについては、同一の符号を用いて説明し、その詳細については説明を省略するものとする。
図16は第2の実施形態におけるテレワーク監視システム100の情報セキュリティ監視処理フローを示している。
第2の実施形態では、図4に示した第1の実施形態の処理フローに対し、ステップS1601およびS1602が追加されている。
ステップS1601では、証跡データ送信制御部310によりテレワーカ用PC111から管理サーバ101に証跡データを送信すると判断された場合に、端末画面情報取得部307により取得された端末画面に表示されているウィンドウに関する情報に基づいて、アクティブウィンドウで開かれているファイルのIDを取得し、該ファイルのデータを既に証跡データとして取得したかどうかを判定する。
ここでアクティブウィンドウとは、キーボード(KB)209や、マウス(不図示)により操作可能なウィンドウであり、通常端末画面上で最前面に表示されている。
ただし、特殊なソフトウェアを使用することにより、最前面に表示されていないウィンドウでもスクロール操作等が可能である場合には、実際に操作されているウィンドウをアクティブウィンドウとする。
上記判定の際、以前に対象ファイルのデータを取得している場合でも、前回取得した時点から該ファイルが更新されている場合には、取得されていないと判定する。
ステップS1602では、ステップS1601にて前記ファイルのデータが証跡データとして取得されていないと判定された場合に、該ファイルのデータを取得する。
ステップS1602にて取得されたファイルのデータを含む証跡データは、ステップS407にて管理サーバ102に送信される。
なお、証跡データを取得するごとに管理サーバ101に送信するのではなく、一定期間、一定容量等の条件で証跡データをテレワーカ用PC111に蓄積した後で一括して管理サーバ101に送信してもよい。
図17を参照して、第2の実施形態による情報セキュリティ監視処理が有効となる状況について説明する。
図17(ケースA)では、アクティブウィンドウである「ウィンドウA」1701の一部が端末画面601の中に表示されている。斜線部分は端末画面内におさまらず表示されていない部分を示している。
この場合、端末画面画像では、画像に表示された内容、つまり「ウィンドウA」1701の一部のみを確認することができる。
しかし、アクティブウィンドウについては、他のウィンドウとの前後関係変更や、ウィンドウの位置、ウィンドウサイズなどのウィンドウの表示状況を変化させることなく、全データコピーや、印刷処理等を実施することが可能である。
一方、非アクティブウィンドウ(アクティブウィンドウ以外のウィンドウ。以下同様)については、通常の操作では上記のような処理を実施することはできない。つまり、まずアクティブウィンドウに変更する操作が必要となる。
よって、アクティブウィンドウで開かれたファイルについては、端末画面画像に表示された内容以外に。ファイル全体の内容が漏洩した可能性がある。
さらに、情報が漏洩した後で、ファイルのデータそのものを削除されてしまうと、漏洩した情報を検証することが困難となる。
そこで、アクティブウィンドウで開かれたファイルのデータを証跡データとして取得し、管理サーバに送信することにより、管理者が漏洩した可能性のある情報を確認できるようにしている。
また、ファイルのデータを証跡データ送信の度に管理サーバ101に送信し、データベースサーバ102に蓄積していくと、データベースサーバ102の記憶領域を圧迫する可能性があるため、対象のファイルについて既に証跡データとして取得したかどうかを判定し、取得していない場合のみ、データ取得し、送信するようにしている。
図17(ケースB)では、アクティブウィンドウである「ウィンドウA」1703の表示内容は複数のシートで構成されており、シートに付いたタブ1704を押下することにより、表示するシートを切り替えることができる。
上記のシート切り替え操作では、ウィンドウ内部の操作であるため、他のウィンドウとの前後関係変更や、ウィンドウの位置、ウィンドウサイズなどのウィンドウの表示状況を変化させることなく、複数のシートの内容を照会することができる。
シート切り替え操作だけでなく、スクロール操作や、ウィンドウ内部での画面遷移についても、ウィンドウの表示状況を変化させることなく、表示させる範囲を変更することができる。
そのため、第三者による覗き見などが発生した場合には、ウィンドウの表示状況の変化があった時点の端末画面画像に記録された内容以外に、ファイルの内容が漏洩した可能性がある。
一方、非アクティブウィンドウでは、シート切り替え操作やスクロール操作等はできないため、端末画面画像に記録された内容を確認すればよい。
そこで、ケースAと同様に、アクティブウィンドウで開かれたファイルのデータを証跡データとして取得し、管理サーバに送信することにより、管理者が漏洩した可能性のある情報を確認することができる。
また、アクティブウィンドウにて新規にファイルが開かれた場合には、ファイルのID、つまり、ウィンドウに関する情報が変化しているため、例えば第三者写り込みの場合にはステップS412にて「端末画面変化あり」と判定され、端末画面画像とともに、ファイルのデータを取得し(未取得の場合)、管理サーバ101に送信することになる。
図18は第2の実施形態における証跡データの一例を示している。
第2の実施形態では、図13で示した第1の実施形態における証跡データに対し、アクティブファイル欄1801が追加されている。
アクティブファイル欄1801には、管理サーバ101に送信されたアクティブウィンドウで開かれていたファイルのデータの保存先であり、管理者用画面1501ではファイルへのリンク(非図示)として表示される。
前回までに同じファイルのデータが送信された場合には、該ファイルのデータは送信されず、本項目には前回と同一の保存先が設定される。
一方、同じファイルのIDであっても、前回送信時からファイルが更新されている場合には別の保存先が設定される。
なお、本例では、非アクティブウィンドウにて開かれていたファイルについては、表示ファイル欄1309にファイルのID(ファイルパスやファイル名称)のみが設定されているが、概要、作成者、更新者、作成日時、更新日時、重要度、などの書誌的情報を証跡データとして設定してもよい。
[第3の実施形態]
次に本発明の第3の実施形態について説明する。
なお、第1の実施形態に係る構成、及びフローチャートにおける処理については、同一のものについては、同一の符号を用いて説明し、その詳細については説明を省略するものとする。
図19は第3の実施形態におけるテレワーク監視システム100の情報セキュリティ監視処理フローを示している。
第3の実施形態では、図4に示した第1の実施形態の処理フローに対し、ステップS191およびS1902が追加されている。
ステップS1901では、証跡データ送信制御部310によりテレワーカ用PC111から管理サーバ101に証跡データを送信すると判断された場合に、端末画面情報取得部307により取得された端末画面に表示されているウィンドウに関する情報に基づいて、アクティブウィンドウの全てが端末画面に表示されているかどうかを判定する。
図17(ケースA)のようにウィンドウの一部が非表示となっていれば、表示されていないと判定される。
ステップS1901にてアクティブウィンドウの全てが端末画面に表示されていないと判定された場合、ステップS1902にて該ウィンドウにて開かれているファイルの概要、作成更新者、作成日時、更新日時、重要度、などの書誌的情報を証跡データとして取得する。
これは、アクティブウィンドウの一部が非表示となっている場合、端末画面画像だけでは漏洩した可能性のある情報を検証できないため、該ファイルに関する諸情報を取得し証跡データとする。
また、書誌的情報の他に、第2の実施形態と同様に、ファイルデータそのものを証跡データとしてもよい。
上記にて取得された証跡データは、ステップS407にて管理サーバ101に送信される。
なお、証跡データを取得するごとに管理サーバ101に送信するのではなく、一定期間、一定容量等の条件で証跡データをテレワーカ用PC111に蓄積した後で一括して管理サーバ101に送信してもよい。
以上、実施形態例を詳述したが、本発明は、例えば、方法、プログラムもしくは記憶媒体等としての実施態様をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
また、本発明におけるプログラムは、各処理方法をコンピュータが実行可能(読み取り可能)なプログラムであり、本発明の記憶媒体は、各処理方法をコンピュータが実行可能なプログラムが記憶されている。
なお、本発明におけるプログラムは、各装置の処理方法ごとのプログラムであってもよい。
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読取り実行することによっても、本発明の目的が達成されることは言うまでもない。
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記憶した記録媒体は本発明を構成することになる。
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、磁気テープ、不揮発性のメモリカード、ROM、EEPROM、シリコンディスク等を用いることができる。
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータで稼働しているOS等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。
また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステム、あるいは装置が、本発明の効果を享受することが可能となる。なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。