特許5730735 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社日立ソリューションズの特許一覧

特許5730735セキュリティ管理システム及び方法並びにプログラム

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9
10

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5730735

(24)【登録日】2015年4月17日

(45)【発行日】2015年6月10日

(54)【発明の名称】セキュリティ管理システム及び方法並びにプログラム

(51)【国際特許分類】

G06F 21/44 20130101AFI20150521BHJP

G06F 1/00 20060101ALI20150521BHJP

【ＦＩ】

G06F21/44

G06F1/00 370E

【請求項の数】12

【全頁数】18

(21)【出願番号】特願2011-216809(P2011-216809)

(22)【出願日】2011年9月30日

(65)【公開番号】特開2013-77182(P2013-77182A)

(43)【公開日】2013年4月25日

【審査請求日】2014年1月7日

(73)【特許権者】

【識別番号】000233055

【氏名又は名称】株式会社日立ソリューションズ

(74)【代理人】

【識別番号】100088720

【弁理士】

【氏名又は名称】小川眞一

(72)【発明者】

【氏名】若山孝夫

【審査官】脇岡剛

(56)【参考文献】

【文献】特開２０１０−２８７００２（ＪＰ，Ａ）

【文献】特開２０１１−０８６２２７（ＪＰ，Ａ）

【文献】特開２００８−１８６１９５（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ２１／４４

Ｇ０６Ｆ１／００

(57)【特許請求の範囲】

【請求項1】

クライアントに接続して使用するデバイスについてデバイスＩＤ別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムであって、
前記クライアントが、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定する手段と、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示する手段と、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可する手段と、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信する手段とを備え、
前記サーバが、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシー及び追加ポリシーを管理者から受付ける手段と、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信する手段とを備え、
前記ログサーバが、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示する手段と、受信したログを分析する手段を備えることを特徴とするセキュリティ管理システム。

【請求項2】

前記クライアントは、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させる手段と、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号する手段とをさらに備え、
前記サーバは、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信する手段をさらに備えることを特徴とする請求項１に記載のセキュリティ管理システム。

【請求項3】

前記サーバは、前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信することを特徴とする請求項２に記載のセキュリティ管理システム。

【請求項4】

前記クライアントは、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させることを特徴とする請求項２〜３のいずれか一項に記載のセキュリティ管理システム。

【請求項5】

クライアントに接続して使用するデバイスについてデバイスＩＤ別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムにおけるセキュリティ管理方法であって、
前記クライアントが、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定するステップと、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示するステップと、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可するステップと、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信するステップとを備え、
前記サーバが、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシーおよび追加ポリシーを管理者から受付けるステップと、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信するステップとを備え、
前記ログサーバが、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示するステップと、受信したログを分析するステップとを備えることを特徴とするセキュリティ管理方法。

【請求項6】

前記クライアントは、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させるステップと、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号するステップとをさらに備え、
前記サーバは、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信するステップをさらに備えることを特徴とする請求項５に記載のセキュリティ管理方法。

【請求項7】

前記サーバは、前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信することを特徴とする請求項６に記載のセキュリティ管理方法。

【請求項8】

前記クライアントは、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させることを特徴とする請求項６〜７のいずれか一項に記載のセキュリティ管理方法。

【請求項9】

クライアントに接続して使用するデバイスについてデバイスＩＤ別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムに用いるプログラムであって、
前記クライアントを、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定する手段と、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示する手段と、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可する手段と、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信する手段として機能させ、
前記サーバを、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシーおよび追加ポリシーを管理者から受付ける手段と、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信する手段として機能させ、
前記ログサーバを、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示する手段と、受信したログを分析する手段として機能させることを特徴とするセキュリティ管理プログラム。

【請求項10】

前記クライアントを、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させる手段と、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号する手段としてさらに機能させ、
前記サーバを、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信する手段としてさらに機能させることを特徴とする請求項９に記載のセキュリティ管理プログラム。

【請求項11】

前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信する手段としてさらに機能させることを特徴とする請求項１０に記載のセキュリティ管理プログラム。

【請求項12】

前記クライアントを、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させること手段としてさらに機能させるを特徴とする請求項１０〜１１のいずれか一項に記載のセキュリティ管理プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、予め定めたデバイス制御ポリシーにより、デバイスの使用が制御されているクライアントを含むセキュリティ管理システム及び方法並びにプログラムに係り、不正機器の可能性がある未登録デバイスを使用するユーザの監視を行い、当該未登録デバイスの使用による情報漏洩のリスクを低減させることができるセキュリティ管理システム及び方法並びにプログラムに関するものである。

【背景技術】

【0002】

従来におけるクライアント・サーバ型のセキュリティ管理システムにおけるデバイス制御では、サーバがシステムで一意となるデバイスの使用可否を定義したデバイス制御ポリシーを設定している。
対象となるデバイスは、ＵＳＢメモリ、外付けＨＤＤといった外部電磁的記録媒体や、無線ＬＡＮ，Blue Toothといった通信デバイス等、多岐にわたる。
クライアントは、サーバからデバイス制御ポリシーを取得し、デバイス制御ポリシーに従い、ミドルウェアに位置するソフトウェアが、デバイスの使用を制限させる。
ミドルウェア上のソフトウェアは、デバイス接続ログを出力し、ある一定間隔ごとにログサーバに送信する仕組みとなっている。セキュリティ管理者は、送信されたデバイス接続ログから、不審なデバイスが使用されていないかを確認することになる。従来の運用の一例を図１０に示す。

【0003】

従来においては、管理者４１がデバイス制御ポリシーを管理サーバ４２に設定する。
クライアント４３は設定されたデバイス制御ポリシーを取得し、当該ポリシーに未登録の不正なデバイスが接続されると前記デバイス制御ポリシーによって不正デバイスの接続を検知し、そのことを示すログをログサーバ４４に送信する。管理者４１はログサーバ４４に収集されたログによって不正デバイスの接続されたクライアント４３を検出し、必要な処置を実施する。

【0004】

上記のようなケースで問題となるのが、不正なデバイスの接続が事後の確認となってしまうことである。すなわち、管理者４１がデバイス接続ログを確認した時点で不正なデバイスの接続があったことがわかるため、管理者４１が確認し、注意を促す、もしくは対象のデバイスの使用を禁止に設定する、といった対策をとろうとしたとしても、すでに過去のこととなってしまっている。

【0005】

また、通常全てのデバイスの使用を禁止に設定し、不正デバイスの使用を禁止とすることも可能であるが、この場合、業務で必要なデバイスまで禁止されてしまうため、運用に支障をきたす可能性がある。そのため、現状の技術では、管理者４１がユーザ４５の使用しているデバイスを、デバイス接続ログから確認し、業務で必要なデバイスであるかを判断した上で、デバイス制御ポリシーを更新する必要があり、デバイス制御ポリシーを更新するまでの間は、不正デバイスが不当に利用され、この不正デバイスによって機密データが持ち出されてしまうといった問題がある。

【0006】

さらに、不正デバイスの使用が業務上必要なため発生したのか、ユーザの悪意によるものなのか判定することが困難であり、ログサーバ４４に集められたログからデバイスの利用傾向の分析が困難であるといった問題がある。

【0007】

不正デバイスの不当な利用を迅速に検知するためには、デバイス接続ログ出力機能に加え、管理者４１やユーザ４５への通知機能、およびデバイス申請機能が必要となる。関連する技術として、不正アクセスログの管理者への通知を提案した特開２００５―２２８１７７号公報が挙げられる。
特開２００５−２２８１７７号公報では、ネットワークのセキュリティ管理においては、検知された不正アクセスのうち緊急度の高い不正アクセスをセキュリティ管理者に通知する仕組みを提案している。

【0008】

また、使用デバイスの正当性を判断に関連する技術として、承認されたデバイスを承認された範囲内でのみ使用することを可能とするシステムを提案した特開２００９−２４５２８４号公報が挙げられる。
特開２００９−２４５２８４号公報では、システムの使用権限のあるユーザが、管理者の意図しない操作を禁止する仕組みを提案している。

【先行技術文献】

【特許文献】

【0009】

【特許文献1】特開２００５−２２８１７７号公報

【特許文献2】特開２００９−２４５２８５号公報

【発明の概要】

【発明が解決しようとする課題】

【0010】

上記特許文献１の技術にあっては、ネットワーク上の不正アクセスを前提としているため、不正侵入検知システムの設置が必要不可欠となっており、ＵＳＢメモリなどの外部電磁的記録媒体等のデバイスについては考慮されていない。また、不正侵入検知システムが収集した不正アクセスログファイルに対し、緊急度が高いかを判断してから通知を行うため、不正アクセスの通知は事後となってしまい、背景技術で挙げた問題の解決には至らない。さらに、ユーザへの通知も考慮されていないため、不正デバイスを利用しようとしたユーザがなぜデバイスが使用できないのか、わからないままとなってしまう。

【0011】

上記特許文献２の技術にあっては、不正なアクセスは基本的にすべてユーザによる悪意を持った操作として扱うため、実務運用での柔軟性に欠けるものとなる。また、やむを得ない事情により承認された以上の操作を情報処理対象サーバに対して行う必要が生じた際、管理者から承認を得るまで、「作業待ち」の状態で留まってしまうため、緊急時に迅速に対応することが出来ないという問題がある。

【0012】

本開発の目的は、上記問題を解決すべく、エンドユーザが未登録デバイスを接続した時点でエンドユーザへの通知を行うと共に、接続が行われた直後に管理者が内容を確認でき、管理者が承認した場合に、デバイス制御の設定を変更することができる不正機器接続時の通報機能に加え、「作業待ち状態」が生じるのを解消するためにユーザからの申請により緊急避難的に当該未登録デバイスを使用可能にすることができるセキュリティ管理システム及び方法並びにプログラムを提供することである。
さらに、未登録デバイスを業務上やむを得ず使用する必要があったのかといったユーザのセキュリティ意識をログから分析することができるセキュリティ管理システム及び方法並びにプログラムを提供することである。

【課題を解決するための手段】

【0013】

上記目的を達成するために、本発明に係るセキュリティ管理システムは、クライアントに接続して使用するデバイスについてデバイスＩＤ別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムであって、
前記クライアントが、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定する手段と、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示する手段と、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可する手段と、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信する手段とを備え、
前記サーバが、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシー及び追加ポリシーを管理者から受付ける手段と、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信する手段とを備え、
前記ログサーバが、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示する手段と、受信したログを分析する手段を備えることを特徴とするセキュリティ管理システム。

【0014】

また、前記クライアントは、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させる手段と、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号する手段とをさらに備え、
前記サーバは、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信する手段をさらに備えることを特徴とするセキュリティ管理システム。

【0015】

また、前記サーバは、前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信することを特徴とする。

【0016】

また、前記クライアントは、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させることを特徴とする。

【0017】

また、本発明に係るセキュリティ管理方法は、クライアントに接続して使用するデバイスについてデバイスＩＤ別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムにおけるセキュリティ管理方法であって、
前記クライアントが、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定するステップと、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示するステップと、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可するステップと、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信するステップとを備え、
前記サーバが、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシーおよび追加ポリシーを管理者から受付けるステップと、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信するステップとを備え、
前記ログサーバが、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示するステップと、受信したログを分析するステップとを備えることを特徴とするセキュリティ管理方法。

【0018】

また、前記クライアントは、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させるステップと、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号するステップとをさらに備え、
前記サーバは、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信するステップをさらに備えることを特徴とするセキュリティ管理方法。

【0019】

【0020】

【0021】

また、本発明に係るセキュリティ管理プログラムは、クライアントに接続して使用するデバイスについてデバイスＩＤ別に制御ポリシーが設定されたデバイス一覧を保持したサーバと、このサーバから前記デバイス一覧を取得し、該デバイス一覧に登録されたデバイスポリシーに従い自クライアントに接続されたデバイスを制御するクライアントと、前記クライアントに接続して使用されたデバイスの情報、該デバイスによって持ち出したデータのログを収集するログサーバとから成るセキュリティ管理システムに用いるプログラムであって、
前記クライアントを、デバイス接続時に当該デバイスが前記デバイス一覧に未登録の不正デバイスであるか否かを判定する手段と、判定の結果、未登録デバイスであった場合に、未登録デバイスであること警告する警告画面を表示すると共に、前記サーバに使用申請を要求するための使用申請画面を表示する手段と、前記申請画面に入力されたデバイス使用申請内容を前記サーバに送信し、前記サーバから申請を承認する旨の情報を受信した場合に、前記未登録デバイスの使用を許可する手段と、前記ログサーバに対し使用を許可した前記未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログを前記ログサーバに送信する手段として機能させ、
前記サーバを、前記クライアントからのデバイス使用申請要求を受信し、該当デバイスの使用を承認するか、却下とするか及び当該デバイスの制御ポリシーおよび追加ポリシーを管理者から受付ける手段と、受付けた結果を承認デバイス一覧として保持した後、当該承認デバイス一覧を申請要求元のクライアント及び前記ログサーバに送信する手段として機能させ、
前記ログサーバを、前記クライアントから受信した未登録デバイスの情報と当該未登録デバイスによって持ち出したデータのログと、前記サーバから受信した承認デバイス一覧を表示する手段と、受信したログを分析する手段として機能させることを特徴とするセキュリティ管理プログラム。

【0022】

また、前記クライアントを、前記未登録デバイスによって持ち出すデータについて当該デバイスに暗号化して記憶させる手段と、当該暗号化データが記憶された未登録デバイスが接続された際に前記サーバから復号鍵を取得し、その復号鍵によって前記暗号化データを復号する手段としてさらに機能させ、
前記サーバを、管理者から受付けた追加ポリシーとして、持ち出しデータの暗号化および自己消滅プログラムによる自動消滅を指示するポリシーを設定し、前記クライアントからの前記復号鍵の要求に従い、要求された復号鍵を要求元のクライアントに送信する手段としてさらに機能させることを特徴とするセキュリティ管理プログラム。

【0023】

また、前記サーバを、前記復号鍵を管理者が承認した未登録デバイス別に保持し、前記クライアントからの復号鍵の要求に従い、前記未登録デバイスに対応した復号鍵を要求元のクライアントに送信する手段としてさらに機能させることを特徴とする。

【0024】

また、前記クライアントを、前記未登録デバイスに記憶させる暗号化データについて暗号化後、所定時間経過後に自動消滅させるプログラムを暗号化データに付加して記憶させること手段としてさらに機能させることを特徴とする。

【発明の効果】

【0025】

本発明によれば、次のような効果がある。
（１）クライアントに未登録の不正なデバイスが接続された時点で警告画面によりユーザへ警告を行うことで、ユーザが使用しているクライアントがセキュリティポリシーによって管理されていることを意識させることが可能となり、未登録の不正デバイスによってデータが不正に持ち出されてしまうのを抑止することができ、セキュリティを向上させることができる。
（２）未登録の不正デバイスをクライアントに接続した時点で、該当デバイスの使用申請をサーバに送信し、管理者の承認を受けることができるような仕組みを用意し、管理者の承認を得て未登録デバイスであっても緊急避難的に、あるいは臨時的に未登録デバイスを使用可能にすることにより、「作業待ち状態」が生じるなどの事態を防ぎ、作業を円滑に進めることが可能になる。
さらに承認申請を受けた未登録デバイスによってデータを持ち出す場合、使用制限があることを明示した上で暗号化して記憶させる、さらに望ましくは所定時間後に消滅させる消滅プログラムを付加して記憶させることにより、無制限、かつ自由に参照することができなくなり、持ち出したデータの安全性が向上する。
（３）管理者が承認したデバイス一覧とクライアントで使用されたデバイスの情報をログとしてログサーバに収集し、管理者が分析可能にしておくことにより、管理者は未登録デバイスを使用したユーザのセキュリティ意識を把握し、意識向上のための対策を立てることが可能になると共に、危険性の高い利用形態については必要な対策を未然に立て、セキュリティを向上させることができるなどの効果がある。
なお、未登録デバイスの承認申請をしなかった場合には、いずれのクライアントであっても使用不可能なデバイスとしてリジェクトされる。

【図面の簡単な説明】

【0026】

【図1】本発明を適用したシステムの実施形態を示すシステム構成図である。

【図2】正規登録されたデバイス一覧を示す図である。

【図3】承認申請手続きによって承認されたデバイスの一覧を示す図である。

【図4】本発明に係るシステムの運用の概要を示す説明図である。

【図5】本発明に係るシステムの運用例を示す説明図である。

【図6】本発明に係るシステムの警告画面の例を示す図である。

【図7】本発明に係るシステムのデバイス使用申請画面の例を示す図である。

【図8】本発明に係るログサーバでの運用の概要を示す説明図である。

【図9】未登録デバイス利用時の処理を示すフローチャートである。

【図10】背景技術で挙げた従来の運用の概略を示した図である。

【発明を実施するための形態】

【0027】

以下、本発明を適用したセキュリティ管理システムの実施の一形態について説明する。
図１は、本発明に係るセキュリティ管理システムの実施の形態を示すシステム構成図である。
この実施形態のセキュリティ管理システムは、大別すると、管理サーバ１、クライアント２、デバイス承認サーバ３、ログサーバ４とで構成されている。

【0028】

このうち、管理サーバ１は、以下の手段で構成されている。
（１）デバイス制御ポリシー設定部１０
これは、管理者がデバイス制御ポリシーを設定するものであり、設定されたデバイス制御ポリシーは管理サーバＤＢ１２に保存される。
デバイス制御ポリシーで設定可能な定義例としては、デバイス種別、デバイスＩＤごとの使用可否、外部電磁的記録媒体の個体識別制御（使用許可とするデバイスインスタンスＩＤを記述）などがある。
図２は、予めユーザからの登録申請により登録されたデバイスと制御ポリシーの例を示す図であり、ここでは、デバイス種別２１０、デバイスＩＤ２２０、マシンＩＤ２３０、制御ポリシー（デバイス制御ポリシー）２４０を登録済みデバイス一覧２００として登録可能になっている。
デバイス種別２１０とは、記憶機能を有するデバイスであるのか、通信機能を有するデバイスであるのかを識別する情報である。
デバイスＩＤ２２０とは、当該デバイスに固有の識別情報である。
マシンＩＤ２３０とは、当該デバイスを通常使用するクライアントマシンの識別情報である。当該デバイスを他のクライアントマシンに接続した場合には、ログサーバ４にそのマシンＩＤが通知されるので、ログ分析により、不正使用された可能性があるものと管理者に認識される。

【0029】

（２）デバイス制御ポリシー配布部１１
これは、予めデバイスごとのデバイス制御ポリシーが登録された図２の登録済みデバイス一覧２００を管理サーバＤＢ１２から取得し、クライアント２へ配布するものである。
（３）管理サーバＤＢ１２
図２の図２の登録済みデバイス一覧２０と、緊急避難的に管理者が承認した未登録のデバイスの一覧を示す承認済みデバイス一覧３００（図３参照）を記憶したデータベースである。
なお、図３の承認済みデバイス一覧３００は、デバイス種別３１０、デバイスＩＤ３２０、マシンＩＤ３３０、制御ポリシー３４０、復号鍵３５０、追加ポリシー３６０の各項目のデータをデバイス別に格納可能になっている。デバイス種別３１０、デバイスＩＤ３２０、マシンＩＤ３３０、制御ポリシー３４０は、登録済みデバイス一覧２００で説明したのと同じである。復号鍵３５０は、承認された未登録デバイスによってデータを暗号化して持ち出すようになっているため、その暗号化データを復号するための鍵である。
追加ポリシー３６０は、暗号化を行うこと及び自動消滅プログラムを付加することを示すポリシーである。
この承認済みデバイス一覧３００に記憶されるデータは、ユーザが未登録デバイスを緊急避難的に使用するために、管理者への申請画面に入力したデータを元に管理者が設定するようになっている。
この承認済みデバイス一覧３００に登録されたデバイスは、あくまでも緊急用のものであって、登録済みデバイス一覧２００に登録されたデバイスとは異なり、正規デバイスとして取り扱うことはない。
以下では、管理者によって使用が承認された未登録デバイスを「承認デバイス」と言う。

【0030】

（４）復号鍵配布部１３
データを暗号化して持ち出した承認デバイスに格納された暗号化データの復号鍵を要求に応じて配布するものである。復号鍵の送信先は鍵の要求元のクライアントである。
復号鍵は、未登録デバイスについて管理者から使用承認を受けた段階でデバイス承認サーバ２の復号鍵生成部３５で生成し、これをデバイス制御ポリシー更新部３４から受信し、復号鍵の配布要求があるまで管理サーバＤＢ１２に保存される。
また、復号鍵の要求元の情報は前記管理サーバＤＢ１２に保存される。
（５）ログ送信部１４
管理サーバＤＢ１２に登録した登録済みデバイス一覧２０と承認済みデバイス一覧３０をログサーバ４へ送信するものである。

【0031】

一方、デバイス承認用サーバ３は以下の手段で構成されている。
（６）デバイス使用申請受信部３１
これは、クライアント２から送信されたデバイス使用申請を受信し、メールを用いて管理者へ通知するものである。なお、管理者は受け取ったメールに記述されているＵＲＬ（デバイス申請判断部３２）にアクセスして、申請内容を確認する。
（７）デバイス申請判断部３２
管理者は、各ユーザからのデバイス申請に対し、承認／却下を決定する。デバイス申請結果（承認／却下）については、申請元ユーザへメールで通知すると同時に、デバイス申請履歴ＤＢ１５にも格納する。
また、未登録のデバイスについては不正デバイスの可能性があるため、データの暗号化とデータの自己消滅をポリシー３６を図３の承認済みデバイス一覧３０に追加してデバイス申請履歴ＤＢ１５に格納する。
（８）デバイス制御ポリシー更新部３４
これは、未登録デバイスの申請で使用が新たに承認されたデバイスについて、承認済みデバイス一覧３００に追加するものである。それと同時に、デバイス制御ポリシー配布部１１を通して更新された承認済みデバイス一覧３００をクライアント２配布するものである。

【0032】

（９）復号鍵生成部３５
未登録デバイスについて管理者から使用承認を受けた段階で当該未登録デバイスに対応する復号鍵を生成し、その生成した復号鍵をデバイス制御ポリシー更新部３４から管理サーバ１へ送信し、承認済みデバイス一覧３００の該当するデバイスの復号鍵の欄に登録するものである。
（１０）ログ送信部３６
デバイスの申請・承認履歴をデバイス申請履歴ＤＢ３２から取得し、ログサーバ４へ送信するものである。
ログサーバは以下の手段で構成されている。
（１１）ログ収集部４１
管理サーバ１とデバイス承認用サーバ３、クライアント２から収集したログを受け付け、ログ管理ＤＢに格納するものである。
（１２）ログ解析部４２
管理サーバ１、デバイス承認用サーバ３、クライアント２から収集したログをログ管理ＤＢ４４から取り出し、１つのログとしてマージするものである。
（１３）ログ表示部４３
ログ解析部４２で解析した結果を、監査目的に合わせて編集して表示させるものである。

【0033】

一方、クライアント２は以下の手段で構成されている。
（１）デバイス制御ポリシー取得部２０
これは、サーバ１に設定された登録済みデバイス一覧２００及び承認済みデバイス一覧３００の登録内容をデバイス制御ポリシーファイル２１へ書き込むものである。デバイス制御ポリシーファイル２１へのユーザのアクセスはフック制御により禁止される。
（２）デバイス制御部２２
これは、管理サーバ１から取得したデバイス制御ポリシーの内容に従い、ユーザが接続したデバイス（もしくは当初から接続されていたデバイス）の使用可否を制御するものである。ユーザが接続したデバイスがデバイス制御ポリシーにより、使用禁止となっていた場合、ユーザはそのデバイスを使用することができない。
（３）通知表示部２３
これは、デバイス制御ポリシーによりデバイスの使用が禁止された場合、ユーザへの警告画面を表示するものである。さらに、該当するデバイスがＵＳＢメモリなどの外部電磁的記録媒体であった場合には、サーバ１へ該当デバイスの申請を行うかを判断させる画面も表示する。
（４）デバイス使用申請送信部２４
これは、通知表示部２３に表示された申請画面より、ユーザが申請を行った場合、管理サーバ１へのデバイス使用申請を送信するものである。

【0034】

（５）持ち出し処理部２５
前記デバイス制御ポリシーファイル２１に記載されたポリシーに従い、外部電磁的記憶媒体へ書き込みを行うものである。
なお、未登録のデバイスへ持ち出した機密情報が残り続けることを避けるため、この持ち出し制御部２５では、機密情報の暗号処理を行う際に、暗号化データに対して、持ち出しを実行したマシン情報と自己消滅プログラムを埋め込み、持ち出しを行ったマシン以外のＰＣに不正デバイスを接続した場合は、自己消滅プログラムにより暗号化データを自己消滅させる機能を備えている。
また、持ち出した暗号化データの(暗号ファイル)の復号鍵は、データを受け取ったものが前記管理サーバ１に対し、パスワード要求を行うことによって、復号するものとする。

【0035】

（６）ログ送信部２６
前記持ち出し処理部２５で外部電磁的記憶媒体へのデータの書き込みのタイミングでログサーバ４へ持ち出したデータファイルの情報を送信する。

【0036】

図４は、本発明を適用したセキュリティシステムの運用例を示す図である。
図４において、ユーザ５が、クライアント２のＯＳにログオンしてクライアント２を操作可能とし、クライアント２に管理サーバ１に未登録の不正デバイスの接続を試みたとする（ステップＳ２０１）。これに先立ち、クライアント２は管理サーバ１に管理者４が予め設定しておいたデバイス制御ポリシーを登録済みデバイス一覧２００として取得している（ステップＳ２０２，Ｓ２０３）。そこで、不正デバイスの接続が行われると、クライアント２は前記デバイス制御ポリシーに従い、当該デバイスが未登録の不正デバイスであることを検知し、クライアント２の画面に、不正デバイスが接続されたことをユーザ５に通知する警告画面を表示すると共に、管理者４宛に正規デバイスとして申請するための申請画面を表示する（ステップＳ２０４）。

【0037】

警告画面は図６（ａ）に示すようなものであり、使用が制限されているデバイスが接続されたこと、管理者の承認が必要であること、デバイスＩＤ、利用者名、検知日が表示され、この情報は管理者へメール送信されたことが通知される。ここで、「利用者名」は、クライアント２にログオンしているユーザ５のユーザＩＤ情報を取得することによって、ユーザＩＤと対応付けられたユーザ５の氏名を表示する。
申請画面は、図７に示すようなものであり、デバイス種別、デバイスＩＤ、接続するマシンＩＤ、申請者（ユーザ名）を入力するようになっている。マシンＩＤは、ユーザが通常使用するマシンのＩＤである。
この申請画面において、接続したデバイスを正規デバイスとして登録することを希望する場合、正規登録ボタンをクリックし、承認デバイスとして登録することを希望する場合、承認登録ボタンをクリックして登録申請を行う。

【0038】

ユーザ５が、承認デバイスとして申請する必要があると判断した場合、クライアント２の申請画面に必要事項（ユーザ名、デバイスＩＤなど）を入力し、デバイス承認用サーバ３へ送信する（ステップＳ２０５）。
管理者４は、デバイス承認用サーバ３からメールで受信した申請内容に対し、該当のデバイスの使用を承認するか、却下するかを判断する。承認した場合は、管理サーバ１上の承認済みデバイス一覧３００に新たに承認したデバイスを追加し、クライアント２へ送信する（ステップＳ２０６）。
これにより、クライアント２は承認されたデバイス（申請前は不正デバイス）を承認デバイスとして使用することができるが、却下された場合は、不正デバイスを使用することができない。

【0039】

図５は、本発明を適用したセキュリティ管理システムの運用例を示す図である。
図５において、ユーザ５が不正機器の可能性が高い未登録の不正デバイスを使用し、この不正デバイスを使用してデータを持ち出し、その不正デバイスを他のユーザに渡し、他のユーザが復号するまでの例について説明する。

【0040】

まず、ユーザ５が、未登録の不正デバイス（顧客から一時的に借り受けたＵＳＢメモリなどの外部電磁的記録媒体など）を使用し、管理サーバ１に承認デバイスとして登録し、データ持ち出しを実施しようとした場合（ステップＳ３０1）、クライアント２は承認済みデバイス一覧３００に登録された制御ポリシーに従い、持ち出し処理部２５の機能によりデータの暗号化持ち出しを可能とする（ステップＳ３０２）。この時、図６に示すように、持ち出しデータについては使用制限があること（暗号化されていること、所定時間後に自動消滅すること、管理サーバから復号鍵を受け取ること）が画面表示される。

【0041】

クライアント２は、承認デバイスによってデータの暗号化持ち出しが行われたときに、そのログ（デバイスＩＤ、ユーザ５のマシンＩＤ、復号鍵、暗号化ファイルＩＤ）をログサーバ４に送信する。
未登録の承認デバイスは、ユーザ５からユーザ６に対し、物理的に送付する（ステップＳ３０３）。
データの受け渡しが行われたことは、ユーザ６が承認デバイスをユーザ６のマシンに接続し、そのマシンから管理サーバ１に対して復号鍵の要求を行ったときに管理サーバ１が検知し、そのログ（デバイスＩＤ、復号鍵、復号鍵の要求をしたマシンＩＤ）がログサーバ４で受信されることによって確認できる（ステップＳ３０４）。

【0042】

ユーザ６は、管理サーバ４から通知を受けた復号鍵によって、ユーザ５から受け取った承認デバイスに格納された暗号化データの復号を行う（ステップＳ３０６）。

【0043】

ログサーバ４は、クライアント２から承認デバイスへのデータ持ち出し時に送付されたログとユーザ６から復号鍵の送付要求があったときに管理サーバ１から送付されたログをマージし、持ち出し情報と受け取り情報に不一致がないか解析する（ステップＳ３０７）。
この例では承認デバイスによってデータを持ち出したマシンはユーザ５のクライアントであり、復号鍵を要求したマシンはユーザ６のクライアントであるので、管理者が承認したデバイスであるが、持ち出しユーザと復号ユーザが異なるので、このことを分析結果に明示し、不正持ち出しが実施された可能性があることを示唆するメッセージをログ表示部４３の画面に表示する。

【0044】

図８は、本発明を適用したセキュリティ管理システムのログの監査例を示す図である。
図４において、監査者７はログ管理ＤＢ４４に蓄積されたログをログ解析部４２で解析し分析された結果を、ログ表示部４３を通して参照を行い、年度別に監査を行う（ステップＳ４０１）。

【0045】

ログ管理ＤＢ４４に蓄積された持ち出しログは、ログ解析部４２によって登録済みデバイスへの持ち出し４３２、未登録デバイス（承認デバイス）への持ち出し４３３、ログの不一致４３４へと分類する。そして、分類した全てのログをマージし、マージしたログ４３１を危険度別に並び替えて表示する。図４では、危険度を大、中、小の３段階に分けて表示している。
ここでは、使用を許可しているデバイスを適切に使用して場合は危険度＝小、未登録の不正デバイスの承認を一括して申請している場合は危険度＝中、特定のユーザが毎回未登録デバイスを使用している場合は危険度＝大、不正デバイスへの持ち出し済みかつ復号パスワードの要求元が毎回異なる場合は危険度＝大、承認申請時の情報と復号パスワードの要求者の記録情報が異なる場合は危険度＝大という具合に分類している。
この場合、危険度を判定する処理は危険度の高い使用例を記録したテーブルを設け、それぞれの例に対して管理者が危険度を設定しておき、このテーブルを参照して危険度別に分類するプログラムによって自動判定するように構成されている。

【0046】

監査者７は、定期的にログ表示部４３に表示されたログを参照、比較を行い（ステップＳ４０２）、各クライアント２のユーザのセキュリティ意識の推移を調査する。

【0047】

図９は、未登録デバイスがクライアント２に接続されてから、デバイス承認用サーバ３への申請を行い、該当デバイスの使用が許可されるまでの処理の概略を示すフローチャートである。
図９において、ユーザがクライアント２にシステム未登録デバイスの接続を試みたとする（ステップ５０１）。
クライアント２は、管理サーバ１から予め取得した登録済みデバイス一覧のデバイス制御ポリシーに基づき、当該デバイスが使用可能かどうかを判定する（ステップ５０２）。接続されたデバイスが使用が禁止されていなかったら使用可能とし（ステップ５１４）、禁止されたいた場合は、外部電磁的記録媒体であるかを判定し（ステップ５０３）、外部電磁的記録媒体でなかった場合（外部との通信デバイスなどであった場合）には、図６（ｃ）で示したような警告画面をクライアント２の通知表示部２３に表示し（ステップ５１２）、使用不可能なデバイスであることをユーザ５に通知する（ステップ５１３）。

【0048】

外部電磁的記録媒体であった場合には、図６（ａ）に示したような警告画面と、図７の
デバイス使用申請画面を表示する(ステップ５０４)。
ユーザ５が、承認デバイスとして申請する必要があると判断した場合、クライアント２の申請画面に必要事項（ユーザ名、デバイスＩＤなど）を入力し、デバイス承認用サーバ３へ送信する（ステップ５０５）。

【0049】

ステップ５０５において、ユーザ５は不正デバイスを承認デバイスとして登録するか否か判定する（ステップ５０６）。ユーザ５が承認デバイスとして登録を希望している場合は、通常の持ち出し申請・承認デバイスとして処理を進める（ステップ５０９）。顧客から一時的に借り受けたデバイス等、システムに登録すべきでないと判定した場合、情報漏洩やセキュリティ事故のリスクを低減するために、制限付きで持ち出しを許可させる図６（ａ）の警告画面を表示し（ステップ５１０）、制限付きで該当デバイスを使用することを可能にする（ステップ５１１）。
管理者によって却下された場合は、デバイスを使用することが出来ない（ステップ５１３）。

【0050】

ステップ５０６において、ユーザ５が正規デバイスとして登録を希望している場合は、該当デバイスの登録申請を受付け、管理者の承認を待って登録済みデバイス一覧２００に登録し(ステップ５０７)、該当デバイスを正規の登録済みデバイスとして使用可能にする（ステップ５０８）。
なお、上記実施形態において、デバイスの承認申請を専用のデバイス承認用サーバ３で受付けるように構成しているが、管理サーバ１で受付け、管理サーバ１が使用を許可するか否かを決定するように構成することができる。また、デバイス承認用サーバ３の機能は管理サーバ１に移し、管理サーバ１とデバイス承認用サーバ３とを一体化して構成することができる。

【0051】

以上のように、本実施形態においては、クライアントに未登録の不正なデバイスが接続された時点で警告画面によりユーザへ警告を行うことで、ユーザが使用しているクライアントがセキュリティポリシーによって管理されていることを意識させることが可能となり、未登録の不正デバイスによってデータが不正に持ち出されてしまうのを抑止することができ、セキュリティを向上させることができる。
（２）未登録の不正デバイスをクライアントに接続した時点で、該当デバイスの使用申請をサーバに送信し、管理者の承認を受けることができるような仕組みを用意し、管理者の承認を得て未登録デバイスであっても緊急避難的に、あるいは臨時的に未登録デバイスを使用可能にすることにより、「作業待ち状態」が生じるなどの事態を防ぎ、作業を円滑に進めることが可能になる。
さらに承認申請を受けた未登録デバイスによってデータを持ち出す場合、使用制限があることを明示した上で暗号化して記憶させる、さらに望ましくは所定時間後に消滅させる消滅プログラムを付加して記憶させることにより、無制限、かつ自由に暗号化したデータを参照することができなくなり、持ち出したデータの安全性が向上する。
（３）管理者が承認したデバイス一覧とクライアントで使用されたデバイスの情報をログとしてログサーバに収集し、管理者が分析可能にしておくことにより、管理者は未登録デバイスを使用したユーザのセキュリティ意識を把握し、意識向上のための対策を立てることが可能になると共に、危険性の高い利用形態については必要な対策を未然に立て、セキュリティを向上させることができるなどの効果がある。

【符号の説明】

【0052】

１管理サーバ
２クライアント
３デバイス承認用サーバ
４ログサーバ
１１デバイス制御ポリシー配布部
１２管理サーバデータベース
１３復号鍵配布部
１４ログ送信部
２０デバイス制御ポリシー取得部
２１デバイス制御ポリシーファイル
２２デバイス制御部
２３通知表示部
２４デバイス使用申請送信部
２５持ち出し処理部
２６ログ送信部
３１デバイス使用申請受信部
３２デバイス申請判断部
３３デバイス申請履歴データベース
３４デバイス制御ポリシー更新部
３５復号鍵生成部
３６ログ送信部
４１ログ収集部
４２ログ解析部
４３ログ表示部
２００登録済デバイス一覧
３００承認済みデバイス一覧

【図1】