知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023019655
(43)【公開日】2023-02-09
(54)【発明の名称】監視装置、監視システム、監視方法及びプログラム
(51)【国際特許分類】
G06F 3/12 20060101AFI20230202BHJP
G06Q 50/10 20120101ALI20230202BHJP
G06F 21/62 20130101ALI20230202BHJP
H04N 1/00 20060101ALI20230202BHJP
G03G 21/00 20060101ALI20230202BHJP
【FI】
G06F3/12 338
G06F3/12 322
G06F3/12 373
G06F3/12 378
G06F3/12 329
G06F3/12 344
G06Q50/10
G06F21/62 309
H04N1/00 838
H04N1/00 127A
H04N1/00 912
G03G21/00 388
【審査請求】未請求
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2021124566
(22)【出願日】2021-07-29
(71)【出願人】
【識別番号】000006747
【氏名又は名称】株式会社リコー
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】西田 隆頼
【テーマコード(参考)】
2H270
5C062
5L049
【Fターム(参考)】
2H270KA59
2H270KA60
2H270NA01
2H270NB14
2H270NB22
2H270NC02
2H270NC06
2H270NC24
2H270NC26
2H270ND02
2H270ND05
2H270ND06
2H270ND09
2H270ND22
2H270ZC03
2H270ZC04
2H270ZD04
5C062AA05
5C062AA13
5C062AA35
5C062AB22
5C062AB38
5C062AB40
5C062AB42
5C062AC04
5C062AC15
5C062AC22
5C062AC34
5C062AE16
5C062AF14
5L049CC11
(57)【要約】
【課題】アクセス権の範囲内で取得された情報の漏洩を防止する。
【解決手段】ログ取得部は、情報管理装置が管理する情報に対するアクセスログを取得する。監視対象特定部は、ユーザによりアクセスされた監視対象の情報を監視対象情報として記録する。印刷ジョブ取得部は、印刷管理装置から印刷ジョブに関する情報を取得する。印刷制御判定部は、印刷ジョブで印刷される情報と監視対象情報とが少なくとも類似するか否かを判定する。印刷制御要求部は、印刷ジョブで印刷される情報と監視対象情報とが少なくとも類似する場合、印刷ジョブに対する印刷制御要求を印刷管理装置へ送信する。
【選択図】図4
【解決手段】ログ取得部は、情報管理装置が管理する情報に対するアクセスログを取得する。監視対象特定部は、ユーザによりアクセスされた監視対象の情報を監視対象情報として記録する。印刷ジョブ取得部は、印刷管理装置から印刷ジョブに関する情報を取得する。印刷制御判定部は、印刷ジョブで印刷される情報と監視対象情報とが少なくとも類似するか否かを判定する。印刷制御要求部は、印刷ジョブで印刷される情報と監視対象情報とが少なくとも類似する場合、印刷ジョブに対する印刷制御要求を印刷管理装置へ送信する。
【選択図】図4
【特許請求の範囲】
【請求項1】
情報管理装置が管理する情報に対するアクセスを記録したアクセスログを取得するログ取得部と、
ユーザによりアクセスされた監視対象の情報を監視対象情報として記録する監視対象特定部と、
印刷管理装置から印刷ジョブに関する情報を取得する印刷ジョブ取得部と、
前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似する場合、前記印刷ジョブに対する印刷制御要求を前記印刷管理装置へ送信する印刷制御要求部と、
を備える監視装置。
ユーザによりアクセスされた監視対象の情報を監視対象情報として記録する監視対象特定部と、
印刷管理装置から印刷ジョブに関する情報を取得する印刷ジョブ取得部と、
前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似する場合、前記印刷ジョブに対する印刷制御要求を前記印刷管理装置へ送信する印刷制御要求部と、
を備える監視装置。
【請求項2】
請求項1に記載の監視装置であって、
前記監視対象特定部は、前記監視対象情報にアクセスしたユーザを、監視対象となるユーザである監視対象ユーザとしてさらに記録するものであり、
前記印刷制御要求部は、前記印刷ジョブに関する情報に前記監視対象ユーザが含まれ、前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似する場合に、前記印刷制御要求を前記印刷管理装置へ送信するものである、
監視装置。
前記監視対象特定部は、前記監視対象情報にアクセスしたユーザを、監視対象となるユーザである監視対象ユーザとしてさらに記録するものであり、
前記印刷制御要求部は、前記印刷ジョブに関する情報に前記監視対象ユーザが含まれ、前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似する場合に、前記印刷制御要求を前記印刷管理装置へ送信するものである、
監視装置。
【請求項3】
請求項2に記載の監視装置であって、
前記ログ取得部は、情報流通装置から送信ログをさらに取得するものであり、
前記監視対象特定部は、前記監視対象情報を受信したユーザを、前記監視対象ユーザとしてさらに記録するものである、
監視装置。
前記ログ取得部は、情報流通装置から送信ログをさらに取得するものであり、
前記監視対象特定部は、前記監視対象情報を受信したユーザを、前記監視対象ユーザとしてさらに記録するものである、
監視装置。
【請求項4】
請求項3に記載の監視装置であって、
前記監視対象情報のメタデータと前記印刷ジョブのメタデータとを比較することで、前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似するか否かを判定する印刷制御判定部をさらに備える、
監視装置。
前記監視対象情報のメタデータと前記印刷ジョブのメタデータとを比較することで、前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似するか否かを判定する印刷制御判定部をさらに備える、
監視装置。
【請求項5】
請求項3に記載の監視装置であって、
前記監視対象情報を画像化した画像データと前記印刷ジョブに含まれる印刷データとを比較することで、前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似するか否かを判定する印刷制御判定部をさらに備える、
監視装置。
前記監視対象情報を画像化した画像データと前記印刷ジョブに含まれる印刷データとを比較することで、前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似するか否かを判定する印刷制御判定部をさらに備える、
監視装置。
【請求項6】
印刷管理装置と監視装置とを備える監視システムであって、
前記印刷管理装置は、
ユーザ端末から印刷ジョブを受信する印刷ジョブ受信部と、
前記監視装置から受信する印刷制御要求に応じて前記印刷ジョブを制御する印刷制御部と、
を備え、
前記監視装置は、
情報管理装置が管理する情報に対するアクセスを記録したアクセスログを取得するログ取得部と、
ユーザによりアクセスされた監視対象の情報を監視対象情報として記録する監視対象特定部と、
前記印刷管理装置から前記印刷ジョブに関する情報を取得する印刷ジョブ取得部と、
前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似する場合、前記印刷ジョブに対する前記印刷制御要求を前記印刷管理装置へ送信する印刷制御要求部と、
を備える、
監視システム。
前記印刷管理装置は、
ユーザ端末から印刷ジョブを受信する印刷ジョブ受信部と、
前記監視装置から受信する印刷制御要求に応じて前記印刷ジョブを制御する印刷制御部と、
を備え、
前記監視装置は、
情報管理装置が管理する情報に対するアクセスを記録したアクセスログを取得するログ取得部と、
ユーザによりアクセスされた監視対象の情報を監視対象情報として記録する監視対象特定部と、
前記印刷管理装置から前記印刷ジョブに関する情報を取得する印刷ジョブ取得部と、
前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似する場合、前記印刷ジョブに対する前記印刷制御要求を前記印刷管理装置へ送信する印刷制御要求部と、
を備える、
監視システム。
【請求項7】
ログ取得部が、情報管理装置が管理する情報に対するアクセスを記録したアクセスログを取得するステップと、
監視対象特定部が、ユーザによりアクセスされた監視対象の情報を監視対象情報として記録するステップと、
印刷ジョブ取得部が、印刷管理装置から印刷ジョブに関する情報を取得するステップと、
印刷制御要求部が、前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似する場合、前記印刷ジョブに対する印刷制御要求を前記印刷管理装置へ送信するするステップと、
を備える監視方法。
監視対象特定部が、ユーザによりアクセスされた監視対象の情報を監視対象情報として記録するステップと、
印刷ジョブ取得部が、印刷管理装置から印刷ジョブに関する情報を取得するステップと、
印刷制御要求部が、前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似する場合、前記印刷ジョブに対する印刷制御要求を前記印刷管理装置へ送信するするステップと、
を備える監視方法。
【請求項8】
コンピュータを、
情報管理装置が管理する情報に対するアクセスを記録したアクセスログを取得するログ取得部、
ユーザによりアクセスされた監視対象の情報を監視対象情報として記録する監視対象特定部、
印刷管理装置から印刷ジョブに関する情報を取得する印刷ジョブ取得部、及び
前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似する場合、前記印刷ジョブに対する印刷制御要求を前記印刷管理装置へ送信する印刷制御要求部、
として機能させるためのプログラム。
情報管理装置が管理する情報に対するアクセスを記録したアクセスログを取得するログ取得部、
ユーザによりアクセスされた監視対象の情報を監視対象情報として記録する監視対象特定部、
印刷管理装置から印刷ジョブに関する情報を取得する印刷ジョブ取得部、及び
前記印刷ジョブで印刷される情報と前記監視対象情報とが少なくとも類似する場合、前記印刷ジョブに対する印刷制御要求を前記印刷管理装置へ送信する印刷制御要求部、
として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、監視装置、監視システム、監視方法及びプログラムに関する。
【背景技術】
【0002】
機密情報を管理する情報処理システムでは、ユーザ毎に設定するアクセス権に基づいて、機密情報に対するアクセス制限を実現することができる。機密情報に対するアクセス制限を行えば、機密情報の漏洩防止及び機密情報が漏洩した際の漏洩元の調査が可能となる。
【0003】
例えば、特許文献1には、施設管理機器が出力する物理系ログと情報機器が出力する情報系ログとを統合して分析することで、機密情報の不正な利用を検知する技術が開示されている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、アクセス権を用いたアクセス制限のみでは、アクセス権の範囲内で正当に取得された情報が、不適切な操作により漏洩することを防止することが困難であった。
【0005】
この発明の一実施形態は、上記のような技術的課題に鑑みて、アクセス権の範囲内で取得された情報の漏洩を防止することを目的とする。
【課題を解決するための手段】
【0006】
上記の課題を解決するために、この発明の監視装置は、情報管理装置が管理する情報に対するアクセスを記録したアクセスログを取得するログ取得部と、ユーザによりアクセスされた監視対象の情報を監視対象情報として記録する監視対象特定部と、印刷管理装置から印刷ジョブに関する情報を取得する印刷ジョブ取得部と、印刷ジョブで印刷される情報と監視対象情報とが少なくとも類似する場合、印刷ジョブに対する印刷制御要求を印刷管理装置へ送信する印刷制御要求部と、を備える。
【発明の効果】
【0007】
この発明の一実施形態によれば、アクセス権の範囲内で取得された情報の漏洩を防止することができる。
【図面の簡単な説明】
【0008】
【図1】一実施形態における監視システムが想定する利用環境を例示する図である。
【図2】一実施形態における監視システムの全体構成を例示する図である。
【図3】一実施形態における監視システムに含まれる各装置のハードウェア構成を例示する図である。
【図4】一実施形態における監視システムに含まれる各装置の機能構成を例示する図である。
【図5】一実施形態における監視対象特定処理の手順を例示する図である。
【図6】一実施形態におけるアクセスログの一例を示す図である。
【図7】一実施形態における送信ログの一例を示す図である。
【図8】一実施形態における監視対象特定部の処理手順を例示する図である。
【図9】一実施形態における監視対象リストの一例を示す図である。
【図10】一実施形態における監視対象リストの一例を示す図である。
【図11】一実施形態における印刷制御処理の手順を例示する図である。
【図12】一実施形態における印刷ジョブリストの一例を示す図である。
【図13】一実施形態における印刷制御判定部の処理手順を例示する図である。
【図14】一実施形態における印刷ジョブリスト表示画面の一例を示す図である。
【発明を実施するための形態】
【0009】
以下、図面を参照しながら、この発明の実施の形態について、詳細に説明する。
【0010】
[背景]
機密情報を取り扱う組織では、その機密情報を保持する情報管理装置を組織内又はクラウド上に設置することがある。情報管理装置の一例は、企業内に設置されたファイルサーバ、又は、クラウド上で提供される文書管理サービス等である。これらの情報管理装置は、ユーザ毎にアクセス権を設定することで、機密情報に対するアクセス制限を実現することができる。アクセス権は、ファイル及びフォルダ毎にアクセスを許可するか否かを定義した情報である。各ユーザに適切なアクセス権を設定すれば、機密情報の漏洩を防止することができる。また、機密情報が漏洩したとしても、漏洩元の調査を実施することが可能となる。
機密情報を取り扱う組織では、その機密情報を保持する情報管理装置を組織内又はクラウド上に設置することがある。情報管理装置の一例は、企業内に設置されたファイルサーバ、又は、クラウド上で提供される文書管理サービス等である。これらの情報管理装置は、ユーザ毎にアクセス権を設定することで、機密情報に対するアクセス制限を実現することができる。アクセス権は、ファイル及びフォルダ毎にアクセスを許可するか否かを定義した情報である。各ユーザに適切なアクセス権を設定すれば、機密情報の漏洩を防止することができる。また、機密情報が漏洩したとしても、漏洩元の調査を実施することが可能となる。
【0011】
しかしながら、アクセス権に基づくアクセス制限のみでは、アクセス権の範囲内で正当に機密情報を取得したユーザから二次的に機密情報が漏洩することを防止することができない場合がある。例えば、フォルダへのアクセスが許可されている管理職社員がそのフォルダからファイルをダウンロードし、部下の一般社員にローカルで配布するケースが発生し得る。ローカルでファイルを配布する行為自体は、その管理職社員の権限で適切な一般社員に配布しているため問題ではない。しかしながら、その一般社員の一部が不適切なファイル操作を行った場合には、情報漏洩を防止することができない。この場合における不適切なファイル操作としては、例えば、そのファイルを印刷して社外に持ち出す場合、又は、そのファイルをメールに添付して社外のメールアドレスに送信する場合等が想定し得る。
【0012】
図1は、この発明の一実施形態である監視システムが想定する利用環境を例示する図である。ここでは、特に情報漏洩が懸念される例として、在宅勤務中に自宅に設置したプリンタへ機密情報を印刷するケースを説明する。
【0013】
在宅勤務においては、社員は、自宅に構築したホームネットワーク900に物理的に接続されたPC(Personal Computer)901を、VPN(Virtual Private Network)等を利用して社内ネットワーク910に接続し、業務を行うことが一般的である。このとき、自宅に設置されたプリンタ902はホームネットワーク900に接続しているため、PC901はプリンタ902へ印刷データを直接送信することができない。そこで、PC901は、エージェント912を用いて、VPNを経由して、印刷データを社内ネットワーク910に接続されたクラウドプリントサービス911へ送信する。その後、ホームネットワーク900に接続されたスマートフォン903が印刷データをクラウドプリントサービス911からプリンタ902へ送信する。なお、在宅勤務においては、PC901が会社から支給されることが一般的であるため、エージェント912は予めPC901にインストールされている。
【0014】
会社へ出勤して業務を行う場合には、社員は社内ネットワーク910に接続されたPCを用いて業務を行うため、クラウドプリントサービス911へ印刷データを送信することは問題なく可能である。なお、在宅勤務において、社員がVPN接続を切断してPC901にローカルで保持しているファイルを印刷するケースも考えられる。その場合は、PC901にインストールされたエージェント912が印刷を不可とする制御を行うことが可能であるため、問題とはならない。
【0015】
すなわち、社員が会社へ出勤している場合であっても、在宅勤務している場合であっても、印刷データがクラウドプリントサービス911へ一旦蓄積されてから手元のプリンタへ出力されることになる。そこで、この発明の一実施形態に係る監視システムは、クラウドプリントサービス911に蓄積された印刷データを監視し、機密情報を印刷する印刷データが蓄積されたことを検知した場合には、その印刷データを印刷不可とする制御を行う。これにより、不適切な印刷操作により機密情報が漏洩することを防止することが可能となる。
【0016】
[実施形態]
<監視システム100の全体構成>
図2は、この発明の一実施形態である監視システム100の全体構成を示す図である。図2に示されているように、監視システム100は、監視装置1、情報管理装置2、情報流通装置3、印刷管理装置4、及びユーザ端末5を少なくとも含む。
<監視システム100の全体構成>
図2は、この発明の一実施形態である監視システム100の全体構成を示す図である。図2に示されているように、監視システム100は、監視装置1、情報管理装置2、情報流通装置3、印刷管理装置4、及びユーザ端末5を少なくとも含む。
【0017】
監視装置1、情報管理装置2、情報流通装置3、印刷管理装置4、及びユーザ端末5は、それぞれネットワーク9に接続している。ネットワーク9は、接続されている各装置が相互に通信可能となるように構成されている。ネットワーク9は、例えば、インターネット、LAN(Local Area Network)、又はWAN(Wide Area Network)などの有線通信によるネットワークによって構築されている。ネットワーク9は、有線通信だけでなく、例えば、無線LAN、近距離無線通信、3G(3rd Generation)、WiMAX(Worldwide Interoperability for Microwave Access)、又はLTE(Long Term Evolution)等の無線通信又は移動体通信によるネットワークが含まれていてもよい。
【0018】
情報管理装置2は、情報を管理する情報処理装置である。情報管理装置2は、例えば、ファイルサーバ又は文書サーバ等である。情報管理装置2は、例えば、複数の文書サーバで構成される文書管理サービス等であってもよい。情報管理装置2は、ネットワーク9を経由してユーザ端末5から受信する情報アクセス要求に応じて、機密情報に対するアクセスを実行する。情報管理装置2がファイルサーバである場合、情報アクセス要求は、例えば、ファイルのアップロード及びダウンロード等の操作を含む。情報管理装置2が文書サーバである場合、情報アクセス要求は、例えば、文書ファイルのアップロード、作成、編集、表示、削除、共有、及びダウンロード等の操作を含む。文書管理サービスは、文書サーバの機能をクラウド上でネットワークを介して提供する情報処理サービスである。文書管理サービスの一例は、マイクロソフト(登録商標)社が提供するMicrosoft 365(登録商標)及びグーグル(登録商標)社が提供するGoogleドキュメント等である。
【0019】
情報管理装置2は、ユーザ毎にアクセス権を設定する機能を有するものとする。また、情報管理装置2は、ユーザから受信するすべての情報アクセス要求をアクセスログに記録する機能を有するものとする。さらに、情報管理装置2は、API(Application Programming Interface)を通じて外部からアクセスログを取得可能な機能を有するものとする。また、情報管理装置2は、APIを通じて各ユーザに設定されたアクセス権を参照可能な機能を有していてもよい。
【0020】
情報流通装置3は、情報を送受信する情報処理装置である。情報流通装置3は、例えば、メールサーバである。情報流通装置3は、例えば、複数のメールサーバで構成されるメールサービスであってもよい。情報流通装置3がメールサーバである場合、情報流通装置3は、ネットワーク9を経由してユーザ端末5から受信したメールデータをスプールに蓄積し、送信先として指定されたメールアドレスに対応するメールサーバへメールデータを転送する。メールデータには、一般的にファイルを添付することができる。メールサービスは、メールサーバの機能をクラウド上でネットワークを介して提供する情報処理サービスである。
【0021】
情報流通装置3は、転送したすべてのメールの送信元及び送信先のメールアドレス、件名、本文、及び添付ファイルを送信ログに記録する機能を有するものとする。さらに、情報流通装置3は、外部から送信ログを取得可能な機能を有するものとする。
【0022】
印刷管理装置4は、情報を印刷するための印刷ジョブを管理する情報処理装置である。印刷管理装置4は、例えば、プリントサーバ又はクラウドプリントサービスである。印刷管理装置4がプリントサーバである場合、印刷管理装置4は、ネットワーク9を経由してユーザ端末5から受信した印刷ジョブをスプールに蓄積し、印刷先として指定されたプリンタへ印刷データを転送する。クラウドプリントサービスは、プリントサーバの機能をクラウド上でネットワークを介して提供する情報処理サービスである。クラウドプリントサービスは、ユーザ端末5から受信した印刷ジョブを蓄積し、ユーザが印刷ジョブを選択して行う印刷操作に従って、印刷先として指定されたプリンタへ印刷データを転送する。
【0023】
印刷管理装置4は、APIを通じて外部から印刷ジョブが蓄積されたことを検知し、その印刷ジョブに関する情報を取得することができる機能を有するものとする。さらに、印刷管理装置4は、APIを通じて外部から印刷ジョブを印刷不可に設定可能な機能を有するものとする。
【0024】
<監視システム100の各装置のハードウェア構成>
図3は、監視システム100における各装置又は端末のハードウェア構成を示す図である。図3に示されているように、監視装置1、情報管理装置2、情報流通装置3、印刷管理装置4、及びユーザ端末5は、コンピュータによって構築されており、図3に示されているように、CPU(Central Processing Unit)1001、ROM(Read Only Memory)1002、RAM(Random Access Memory)1003、HD(Hard Disk)1004、HDD(Hard Disk Drive)コントローラ1005、ディスプレイ1006、外部機器接続I/F(Interface)1008、ネットワークI/F1009、バスライン1010、キーボード1011、ポインティングデバイス1012、DVD-RW(Digital Versatile Disk Rewritable)ドライブ1014、メディアI/F1016を備えている。
図3は、監視システム100における各装置又は端末のハードウェア構成を示す図である。図3に示されているように、監視装置1、情報管理装置2、情報流通装置3、印刷管理装置4、及びユーザ端末5は、コンピュータによって構築されており、図3に示されているように、CPU(Central Processing Unit)1001、ROM(Read Only Memory)1002、RAM(Random Access Memory)1003、HD(Hard Disk)1004、HDD(Hard Disk Drive)コントローラ1005、ディスプレイ1006、外部機器接続I/F(Interface)1008、ネットワークI/F1009、バスライン1010、キーボード1011、ポインティングデバイス1012、DVD-RW(Digital Versatile Disk Rewritable)ドライブ1014、メディアI/F1016を備えている。
【0025】
これらのうち、CPU1001は、コンピュータ全体の動作を制御する。ROM1002は、IPL(Initial Program Loader)等のCPU1001の駆動に用いられるプログラムを記憶する。RAM1003は、CPU1001のワークエリアとして使用される。HD1004は、プログラム等の各種データを記憶する。HDDコントローラ1005は、CPU1001の制御に従ってHD1004に対する各種データの読み出し又は書き込みを制御する。ディスプレイ1006は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。外部機器接続I/F1008は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリやプリンタ等である。ネットワークI/F1009は、ネットワーク9を利用してデータ通信をするためのインターフェースである。バスライン1010は、図3に示されているCPU1001等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
【0026】
また、キーボード1011は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス1012は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD-RWドライブ1014は、着脱可能な記録媒体の一例としてのDVD-RW1013に対する各種データの読み出し又は書き込みを制御する。なお、DVD-RWに限らず、DVD-R等であってもよい。メディアI/F1016は、フラッシュメモリ等のメディア1015に対するデータの読み出し又は書き込み(記憶)を制御する。
【0027】
なお、上記各プログラムは、インストール可能な形式又は実行可能な形式のファイルで、コンピュータで読み取り可能な記録媒体に記録して流通させるようにしてもよい。記録媒体の例として、CD-R(Compact Disc Recordable)、DVD(Digital Versatile Disk)、ブルーレイディスク、SDカード等が挙げられる。また、記録媒体は、プログラム製品として、国内又は国外へ提供されることができる。例えば、監視装置1は、実施形態に係るプログラムが実行されることで実施形態に係る監視方法を実現する。
【0028】
さらに、監視装置1は、単一のコンピュータによって構築されてもよいし、各部(機能、手段又は記憶部)を分割して任意に割り当てられた複数のコンピュータによって構築されていてもよい。情報管理装置2、情報流通装置3、及び印刷管理装置4についても同様である。
【0029】
<監視システム100の各装置の機能構成>
図4は、監視システム100における各装置の機能構成を示す図である。
図4は、監視システム100における各装置の機能構成を示す図である。
【0030】
≪監視装置1の機能構成≫
図4に示されているように、監視装置1は、ログ取得部11、ログ記憶部12、監視対象特定部13、監視対象記憶部14、印刷ジョブ取得部15、印刷制御判定部16、アラート通知部17、印刷制御要求部18、及び接続設定管理部19を少なくとも備える。監視装置1が備える各処理部(ログ記憶部12及び監視対象記憶部14を除く)は、図3に示されているCPU1001がHD1004からRAM1003上に展開したプログラムに従って、各種の命令をRAM1003上に読み込まれたデータに対して実行することで実現される機能又は機能する手段である。ログ記憶部12及び監視対象記憶部14は、図3に示されているHDDコントローラ1005を介してHD1004にデータの読み込み又は書き込みを行うことで実現される機能又は機能する手段である。
図4に示されているように、監視装置1は、ログ取得部11、ログ記憶部12、監視対象特定部13、監視対象記憶部14、印刷ジョブ取得部15、印刷制御判定部16、アラート通知部17、印刷制御要求部18、及び接続設定管理部19を少なくとも備える。監視装置1が備える各処理部(ログ記憶部12及び監視対象記憶部14を除く)は、図3に示されているCPU1001がHD1004からRAM1003上に展開したプログラムに従って、各種の命令をRAM1003上に読み込まれたデータに対して実行することで実現される機能又は機能する手段である。ログ記憶部12及び監視対象記憶部14は、図3に示されているHDDコントローラ1005を介してHD1004にデータの読み込み又は書き込みを行うことで実現される機能又は機能する手段である。
【0031】
ログ取得部11は、情報管理装置2が記憶するアクセスログ及び情報流通装置3が記憶する送信ログを取得し、ログ記憶部12へ記憶する。
【0032】
ログ記憶部12は、ログ取得部11が取得したアクセスログ及び送信ログを記憶する。
【0033】
監視対象特定部13は、ログ記憶部12が記憶するアクセスログ及び送信ログを参照し、監視対象となるユーザで及び監視対象となる情報を特定する。また、監視対象特定部13は、監視対象ユーザ及び監視対象情報を記録する監視対象データを、監視対象記憶部14が記憶する監視対象リストへ記録する。
【0034】
監視対象記憶部14は、監視対象ユーザ及び監視対象情報を記録した監視対象リストを記憶する。
【0035】
印刷ジョブ取得部15は、印刷管理装置4が蓄積した印刷ジョブに関する情報を取得する。
【0036】
印刷制御判定部16は、印刷ジョブ取得部15が取得した印刷ジョブに関する情報に基づいて、その印刷ジョブが印刷可能か否かを判定する。
【0037】
アラート通知部17は、印刷制御判定部16が印刷ジョブを印刷不可と判定したことを通知するアラートを、予め定めた通知先へ通知する。
【0038】
印刷制御要求部18は、印刷制御判定部16が出力する判定結果に基づいて、印刷ジョブを印刷可能又は印刷不可に制御する印刷制御要求を、印刷管理装置4へ送信する。
【0039】
接続設定管理部19は、監視装置1が動作するために必要とされる各種の接続情報又は設定情報を管理する。
【0040】
≪情報管理装置2の機能構成≫
図4に示されているように、情報管理装置2は、情報アクセス部21及びアクセスログ記憶部22を少なくとも備える。情報アクセス部21は、図3に示されているCPU1001がHD1004からRAM1003上に展開したプログラムに従って、各種の命令をRAM1003上に読み込まれたデータに対して実行することで実現される機能又は機能する手段である。アクセスログ記憶部22は、図3に示されているHDDコントローラ1005を介してHD1004にデータの読み込み又は書き込みを行うことで実現される機能又は機能する手段である。
図4に示されているように、情報管理装置2は、情報アクセス部21及びアクセスログ記憶部22を少なくとも備える。情報アクセス部21は、図3に示されているCPU1001がHD1004からRAM1003上に展開したプログラムに従って、各種の命令をRAM1003上に読み込まれたデータに対して実行することで実現される機能又は機能する手段である。アクセスログ記憶部22は、図3に示されているHDDコントローラ1005を介してHD1004にデータの読み込み又は書き込みを行うことで実現される機能又は機能する手段である。
【0041】
情報アクセス部21は、ユーザ端末5から受信する情報アクセス要求に従って、情報へのアクセスを実行する。
【0042】
アクセスログ記憶部22は、情報アクセス部21が情報へアクセスした内容を記録するアクセスログを記憶する。
【0043】
≪情報流通装置3の機能構成≫
図4に示されているように、情報流通装置3は、メール送信部31及び送信ログ記憶部32を少なくとも備える。メール送信部31は、図3に示されているCPU1001がHD1004からRAM1003上に展開したプログラムに従って、各種の命令をRAM1003上に読み込まれたデータに対して実行することで実現される機能又は機能する手段である。送信ログ記憶部32は、図3に示されているHDDコントローラ1005を介してHD1004にデータの読み込み又は書き込みを行うことで実現される機能又は機能する手段である。
図4に示されているように、情報流通装置3は、メール送信部31及び送信ログ記憶部32を少なくとも備える。メール送信部31は、図3に示されているCPU1001がHD1004からRAM1003上に展開したプログラムに従って、各種の命令をRAM1003上に読み込まれたデータに対して実行することで実現される機能又は機能する手段である。送信ログ記憶部32は、図3に示されているHDDコントローラ1005を介してHD1004にデータの読み込み又は書き込みを行うことで実現される機能又は機能する手段である。
【0044】
メール送信部31は、ユーザ端末5から受信するメール送信要求に従って、送信先メールアドレスへ電子メールを送信する。
【0045】
送信ログ記憶部32は、メール送信部31が送信した電子メールの内容を記録する送信ログを記憶する。
【0046】
≪印刷管理装置4の機能構成≫
図4に示されているように、印刷管理装置4は、印刷ジョブ受信部41、印刷ジョブ管理部42、印刷制御要求受信部43、及び印刷制御部44を少なくとも備える。印刷管理装置4が備える各処理部は、図3に示されているCPU1001がHD1004からRAM1003上に展開したプログラムに従って、各種の命令をRAM1003上に読み込まれたデータに対して実行することで実現される機能又は機能する手段である。
図4に示されているように、印刷管理装置4は、印刷ジョブ受信部41、印刷ジョブ管理部42、印刷制御要求受信部43、及び印刷制御部44を少なくとも備える。印刷管理装置4が備える各処理部は、図3に示されているCPU1001がHD1004からRAM1003上に展開したプログラムに従って、各種の命令をRAM1003上に読み込まれたデータに対して実行することで実現される機能又は機能する手段である。
【0047】
印刷ジョブ受信部41は、ユーザ端末5から印刷ジョブを受信する。
【0048】
印刷ジョブ管理部42は、ユーザ端末5から受信した印刷ジョブを、印刷ジョブリストに蓄積する。
【0049】
印刷制御要求受信部43は、監視装置1から印刷制御要求を受信する。
【0050】
印刷制御部44は、監視装置1から受信した印刷制御要求に従って、印刷ジョブ管理部42が管理する印刷ジョブの印刷可否を設定する。
【0051】
≪ユーザ端末5の機能構成≫
図4に示されているように、ユーザ端末5は、情報アクセス要求部51、メール送信要求部52、及び印刷ジョブ送信部53を少なくとも備える。ユーザ端末5が備える各処理部は、図3に示されているCPU1001がHD1004からRAM1003上に展開したプログラムに従って、各種の命令をRAM1003上に読み込まれたデータに対して実行することで実現される機能又は機能する手段である。
図4に示されているように、ユーザ端末5は、情報アクセス要求部51、メール送信要求部52、及び印刷ジョブ送信部53を少なくとも備える。ユーザ端末5が備える各処理部は、図3に示されているCPU1001がHD1004からRAM1003上に展開したプログラムに従って、各種の命令をRAM1003上に読み込まれたデータに対して実行することで実現される機能又は機能する手段である。
【0052】
情報アクセス要求部51は、情報管理装置2へ情報アクセス要求を送信する。
【0053】
メール送信要求部52は、情報流通装置3へメール送信要求を送信する。
【0054】
印刷ジョブ送信部53は、印刷管理装置4へ印刷ジョブを送信する。
【0055】
<監視システム100の処理手順>
以下、図5から図14を参照しながら、実施形態に係る監視システム100が実行する監視方法の処理手順を説明する。実施形態に係る監視方法は、監視対象特定処理と印刷制御処理の2段階に大きく分かれる。
以下、図5から図14を参照しながら、実施形態に係る監視システム100が実行する監視方法の処理手順を説明する。実施形態に係る監視方法は、監視対象特定処理と印刷制御処理の2段階に大きく分かれる。
【0056】
≪監視対象特定処理≫
図5は、監視システム100が実行する監視対象特定処理の手順を示す図である。監視対象特定処理は、監視対象となるユーザ及び情報を監視システム100が特定するための処理である。
図5は、監視システム100が実行する監視対象特定処理の手順を示す図である。監視対象特定処理は、監視対象となるユーザ及び情報を監視システム100が特定するための処理である。
【0057】
ステップS51において、ユーザ端末5が備える情報アクセス要求部51は、情報アクセス要求を情報管理装置2へ送信する。情報アクセス要求は、情報管理装置2が管理する情報へのアクセスを要求する信号である。情報へのアクセスは、例えば、情報管理装置2へファイルをアップロードする操作、情報管理装置2が管理するファイルを表示する操作、情報管理装置2が管理するファイルを編集する操作、及び情報管理装置2が管理するファイルをダウンロードする操作等を含む。
【0058】
ステップS21において、情報管理装置2が備える情報アクセス部21は、ユーザ端末5から情報アクセス要求を受信する。情報アクセス部21は、予め設定されているアクセス権を参照し、情報アクセス要求を許可するか否かを判定する。情報アクセス部21は、情報アクセス要求を許可する場合、情報アクセス要求に従って、情報へのアクセスを実行する。
【0059】
例えば、情報アクセス要求がファイルをアップロードする操作であれば、情報アクセス部21は、情報アクセス要求により指定されたファイルをユーザ端末5から受信する。また、例えば、情報アクセス要求がファイルをダウンロードする操作であれば、情報アクセス部21は、情報アクセス要求により指定されたファイルをユーザ端末5へ送信する。
【0060】
ステップS22において、情報管理装置2が備える情報アクセス部21は、ステップS21において情報へアクセスした内容を記録するアクセスログを、アクセスログ記憶部22に記憶する。アクセスログは、例えば、id、ユーザ、ファイル、及び操作に関する情報を含み、表形式又はCSV(Comma Separated Values)形式等で記録される。
【0061】
図6は、アクセスログの一例である。idは、アクセスログのレコードを一意に特定する識別子である。ユーザは、アクセスを行ったユーザを一意に特定するユーザ名である。ファイルは、アクセスしたファイルを示すファイル名又はURL(Uniform Resource Locator)である。操作は、アクセスの種類を表す文字列又はコード値である。
【0062】
例えば、idが"1"のアクセスログは、"Leader 1"というユーザが"http://sharepoint/契約書.pdf"というURLにファイルをアップロードしたことを表している。また、例えば、idが"2"のアクセスログは、"Leader 1"というユーザが"http://sharepoint/契約書.pdf"というURLからファイルをダウンロードしたことを表している。
【0063】
図5に戻って説明する。ステップS52において、ユーザ端末5が備えるメール送信要求部52は、メール送信要求を情報流通装置3へ送信する。メール送信要求は、電子メールを他のユーザへ送信することを要求する信号である。メール送信要求は、例えば、送信元メールアドレス、送信先メールアドレス、件名、本文等を含む。メール送信要求は、添付ファイルを含むことができる。
【0064】
ステップS31において、情報流通装置3が備えるメール送信部31は、ユーザ端末5からメール送信要求を受信する。メール送信部31は、メール送信要求に従って、送信先メールアドレスへ電子メールを送信する。
【0065】
ステップS32において、情報流通装置3が備えるメール送信部31は、ステップS31において送信した電子メールの内容を記録する送信ログを、送信ログ記憶部32に記憶する。送信ログは、例えば、id、送信元、送信先、件名、本文、及び添付ファイルに関する情報を含み、表形式又はCSV形式等で記録される。
【0066】
図7は、送信ログの一例である。idは、送信ログのレコードを一意に特定する識別子である。送信元は、送信元であるメールアドレス又はそのメールアドレスを用いるユーザを表す文字列である。送信元は、例えば、メールヘッダーにおけるfromに対応する。送信先は、送信先であるメールアドレス又はそのメールアドレスを用いるユーザを表す文字列である。送信先は、メールヘッダーにおけるTo、CC、及びBCCに対応する。件名は、電子メールの件名に指定された文字列である。本文は、電子メールの本文に指定された文字列である。添付ファイルは、電子メールに添付されたファイルのファイル名を表す文字列である。
【0067】
例えば、idが"1"の送信ログは、"Leader 1"というユーザが"Member 1"というユーザへ添付ファイルなしで電子メールを送信したことを表している。また、例えば、idが"2"の送信ログは、"Leader 1"というユーザが"Member 2"というユーザへ"契約書.pdf"というファイルを添付した電子メールを送信したことを表している。
【0068】
図5に戻って説明する。ステップS11-1において、監視装置1が備えるログ取得部11は、情報管理装置2が提供するAPIを通じて、情報管理装置2が記憶するアクセスログを取得する。なお、アクセスログを取得するためのAPIを実行するために用いる接続情報は、システム管理者等により接続設定管理部19に予め設定されている。接続情報は、例えば、APIを実行するためのURL及びAPIを実行するために用いるアカウント情報等を含む。ログ取得部11は、取得したアクセスログをログ記憶部12へ記憶する。
【0069】
ステップS11-2において、監視装置1が備えるログ取得部11は、情報流通装置3が記憶する送信ログを取得する。なお、送信ログを取得するために必要となる接続情報は、システム管理者等により接続設定管理部19に予め設定されている。接続情報は、例えば、送信ログにアクセスするために用いるアカウント情報等を含む。ログ取得部11は、取得した送信ログをログ記憶部12へ記憶する。
【0070】
ステップS13において、監視装置1が備える監視対象特定部13は、ログ記憶部12が記憶するアクセスログ及び送信ログを参照し、監視対象となるユーザ(以下、「監視対象ユーザ」と呼ぶ)及び監視対象となる情報(以下、「監視対象情報」と呼ぶ)を特定する。監視対象特定部13は、少なくとも監視対象ユーザ及び監視対象情報を記録する監視対象データを、監視対象記憶部14が記憶する監視対象リストへ追加する。監視対象データは、その監視対象データが記録された記録日時を含んでもよい。
【0071】
図8は、監視対象特定部13が実行するステップS13の手順をより詳細に示す図である。
【0072】
ステップS13-1において、監視対象特定部13は、ログ記憶部12が記憶するアクセスログを参照し、情報管理装置2が管理する情報を持ち出す操作に関するアクセスログが存在するか否かを判定する。情報を持ち出す操作とは、情報管理装置2による管理が及ばない範囲へ情報を移動又は複製する操作である。情報を持ち出す操作は、例えば、ファイルをダウンロードする操作である。情報を持ち出す操作に関するアクセスログが存在しない場合(NO)、ステップS13-3へ処理を進める。情報を持ち出す操作に関するアクセスログが存在する場合(YES)、ステップS13-2へ処理を進める。
【0073】
ステップS13-2において、監視対象特定部13は、ユーザが持ち出したファイルを監視対象情報として特定する。また、情報を持ち出したユーザを、監視対象ユーザとして特定する。監視対象特定部13は、特定した監視対象ユーザ及び監視対象情報を記録する監視対象データを、監視対象記憶部14が記憶する監視対象リストへ追加する。
【0074】
図9は、監視対象リストの一例である。図9に示した監視対象リストは、ステップS13-1からS13-2において、アクセスログから監視対象ユーザ及び監視対象情報を特定し記録したものである。例えば、idが"1"の監視対象データは、"Leader 1"というユーザが監視対象ユーザであり、"http://sharepoint/契約書.pdf"というURLで示されるファイルが監視対象情報であることを表している。また、例えば、idが"2"の監視対象データは、"Leader 1"というユーザが監視対象ユーザであり、"http://sharepoint/顧客リスト.xlsx"というURLで示されるファイルが監視対象情報であることを表している。
【0075】
図8に戻って説明する。ステップS13-3において、監視対象特定部13は、ログ記憶部12が記憶する送信ログを参照し、監視対象ユーザに関する送信ログが存在するか否かを判定する。監視対象ユーザに関する送信ログとは、監視対象ユーザが用いるメールアドレスから他のユーザが用いるメールアドレスへ送信されたメールを記録した送信ログである。監視対象ユーザに関する送信ログが存在しない場合(NO)、ステップS13-6へ処理を進める。監視対象ユーザに関する送信ログが存在する場合(YES)、ステップS13-4へ処理を進める。
【0076】
ステップS13-4において、監視対象特定部13は、監視対象ユーザが送信したメールに監視対象情報が添付されていたか否かを判定する。監視対象ユーザが送信したメールに監視対象情報が添付されていなかった場合(NO)、ステップS13-6へ処理を進める。監視対象ユーザが送信したメールに監視対象情報が添付されていた場合(YES)、ステップS13-5へ処理を進める。
【0077】
ステップS13-5において、監視対象特定部13は、監視対象情報が添付されたメールの送信先であるユーザを、監視対象ユーザとして特定する。監視対象特定部13は、特定した監視対象ユーザ、送信元であるユーザ、及び添付ファイルである監視対象情報を記録する監視対象データを、監視対象記憶部14へ記憶する。
【0078】
図10は、監視対象リストの一例である。図10に示した監視対象リストは、図9に示した監視対象リストに対して、ステップS13-3からS13-5において、送信ログから特定した監視対象ユーザを記録したものである。例えば、idが"3"の監視対象データは、"Member 2"というユーザが監視対象ユーザであり、"契約書.pdf"というファイルが監視対象情報であることを表している。また、この監視対象データは、"Leader 1"というユーザが"契約書.pdf"というファイルを"Member 2"というユーザへ送信したことにより、"Member 2"というユーザが監視対象ユーザとなったことも表している。
【0079】
図8に戻って説明する。ステップS13-6において、監視対象特定部13は、記録されてから一定期間が経過した監視対象データが存在するか否かを判定する。一定期間が経過したか否かは、監視対象データに含まれる記録時間と現在時刻との差が予め定めた有効期間を超えているか否かにより判定する。有効期間は、例えば、システム管理者等により接続設定管理部19に予め設定されている。有効期間は、例えば、30日等に設定すればよい。一定期間が経過した監視対象データが存在しない場合(NO)、処理を終了する。一定期間が経過した監視対象データが存在した場合(YES)、ステップS13-7へ処理を進める。
【0080】
ステップS13-7において、監視対象特定部13は、監視対象記憶部14が記憶する監視対象リストから一定期間が経過した監視対象データを削除する。
【0081】
監視対象ユーザ及び監視対象情報が多いほど、監視に必要となる処理負荷は増大する。一方で、情報漏洩に繋がる不適切な操作は、情報を持ち出してから一定期間内に行われることが想定される。そのため、一定期間が経過した監視対象データを自動的に削除することで処理負荷の過度な増大を防止することができる。
【0082】
なお、情報を持ち出す操作が行われる頻度が低く監視対象リストの増加による処理負荷が問題とならない利用環境であれば、ステップS13-6からS13-7は省略してもよい。この場合、監視対象データは手動で削除できるように構成すればよい。
【0083】
≪印刷制御処理≫
図11は、監視システム100が実行する印刷制御処理の手順を示す図である。印刷制御処理は、監視対象ユーザが監視対象情報を印刷するための印刷ジョブを検知し、その印刷ジョブを印刷不可とする制御を行うための処理である。
図11は、監視システム100が実行する印刷制御処理の手順を示す図である。印刷制御処理は、監視対象ユーザが監視対象情報を印刷するための印刷ジョブを検知し、その印刷ジョブを印刷不可とする制御を行うための処理である。
【0084】
ステップS53において、ユーザ端末5が備える印刷ジョブ送信部53は、印刷ジョブを印刷管理装置4へ送信する。印刷ジョブは、ユーザ端末5が保持する情報の印刷を要求する信号である。印刷ジョブは、少なくとも印刷データを含む。印刷データは、印刷ジョブにより印刷される情報を印刷可能なフォーマットに変換したデータである。
【0085】
ステップS41において、印刷管理装置4が備える印刷ジョブ受信部41は、ユーザ端末5から印刷ジョブを受信する。
【0086】
ステップS42において、印刷管理装置4が備える印刷ジョブ管理部42は、ユーザ端末5から受信した印刷ジョブを、印刷ジョブリストに蓄積する。印刷ジョブリストは、例えば、id、印刷者、ファイル名、及び印刷可否に関する情報を含み、表形式等で記録される。
【0087】
図12は、印刷ジョブリストの一例である。idは、印刷ジョブを一意に特定する識別子である。印刷者は、印刷ジョブを送信したユーザを表す文字列である。ファイル名は、印刷ジョブにより印刷されるファイルのファイル名を表す文字列である。印刷可否は、印刷ジョブを印刷可能か印刷不可かを表す文字列又はコード値である。
【0088】
図12において、例えば、idが"3"の印刷ジョブは、"Member 2"というユーザが"顧客リスト.xlsx"というファイルを印刷する印刷ジョブである。この印刷ジョブは、印刷可否が印刷可能にも印刷不可にも設定されていない。これは、印刷可否の判定が完了していないことを表している。
【0089】
図11に戻って説明する。ステップS15において、監視装置1が備える印刷ジョブ取得部15は、印刷管理装置4が提供するAPIを通じて、印刷管理装置4が蓄積した印刷ジョブに関する情報を取得する。印刷ジョブに関する情報は、少なくとも、印刷ジョブを送信したユーザを示す情報、印刷ジョブに含まれる印刷データ、及び印刷ジョブにより印刷される情報に関するメタデータ等を含む。なお、印刷ジョブを取得するためのAPIを実行するために用いる接続情報は、システム管理者等により接続設定管理部19に予め設定されている。接続情報は、例えば、APIを実行するためのURL及びAPIを実行するために用いるアカウント情報等を含む。
【0090】
なお、印刷ジョブだけでなく情報流通装置3も、情報漏洩の出力元となり得る。監視装置1は情報流通装置3からも、社外を宛先とするメールについて同様の情報(送信者、添付ファイル等)を取得するとよい。
【0091】
ステップS16において、監視装置1が備える印刷制御判定部16は、印刷ジョブに関する情報に基づいて、その印刷ジョブが印刷可能か否かを判定する。印刷制御判定部16は、印刷ジョブに関する情報に監視対象ユーザが含まれ、かつ、印刷ジョブにより印刷される情報と監視対象情報とが同一又は類似である場合、その印刷ジョブを印刷不可と判定する。また、印刷制御判定部16は、その他の場合には、その印刷ジョブを印刷可能と判定する。
【0092】
図13は、印刷制御判定部16が実行するステップS16の手順をより詳細に示す図である。
【0093】
ステップS16-1において、印刷制御判定部16は、印刷ジョブに関する情報に監視対象ユーザが含まれるか否かを判定する。印刷ジョブに関する情報に監視対象ユーザが含まれない場合(NO)、ステップS16-5へ処理を進める。印刷ジョブに関する情報に監視対象ユーザが含まれる場合(YES)、ステップS16-2へ処理を進める。
【0094】
なお、監視対象情報をダウンロードした監視対象ユーザが、共有フォルダなどに保存して、監視対象リストに痕跡を残さずに第三者が監視対象情報を取得する場合も生じうる。このような場合に対応するため、ステップS16-1では、印刷ジョブに関する情報に監視対象ユーザが含まれるかどうかに関わらず、監視対象リストから情報送信者が空欄の監視対象情報を特定してよい。そして、特定した監視対象情報についてステップS16-2からS16-3の比較を行うとよい。
【0095】
ステップS16-2において、印刷制御判定部16は、印刷ジョブにより印刷される情報に関するメタデータと監視対象情報に関するメタデータとを比較して、同一又は類似であるか否かを判定する。メタデータが同一又は類似である場合(YES)、ステップS16-4へ処理を進める。メタデータが同一及び類似でない場合(NO)、ステップS16-3へ処理を進める。
【0096】
メタデータは、ファイルの属性を示す情報であり、例えば、ファイル名、ファイルサイズ、及び更新日時等を含む。メタデータが同一である場合とは、比較した属性のすべてが一致する場合である。メタデータが類似する場合とは、比較した属性の差が予め定めた範囲内である場合である。例えば、ファイル名に含まれる文字列が重複する場合、ファイル名が類似すると判定できる。また、例えば、ファイルサイズの差又は比が予め定めた閾値以下である場合、ファイルサイズが類似すると判定できる。類似すると判断される類似の程度はシステム管理者等が設定できる。
【0097】
ステップS16-3において、印刷制御判定部16は、印刷ジョブに含まれる印刷データと監視対象情報を画像化した画像データとを比較して、同一又は類似であるか否かを判定する。画像データが同一又は類似である場合(YES)、ステップS16-4へ処理を進める。画像データが同一及び類似でない場合(NO)、ステップS16-5へ処理を進める。印刷ジョブに関する情報に含まれるユーザと同じ監視対象ユーザが監視対象リストに複数存在する場合、全ての監視対象ユーザの監視対象情報が比較対象となる。
【0098】
また、印刷ジョブが複数ページを含む場合、印刷制御判定部16は、印刷ジョブに含まれる印刷データと監視対象情報を総当たりで比較することが好ましいが、処理負荷を考慮して一部のページのみを比較してもよい。
【0099】
印刷データは、プリンタから印刷されるイメージを含む。そのため、印刷制御判定部16が印刷データと監視対象情報を画像化した画像データとを比較すれば、監視対象情報と一致するか否かを判定することができる。印刷されるイメージそのものを監視していることになるため、ファイル名等のメタデータが変更されていたとしても、その印刷ジョブを印刷不可として情報漏洩を防止することができる。画像データ同士の比較は、天地を揃えた上で2つの画像の画素同士の差分の二乗和又は絶対値と閾値を比較する方法がある。例えば、監視対象ユーザが日付のみを変更して印刷することが想定される場合、印刷データと監視対象情報のフォーマットを比較する方法もある。この場合、印刷制御判定部16は枠の位置とサイズ、下線の位置と長さを監視対象情報から特定し、同じ位置に枠や下線があるかを判定する。また、文字ベースで比較する場合、印刷制御判定部16は文字のヒストグラムを作成し、ヒストグラムの形状を比較してもよい。
【0100】
ステップS16-4において、印刷制御判定部16は、印刷ジョブを印刷不可と判定し、その判定結果を出力する。ステップS16-5において、印刷制御判定部16は、印刷ジョブを印刷可能と判定し、その判定結果を出力する。
【0101】
図11に戻って説明する。ステップS17において、監視装置1が備えるアラート通知部17は、印刷ジョブを印刷不可と判定したことを通知するアラートを、予め定めた通知先へ通知する。アラート通知部17は、例えば、予め管理者として設定されたメールアドレスへアラートメールを送信する。アラートメールを送信するために用いるメールサーバは、情報流通装置3でもよいし、別途構築された他のメールサーバであってもよい。
【0102】
アラート通知部17は、情報漏洩が発生したときの調査に必要となる情報をアラートメールに記載する。調査に必要となる情報は、例えば、印刷不可とした印刷ジョブに関する監視対象ユーザ及び監視対象情報を表す情報、及び、その印刷ジョブを受信した日時等を含む。
【0103】
ステップS18において、監視装置1が備える印刷制御要求部18は、印刷制御判定部16が出力する判定結果に基づいて、印刷ジョブを印刷可能又は印刷不可に制御する印刷制御要求を印刷管理装置4へ送信する。
【0104】
ステップS43において、印刷管理装置4が備える印刷制御要求受信部43は、監視装置1から印刷制御要求を受信する。
【0105】
ステップS44において、印刷管理装置4が備える印刷制御部44は、印刷制御要求に従って、印刷ジョブを制御する。印刷制御要求が印刷ジョブを印刷可能に制御するものであれば、印刷ジョブリストにおいて印刷ジョブの印刷可否を印刷可能に設定する。印刷制御要求が印刷ジョブを印刷不可に制御するものであれば、印刷ジョブリストにおいて印刷ジョブの印刷可否を印刷不可に設定する。
【0106】
図14は、印刷ジョブが印刷不可に設定された場合における印刷ジョブリスト表示画面の例を示す図である。印刷ジョブリスト表示画面は、印刷管理装置4がクラウドプリントサービスである例において、ユーザが印刷ジョブを選択して印刷操作を行うための画面である。図14に示す印刷ジョブリスト表示画面400は、クラウドプリントサービスに接続されたMFP(Multifunction Peripheral/Product/Printer)が操作パネルに表示する印刷ジョブリスト表示画面の例である。
【0107】
クラウドプリントサービスのユーザは、IC(Integrated Circuit)カードをMFPの所定の位置にかざす、又は、操作パネル上でPIN(Personal Identification Number)コードを入力する等の操作により、クラウドプリントサービスに対して認証を行う。認証に成功すると、MFPは、認証に成功したユーザに対応付けられた印刷ジョブに関する情報をクラウドプリントサービスから受信し、操作パネルに印刷ジョブリスト表示画面400を表示する。印刷ジョブリスト表示画面400は、認証に成功したユーザを示すユーザ情報401、そのユーザに関する印刷ジョブの件数を示す件数情報402、そのユーザに関する印刷ジョブを表す印刷ジョブ情報411~414等を表示する。印刷ジョブリスト表示画面において、ユーザがいずれかの印刷ジョブ情報を選択し、削除ボタン421、プレビューボタン422、設定変更ボタン423、又はスタートボタン424を押下することで、その印刷ジョブに対する削除、プレビュー、設定変更、又は印刷開始の操作を行うことができる。このとき、MFPは、印刷不可に設定された印刷ジョブに関する印刷ジョブ情報を選択不可とする制御を行う。また、MFPは、印刷可能にも印刷不可にも設定されていない(すなわち、印刷可否の判定が完了していない)印刷ジョブを、印刷ジョブ情報として表示しない制御を行う。
【0108】
図14の例では、"Member 2"というユーザに関する印刷ジョブが表示されており、それぞれのファイル名は"契約書.pdf"、"カタログ.pdf"、"顧客リスト.xlsx"、及び"報告書.doc"である。このとき、"Member 2"というユーザは監視対象ユーザとして記録されており、"契約書.pdf"及び"顧客リスト.xlsx"というファイルは監視対象情報として記録されている。そのため、"契約書.pdf"及び"顧客リスト.xlsx"に関する印刷ジョブは印刷不可に設定される。印刷ジョブリスト表示画面400は、印刷不可に設定された"契約書.pdf"及び"顧客リスト.xlsx"に関する印刷ジョブ情報を、例えば、反転して表示し、ユーザが選択できないように制御する。これにより、ユーザはそれらの印刷ジョブが印刷不可となったことを認識することができる。
【0109】
ここでは、MFPが備える操作パネルに表示する印刷ジョブリスト表示画面の例を示したが、スマートフォンが備えるディスプレイに表示する印刷ジョブリスト表示画面においても、印刷不可に設定された印刷ジョブを選択できないように制御すればよい。
【0110】
<実施形態の効果>
この発明の実施形態に係る監視装置1は、情報管理装置2から取得したアクセスログから監視対象となるユーザ及び情報を特定する。そして、監視装置1は、監視対象ユーザが監視対象情報を印刷するための印刷ジョブが蓄積されたことを検知した場合、その印刷ジョブを印刷不可に設定する。これにより、情報管理装置2に設定されたアクセス権の範囲内で持ち出された機密情報が不適切な操作により印刷されて漏洩することを防止することができる。また、監視装置1は、情報流通装置3から取得した送信ログから監視対象ユーザが監視対象情報を他のユーザへ送信していることを検知した場合、監視対象情報を受信した他のユーザを監視対象ユーザとして特定する。これにより、機密情報がメール等で配布された場合であっても、機密情報が配布先のユーザによる不適切な操作で印刷されて漏洩することを防止することができる。さらに、監視装置1は、監視対象情報のメタデータと印刷ジョブのメタデータとを比較して、印刷ジョブが監視対象情報を印刷するものであるかを判定する。また、監視装置1は、監視対象情報を画像化した画像データと印刷ジョブに含まれる印刷データとを比較して、印刷ジョブが監視対象情報を印刷するものであるかを判定する。これにより、ユーザが機密情報の一部を変更して印刷しようとした場合であっても、機密情報の漏洩を防止することができる。
この発明の実施形態に係る監視装置1は、情報管理装置2から取得したアクセスログから監視対象となるユーザ及び情報を特定する。そして、監視装置1は、監視対象ユーザが監視対象情報を印刷するための印刷ジョブが蓄積されたことを検知した場合、その印刷ジョブを印刷不可に設定する。これにより、情報管理装置2に設定されたアクセス権の範囲内で持ち出された機密情報が不適切な操作により印刷されて漏洩することを防止することができる。また、監視装置1は、情報流通装置3から取得した送信ログから監視対象ユーザが監視対象情報を他のユーザへ送信していることを検知した場合、監視対象情報を受信した他のユーザを監視対象ユーザとして特定する。これにより、機密情報がメール等で配布された場合であっても、機密情報が配布先のユーザによる不適切な操作で印刷されて漏洩することを防止することができる。さらに、監視装置1は、監視対象情報のメタデータと印刷ジョブのメタデータとを比較して、印刷ジョブが監視対象情報を印刷するものであるかを判定する。また、監視装置1は、監視対象情報を画像化した画像データと印刷ジョブに含まれる印刷データとを比較して、印刷ジョブが監視対象情報を印刷するものであるかを判定する。これにより、ユーザが機密情報の一部を変更して印刷しようとした場合であっても、機密情報の漏洩を防止することができる。
【0111】
<補足>
上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)や従来の回路モジュール等のデバイスを含むものとする。
上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)や従来の回路モジュール等のデバイスを含むものとする。
【0112】
実施例に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものにすぎない。ある実施形態では、監視装置1は、サーバクラスタといった複数のコンピューティングデバイスを含む。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施する。同様に、情報管理装置2、情報流通装置3、及び印刷管理装置4は、互いに通信するように構成された複数のコンピューティングデバイスを含むことができる。
【0113】
さらに、監視装置1、情報管理装置2、情報流通装置3、及び印刷管理装置4は、例えば図5及び図7に開示された処理ステップを様々な組み合わせで共有するように構成できる。例えば、所定のユニットによって実行されるプロセスは、監視装置1によって実行され得る。同様に、所定のユニットの機能は、情報管理装置2、情報流通装置3、又は印刷管理装置4によって実行することができる。また、監視装置1、情報管理装置2、情報流通装置3、及び印刷管理装置4の各要素は、1つのサーバ装置にまとめられていても良いし、複数の装置に分けられていても良い。
【0114】
以上、本発明の実施の形態について詳述したが、本発明はこれらの実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形又は変更が可能である。
【符号の説明】
【0115】
100 監視システム
1 監視装置
2 情報管理装置
3 情報流通装置
4 印刷管理装置
5 ユーザ端末
9 ネットワーク
11 ログ取得部
12 ログ記憶部
13 監視対象特定部
15 印刷ジョブ取得部
16 印刷制御判定部
17 アラート通知部
18 印刷制御要求部
19 接続設定管理部
21 情報アクセス部
22 アクセスログ記憶部
31 メール送信部
32 送信ログ記憶部
41 印刷ジョブ受信部
42 印刷ジョブ管理部
43 印刷制御要求受信部
44 印刷制御部
51 情報アクセス要求部
52 メール送信要求部
53 印刷ジョブ送信部
1 監視装置
2 情報管理装置
3 情報流通装置
4 印刷管理装置
5 ユーザ端末
9 ネットワーク
11 ログ取得部
12 ログ記憶部
13 監視対象特定部
15 印刷ジョブ取得部
16 印刷制御判定部
17 アラート通知部
18 印刷制御要求部
19 接続設定管理部
21 情報アクセス部
22 アクセスログ記憶部
31 メール送信部
32 送信ログ記憶部
41 印刷ジョブ受信部
42 印刷ジョブ管理部
43 印刷制御要求受信部
44 印刷制御部
51 情報アクセス要求部
52 メール送信要求部
53 印刷ジョブ送信部
【先行技術文献】
【特許文献】
【0116】
【特許文献1】特許第6138367号公報
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】