防泄露装置、防泄露方法以及程序与流程

本发明涉及信息通信领域中的防止信息泄露的技术。

背景技术：

当前，作为面向信息泄露的对策技术，例如存在“intersafeilp”(注册商标)(参照非专利文献1)、“秘文”(注册商标)(参照非专利文献2)、“microsoftrms/irm”(注册商标)(参照非专利文献3)等。虽然这些现有技术存在细微的功能上的不同，但是作为主要的功能，在具有降低发生信息泄露的风险的功能和在发生了信息泄露的情况下确定其原因、改善状态的功能这一点上是共通的。

现有技术文献

非专利文献

非专利文献1：アルプスシステムインテグレーション株式会社、“オールインワンの情報漏洩(漏えい)防止対策-intersafeilp”、[online]、[平成27年1月9日検索]、インターネット〈url：http://www.alsi.co.jp/security/ilp/〉

非专利文献2：株式会社日立ソリューションズ、“情報漏洩防止ソリューション「秘文」”、[online]、[平成27年1月9日検索]、インターネット〈url：http://www.hitachi-solutions.co.jp/hibun/sp/〉

非专利文献3：日本マイクロソフト株式会社、“抜け穴からの情報漏えいリスクに対応できるrms/irmの永続的保護”、[online]、[平成27年1月9日検索]、インターネット〈url：http://www.microsoft.com/ja-jp/business/enterprise/ecc/article/rms1012_2.aspx〉

技术实现要素：

发明要解决的课题

但是，现有的信息泄露对策技术不具备发现信息泄露的功能，不能注意到信息泄露。例如，为了发现计算机上的文件已泄露，需要对文件定义正常状态。但是，文件可取得的状态过多，所以不容易实现。

本发明的目的在于，鉴于上述要点，检测担忧信息资产的泄露的状态，防止信息泄露。

用于解决课题的方案

为了解决上述课题，本发明的防泄露装置包括：设想允许利用范围存储单元，存储预先规定的设想允许利用范围；不可利用状态存储单元，存储通过加密而被设为了不可利用状态的信息资产；可利用状态存储单元，存储通过解密而被设为了可利用状态的信息资产；担忧泄露状态存储单元，存储被设为了担忧泄露状态的信息资产；状态变化单元，若存在从与所述设想允许利用范围吻合的应用向处于不可利用状态的信息资产的利用请求，则对该信息资产进行解密而设为可利用状态，若所述应用对处于可利用状态的信息资产的利用结束，则对该信息资产进行加密而设为不可利用状态；以及状态监视单元，若存在从与所述设想允许利用范围不吻合的应用向处于不可利用状态的信息资产的利用请求，则将该信息资产设为担忧泄露状态。

发明效果

通过本发明的防泄露技术，能够检测担忧信息资产的泄露的状态，所以能够防止信息泄露。例如，与防入侵系统(ips:intrusionpreventionsystem)等的、其他网络系统的访问限制系统组合，或者进行解密的停止，从而能够防止信息资产向外部泄露。

附图说明

图1是例示防泄露装置的功能结构的图。

图2是例示防泄露方法的处理流程的图。

具体实施方式

在说明实施方式之前，说明本发明的基本的思路。

根据下述参考文献1，在企业的信息资产的例子中，有财务、人事、顾客、战略、以及技术信息等。在企业的信息系统中，这些信息资产作为各种各样的介质存在。信息资产的介质例如是诸如个人计算机、光盘、磁带这样的硬件、诸如电子数据这样的软件等。

〔参考文献1〕独立行政法人情報処理推進機構、“守るべき情報資産·情報リスクの考え方”、2004年情報セキュリティセミナー、[online]、[平成27年1月9日検索]、インターネット〈url：https://www.ipa.go.jp/files/000013297.pdf〉

根据下述参考文献2，就基本软件(os:operatingsystem)的市场份额而言，microsoft公司的windows(注册商标)占据9成以上(当前2014年12月)，所以可以认为，用于处理信息资产进行业务的终端通常是搭载了windowsos的台式计算机、膝上型计算机。

〔参考文献2〕netapplications、“operatingsystemmarketshare”、[online]、[平成27年1月9日検索]、インターネット〈url：http://www.netmarketshare.com/operating-system-market-share.aspx？qprid＝10&qpcustomd＝0〉

在windowsos中，gui(graphicaluserinterface)中的最小数据单位是文件，所以可以说在企业内以某种形式保有文件单位的信息资产。因此，在本发明中，以信息资产在具有windowsos等gui的os上作为电子文件存在的状况为前提，研究为此的信息泄露对策。

本发明的基本的创意是，严密地定义信息资产的正常状态，从而将担忧泄露状态明确为比信息资产泄露后的异常状态大的状态。所谓担忧泄露状态，换言之，是信息资产存在于内部、但存在于所设想的允许利用范围外的状态。若处于该状态的信息资产流出到外部，则成为信息泄露。发现担忧泄露状态，从而能够防止或者尽早发现信息泄露。此外，若能够发现担忧泄露状态，则例如能够通过停止某用户对该终端的信息资产的利用等的对策，在信息资产流出到外部前实施改善对策。

为了定义正常状态，需要定义对信息资产的设想允许利用范围。在这里，设想允许利用范围将电子形式的信息资产作为对象。这是因为迅速地采取改善对策、可靠地实现的效果高。在被以电子方式定义的设想允许利用范围中，例如存在基于邮件地址等的识别信息的人物、组织单位的访问控制、终端控制、应用的利用限制等。为了可靠地实施利用限制，通常导入irm(informationrightsmanagement)等在利用时需要认证的系统。进一步，将信息资产基本上全部加密而使得不可利用，从而限定能够从不可利用状态向可利用状态进行状态变化(即解密)的处理，使得容易定义正常状态。

以下，分为泄露的防止、泄露的检测、泄露的原因确定以及改善这三个功能，更详细地进行说明。再者，以下，假设不存在来自中央运算处理装置、主存储装置的信息泄露而将来自辅助存储装置的信息泄露作为对象进行说明，但不限定于此。

＜防泄露功能＞

全部信息资产基本上设为不可利用状态。能够使之从不可利用状态变化为可利用状态的应用(以下称为状态变化ap。)唯一存在，在状态变化ap中没有利用信息资产(例如阅览、编辑等)的功能。以电子方式定义能够从不可利用状态变化为可利用状态的设想允许范围，为了使状态变化，必须请求认证。定义在信息资产通过状态变化ap而变为可利用状态时能够利用该信息资产的应用(以下称为利用ap。)。被利用ap利用的信息资产在利用结束后必定通过状态变化ap设为不可利用状态。

＜泄露检测功能＞

在发生了来自除状态变化ap以外的应用的、对处于不可利用状态的信息资产的访问时，该信息资产全部定义为担忧泄露状态。在发生了来自除规定的利用ap以外的向处于可利用状态的信息资产的访问时，该信息资产全部设为担忧泄露状态。在利用ap所进行的利用结束了的信息资产未变化为不可利用状态时，该信息资产全部设为担忧泄露状态。

＜原因确定以及改善功能＞

显示变为了担忧泄露状态的信息资产、发生了担忧泄露状态的用户或者终端，从而确定何时、何地泄露了哪项信息资产。使将信息资产设为了担忧泄露状态的用户、终端的状态变化权限失效，从而优化、改善设想允许利用范围。

以下，详细说明本发明的实施方式。再者，在图中，对具有相同功能的结构单元附加相同的编号，省略重复说明。

例如，如图1所示，实施方式的防泄露装置1包含设想允许利用范围存储单元2、不可利用状态存储单元3、可利用状态存储单元4、担忧泄露状态存储单元5、状态变化单元6、状态监视单元7、状态改善单元8、以及应用9。应用9可以存在多个，也可以存在于经由已有的网络而连接的其他装置。

防泄露装置1例如是在具有中央运算处理装置(cpu:centralprocessingunit)、主存储装置(ram:randomaccessmemory)等的公知或者专用的计算机中读入特别的程序而构成的特别的装置。防泄露装置1例如基于中央运算处理装置的控制而执行各处理。被输入到防泄露装置1的数据、在各处理中得到的数据例如储存在主存储装置中，储存在主存储装置中的数据被根据需要读出而利用于其他处理。此外，防泄露装置1的各处理单元的至少一部分也可以由集成电路等的硬件构成。

本方式的防泄露装置1设为搭载了microsoft公司的windows作为基本软件(os)的台式型或者膝上型的个人计算机、塔型或者机架型的服务器计算机，但不限定于此。

防泄露装置1所包含的各存储单元例如是由诸如硬盘、光盘或者闪存存储器(flashmemory)这样的半导体存储器元件构成的辅助存储装置。防泄露装置1所包含的各存储单元分别可以由在物理上被分割的存储装置构成，也可以构成为，在一个物理的存储装置中在逻辑上被分割而予以存储。

在设想允许利用范围存储单元2中，存储有预先规定的设想允许利用范围。设想允许利用范围是基于应用的种类、正在操作应用的用户、在应用经由网络请求向信息资产的访问的情况下正在操作该应用的终端等的信息而定义是否允许信息资产的利用的信息。

在不可利用状态存储单元3、可利用状态存储单元4、以及担忧泄露状态存储单元5中，对信息资产可取得的每个状态存储有多个信息资产。信息资产例如是记录了财务、人事、顾客、战略、以及技术信息等在企业活动中利用的各种各样的信息的电子文件。

向存储在各存储单元中的信息资产的访问始终由状态监视单元7予以监视。状态监视单元7按照预先定义的规则，监视存储在各存储单元中的文件的输入输出、防泄露装置1记录的系统日志。状态监视单元7例如是下述参考文献3所记载的可追溯性基石。参考文献3的可追溯性基石是客户端·服务器结构，状态监视单元7是可追溯性基石客户端。可追溯性基石客户端的文件跟踪日志生成功能能够监视在windows上进行动作的应用所进行的文件输入输出以及windows所输出的事件日志等。此外，使用可追溯性基石服务器的分组功能对可追溯性基石客户端的日志进行解析，从而能够以诸如文件单位的打开、读(读入)、写(写入)这样的单位来掌握处理。使用该功能，检测应用所访问的文件是否是不可利用状态，从而能够检测不可利用状态的信息资产变为了担忧泄露状态的情况。进一步，能够检测向可利用状态的信息资产的访问，所以能够判定是否是来自与信息资产的文件类型对应的应用的访问，能够发现信息泄露。

〔参考文献3〕元田敏浩、永吉剛、秋葉淳哉、竹内格、“トレーサビリティ基盤trx”、ntt技術ジャーナル、vol.26(3)、pp.57-62、2014年3月

以下，参照图2，说明实施方式的防泄露方法的处理手续。

在步骤s1中，状态变化单元6对全部信息资产进行加密，设为不可利用状态。此外，在新的信息资产被从应用9新追加到终端时，状态变化单元6对该信息资产进行加密，设为不可利用状态。被设为了不可利用状态的信息资产存储在不可利用状态存储单元3中。例如使用下述参考文献4所记载的云密钥管理型加密方式作为加密的方式。云密钥管理型加密方式将解密密钥保存在云上，从而在解密时进行认证、许可，对客户端仅给解密权限。此时，能够以要解密的用户、组织、终端等的单位来控制解密的权限。在云密钥管理型加密方式中，对客户端一律不给解密密钥的信息，所以被加密的信息资产基本上全部是不可利用状态。

〔参考文献4〕日本電信電話株式会社、“オンライン環境でのデータ保護の課題を抜本的に解決する「クラウド鍵管理型暗号方式」を開発”、ntt持株会社ニュースリリース、[online]、[平成27年1月9日検索]、インターネット〈url：http://www.ntt.co.jp/news2012/1202/120210b.html〉

在步骤s2中，应用9与用户的操作相应地请求对存储在不可利用状态存储单元3的不可利用状态的信息资产的利用。

在步骤s3中，状态变化单元6判定来自应用9的利用请求是否是与存储在设想允许利用范围存储单元2中的设想允许利用范围吻合的利用。就判定而言，具体来说，使用云密钥管理型加密的认证、许可功能，通过确认应用的用户、终端是否与预先设定的解密的权限吻合，从而可以判定是否包含于设想允许利用范围。在判定为是与设想允许利用范围吻合的利用的情况下，将处理进到步骤s4。在判定为是与设想允许利用范围不吻合的利用的情况下，将处理进到步骤s7。

在步骤s4中，状态变化单元6对与设想允许利用范围吻合的应用9正在请求利用的不可利用状态的信息资产进行解密，设为可利用状态。解密的信息资产向可利用状态存储单元4暂时记录，将操作交给应用9。

在步骤s5中，应用9对向可利用状态存储单元4存储的可利用状态的信息资产进行所期望的利用操作。所谓利用，例如是记录在文件中的信息的阅览、编辑等通常的文件操作。此外，在应用9存在于经由网络而连接的其他终端的情况下，将文件向该终端移动的操作也包含于利用操作。对利用结束了的信息资产，应用9将操作交给状态变化单元6。

在步骤s6中，状态变化单元6对应用9所进行的利用结束了的可利用状态的信息资产进行加密，设为不可利用状态。被设为了不可利用状态的信息资产存储在不可利用状态存储单元3中。同时，永久性地删除向可利用状态存储单元4暂时记录的可利用状态的信息资产。此外，在应用9存在于其他终端的情况下，若存在被移动到其他终端的信息资产，则删除该信息资产。在由于任何的问题而应用9所进行的利用结束了的信息资产未变化为不可利用状态的情况下，将该信息资产设为处于担忧泄露状态。被设为了担忧泄露状态的信息资产存储在担忧泄露状态存储单元5中。

在步骤s7中，状态监视单元7将与设想允许利用范围不吻合的应用9正在请求利用的信息资产设为担忧泄露状态，向担忧泄露状态存储单元5存储。此时，将存在访问的日期、作为访问对象的信息资产、确定正在操作该应用9的用户的识别信息(例如邮件地址、账户名称等)或者确定正在操作该应用9的终端的识别信息(例如ip地址、计算机名称等)等作为操作履历予以累积。此时，操作履历也可以构成为，不仅在防泄露装置1的内部累积，还在外部的日志管理服务器累积。

在步骤s8中，状态改善单元8与用户的操作相应地，输出信息资产变为了担忧泄露状态时的操作履历。具体而言，使用可追溯性基石所具有的文件操作事件的分组功能。由此，能够将对信息资产的操作履历可视化，能够追踪该信息资产何时、何地变为了担忧泄露状态。例如，在应用9的信息资产被移动到其他终端而利用未结束的情况下，能够确认该信息资产被带出到哪个终端。

在步骤s9中，状态改善单元8基于存储在设想允许利用范围存储单元2中的设想允许利用范围、和信息资产变为了担忧泄露状态时的操作履历，对设想允许利用范围进行优化。被优化的设想允许利用范围存储在设想允许利用范围存储单元2中。具体而言，使用云密钥管理型加密的认证、许可功能，对进行了变为担忧泄露状态的操作的用户、终端，将解密的权限无效化，从而对设想允许利用范围进行优化。例如，在应用9将某个信息资产向某个终端带出了规定的时间以上的情况下，能够停止该终端中的该信息资产的利用。

通过以上所述的结构，本发明的防泄露技术对信息资产全部进行加密而设为不可利用状态，从而严密地定义正常状态，监视除设想允许利用范围外的访问，检测担忧泄露状态。此外，基于发生了担忧泄露状态的操作履历，对设想允许利用范围进行优化，从而在信息资产流出到外部前将状态改善。因此，根据本发明，能够检测担忧信息资产的泄露的状态，能够防止信息泄露。

不言而喻，本发明不限定于上述的实施方式，在不脱离本发明的宗旨的范围能够适当地变更。上述实施方式中说明的各种处理不仅可以按照记载的顺序按时序予以执行，也可以与执行处理的装置的处理能力相应地或者根据需要并行地或者单独地予以执行。

[程序、记录介质]

在由计算机实现上述实施方式中说明的各装置中的各种处理功能的情况下，各装置所应该具有的功能的处理内容由程序记述。然后，由计算机执行该程序，从而在计算机上实现上述各装置中的各种处理功能。

记述了该处理内容的程序能够预先记录在计算机可读取记录介质中。作为计算机可读取记录介质，例如也可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任意的记录介质。

此外，该程序的流通例如通过销售、转让、借贷等记录了该程序的dvd、cd-rom等移动式记录介质来进行。进一步，也可以设为下述结构，即，将该程序预先储存在服务器计算机的存储装置中，经由网络，从服务器计算机将该程序转发到其他计算机，从而使该程序流通。

执行这样的程序的计算机例如首先使记录在移动式记录介质中的程序或者从服务器计算机转发的程序暂时储存到自身的存储装置中。然后，在执行处理时，该计算机读取储存在自身的记录介质中的程序，执行依照所读取到的程序的处理。此外，作为该程序的其他执行方式，也可以是计算机从移动式记录介质直接读取程序，执行依照该程序的处理，进一步，也可以是每当从服务器计算机对该计算机转发程序时，依次执行依照所接收到的程序的处理。此外，也可以设为通过从服务器计算机不进行向该计算机的程序的转发、仅通过其执行指示和结果获取而实现处理功能的、所谓asp(applicationserviceprovider)型的服务而执行上述的处理的结构。再者，在本方式的程序中，假设是包含有助于电子计算机所进行的处理所使用的信息、即比照程序的信息(不是直接对计算机的指令，而是具有对计算机的处理进行规定的性质的数据等)在内的程序等。

此外，在本方式中，在计算机上执行规定的程序，从而构成本装置，但是也可以以硬件方式实现这些处理内容的至少一部分。

标号说明

1防泄露装置

2设想允许利用范围存储单元

3不可利用状态存储单元

4可利用状态存储单元

5担忧泄露状态存储单元

6状态变化单元

7状态监视单元

8状态改善单元

9应用