安全对策状况的自检系统.pdf

安全对策状况的自检系统
    【技术领域】

    本发明涉及一种自检系统，其综合管理难以统一管理的PC的安全对策状况和用户的带出操作日志，并自动检查是否遵照策略。

    背景技术

    企业中的计算机的任务并不特殊，一人一台或者使用一台以上计算机的场合也增多了。其中，有Microsoft公司的Windows(注册商标)作为通用的OS(Operating System)得到普及、配备了因特网环境、计算机自身可以廉价购买等各种背景。

    随着计算机的普及，管理者伤脑筋的是资产管理。各企业在把各计算机的硬件作为资产来管理的同时，对于计算机上所使用的软件，从顺应性(compliance)方面的观点出发也需要彻底地管理。当然，管理的台数越多人工管理越不合适，所以需要系统中的应对，用于解决这些问题的资产管理工具的导入急剧增加。在作为资产管理工具而使用的功能中有若干种，代表性的可以列举出资产(inventory)收集、软件分配、以及远程控制等。

    在这些功能中使用最多的是资产收集功能。在资产收集中，除了收集各计算机的硬件信息或者软件信息之外，有时还从使用者以调查形式输入信息，收集使用者的姓名或者所属部门名称等。最近，为了掌握计算机的安全对策状况而使用资产管理工具的情况也增多起来。

    作为安全对策之一而举出的信息泄漏对策(广义)的代表中有“加密”和“带出控制”。关于信息泄漏对策，由于2005年的个人信息保护法的全面施行，在处理个人数据的企业等中对数据的安全管理附有义务等，所以对策得到了推广。其中关于“加密”，通过使用上述资产管理工具，可以检查“加密”软件是否被正确安装。但是，关于“带出控制”，通过作为资产管理工具的功能的资产(inventory)取得功能，无法确认对策状况。其原因是，在“带出控制”对策中，预定的软件是否被安装并不重要，而需要检查基于“带出控制”的对策是否被有效运用。因此，在“带出控制”对策的产品中，多数情况下具有针对用户的操作而取得日志的功能。

    此外，作为与本发明关联的公知技术文献有下述的专利文献1。该文献公开了一种操作日志收集装置，它通过不仅收集键输入以及指点设备(pointingdevice)输入数据，而且收集显示器输出信号，使得在故障发生等时的分析变得容易。

    专利文献1：特开平10-171844号公报

    【发明内容】

    作为信息泄漏对策的代表对策的“加密”和“带出控制”，如上所述，对策方法或者管理的方法不同，所以历来多用不同的工具来管理。但是当分别管理时，不能统一地进行管理者的运用，所以有时“加密”和“带出控制”对策中某一个半途而废地结束，或者先导入工具但是不进行此后的对策状况的检查。通过管理者明确地定义运用方法，一同使用资产管理工具和操作日志取得工具，能够补救这些问题。

    但是，使用不同工具来检查是否违反自己公司设定的安全策略，除了需要非常多的劳动之外，在用人工方式确认通过操作日志取得工具收集到的日志时，有可能发生漏检或者错误。另外，关于多数是在“带出控制”对策的一环中取得的用户的操作日志，因为不知道怎样检查所取得的日志为好，所以成为平常不进行定期的检查等、而认为在某种情况发生后再看也可以的管理者增多的原因。

    鉴于这样的状况而提出本发明，其目的是提供一种安全对策状况的自检系统，该系统在安全对策内专用于信息泄漏对策，综合地统一管理PC的安全对策状况和用户的带出操作状况，同时提供安全策略样本，由此能够更加简单且有效地判断对策状况。

    为解决上述课题，本发明作为一种在具有服务器计算机和多个客户计算机的系统中应用的安全对策状况的自检系统，其特征在于，所述客户计算机具有收集单元和收集信息发送单元，前者收集作为与本机地硬件以及软件资源相关的信息的安全资产信息、作为与这些资源的设定环境相关的信息的IT环境使用状况、以及作为本机中的用户操作的履历信息的操作日志信息，后者向所述服务器计算机发送收集到的信息，所述服务器计算机具有：存储从所述客户计算机发送的安全资产信息、IT环境使用状况以及操作日志信息的存储单元；存储作为表示与安全对策状况相关的方针的数据的安全策略的安全策略存储单元；读出在所述存储单元中存储的各客户计算机的安全资产信息、IT环境使用状况以及操作日志信息，判定是否适合于在所述安全策略存储单元中存储的安全策略的策略适合检查单元；显示所述策略适合检查单元的检查结果的信息显示单元；和在通过所述策略适合检查单元检测出违反策略的情况下，对管理者通知该情况的通知单元。

    服务器计算机中的信息显示，在检测到的违反数超过预定的阈值的情况下，可以与表示该情况的级别信息一起显示策略检查结果。另外，客户计算机具有输出基于从服务器计算机发送的警告指示的警告的警告实施单元，服务器计算机，在检测到违反策略的情况下，可以对被检测出该违反策略的客户计算机发送警告指示。在这种情况下，在客户计算机中检测到的违反策略的次数超过预定的阈值时，可以对该客户计算机发送警告指示。安全策略可以包含：作为检查安全资产信息以及IT环境使用状况的条件的计算机对策状况的策略、和作为检查操作日志信息的条件的带出控制对策状况的策略。

    本发明的进一步的特征，以下通过用于实施本发明的最佳的方式以及附图可以明了。

    根据本发明的安全对策状况的自检系统，有下面的效果。

    (1)能够综合管理难以统一管理的PC的安全对策状况和用户的带出操作状况。

    (2)在进行安全对策方面，通过针对管理者伤脑筋的检查项目以及检查方法提供样本，能够立即开始安全对策的现状掌握和管理。

    (3)自动检查是否遵照策略，在发现违反策略的情况下在画面上显示违反内容后，可以对管理者自动通报。

    (4)通过对违反策略的计算机实施警告，可以期待用户提高对于安全的意识，提高道德。

    【附图说明】

    图1是表示本发明的一个实施例的系统结构图。

    图2是在安全策略中设定的策略的类别说明图。

    图3是计算机对策状况的安全策略检查条件例。

    图4是计算机对策状况的安全策略设定条件例。

    图5是带出控制对策状况的安全策略检查条件例。

    图6是带出控制对策状况的安全策略设定条件例。

    图7是安全对策状况的自检例。

    图8是安全对策违反检测时对计算机的警告例。

    图9是表示安全对策状况的自检系统的处理的流程图。

    符号说明

    111服务器计算机

    112客户计算机

    113管理者用计算机

    114安全资产信息接收部

    115安全资产信息

    116操作日志信息接收部

    117操作日志信息

    118安全策略

    119安全策略设定部

    120警告消息设定部

    121安全对策状况参照部

    122信息显示部

    123安全资产信息

    124安全资产信息收集部

    125IT环境使用状况

    126IT环境使用状况收集部

    127操作日志信息

    128操作日志信息收集部

    129信息发送部

    130策略适合检查部

    131向管理者的邮件通报部

    132向计算机的警告实施部

    133警告实施部

    【具体实施方式】

    下面说明应用本发明的安全对策状况的自检系统的一个实施方式。

    图1是表示本发明的实施方式的一例的系统结构图。本系统具有服务器计算机111、客户计算机112以及管理者用计算机113。在服务器计算机111和客户计算机112中，在执行部以外还存在数据部。客户计算机112仅图示出一台，不过通常存在多台。

    服务器计算机111具有DB(DataBase)，存储从客户计算机112发送来的信息。资产信息由安全资产信息接收部114接收，被存储在安全资产信息115内。操作日志由操作日志信息接收部116接收，被存储在操作日志信息117内。在DB中，除了汇总从客户计算机112接收到的信息外，还存储作为用于检查这些信息的信息的安全策略118。在通过管理者用计算机113的安全策略设定部119定制为了进行检查所必要的信息、或者通过警告消息设定部120定制在检测到违反策略时发送的消息时，访问和编辑安全策略118。在管理者用计算机113中设置安全对策状况参照部121，可以利用它经由信息显示部122参照服务器计算机111的各种DB信息。

    客户计算机112具有：收集安全资产信息123的安全资产信息收集部124、收集IT环境使用状况125的IT环境使用状况收集部126、以及收集操作日志信息127的操作日志信息收集部128。通过这些收集部收集到的信息，通过信息发送部129被发送到服务器计算机111，存储在服务器计算机111上的DB 115、117中。具体说，安全资产信息123和IT环境使用状况125被存储在安全资产信息115中(以下，提到安全资产信息时也包含IT环境使用状况)，操作日志信息127被存储在操作日志信息117中。

    在服务器计算机111中，策略适合检查部130参照从客户计算机112汇总到DB115、117中的信息，根据事前设定的安全策略118的内容，定期进行自动检查。自动检查的结果，在发现违反策略的情况下，除了通过向管理者的邮件通报部131对管理者进行基于邮件的通报外，还在信息显示部122上反映违反策略的内容。另外，在必要的情况下，也可以通过向计算机的警告实施部132对违反了策略的客户计算机112的警告实施部133进行指示，在该客户计算机112的画面上显示警告消息。此外，服务器计算机111、客户计算机112以及管理者用计算机113通过LAN相连。

    图2表示在服务器计算机201(图1中的111)中定义的安全策略202(图1的118)的结构例。安全策略202大体分为计算机对策状况203和带出控制对策状况204两种。在计算机对策状况203中设定的安全策略，是用于检查从客户计算机112收集到的安全资产信息115的安全策略，由信息泄漏对策(狭义)205、病毒对策206以及OS安全对策207这三类组成。例如在信息泄漏对策205中，设定为防止来自客户计算机的信息泄漏所必要的、用于检查是否正确安装了加密软件或者带出控制软件等的策略。在病毒对策206以及OS安全对策207中同样地，以是否正确安装了必要的软件或者OS的补丁等的观点，设定用于进行检查的策略。

    另一方面，在带出控制对策状况204中设定的安全策略，是用于检查从客户计算机112收集到的操作日志信息的策略，由外部介质日志208、专用USB存储器日志209以及打印日志210这三类组成。在外部介质日志208中，设定用于检查与在客户计算机112中对FD(Floppy Disk)或USB存储器进行的复制操作相关的日志的策略。在专用USB存储器日志209中，设定用于检查与在客户计算机112中对不是通常的USB存储器、而是在自检系统中许可使用的特殊的USB存储器进行的复制操作相关的日志的策略。在打印日志210中，设定用于检查与在客户计算机112中执行的打印输出相关的日志的策略。

    针对这些安全策略，把认为主要使用的检查项目以及检查方法作为样本提供，能够立即开始安全对策的现状掌握和管理。

    图3表示在作为关于计算机对策状况的安全策略而设定的检查条件内，信息泄漏对策检查策略301(图2的205)、病毒对策检查策略302(图2的206)、以及OS安全对策检查策略303(图2的207)的例子。在该例中，可以作为信息泄漏对策检查策略301而设定的内容取了3种。在加密304和带出控制软件305中，作为信息泄漏对策检查条件306，定义必要的软件，检查是否导入了该软件。在不正当应用程序实施307中，定义不正当的应用程序，作为信息泄漏对策检查条件306，检查是否实施了该应用程序。

    在该例中，可以作为病毒对策检查策略302而设定的内容取了3种。在病毒对策软件308中，作为病毒对策检查条件309，定义必要的病毒对策软件，检查是否导入了该软件。在模式(pattern)定义文件310中，在服务器计算机的安全策略中设定了最新的模式定义文件的版本，检查在客户计算机侧实施的病毒对策软件中所使用的模式定义文件是否是被正确更新后的模式定义文件。在病毒扫描实施状况311中，检查在客户计算机中是否定期实施了病毒扫描。

    可以作为OS安全对策检查策略303而设定的内容取了一种。在OS安全补丁312中，作为OS安全对策检查条件313，检查是否正确地应用了客户计算机中必要的OS的安全补丁。

    图4是计算机对策状况的安全策略的设定例。策略类别401由信息泄漏对策402、病毒对策403以及OS安全对策404这三种组成，可以分别把图3表示的内容中的安全策略设定为检查策略405。这里不必使用全部的检查策略。关于实际想使用的检查策略405，在检查406中设定“有”，在不作为安全策略检查的条件使用的情况下设定“无”。在检查406中选择“有”的情况下，需要进一步设定3个参数。

    一个是警告级别407，这里设定违反了安全策略的检查策略的客户计算机的台数的阈值。关于在安全策略中设定的内容，对于各客户计算机每日检查一次是遵守还是违反，在检查时违反的客户计算机在该阈值的台数以上的情况下，把该情况作为违反级别“警告”，显示在服务器计算机111的信息显示部122上。

    第二个是注意级别408。在该注意级别408中，和警告级别407同样地，指定违反了检查策略的客户计算机的台数的阈值，但是设定比警告级别407低的值。在违反了检查策略的客户计算机的台数在注意级别408以上而不到警告级别407的情况下，把该情况作为违反级别“注意”，显示在服务器计算机111的信息显示部122上。

    第三是违反时的警告409。这是对于违反了检查策略的客户计算机设定是否作为纠正处置而进行警告的部分。在希望对违反了检查策略的客户计算机进行警告的情况下，指定410中例示的邮件警告、或者411中例示的桌面警告。在指定了邮件警告410的情况下，在检查每日一次实施的安全策略的时刻判断出违反该检查策略的情况下，对该客户计算机立即进行基于邮件的警告。此时向客户计算机发送的警告消息，通过管理用计算机113的警告消息设定部120，对于服务器计算机111的安全策略118设定好，由此可以任意定制。在指定了桌面警告411的情况下，和指定了邮件警告410的情况同样，对在检查安全策略的时刻判断为违反的客户计算机进行警告。但是实施警告的时刻不是即时的，而是在该客户计算机对服务器计算机111进行访问的时刻进行。在违反时的警告409中设定412中例示那样的“无”的情况下，即使在实施安全策略的检查时发现了违反的客户计算机，也仅向服务器计算机111的信息显示部122反映表示该情况的信息，不进行对该客户计算机的警告。

    图5表示在作为针对带出控制对策状况的安全策略而设定的检查条件内，外部介质日志检查策略501(图2的208)、专用USB存储器日志检查策略502(图2的209)、以及打印日志检查策略503(图2的210)的例子。

    在外部介质日志检查策略501中，规定关于针对在自检系统中可以许可使用的专用USB存储器以外的USB存储器、或者FD、CD/DVD等的带出操作的日志的检查条件。在没有加密504中，作为外部介质日志检查条件505，在对于除CD/DVD以外的外部介质进行的带出操作内，规定关于未加密带出目标数据的带出操作的检查条件。在有加密506中，在对于除CD/DVD以外的外部介质进行的带出操作内，规定关于加密了带出目标数据的带出操作的检查条件。在CD/DVD507中，规定关于对CD-ROM或DVD进行的带出操作的检查条件。

    专用USB存储器日志检查策略502，规定关于专用USB存储器509的专用USB存储器日志检查条件508。在专用USB存储器509中，规定检查在使用在自检系统中许可使用的、特殊的USB存储器时输出的日志的检查条件。

    在打印日志检查策略503中，分为使在自检系统中能够实现的针对打印物的强制水印文字插入打印为有效和无效的情况，规定进行检查的条件。在没有水印510中，检查不插入水印文字地进行通常的打印的情况下的日志，在有水印511中，检查插入水印文字来进行打印的情况下的日志。

    图6是带出控制对策状况的安全策略的设定例。策略类别601由外部介质日志602、专用USB存储器日志603、以及打印日志604这三种组成。分别可以把图5中表示的内容中的安全策略设定为检查策略605。这里不必要使用全部各检查策略。对于实际想使用的检查策略605，在检查606中设定“有”，在不作为安全策略检查的条件来使用的情况下设定“无”。在检查606中选择了“有”的情况下，需要进一步设定4个参数。

    一个是警告级别607，这里设定违反了该检查策略的违反次数的阈值。关于在安全策略中设定的检查内容，一日检查一次是遵守还是违反，在检查日志信息而发现的违反次数的总数(把全部客户计算机中的违反次数全部相加而得的总数)在该阈值的次数以上的情况下，把这种情况作为违反级别“警告”，显示在服务器计算机111的信息显示部122上。该警告级别607的阈值与计算机对策状况的阈值(图4的407)不同，是用于不通过违反的计算机的台数、而通过违反的总数来进行判断的阈值，所述违反是检查作为与带出相关的日志而取得的日志所发现的。

    第二个是注意级别608。在该注意级别608中，和警告级别607同样地，指定违反了检查策略的违反次数的阈值，但是设定比警告级别607低的值。违反检查策略的违反次数的总数在注意级别608以上而不到警告级别607的情况下，把这种情况作为违反级别“注意”，显示在服务器计算机111的信息显示部122上。

    第三个是警告的阈值609。警告的阈值609是仅在与带出控制对策状况相关的安全策略中设定的参数。在带出控制对策状况中违反安全策略时对客户计算机进行的警告，在该客户计算机中的违反次数超过设定的阈值609的情况下，对该客户计算机进行警告。关于在服务器计算机111上的信息显示部122上反映的信息，若根据日志中的违反次数的总数(把全部客户计算机中的违反次数相加而得到的总数)显示则没有问题，但是关于在各客户计算机中实施的违反时的警告610，当未设定各个客户计算机中的违反次数的阈值时，即使进行了一次误操作时也一定进行警告。因此，在进行对客户计算机的警告时，为了在各客户计算机中仅在违反次数超过预定值的情况下进行警告，可以设定警告的阈值609。

    第四个是违反时的警告610。这是对违反了检查策略的客户计算机设定作为纠正处置进行怎样的警告的部分。在想要对违反了安全策略的客户计算机进行警告的情况下，指定611中举例表示的邮件警告、或者612中举例表示的桌面警告。在指定了邮件警告611的情况下，在检查每日一次实施的安全策略的时刻判断出违反的情况下(在该客户计算机中，违反次数超过警告的阈值609的情况下)，立即对该客户计算机通过邮件进行警告。关于此时向客户计算机发送的警告消息，通过管理用计算机113的警告消息设定部120对于服务器计算机111的安全策略118设定好，由此能够任意地定制。在指定了桌面警告612的情况下，和指定了邮件警告611的情况同样，对于在检查安全策略的时刻判断为违反(在该客户计算机中，违反次数超过警告的阈值609的情况下)的客户计算机进行警告。但是，实施警告的时刻不是即时的，而是在该客户计算机对服务器计算机111访问的时刻进行。在违反时的警告610中设定了在613中设定那样的“无”的情况下，即使在实施安全策略的检查时发现违反的客户计算机，也仅在服务器计算机111的信息显示部122上反映表示该情况的信息，不对客户计算机进行警告。

    图7是表示在进行安全对策状况的自检的情况下在服务器计算机111的信息显示部122上如何显示的例子。在服务器计算机701(图1的111)中，遵照事前由管理者用计算机113设定的安全策略702(图1的118)，每日一次进行策略的自检。假定如安全策略例704那样设定了安全策略702。策略适合检查部703(图1的130)参照安全策略例704那样的安全策略，判断需要检查的策略类别和检查策略的内容，从安全资产信息705和操作日志信息706取得必要的信息。假定在安全资产信息705和操作日志信息706中已经存储了从各客户机112收集的信息。

    策略适合检查部703把检查的结果为违反策略的违反次数作为策略检查结果707来输出。这里，假定与信息泄漏对策的加密相关的检查策略违反有两次，与带出控制软件相关的检查策略违反有0次，与外部介质日志的没有加密相关的检查策略违反有6次，与有加密相关的检查策略违反有12次。在关于各检查策略违反次数在1次以上的情况下，通过向管理者的邮件通报部708(图1的131)对管理者的邮件地址通报该情况。关于该通报的发送目的地的邮件地址、以及检测出违反时发送的邮件的消息内容等，需要通过管理者用计算机113的警告消息设定部120对安全策略702事前定义好。

    在策略检查结果707中违反次数即使有一次的情况下，也在信息显示部709上显示该违反内容的概要。710～713是信息显示部709中的违反内容的概要的显示例。作为安全对策状况的概要，在安全对策状况报告710的栏内显示与违反内容相匹配的消息。这里，在设定了安全策略例704，作为安全策略的检查结果而输出了策略检查结果707的情况下，显示违反内容的概要711。即，信息泄漏对策的检查策略中加密的注意级别是“1”、警告级别是“5”时，实际的违反次数是两次，所以作为注意级别的消息而显示“注意：有未执行加密对策的PC。”。另外，在外部介质日志的检查策略中没有加密的警告级别是“5”时，实际的违反次数是6次，所以作为警告级别的消息而显示“警告：曾经不加密地带出。”。虽然未图示，但有加密的违反次数也超过了注意级别，所以也应该显示消息。此外，关于在违反内容的概要711中显示的消息，对于警告级别、以及注意级别的各级别，可以个别地设定。另外，关于所检查的内容的细节，在计算机对策状况712的栏、和带出控制对策状况713的栏的各栏内，作为安全策略的违反结果而显示所实施的每一检查策略的违反次数。

    此外，这里以在服务器计算机上显示违反内容的例子进行了说明，但是也可以代替在服务器计算机上显示，或者除了在服务器计算机上显示之外，在管理者用计算机上进行同样的显示。

    图8是表示在进行了安全对策的自检的情况下，从服务器计算机111对客户计算机112如何进行警告的例子。在服务器计算机801(图1的111)中，遵照事前从管理者用计算机113设定的安全策略802(图1的118)，每日一次进行策略的自检。假定如安全策略例804那样设定了安全策略802。策略适合检查部803(图1的130)参照安全策略例804那样的安全策略，判断需要检查的策略类别和检查策略的内容，从安全资产信息805和操作日志信息806取得必要的信息。假定在安全资产信息805和操作日志信息806中已经存储了从各客户机112收集的信息。

    策略适合检查部803把检查的结果为违反了策略的违反次数和违反PC数作为策略检查结果807来输出。但是，在安全策略的“违反时的警告”中设定了“无”的情况下，不进行违反PC数的统计。另外，关于安全策略中属于计算机对策状况(图2的203)的策略类别(“信息泄漏对策”和“病毒对策”和“OS安全对策”。在图8中仅举例表示“信息泄漏对策”)的策略，违反的PC的台数和违反次数相同。这是因为该类别的策略检查是以PC为单位来计数违反次数的缘故。另一方面，违反了安全策略中属于带出控制对策状况(图2的204)的策略类别(“外部介质日志”和“专用USB存储器日志”和“打印日志”。在图8中仅举例表示“外部介质日志”)的策略的PC的台数不一定与违反次数一致。这是因为违反次数是全部合计与各PC中的文件的带出相关的违反策略的总数，与此相对，违反PC数表示有那样的违反策略的情况的PC的台数。

    具体来说，策略适合检查部803从操作日志信息806取得日志信息，针对每一台客户计算机检查是否违反了在安全策略例804中表示的“警告的阈值”以上的次数。例如，在策略检查结果807中，在外部介质日志的检查策略中关于有加密的违反次数有12次，而违反PC数是1。这表示，违反安全策略的日志数总计是12件，而针对每一客户计算机检查违反次数时，超过在安全策略例804中表示的警告的阈值、即5次的PC仅有一台。

    向计算机的警告实施部808(图1的132)，在策略检查结果807中违反PC数存在一台以上的情况下，遵照在违反时的警告中设定的内容对该客户计算机进行警告。在违反时的警告中设定的内容是邮件警告的情况下，在判断为违反安全策略时，立即通过邮件进行警告。在违反时的警告中设定的内容是桌面警告的情况下，向计算机的警告实施部808指示该客户计算机809(图1的112)的警告实施部810(图1的113)执行向桌面的警告。但是，向桌面的警告与通过邮件的警告不同，不是在检测到违反时立即执行，而是在从客户计算机809对服务器计算机801发生某通信的情况下实施。

    图9是表示本实施方式的安全对策的自检系统中的处理过程的流程图。首先从管理者用计算机113进行服务器111上的安全策略的登记(步骤901)。这里登记的内容，是在使用自检系统的公司中作为安全对策的检查而希望实施的内容。客户计算机112定期进行安全信息·操作日志的收集(步骤902)，向服务器111发送(步骤903)。在使用者无意识的情况下自动进行客户计算机112中的信息收集、以及向服务器111的发送。服务器计算机111遵照设定的安全策略118的内容，进行策略适合检查(步骤904)。策略适合检查的结果，在判断为没有一次违反策略的情况下(步骤905中为“否”)，在服务器计算机111的信息显示部上显示没有违反的消息(步骤906)。在违反策略发生了一次以上的情况下(步骤905中为“是”)，向管理者进行通报(步骤907)，对服务器计算机111的信息显示部显示有违反的消息(步骤908)。在违反了安全策略的情况下，检查是否对有违反的客户计算机112实施警告(步骤909)，在作为安全策略而设定了实施警告这样的内容的情况下，实施警告(步骤910)。