WO2006080380A1 - 情報漏洩分析システム - Google Patents

Abstract

ユーザがどのようなファイルにアクセス可能かを表現し、そのアクセス経路を表現するアクセス経路モデルを、アクセス経路モデル入力手段１１０が入力する。また、設定情報入力手段１３０は、検証対象システム１０１０の設定情報を入力する。アクセス経路判定手段１０６０は、情報漏洩の判断基準となる分析対象アクセス経路と、入力されたアクセス経路モデルとを照合する。設定情報特定手段２０２０は、照合の結果、分析対象アクセス経路に合致したモデルに対応する設定情報を特定する。情報漏洩対策案提案手段３０４０は、その設定情報に対応する情報漏洩対策案を情報漏洩対策案格納手段３０１０から取り出し、表示する。

Description

情報漏洩分析システム

技術分野

[0001] 本発明は、ファイル等の情報の漏洩の可能性を分析する情報漏洩分析システム、 情報漏洩分析方法、および情報漏洩分析プログラムに関する。

背景技術

[0002] 情報漏洩の可能性のあるファイルを発見し、情報漏洩を未然に防止するためのシ ステムが種々提案されている（例えば、特許文献 1,非特許文献 1参照。 ) o図 53は、 特許文献 1に記載のシステムを示す説明図である。図 53に示すように、特許文献 1に 記載されたシステムは、ファイル位置検出手段と、ファイル属性設定手段と、ファイル 位置比較手段と、プログラム実行手段とを含んでいて、以下のように動作する。フアイ ル属性設定手段は、ファイルの存在位置として許される位置を設定する。次に、ファ ィル位置検出手段がファイルの存在位置を検出する。ファイル位置比較手段は、ファ ィル属性設定手段によって設定されたファイルの存在位置と、ファイル位置検出手段 によって検出されたファイルの存在位置とを比較する。ファイル属性設定手段によつ て設定された存在位置の範囲外にファイルが存在するならば、情報漏洩ファイルで あると判断し、プログラム実行手段が、そのファイルを削除したり、暗号化したりする。 以上の動作により、情報漏洩の可能性のあるファイルを発見し、情報漏洩を防止でき る。

[0003] また、非特許文献 2には、以下のような動作が示されている。まず、情報漏洩させて はいけないファイルに含まれる文字列をキーワードとして登録する。次に、流通してい るファイルを解析し、ファイル中に含まれる文字列を抜き出す。そして、ファイルから 抜き出された文字列が、登録された文字列群に含まれているかどうかを判定する。フ アイルカ 抜き出された文字列が登録されているときには、そのファイルを情報漏洩 の可能性のあるファイルであると判定し、そのファイルの流通の中断を指令する。以 上の動作により、ファイルによる情報漏洩の可能性を判断し、情報漏洩を防止できる [0004] 特許文献 1 :特開 2003— 36208号公報（第 5— 10ページ、図 1)

[0005] 非特許文献 1： "eTrust Secure Content Manager rl. 1"、 [online]、平成 16 年 9月、コンピュータ'ァソシエイッ株式会社、 [平成 16年 11月 25日検索]、インター ネ、ノ卜<じ尺し： http://www.caj.co.jp/etrust/scm/pdf/pd.pdf >

発明の開示

発明が解決しょうとする課題

[0006] 従来のシステムでは、ファイルを格納するシステムの設定状況 (例えば、ファイルへ のアクセス権の設定や、そのシステムに搭載されたアプリケーションの設定の状況等 )に応じて、情報漏洩の可能性を判定することはできな力つた。その理由は、従来技 術では、ファイルの内容やファイルの存在位置を基準として、情報漏洩の可能性を判 定していたためである。

[0007] また、漏洩したファイルがどこに格納されて 、たファイルであるの力、あるいは、その ファイルの漏洩の起因となった設定等を特定することができな力つた。従来技術では 、ファイルの内容の解析を通信経路途中で行い、漏洩してはならないファイルである と判定された場合にその通信を遮断して、情報漏洩を防止している。そのため、通信 を遮断してファイルの漏洩を防 、だとしても、そのファイルがどこに格納されて 、たか 等については判定できな力つた。

[0008] また、ファイルが流通して 、る場合、そのファイルの流通先を判定できることが好ま しい。

[0009] 本発明は、ファイルを格納するシステムの設定状況に応じて、情報漏洩の可能性を 判定できるようにすることを目的とする。また、ファイルが漏洩することを未然に防げる ようにすることを目的とする。また、本発明は、漏洩する可能性のあるファイルがどこに 格納されているファイルであるの力、あるいは、そのファイルの漏洩の起因となる設定 等を特定できるようにすることを目的とする。

課題を解決するための手段

[0010] 本発明による情報漏洩分析システムは、ファイルを格納するシステムに格納される ファイルと、当該ファイルにアクセス可能なユーザまたは当該ファイルの内容をコピー 可能な他のファイルと、ユーザまたは他のファイルからシステムに格納されるファイル へのアクセス経路を表現したアクセス経路情報を記憶するアクセス経路情報格納手 段と、システムにおけるネットワーク構成、システムに格納されたファイルのファイル名 および格納場所、システムに搭載されたオペレーティングシステムまたはアプリケー シヨンを利用するユーザに関する情報を含む設定情報を記憶する設定情報格納手 段と、情報漏洩の可能性がある経路を表す情報漏洩経路情報とアクセス経路情報と を照合して、情報漏洩経路情報によって表される経路がアクセス経路情報内に表さ れている力否かを判定する経路判定手段と、情報漏洩経路情報によって表される経 路がアクセス経路情報内に表されていると判定された場合に、当該経路に対応付け られた設定情報を特定し、当該設定情報を設定情報格納手段から読み込む設定情 報特定手段と、設定情報を出力する結果出力手段とを備えたことを特徴とする。

[0011] そのような構成によれば、経路判定手段が、情報漏洩の可能性がある経路を表す 情報漏洩経路情報とアクセス経路情報とを照合して、情報漏洩経路情報によって表 される経路がアクセス経路情報内に表されている力否かを判定し、設定情報特定手 段が、情報漏洩経路情報によって表される経路がアクセス経路情報内に表されてい ると判定された場合に、当該経路に対応付けられた設定情報を特定し、結果出力手 段が、その設定情報を出力する。従って、設定情報が出力されたことにより、情報漏 洩の可能性を判定できる。また、情報漏洩の可能性がある経路に対応する設定情報 が出力されるので、情報漏洩の起因となる設定を特定することができる。

[0012] 本発明による情報漏洩分析システムは、ファイルを格納するシステムにおけるネット ワーク構成、システムに格納されたファイルのファイル名および格納場所、システムに 搭載されたオペレーティングシステムまたはアプリケーションを利用するユーザに関 する情報を含む設定情報をシステムから収集する設定情報収集手段と、システムに 格納されるファイルと、当該ファイルにアクセス可能なユーザまたは当該ファイルの内 容をコピー可能な他のファイルと、ユーザまたは他のファイル力 システムに格納され るファイルへのアクセス経路を表現したアクセス経路情報を、設定情報に基づ!/、て生 成するアクセス経路情報生成手段と、情報漏洩の可能性がある経路を表す情報漏 洩経路情報とアクセス経路情報とを照合して、情報漏洩経路情報によって表される 経路がアクセス経路情報内に表されている力否かを判定する経路判定手段と、情報 漏洩経路情報によって表される経路がアクセス経路情報内に表されていると判定さ れた場合に、当該経路の情報を出力する結果出力手段とを備えたことを特徴とする。

[0013] そのような構成によれば、経路判定手段が、情報漏洩の可能性がある経路を表す 情報漏洩経路情報とアクセス経路情報とを照合して、情報漏洩経路情報によって表 される経路がアクセス経路情報内に表されている力否かを判定し、結果出力手段が 、情報漏洩経路情報によって表される経路がアクセス経路情報内に表されていると 判定された場合に、当該経路の情報を出力する。従って、その経路が出力されたこと により、情報漏洩の可能性を判定できる。また、出力された経路により、漏洩する可能 性のあるファイルがどこに格納されているファイルであるのかを判定することができる。 また、アクセス経路情報生成手段が、設定情報に基づいてアクセス経路情報を生成 するので、ファイルを格納するシステムの設定状況に応じた情報漏洩の可能性を判 定することができる。

[0014] アクセス経路情報生成手段がアクセス経路情報を生成する際に用いた設定情報を 、アクセス経路情報との対応関係を示す情報とともに記憶する設定情報格納手段と、 情報漏洩経路情報によって表される経路がアクセス経路情報内に表されていると判 定された場合に、当該経路に対応付けられた設定情報を特定し、当該設定情報を設 定情報格納手段から読み込む設定情報特定手段とを備え、結果出力手段が、設定 情報特定手段が特定した設定情報を出力する構成であってもよ 、。そのような構成 によれば、情報漏洩の可能性がある経路に対応する設定情報が出力されるので、情 報漏洩の起因となる設定を特定することができる。

[0015] 情報漏洩の可能性がある経路を遮断する設定案を、設定情報の記載内容に対応 付けて記憶する情報漏洩対策案格納手段と、設定情報特定手段が特定した設定情 報の内容に対応付けられた設定案を情報漏洩対策案格納手段から読み込んで出力 する情報漏洩対策案提案手段とを備えた構成であってもよい。そのような構成によれ ば、情報漏洩の可能性がある経路を遮断する設定案をオペレータに提示することが できるので、その結果、ファイル漏洩を未然に防ぐことができる。

[0016] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ設定案に 応じて、ファイルを格納するシステムの設定を変更する対策実行手段を備えた構成 であってもよい。そのような構成によれば、対策実行手段が、情報漏洩の可能性があ る経路を遮断する設定案に応じてシステムの設定を変更するので、ファイル漏洩を未 然に防ぐことができる。

[0017] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ設定案を 表示して、当該設定案に対する編集操作を促すユーザインタフェースを表示し、当 該ユーザインタフェースで設定案に対する編集操作が行われた場合、編集操作に応 じて設定案を更新する設定変更入力手段を備えた構成であってもよい。そのような構 成によれば、オペレータが設定案を編集することができる。

[0018] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ各設定案 に対して、各設定案に応じてシステムの設定を変更した場合におけるシステムへの 影響が少ないと判定される順に順位を決定する情報漏洩対策案優先順位決定手段 を備え、情報漏洩対策案提案手段が、情報漏洩対策案優先順位決定手段に決定さ れた順位に従って各設定案を表示する構成であってもよ！/ヽ。そのような構成によれば 、システムへの影響が少な 、設定案カゝら順にオペレータに提示することができる。

[0019] 情報漏洩経路情報を入力する情報漏洩経路情報入力手段を備えた構成であって もよい。そのような構成によれば、オペレータが情報漏洩経路情報を指定することが できる。

[0020] 情報漏洩の可能性がある経路における流通元と流通先をファイルまたはユーザの 属性によって表した属性利用情報漏洩経路情報を入力する属性利用情報漏洩経路 情報入力手段と、ファイルまたはユーザの属性と、当該属性を有するファイルまたは ユーザの情報との対応関係を記憶する属性情報格納手段と、対応関係を参照して、 属性利用情報漏洩経路情報に含まれる属性をファイルまたはユーザの情報に置き 換えることにより、属性利用情報漏洩経路情報を情報漏洩経路情報に変換する変換 手段とを備えた構成であってもよい。ファイルやユーザの属性情報は、オペレータに とって把握しやすい情報である。従って、そのような構成によれば、情報漏洩の可能 性がある経路をオペレータがより簡単に指定することができる。

[0021] ファイルを格納するシステムから設定情報を収集し、前記設定情報に記述された内 容の属性を解析し、前記設定情報に記述された内容と、解析によって特定した属性 との対応関係を属性情報格納手段に記憶させる属性情報解析手段を備えた構成で あってもよい。

[0022] 本発明による情報漏洩分析システムは、ファイルを格納するシステムに格納される ファイルと、当該ファイルにアクセス可能なユーザまたは当該ファイルの内容をコピー 可能な他のファイルと、ユーザまたは他のファイルからシステムに格納されるファイル へのアクセス経路を表現したアクセス経路情報を記憶するアクセス経路情報格納手 段と、アクセス経路情報に含まれる任意のファイルを流通元として指定し、アクセス経 路情報に含まれる任意のユーザまたはファイルを流通先として指定する経路情報を 作成する経路情報作成手段と、経路情報作成手段によって作成された経路情報が 指定する流通元から流通先への経路がアクセス経路情報に表されているか否かを判 定する経路判定手段と、アクセス経路情報に表されて!/、ると判定された経路情報が 指定する流通元のファイルと、流通先のファイルまたはユーザと、流通元と流通先と の間の経路を表示する表示手段とを備えたことを特徴とする。

[0023] そのような構成によれば、経路情報作成手段が、アクセス経路情報に含まれる任意 のファイルを流通元として指定し、アクセス経路情報に含まれる任意のユーザまたは ファイルを流通先として指定する経路情報を作成し、経路判定手段が、経路情報作 成手段によって作成された経路情報が指定する流通元から流通先への経路がァク セス経路情報に表されている力否かを判定し、表示手段が、アクセス経路情報に表 されて 、ると判定された経路情報が指定する流通元のファイルと、流通先のファイル またはユーザと、流通元と流通先との間の経路を表示する。従って、アクセス経路情 報に含まれる流通元、流通先、およびその間の経路をそれぞれオペレータに提示す ることができ、オペレータは、アクセス経路情報に含まれる各流通元、流通先、および その間の経路を参照して、情報漏洩の可能性がある力否かを判定することができる。

[0024] ファイルを格納するシステムにおけるネットワーク構成、システムに格納されたフアイ ルのファイル名および格納場所、システムに搭載されたオペレーティングシステムま たはアプリケーションを利用するユーザに関する情報を含む設定情報を記憶する設 定情報格納手段と、経路情報作成手段によって作成された経路情報が指定する流 通元力 流通先への経路がアクセス経路情報に表されていると判定された場合に、 当該経路に対応付けられた設定情報を特定し、当該設定情報を設定情報格納手段 から読み込む設定情報特定手段と、設定情報を出力する結果出力手段とを備えた 構成であってもよい。

[0025] そのような構成によれば、設定情報特定手段が、経路情報作成手段によって作成 された経路情報が指定する流通元から流通先への経路がアクセス経路情報に表さ れていると判定された場合に、当該経路に対応付けられた設定情報を特定し、結果 出力手段は、その設定情報を出力する。従って、オペレータが、アクセス経路情報に 含まれる各流通元、流通先、およびその間の経路を参照して、情報漏洩の可能性が ある力否かを判定する際に、設定情報も出力されるので、オペレータは、情報漏洩の 起因となる設定を特定することができる。

[0026] 情報漏洩の可能性がある経路を遮断する設定案を、設定情報の記載内容に対応 付けて記憶する情報漏洩対策案格納手段と、設定情報特定手段が特定した設定情 報の内容に対応付けられた設定案を情報漏洩対策案格納手段から読み込んで出力 する情報漏洩対策案提案手段とを備えた構成であってもよい。そのような構成によれ ば、情報漏洩の可能性がある経路を遮断する設定案をオペレータに提示することが できるので、その結果、ファイル漏洩を未然に防ぐことができる。

[0027] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ設定案に 応じて、ファイルを格納するシステムの設定を変更する対策実行手段を備えた構成 であってもよい。そのような構成によれば、対策実行手段が、情報漏洩の可能性があ る経路を遮断する設定案に応じてシステムの設定を変更するので、ファイル漏洩を未 然に防ぐことができる。

[0028] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ設定案を 表示して、当該設定案に対する編集操作を促すユーザインタフェースを表示し、当 該ユーザインタフェースで設定案に対する編集操作が行われた場合、編集操作に応 じて設定案を更新する設定変更入力手段を備えた構成であってもよい。そのような構 成によれば、オペレータが設定案を編集することができる。

[0029] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ各設定案 に対して、各設定案に応じてシステムの設定を変更した場合におけるシステムへの 影響が少ないと判定される順に順位を決定する情報漏洩対策案優先順位決定手段 を備え、情報漏洩対策案提案手段が、情報漏洩対策案優先順位決定手段に決定さ れた順位に従って各設定案を表示する構成であってもよ！/ヽ。そのような構成によれば 、システムへの影響が少な 、設定案カゝら順にオペレータに提示することができる。

[0030] また、本発明による情報漏洩分析方法は、アクセス経路情報格納手段が、ファイル を格納するシステムに格納されるファイルと、当該ファイルにアクセス可能なユーザま たは当該ファイルの内容をコピー可能な他のファイルと、ユーザまたは他のファイル 力 システムに格納されるファイルへのアクセス経路を表現したアクセス経路情報を 記憶し、設定情報格納手段が、システムにおけるネットワーク構成、システムに格納さ れたファイルのファイル名および格納場所、システムに搭載されたオペレーティング システムまたはアプリケーションを利用するユーザに関する情報を含む設定情報を記 憶し、経路判定手段が、情報漏洩の可能性がある経路を表す情報漏洩経路情報と アクセス経路情報とを照合して、情報漏洩経路情報によって表される経路がアクセス 経路情報内に表されているか否かを判定し、設定情報特定手段が、情報漏洩経路 情報によって表される経路がアクセス経路情報内に表されていると判定された場合 に、当該経路に対応付けられた設定情報を特定し、当該設定情報を設定情報格納 手段から読み込み、結果出力手段が、設定情報を出力することを特徴とする。

[0031] そのような方法によれば、経路判定手段が、情報漏洩の可能性がある経路を表す 情報漏洩経路情報とアクセス経路情報とを照合して、情報漏洩経路情報によって表 される経路がアクセス経路情報内に表されている力否かを判定し、設定情報特定手 段が、情報漏洩経路情報によって表される経路がアクセス経路情報内に表されてい ると判定された場合に、当該経路に対応付けられた設定情報を特定し、結果出力手 段が、その設定情報を出力する。従って、設定情報が出力されたことにより、情報漏 洩の可能性を判定できる。また、情報漏洩の可能性がある経路に対応する設定情報 が出力されるので、情報漏洩の起因となる設定を特定することができる。

[0032] また、本発明による情報漏洩分析方法は、設定情報収集手段が、ファイルを格納 するシステムにおけるネットワーク構成、システムに格納されたファイルのファイル名 および格納場所、システムに搭載されたオペレーティングシステムまたはアプリケー シヨンを利用するユーザに関する情報を含む設定情報をシステム力も収集し、ァクセ ス経路情報生成手段が、システムに格納されるファイルと、当該ファイルにアクセス可 能なユーザまたは当該ファイルの内容をコピー可能な他のファイルと、ユーザまたは 他のファイルからシステムに格納されるファイルへのアクセス経路を表現したアクセス 経路情報を、設定情報に基づいて生成し、経路判定手段が、情報漏洩の可能性が ある経路を表す情報漏洩経路情報とアクセス経路情報とを照合して、情報漏洩経路 情報によって表される経路がアクセス経路情報内に表されている力否かを判定し、結 果出力手段が、情報漏洩経路情報によって表される経路がアクセス経路情報内に表 されていると判定された場合に、当該経路の情報を出力することを特徴とする。

[0033] そのような方法によれば、経路判定手段が、情報漏洩の可能性がある経路を表す 情報漏洩経路情報とアクセス経路情報とを照合して、情報漏洩経路情報によって表 される経路がアクセス経路情報内に表されている力否かを判定し、結果出力手段が 、情報漏洩経路情報によって表される経路がアクセス経路情報内に表されていると 判定された場合に、当該経路の情報を出力する。従って、その経路が出力されたこと により、情報漏洩の可能性を判定できる。また、出力された経路により、漏洩する可能 性のあるファイルがどこに格納されているファイルであるのかを判定することができる。 また、アクセス経路情報生成手段が、設定情報に基づいてアクセス経路情報を生成 するので、ファイルを格納するシステムの設定状況に応じた情報漏洩の可能性を判 定することができる。

[0034] また、本発明による情報漏洩分析方法は、アクセス経路情報格納手段が、ファイル を格納するシステムに格納されるファイルと、当該ファイルにアクセス可能なユーザま たは当該ファイルの内容をコピー可能な他のファイルと、ユーザまたは他のファイル 力 システムに格納されるファイルへのアクセス経路を表現したアクセス経路情報を 記憶し、経路情報作成手段が、アクセス経路情報に含まれる任意のファイルを流通 元として指定し、アクセス経路情報に含まれる任意のユーザまたはファイルを流通先 として指定する経路情報を作成し、経路判定手段が、経路情報作成手段によって作 成された経路情報が指定する流通元から流通先への経路がアクセス経路情報に表 されている力否かを判定し、表示手段が、アクセス経路情報に表されていると判定さ れた経路情報が指定する流通元のファイルと、流通先のファイルまたはユーザと、流 通元と流通先との間の経路を表示することを特徴とする。

[0035] そのような方法によれば、経路情報作成手段が、アクセス経路情報に含まれる任意 のファイルを流通元として指定し、アクセス経路情報に含まれる任意のユーザまたは ファイルを流通先として指定する経路情報を作成し、経路判定手段が、経路情報作 成手段によって作成された経路情報が指定する流通元から流通先への経路がァク セス経路情報に表されている力否かを判定し、表示手段が、アクセス経路情報に表 されて 、ると判定された経路情報が指定する流通元のファイルと、流通先のファイル またはユーザと、流通元と流通先との間の経路を表示する。従って、アクセス経路情 報に含まれる流通元、流通先、およびその間の経路をそれぞれオペレータに提示す ることができ、オペレータは、アクセス経路情報に含まれる各流通元、流通先、および その間の経路を参照して、情報漏洩の可能性がある力否かを判定することができる。

[0036] また、本発明による情報漏洩分析プログラムは、ファイルを格納するシステムに格納 されるファイルと、当該ファイルにアクセス可能なユーザまたは当該ファイルの内容を コピー可能な他のファイルと、ユーザまたは他のファイル力 システムに格納されるフ アイルへのアクセス経路を表現したアクセス経路情報を記憶するアクセス経路情報格 納手段と、システムにおけるネットワーク構成、システムに格納されたファイルのフアイ ル名および格納場所、システムに搭載されたオペレーティングシステムまたはアプリ ケーシヨンを利用するユーザに関する情報を含む設定情報を記憶する設定情報格 納手段とを備えたコンピュータに搭載される情報漏洩分析プログラムであって、コンビ ユータに、情報漏洩の可能性がある経路を表す情報漏洩経路情報とアクセス経路情 報とを照合して、情報漏洩経路情報によって表される経路がアクセス経路情報内に 表されて!/、る力否かを判定する経路判定処理、情報漏洩経路情報によって表される 経路がアクセス経路情報内に表されていると判定された場合に、当該経路に対応付 けられた設定情報を特定し、当該設定情報を設定情報格納手段から読み込む設定 情報特定処理、および設定情報を出力する結果出力処理を実行させることを特徴と する。そのようなプログラムによれば、設定情報が出力されたことにより、情報漏洩の 可能性を判定できる。また、情報漏洩の可能性がある経路に対応する設定情報が出 力されるので、情報漏洩の起因となる設定を特定することができる。

[0037] また、本発明による情報漏洩分析プログラムは、コンピュータに、ファイルを格納す るシステムにおけるネットワーク構成、システムに格納されたファイルのファイル名およ び格納場所、システムに搭載されたオペレーティングシステムまたはアプリケーション を利用するユーザに関する情報を含む設定情報をシステム力 収集する設定情報 収集処理、システムに格納されるファイルと、当該ファイルにアクセス可能なユーザま たは当該ファイルの内容をコピー可能な他のファイルと、ユーザまたは他のファイル 力もシステムに格納されるファイルへのアクセス経路を表現したアクセス経路情報を、 設定情報に基づ!、て生成するアクセス経路情報生成処理、情報漏洩の可能性があ る経路を表す情報漏洩経路情報とアクセス経路情報とを照合して、情報漏洩経路情 報によって表される経路がアクセス経路情報内に表されている力否かを判定する経 路判定処理、および情報漏洩経路情報によって表される経路がアクセス経路情報内 に表されていると判定された場合に、当該経路の情報を出力する結果出力処理を実 行させることを特徴とする。

[0038] そのようなプログラムによれば、コンピュータに、情報漏洩の可能性がある経路を表 す情報漏洩経路情報とアクセス経路情報とを照合して、情報漏洩経路情報によって 表される経路がアクセス経路情報内に表されている力否かを判定する経路判定処理 、および情報漏洩経路情報によって表される経路がアクセス経路情報内に表されて いると判定された場合に、当該経路の情報を出力する結果出力処理を実行させる。 従って、その経路が出力されたことにより、情報漏洩の可能性を判定できる。また、出 力された経路により、漏洩する可能性のあるファイルがどこに格納されているファイル であるのかを判定することができる。また、コンピュータに、設定情報に基づいてァク セス経路情報を生成するアクセス経路情報生成処理を実行させるので、ファイルを格 納するシステムの設定状況に応じた情報漏洩の可能性を判定することができる。

[0039] また、本発明による情報漏洩分析プログラムは、ファイルを格納するシステムに格納 されるファイルと、当該ファイルにアクセス可能なユーザまたは当該ファイルの内容を コピー可能な他のファイルと、ユーザまたは他のファイル力 システムに格納されるフ アイルへのアクセス経路を表現したアクセス経路情報を記憶するアクセス経路情報格 納手段を備えたコンピュータに搭載される情報漏洩分析プログラムであって、コンビ ユータに、アクセス経路情報に含まれる任意のファイルを流通元として指定し、ァクセ ス経路情報に含まれる任意のユーザまたはファイルを流通先として指定する経路情 報を作成する経路情報作成処理、経路情報作成処理で作成された経路情報が指定 する流通元力 流通先への経路がアクセス経路情報に表されている力否かを判定す る経路判定処理、およびアクセス経路情報に表されて 、ると判定された経路情報が 指定する流通元のファイルと、流通先のファイルまたはユーザと、流通元と流通先と の間の経路を表示する表示処理を実行させることを特徴とする。従って、アクセス経 路情報に含まれる流通元、流通先、およびその間の経路をそれぞれオペレータに提 示することができ、オペレータは、アクセス経路情報に含まれる各流通元、流通先、 およびその間の経路を参照して、情報漏洩の可能性があるか否かを判定することが できる。

図面の簡単な説明

[図 1]本発明の第 1の実施の形態を示すブロック図である。

[図 2]第 1の実施の形態における情報漏洩分析システムの動作を示すフローチャート である。

[図 3]本発明の第 2の実施の形態を示すブロック図である。

[図 4]第 2の実施の形態における情報漏洩分析システムの動作を示すフローチャート である。

[図 5]本発明の第 3の実施の形態を示すブロック図である。

[図 6]第 3の実施の形態における情報漏洩分析システムの動作を示すフローチャート である。

[図 7]アクセス経路モデル生成処理の処理経過を示すフローチャートである。

[図 8]アクセス経路モデル生成処理の処理経過を示すフローチャートである。

[図 9]アクセス経路モデル生成処理の処理経過を示すフローチャートである。

[図 10]本発明の第 4の実施の形態を示すブロック図である。

[図 11]第 4の実施の形態における情報漏洩分析システムの動作を示すフローチヤ一 トである。 圆 12]本発明の第 5の実施の形態を示すブロック図である。

圆 13]第 5の実施の形態における情報漏洩分析システムの動作を示すフローチヤ一 トである。

圆 14]本発明の第 6の実施の形態を示すブロック図である。

圆 15]第 6の実施の形態における情報漏洩分析システムの動作を示すフローチヤ一 トである。

圆 16]本発明の第 7の実施の形態を示すブロック図である。

圆 17]第 7の実施の形態における情報漏洩分析システムの動作を示すフローチヤ一 トである。

圆 18]本発明の第 8の実施の形態を示すブロック図である。

圆 19]第 8の実施の形態における情報漏洩分析システムの動作を示すフローチヤ一 トである。

圆 20]本発明の第 9の実施の形態を示すブロック図である。

圆 21]第 9の実施の形態における情報漏洩分析システムの動作を示すフローチヤ一 トである。

圆 22]本発明の第 10の実施の形態を示すブロック図である。

圆 23]第 9の実施の形態における情報漏洩分析システムの動作を示すフローチヤ一 トである。

圆 24]属性利用分析対象アクセス経路を入力して、分析対象アクセス経路に変換す る処理を示すフローチャートである。

圆 25]ネットワーク構成情報に基づいて作成したアクセス経路モデルを示す説明図 である。

圆 26]ネットワーク構成情報の例を示す説明図である。

圆 27]ユーザ情報の例を示す説明図である。

圆 28]ユーザ情報を反映したアクセス経路モデルを示す説明図である。

圆 29]ファイル情報とアクセス権情報の例を示す説明図である。

圆 30]ファイル情報とアクセス権情報を反映したアクセス経路モデルを示す説明図で ある。 圆 31]ウェブクライアントの設定情報を反映したアクセス経路モデルを示す説明図で ある。

圆 32]別名定義を反映したアクセス経路モデルを示す説明図である。

圆 33]ユーザ情報の例を示す説明図である。

[図 34]ユーザ情報を反映したアクセス経路モデルを示す説明図である。

圆 35]ファイル情報とアクセス権情報の例を示す説明図である。

圆 36]ファイル情報とアクセス権情報を反映したアクセス経路モデルを示す説明図で ある。

圆 37]アパッチの設定情報の例を示す説明図である。

圆 38]アパッチの設定情報を反映したアクセス経路モデルを示す説明図である。

[図 39]ファイアウォールのアクセス権情報の例を示す説明図である。

[図 40]フィルタリング設定を反映したアクセス経路モデルを示す説明図である。

[図 41]アクセス経路モデル格納手段に格納されたアクセス経路モデルの例を示す説 明図である。

[図 42]アクセスモデル全体の記述例を示す説明図である。

圆 43]分析対象アクセス経路の例を示す説明図である。

圆 44]情報漏洩の可能性のある経路として判定された判定結果の例を示す説明図 である。

圆 45]アクセス経路モデルに設定情報を付加した情報の例を示す説明図である。 圆 46]アクセス経路モデルに設定情報を付加した情報の例を示す説明図である。 圆 47]報漏洩対策案を表示するためのユーザインタフェースの例を示す説明図であ る。

[図 48]編集画面の例を示す説明図である。

圆 49]報漏洩対策案を表示するためのユーザインタフェースの例を示す説明図であ る。

[図 50]書き換えられた apache設定ファイルの例を示す説明図である。

圆 51]順位に従って、変更候補を表示した画面の例を示す説明図である。

圆 52]設定情報を記述した設定ファイル名も表示する UIの例を示す説明図である。 [図 53]従来技術の例を示すブロック図である。

符号の説明

[0041] 110 アクセス経路モデル入力手段

130 設定情報入力手段

1010 検証対象システム

1040 アクセス経路モデル格納手段

1050 分析対象アクセス経路入力手段

1060 アクセス経路判定手段

2010 設定情報格納手段

2020 設定情報特定手段

3010 情報漏洩対策案格納手段

3030 設定変更入力手段

3040 情報漏洩対策案提案手段

3050 対策実行手段

発明を実施するための最良の形態

[0042] 以下、本発明を実施するための最良の形態を図面を参照して説明する。

[0043] 〈実施の形態 1〉

図 1は、本発明の第 1の実施の形態を示すブロック図である。本実施の形態におい て、情報漏洩分析システムは、アクセス経路モデル入力手段 110と、アクセス経路モ デル格納手段 1040と、分析対象アクセス経路入力手段 1050と、アクセス経路判定 手段 1060と、設定情報入力手段 130と、設定情報格納手段 2010と、設定情報特定 手段 2020と、情報漏洩対策案格納手段 3010と、情報漏洩対策案提案手段 3040と 、設定変更入力手段 3030と、対策実行手段 3050と、検証対象システム 1010とを含 む。

[0044] ここで、本発明の説明に用いる語について説明する。

アクセス経路モデルとは、ユーザがどのようなファイルにアクセス可能かを表現し、 そのアクセス経路を表現するモデルである。アクセス経路モデルは、ファイルがどのよ うなファイルにアクセス可能かを表現し、そのアクセス経路を表現していてもよい。ファ ィルからファイルへのアクセスとは、一方のファイルが、他方のファイルの内容をコピ 一する態様である。アクセス経路モデルは、設定情報を元に作成される。

[0045] 設定情報とは、検証対象システムのシステム設定と、ネットワーク構成とを含む情報 である。

[0046] システム設定とは、 OS (オペレーティングシステム）や、アプリケーションの振る舞!/ヽ を規定する設定を表す情報である。システム設定は、ユーザ構成、ファイル構成、ァ クセス権情報を含む。また、システム設定は、フィルタリング構成、別名定義情報、フ ィルタリング情報、ユーザ集合情報、権限獲得情報のうち一つ以上を含んでいてもよ い。ユーザ構成とは、各アプリケーションや、〇S、ユーザ管理サーバで規定されるュ 一ザ IDを含むユーザ管理情報であり、ユーザ IDとそのユーザ IDの存在位置の情報 を含む。すなわち、ユーザ構成は、検証対象システムに搭載された OSやオペレーテ イングシステムを利用するユーザに関する情報である。ユーザ構成を、ユーザ情報と 記す場合もある。ファイル構成とは、ファイル名と、その格納位置を表わす情報であり 、ファイル名のほかディレクトリなどの情報を含んでいてもよい。ファイルアクセス権情 報とは、ファイルに対するユーザのアクセス権を表わす情報であり、読み込み権、書 き込み権を表す。フィルタリング構成とは、 IPアドレスや、ポート番号によるネットヮー クフィルタリング設定を示す情報である。

[0047] 別名定義情報とは、ファイルの別名定義を示す情報である。アプリケーションソフト ウェアや OSが、同一のファイルをそれぞれ別名で表している場合、そのファイルは、 別名定義されているという。例えば、 OSで「/var/www/htdoc/index.html」という名称 がつけられたフアイノレと、ウェブサーバ上で「http://example.com/index.html」と!ヽぅ 名称がつけられたファイルとが同一のファイルを指しているときに、この 2つのファイル は、別名定義されているという。このように異なる OSやアプリケーションソフトウェアが 、同一のファイルを異なる名称で表していることを示す情報が、別名定義情報である 。例えば、ウェブサーバの設定による alias設定や、 OSのシンボリックリンクなどが別名 定義情報となる。

[0048] フィルタリング情報とは、フィルタリング構成で定義されたネットワークフィルタリング の設定が、どのアクセス経路に有効であるかを定義した情報であり、特定のユーザが アクセスしたときに有効なフィルタリング構成があれば、該当するユーザ構成とフィル タリング構成との組が定義された情報となる。ユーザ構成とフィルタリング構成との組 以外に、ネットワーク構成同士、ネットワーク構成と、ファイル構成などの組であっても よい。ユーザ集合情報とは、ユーザを複数まとめグループとして扱うことを表す情報で ある。権限獲得情報とは、ユーザ認証や、アプリケーションの実行ユーザなどの設定 によって、ユーザが他のユーザの権限を獲得し、そのユーザとして振舞うことを表す 情報である。

[0049] ネットワーク構成とは、ネットワークインタフェースの接続状況を表す情報である。よ り具体的には、コンピュータ同士のネットワークでの接続関係を表す情報である。

[0050] アクセス経路は、例えばノードとアーク力も構成されるグラフ構造を用いて表現され る。ノード〖こは、ユーザ構成をモデルィ匕したユーザノード、ファイル構成をノードィ匕し たファイルノード、フィルタリング構成をノード化したネットワークノードがある。アーク には、別名定義情報をモデル化した別名定義アーク、アクセス権情報をモデルィ匕し たデータ移動関係アーク、フィルタリング情報をモデルィ匕したネットワークアーク、ュ 一ザ集合情報をモデル化した所属アーク、権限獲得関係をモデル化した権限獲得 アークがある。アクセス経路モデルにより、ファイルアクセス権によるファイルへのァク セスの可否および、ネットワークフィルタリングによるアクセスの可否が判定でき、その アクセス経路をユーザノードや、ネットワークノード、ファイルノードを少なくとも一つ以 上含む列（ノードの並び)で表現することができる。また、ノードだけでなぐアークを 含めた列（ノードやアークの並び）としてもよ!/、。

[0051] 次に、情報漏洩分析システムの各構成部にっ 、て説明する。アクセス経路モデル 入力手段 110は、検査対象のアクセス経路モデルを入力する。アクセス経路モデル 格納手段 1040は、アクセス経路モデル入力手段 110によって入力されたアクセス経 路モデルを格納し、アクセス経路判定手段 1060の要求に従 、アクセス経路モデル を出力する。

[0052] 分析対象アクセス経路入力手段 1050は、情報漏洩の判断基準として、分析対象 アクセス経路を入力する。情報漏洩の判断基準となる分析対象アクセス経路とは、情 報漏洩の判定対象となる流通元ファイルと、その流通先のファイルまたは、ユーザを 指定したものである。また、ファイルが通過する途中経路を指定してもよぐアクセス経 路モデルの一部をそのまま指定してもよい。分析対象アクセス経路は、アクセス経路 モデルの中に、分析対象アクセス経路と合致するファイルカゝらユーザまたはファイル への経路が存在する場合、その経路による情報漏洩の可能性があることを示して ヽ る。すなわち、分析対象アクセス経路は、情報漏洩の可能性があり、本来存在しては ならな 、経路 (ファイル力もユーザまたはファイルへの経路）を表して!/、る。分析対象 アクセス経路では、ファイルの流通元として、ファイルが指定され、流通先としてフアイ ルまたはユーザが指定される。ファイルの流通先として、例えば、情報漏洩の判定対 象ファイルにアクセスするユーザ IDや、判定対象ファイルを書き込むファイル（コピー 先となるファイル）が指定される。ファイルを指定する場合、そのファイルを含むディレ クトリ名や、ホスト名や、セグメント名で指定してもよい。分析対象アクセス経路におい て途中経路を指定する場合、途中経路は、例えば、ネットワークアドレスや、ポート番 号、または、それらを含む機器の名前、セグメント名で指定すればよい。

[0053] アクセス経路判定手段 1060は、アクセス経路モデル格納手段 1040からアクセス 経路モデルを取り出し、分析対象アクセス経路入力手段 1050によって入力された分 析対象アクセス経路とのマッチングを行うことで、分析対象アクセス経路がアクセス経 路モデル上にあるカゝ否かを判定する。分析対象アクセス経路がアクセス経路モデル にあると判定した場合、アクセス経路判定手段 1060は、分析対象アクセス経路の流 通元のファイルを情報漏洩の可能性のあるファイルと定める。さらに、アクセス経路判 定手段 1060は、アクセス経路モデルのうち、分析対象アクセス経路とマッチした部分 を情報漏洩経路と定める。

[0054] 設定情報入力手段 130は、アクセス経路モデルの各要素に対応する設定情報と、 検証対象システム 1010におけるその設定情報の格納場所を示す情報とを入力する 。そして、設定情報、およびその設定情報の格納場所を示す情報を、設定情報格納 手段 2010に格納させる（記憶させる）。検証対象システム 1010における各設定情報 の格納場所は、ホスト名、ファイル名、ファイル内で記述位置を示す行数、変数名等 で表す。また、設定情報入力手段 130は、アクセス経路モデルの各要素と、各設定 情報との対応関係を示す対応情報も入力し、設定情報格納手段 2010に格納させる 。対応情報は、例えば、オペレータによって作成される。

[0055] アクセス経路モデル入力手段 110、分析対象アクセス経路入力手段 1050、および 設定情報入力手段 130は、例えば、オペレータの操作に応じて、オペレータから情 報を入力すればよい。

[0056] 設定情報格納手段 2010は、設定情報入力手段 130によって入力された情報 (設 定情報、対応情報等)を格納し、設定情報特定手段 2020からの要求に従って、その 情報を出力する。

[0057] 設定情報特定手段 2020は、アクセス経路判定手段 1060によって分析対象ァクセ ス経路にマッチすると判定されたアクセス経路と、設定情報格納手段 2010に格納さ れた対応情報とから、そのアクセス経路を生成する原因となった設定情報 (アクセス 経路を定める元となった設定情報)を特定し、その設定情報を読み込む。

[0058] 情報漏洩対策案提案手段 3040は、アクセス経路判定手段 1060によって分析対 象アクセス経路にマッチすると判定されたアクセス経路と、設定情報特定手段 2020 によって特定された設定情報とをもとに、マッチしたアクセス経路を遮断する典型的 な設定例を情報漏洩対策案格納手段 3010から取り出し、提示する。また、情報漏洩 対策案提案手段 3040は、情報漏洩対策案格納手段 3010から対策案を取り出すか わりに、設定変更入力手段 3030によって対策案を入力してもよぐ情報漏洩対策案 格納手段 3010から取り出された対策案の一部もしくは、その全てを変更してもよい。

[0059] 情報漏洩対策案格納手段 3010は、情報漏洩対策を行うための変更内容と方法と 、変更有効化方法を、設定情報ごとに格納する (記憶する)。変更内容としては、現 在の設定のテキストのパターンと、変更候補のテキストのパターンを格納する。現在 の設定および変更候補のパターンは、例えば、正規表現によって記述される。具体 例を挙げると、 OSのファイルアクセス権に対する情報漏洩対策案では、例えば、現 在の設定として「(.+? +){8}(.*)」、変更候補として「chmod 700 $9」が記述される。また、 パケットフィルタリングのルールに関する対策案では、例えば、現在の設定として「(.*) acceptj、変更候補として「iptables？ A $ldrop」が記述される。なお、ここで示した情報 漏洩対策案は、例示であり、上記のものに限定されない。方法 (設定の変更方法）に ついては、コマンド実行またはテキスト書き換えがある。コマンド実行とは、設定を行う ためのコマンド (例えば、アプリケーションに付属の設定ツールまたは、設定変更用に 作成されたアプリケーションの実行コマンド)を実行することである。変更方法がコマ ンド実行であれば、そのコマンドが情報漏洩対策案の情報の中に記述される。テキス ト書き換えとは、アプリケーションの設定がテキストファイルで行われているときに、そ のテキストを変更することで設定を変更する態様を意味する。設定有効化方法とは、 設定を有効にする方法であり、設定を有効にするコマンドの実行により設定を有効に する態様や、アプリケーションを再起動することで設定を有効にする態様などがある。 これらの態様が、情報漏洩対策案の情報の中に記述される。なお、情報漏洩対策案 格納手段 3010は、各情報漏洩対策案を、各種設定情報およびその記載内容に対 応させて記憶する。

[0060] 情報漏洩対策案提案手段 3040は、設定情報特定手段 2020によって特定された 設定情報と、情報漏洩対策案格納手段 3010から取り出した変更候補となる設定情 報を提示 (例えば、表示出力）する。このとき、情報漏洩対策案格納手段 3010が備 えられていない場合もしくは、該当する設定変更案が情報漏洩対策案格納手段 301 0に格納されていない場合は、変更候補となる設定情報は、空欄としてもよい。あるい は、現在の設定と同一内容を表示してもよい。

[0061] 設定変更入力手段 3030は、情報漏洩対策案提案手段 3040によって提示された 情報漏洩対策案の変更、新たな情報漏洩対策案の入力、および、情報漏洩対策案 の選択を、オペレータの操作に応じて行う。

[0062] 対策実行手段 3050は、設定変更入力手段 3030によって選択された情報漏洩対 策を検証対象システムに反映させる。すなわち、選択された設定を検証対象システム に反映させる。

[0063] 次に、動作について説明する。図 2は、第 1の実施の形態における情報漏洩分析シ ステムの動作を示すフローチャートである。まず、アクセス経路モデル入力手段 110 は、アクセス経路モデルを入力し、アクセス経路モデル格納手段 1040に格納する（ ステップ Sl l)。次に、設定情報入力手段 130は、入力したアクセス経路モデルに対 応する設定情報、検証対象システム 1010におけるその設定情報の格納場所を示す 情報、およびアクセス経路モデルと設定情報との対応関係を示す対応情報を入力し 、設定情報格納手段 2010に格納する (ステップ S12)。次に、分析対象アクセス経路 入力手段 1050は、分析対象アクセス経路を入力する。（ステップ S13)。

[0064] 続いて、アクセス経路判定手段 1060は、アクセス経路モデル格納手段 1040から アクセス経路モデルを取り出し、そのアクセス経路モデルと分析対象アクセス経路と を照合する (ステップ S14)。アクセス経路判定手段 1060 (設定情報特定手段 2020 でもよい。 )は、ステップ S 14の照合処理の結果、分析対象アクセス経路とマッチする アクセス経路が存在したか否かを判定する (ステップ S 14a)。分析対象アクセス経路 とマッチするアクセス経路があれば (ステップ S14aにおける YES)、設定情報特定手 段 2020は、設定情報格納手段 2010に格納された対応情報を参照して、マッチした アクセス経路を生成する原因となった設定情報 (アクセス経路を定める元となった設 定情報)を取り出す (ステップ S 15)。

[0065] 次に、情報漏洩対策案提案手段 3040は、ステップ S15で取り出された設定情報を 元に、情報漏洩対策案格納手段 3010に格納された情報漏洩対策案を取り出す (ス テツプ S16)。情報漏洩対策案格納手段 3010は、各情報漏洩対策案を、各種設定 情報およびその記載内容に対応させて記憶しているので、ステップ S16では、設定 情報に応じた情報漏洩対策案を取り出すことができる。続いて、情報漏洩対策案提 案手段 3040は、アクセス経路の設定情報と、それに対応する情報漏洩対策案の設 定情報 (変更候補)を表示し、オペレータの操作に応じて、変更候補を修正する (ステ ップ S17)。次に、情報漏洩対策案提案手段 3040は、表示した各変更候補のうち、 検証対象システム 1010に反映すべき変更候補の選択をオペレータに促し、ォペレ ータの操作に応じて検証対象システム 1010に反映すべき変更候補を決定する (ステ ップ S18)。対策実行手段 3050は、決定された変更候補が示す設定内容に従って、 検証対象システム 1010の設定を変更する (ステップ S19)。この結果、分析対象ァク セス経路に相当するアクセス経路が除外されることとなり、情報漏洩が防止される。

[0066] 次に、第 1の実施の形態の効果について説明する。本実施の形態では、検証対象 システムを表現したモデルと、モデルとの対応付けを行った設定情報、および情報漏 洩の判断基準となる分析対象アクセス経路を入力する。そして、入力した情報に基づ いて情報漏洩経路を発見し、修正する構成となっている。よって、ファイルのアクセス 経路をモデル上で把握することができ、情報漏洩の可能性があるファイルとそのァク セス経路を特定することができる。また、モデルと対応付けた設定情報に対応する変 更候補を提示し、設定を変更するというように構成されているために、情報漏洩の可 能性のあるファイルが漏洩しな 、ように容易に設定変更することができる。この結果、 情報漏洩を防止することができる。

[0067] また、情報漏洩対策案提案手段 3040は、設定情報特定手段によって特定された 設定情報を出力する結果出力手段にも相当する。

[0068] 〈実施の形態 2〉

図 3は、本発明の第 2の実施の形態を示すブロック図である。本実施の形態におい て、情報漏洩分析システムは、第 1の実施の形態の構成に加えて、情報漏洩対策優 先順位決定手段 210を備える。既に説明した実施の形態と同様の構成部について は、既に説明した構成部と同一の符号を付し、説明を省略する。

[0069] 情報漏洩対策優先順位決定手段 210は、情報漏洩対策案提案手段 3040によつ て提案された複数の設定変更案 (設定情報の変更候補)を、変更することが適切な 順に順位付けする。順位付けでは、情報漏洩防止のための設定変更による検証対 象システム 1010への影響が小さいものから順に順位付けを行う。設定変更による影 響の小さい順に並べる方法として、経路上の位置を用いて決定する方法がある。例 えば、情報漏洩経路の流通元に近い順、すなわち流通ファイルの格納場所に関する 変更候補、情報漏洩経路のアクセス権に関する変更候補等の順に並べる。これによ つて、流通ファイルにだけ影響する設定変更力 流通ファイル以外への影響が大き な設定変更まで順に並べることができる。また、設定情報変更の影響を、モデルを使 つて計算してもよい。例えば、情報漏洩対策優先順位決定手段 210は、設定変更す るノードまたはアークを共有するすべての経路をアクセス経路判定手段 1060に判定 させる。そして、情報漏洩対策優先順位決定手段 210は、設定変更するノードまたは アークを共有するアクセス経路の少な 、順に、変更候補を順位付けしてもよ 、。

[0070] 図 4は、第 2の実施の形態における情報漏洩分析システムの動作を示すフローチヤ ートである。図 4に示すステップ S11〜S16までの動作は、第 1の実施の形態で説明 したステップ S 11〜S 16の動作と同様である。ステップ S 16の後、情報漏洩対策優先 順位決定手段 210は、ステップ S16で取り出した設定情報の変更候補を、設定変更 に伴う検証対象システム 1010への影響が少ない順に並び替え、その順序を、情報 漏洩対策案提案手段 3040による設定情報の変更候補を含む情報漏洩対策案の表 示順とする (ステップ S21)。ステップ S21の後、ステップ S17以降の動作を行う。ステ ップ S17以降の動作は、第 1の実施の形態で説明したステップ S17以降の動作と同 様である。

[0071] 第 2の実施の形態では、第 1の実施の形態と同様の効果を得ることができる。さらに 、さらに、設定情報の変更候補を含む情報漏洩対策案を、設定変更に伴う検証対象 システム 1010への影響が少ない順に並び替えて表示する構成であるので、ォペレ → (検証者)は、できるだけ検証対象システムへの影響が少な 、対策を容易に選択 できる。

[0072] 〈実施の形態 3〉

図 5は、本発明の第 3の実施の形態を示すブロック図である。既に説明した実施の 形態と同様の構成部については、既に説明した構成部と同一の符号を付し、詳細な 説明を省略する。

[0073] 本実施の形態にぉ 、て、情報漏洩分析システムは、検査対象となるコンピュータや ネットワークを含む検証対象システム 1010と、設定情報収集手段 1020と、アクセス 経路モデル生成手段 1030と、アクセス経路モデル格納手段 1040と、分析対象ァク セス経路入力手段 1050と、アクセス経路判定手段 1060と、結果出力手段 1070とを 備える。

[0074] 検証対象システム 1010は、検査対象ネットワーク 1011と、検査対象コンピュータ 1 012と、検査対象コンピュータの設定を格納するシステム情報格納手段 1013と、ネッ トワーク構成の設定を格納するネットワーク構成格納手段 1014とを含む。この点は、 既に説明した第 1の実施の形態および第 2の実施の形態でも同様である。

[0075] 設定情報収集手段 1020は、検証対象システム 1010から設定情報を収集する。ァ クセス経路モデル生成手段 1030は、設定情報収集手段 1020が収集した設定情報 を元に、アクセス経路モデルを生成する。アクセス経路モデル格納手段 1040は、ァ クセス経路モデル生成手段 1030によって生成されたアクセス経路モデルを格納し、 アクセス経路判定手段 1060の要求により、アクセス経路モデルを出力する。

[0076] 分析対象アクセス経路入力手段 1050は、情報漏洩の判断基準として、分析対象 アクセス経路を入力する。アクセス経路判定手段 1060は、アクセス経路モデル格納 手段 1040からアクセス経路モデルを取り出し、分析対象アクセス経路入力手段 105 0によって入力された分析対象アクセス経路力 アクセス経路モデルにあるかどうかを 判定する。

[0077] 結果出力手段 1070は、アクセス経路判定手段 1060によって、分析対象アクセス 経路と合致すると判定されたアクセス経路モデル内の経路と、その経路におけるファ ィルとを表示する。

[0078] 図 6は、第 3の実施の形態における情報漏洩分析システムの動作を示すフローチヤ ートである。まず、設定情報収集手段 1020は、検証対象システム 1010の設定情報 を収集する (ステップ S110)。アクセス経路モデル生成手段 1030は、収集された設 定情報に基づき検証対象システム 1010をモデルィ匕し、アクセス経路モデルを生成 する（ステップ S 120)。また、生成したアクセス経路モデルをアクセス経路モデル格納 手段 1040に格納する。次に、分析対象アクセス経路入力手段 1050は、分析対象ァ クセス経路を入力する (ステップ S 130)。次に、アクセス経路判定手段 1060は、ァク セス経路モデル格納手段 1040から、アクセス経路モデルを取り出し、アクセス経路 モデルと、分析対象アクセス経路とのマッチングを取る。（ステップ S 140)。結果出力 手段 1070は、マッチングの結果 (分析対象アクセス経路と合致すると判定されたァク セス経路モデル内の経路と、その経路におけるファイルの情報）を表示する (ステップ S150)。具体的には、ファイルの情報とそのファイルへのアクセス経路を表示する。

[0079] 次に、アクセス経路モデル生成手段 1030によるアクセス経路モデル生成処理 (ス テツプ S120、図 6参照。）の処理を詳細に説明する。図 7、図 8および図 9は、ァクセ ス経路モデル生成処理の処理経過を示すフローチャートである。アクセス経路モデ ル生成手段 1030は、ステップ S 110で収集された設定情報のうち、検証対象システ ム 1010のネットワーク構成情報を入力する（ステップ S701)。そして、ネットワーク構 成情報に含まれるホストを一つ取り出し、検証対象コンピュータとする (ステップ S 702

) o [0080] 続いて、アクセス経路モデル生成手段 1030は、収集された設定情報のうち、検証 対象コンピュータの設定情報を読み込み (ステップ S703)、また、その検証対象コン ピュータに搭載されたアプリケーションの設定情報を読み込む (ステップ S704)。ァク セス経路モデル生成手段 1030は、読み込んだ設定情報内のユーザ情報を解析し、 ユーザノードを作成する (ステップ S 705)。続いて、ネットワーク情報を解析し、ネット ワークノードを作成する（ステップ S706)。さらに、アクセス経路モデル生成手段 103 0は、読み込んだ設定情報内のグループ情報 (ユーザ集合情報)を解析し、グループ ノードを作成する (ステップ S 707)。

[0081] ステップ S707の後、アクセス経路モデル生成手段 1030は、グループ情報とユー ザ情報を解析し、所属アークを作成する (ステップ S708、図 8参照)。また、読み込ん だ設定情報内のファイル情報を解析し、ファイルノードを作成する (ステップ S 709)。 続いて、アクセス経路モデル生成手段 1030は、ファイル情報とアクセス権情報を解 祈し、情報伝達アークを作成する (ステップ S710)。また、ネットワーク情報力もネット ワークアークを作成する（ステップ S711)。

[0082] ステップ S711の後、アクセス経路モデル生成手段 1030は、他のアプリケーション の設定情報力も作られたノードがある力否かを判定する (ステップ S712)。そのような ノードがなければ、後述のステップ S717 (図 9参照。）に移行する。そのようなノードが あれば、アクセス経路モデル生成手段 1030は、ファイル情報から別名定義アークを 作成し (ステップ S713)、ユーザ情報力も権限獲得アークを作成する (ステップ S714

) o

[0083] ステップ S714の後、アクセス経路モデル生成手段 1030は、ファイル情報力 別名 定義アークを作成し、ユーザ情報力も権限獲得アークを作成する (ステップ S716)。 続いて、アクセス経路モデル生成手段 1030は、モデルを作成していないアプリケー シヨンの設定情報があるか否かを判定する (ステップ S717)。そのようなアプリケーシ ヨンの設定情報があれば、ステップ S704以降の処理を繰り返す。また、そのようなァ プリケーシヨンの設定情報がなければ、ネットワーク構成情報に従い、検証対象コン ピュータ間のネットワークノードを結ぶネットワークアークを作成する（ステップ S718) [0084] ステップ S718の後、アクセス経路モデル生成手段 1030は、モデルを作成していな い検証対象コンピュータがあるか否かを判定する (ステップ S719)。そのような検証 対象コンピュータがあれば、ステップ S702以降の処理を繰り返す。そのような検証対 象コンピュータがなければ、アクセス経路モデル生成処理を終了する。

[0085] 次に、本実施の形態の効果について説明する。

本実施の形態では、検証対象システムの設定情報を収集し、設定情報からァクセ ス経路モデルを生成し、入力した分析対象アクセス経路がそのアクセス経路モデル 上に存在するかどうかを分析する構成となっている。従って、ファイルのアクセス経路 を把握することができ、情報漏洩の可能性があるかどうかを判断することができる。ま た、そのアクセス経路を生成する原因となった設定情報を分析することで、情報漏洩 を引き起こす設定情報を容易に特定し、情報漏洩を未然に防止することができる。

[0086] 〈実施の形態 4〉

図 10は、本発明の第 4の実施の形態を示すブロック図である。既に説明した実施の 形態と同様の構成部については、既に説明した構成部と同一の符号を付し、詳細な 説明を省略する。

[0087] 本実施の形態にぉ 、て、情報漏洩分析システムは、検証対象システム 1010と、設 定情報収集手段 1020と、アクセス経路モデル生成手段 1030と、アクセス経路モデ ル格納手段 1040と、分析対象アクセス経路入力手段 1050と、アクセス経路判定手 段 1060と、設定情報格納手段 2010と、設定情報特定手段 2020と、結果出力手段 2030とを備える。検証対象システム 1010は、検査対象ネットワーク 1011と、検査対 象コンピュータ 1012と、検査対象コンピュータの設定を格納するシステム設定格納 手段 1013と、ネットワーク構成の設定を格納するネットワーク構成格納手段 1014と を含む。

[0088] アクセス経路モデル生成手段 1030は、設定情報収集手段 1020によって収集され た設定情報を元にアクセス経路モデルを生成する同時に、設定情報格納手段 2010 に、アクセス経路モデルを生成する原因となった設定情報とアクセス経路モデルとの 対応情報を格納する（記憶させる)。本実施の形態では、アクセス経路モデル生成手 段 1030が対応情報を生成する。 [0089] 対応情報は、アクセス経路モデルの各要素と各設定情報との対応関係を示す情報 である。より具体的には、対応情報は、アクセス経路モデルの構成要素と、その構成 要素を作成する原因となった設定情報 (その構成要素を定める元となった設定情報） の種類やその設定情報の格納場所との対応関係を示す。設定情報の種類とは、シス テム設定やネットワーク構成といった種類を表す。設定情報の格納場所とは、設定情 報を特定する位置情報であり、例えば、設定情報の格納ホスト名、格納ファイル名、 格納ファイル中の位置 (行、列など)等で表される。また、アクセス経路モデル生成手 段 1030は、検証対象システム 1010における設定情報の格納場所の情報を設定情 報格納手段 2010に格納する代わりに、設定情報を事前に収集し集中して設定情報 格納手段 2010に格納し、さらに設定情報格納手段 2010における設定情報の格納 場所の情報も設定情報格納手段 2010に格納してもよい。また、アクセス経路モデル 生成手段 1030は、設定情報そのものを、その設定情報が本来あった位置とともに、 アクセス経路モデルにあわせて設定情報格納手段 2010に格納してもよい。

[0090] 設定情報特定手段 2020は、アクセス経路判定手段 1060によって分析対象ァクセ ス経路にマッチすると判定されたアクセス経路と、設定情報格納手段 2010に格納さ れた対応情報とから、アクセス経路を生成する原因となった設定情報を特定する。

[0091] 結果出力手段 1070は、分析対象アクセス経路とマッチしたアクセス経路とともに、 設定情報特定手段 2020によって特定された設定情報をあわせて表示する。

[0092] 図 11は、第 4の実施の形態における情報漏洩分析システムの動作を示すフローチ ヤートである。まず、設定情報収集手段 1020は、検証対象システム 1010の設定情 報を収集する (ステップ S210)。そして、アクセス経路モデル生成手段 1030は、収集 された設定情報に基づき検証対象システム 1010をモデルィ匕し、アクセス経路モデル を作成してアクセス経路モデルをアクセス経路モデル格納手段 1040に格納する。ま た、アクセス経路モデル生成手段 1030は、アクセス経路モデルを生成する原因とな つた設定情報とアクセス経路モデルとの対応情報を設定情報格納手段 2010に格納 する (ステップ S220)。次に、分析対象アクセス経路入力手段 1050は、分析対象ァ クセス経路を入力する (ステップ S230)。次に、アクセス経路判定手段 1060は、ァク セス経路モデル格納手段 1040から、アクセス経路モデルを取り出し、アクセス経路 モデルと、分析対象アクセス経路とのマッチングを取る。（ステップ S 240)。アクセス 経路判定手段 1060 (設定情報特定手段 2020でもよい。）は、ステップ S240の処理 の結果、分析対象アクセス経路とマッチするアクセス経路が存在したカゝ否かを判定す る (ステップ S250)。分析対象アクセス経路とマッチするアクセス経路があれば (ステ ップ S250の YES)、設定情報特定手段 2020は、設定情報格納手段 2010に格納さ れた対応情報に含まれる格納場所の情報を参照し、マッチしたアクセス経路を生成 する原因となった設定情報を取り出す (ステップ S260)。続いて、結果出力手段 107 0は、マッチしたアクセス経路と設定情報を出力（例えば表示出力）する (ステップ S2 70)。

[0093] 次に、本実施の形態の効果について説明する。本実施の形態では、アクセス経路 モデルとともに、設定情報の格納場所を格納し、分析対象アクセス経路とマッチした アクセス経路から、そのアクセス経路を生成する原因となった設定情報を特定する。 従って、情報漏洩をおこす可能性のある設定を容易に見つけることができ、その結果 、情報漏洩を未然に防止することができる。

[0094] 〈実施の形態 5〉

図 12は、本発明の第 5の実施の形態を示すブロック図である。既に説明した実施の 形態と同様の構成部については、既に説明した構成部と同一の符号を付し、詳細な 説明を省略する。

[0095] 本実施の形態にぉ 、て、情報漏洩分析システムは、検証対象システム 1010と、設 定情報収集手段 1020と、アクセス経路モデル生成手段 1030と、アクセス経路モデ ル格納手段 1040と、分析対象アクセス経路入力手段 1050と、アクセス経路判定手 段 1060と、設定情報格納手段 2010と、設定情報特定手段 2020と、情報漏洩対策 案格納手段 3010と、情報漏洩対策案提案手段 3040と、設定変更入力手段 3030と 、対策実行手段 3050とを備える。検証対象システム 1010は、検査対象ネットワーク 1011と、検査対象コンピュータ 1012と、検査対象コンピュータの設定を格納するシ ステム設定格納手段 1013と、ネットワーク構成の設定を格納するネットワーク構成格 納手段 1014とを含む。

[0096] 情報漏洩対策案提案手段 3040は、アクセス経路判定手段 1060によって分析対 象アクセス経路にマッチすると判定されたアクセス経路と、設定情報特定手段 2020 によって特定された設定情報をもとに、マッチしたアクセス経路を遮断する典型的な 設定例を情報漏洩対策案格納手段 3010から取り出し、提示する。また、情報漏洩 対策案格納手段 3010から対策案を取り出すかわりに、設定変更入力手段 3030に よって対策案を入力してもよぐ情報漏洩対策案格納手段 3010から取り出された対 策案の一部もしくは、その全てを変更してもよい。

[0097] 設定変更入力手段 3030は、情報漏洩対策案提案手段 3040によって提案された 情報漏洩対策案の変更、新たな情報漏洩対策案の入力、および、情報漏洩対策案 の選択を、オペレータの操作に応じて行う。対策実行手段 3050は、設定変更入力 手段 3030によって選択された情報漏洩対策を検証対象システムに反映させる。

[0098] 図 13は、第 5の実施の形態における情報漏洩分析システムの動作を示すフローチ ヤートである。まず、設定情報手段 1020は、検証対象システム 1010から設定情報を 収集する (ステップ S310)。アクセス経路モデル生成手段 1030は、収集された設定 情報を元にモデルィ匕を行 、、アクセス経路モデルをアクセス経路モデル格納手段 10 40に格納する。また、アクセス経路モデルと設定情報との対応情報を設定情報格納 手段 2010に格納する (ステップ S320)。次に、分析対象アクセス経路入力手段 105 0は、分析対象アクセス経路を入力する (ステップ S330)。アクセス経路判定手段 10 60は、アクセス経路モデルと分析対象アクセス経路とのマッチングを行う（ステップ S 340)。

[0099] アクセス経路判定手段 1060 (設定情報特定手段 2020でもよ ヽ。 )は、ステップ S2 40の処理の結果、分析対象アクセス経路とマッチするアクセス経路が存在したか否 かを判定する（ステップ S345)。そのようなアクセス経路が存在しなければ処理を終 了する。分析対象アクセス経路とマッチするアクセス経路があれば (ステップ S345の YES)、設定情報特定手段 2020は、設定情報格納手段 2010に格納された対応情 報に含まれる格納場所の情報を参照し、マッチしたアクセス経路を生成する原因とな つた設定情報を取り出す (ステップ S350)。

[0100] 次に、情報漏洩対策案提案手段 3040は、取り出された設定情報を元に、情報漏 洩対策案格納手段 3010に格納された情報漏洩対策案を取り出す (ステップ S360)。 続いて、情報漏洩対策案提案手段 3040は、アクセス経路の設定情報と、それに対 応する情報漏洩対策案の設定情報を表示し、オペレータの操作に応じて、情報漏洩 対策案の設定情報 (設定情報の変更候補)を変更する (ステップ S370)。次に、情報 漏洩対策案提案手段 3040は、表示した各変更候補のうち、検証対象システム 1010 に反映すべき変更候補の選択をオペレータに促し、オペレータの操作に応じて検証 対象システム 1010に反映すべき変更候補を決定する (ステップ S380)。対策実行 手段 3050は、決定された変更候補が示す設定内容に従って、検証対象システム 10 10の設定を変更する (ステップ S390)。

[0101] 次に、本実施の形態の効果について説明する。本実施の形態では、検証対象シス テムのシステム情報を収集しモデルィ匕を行 、、分析対象アクセス経路を与えることで 、情報漏洩の可能性のあるアクセス経路を判定する。そして、そのアクセス経路を作 成する原因となった設定情報を特定し、設定情報の変更候補を提示し、オペレータ に指定された変更候補に従って、検証対象システムの設定を変更する。従って、情 報漏洩の可能性のあるアクセス経路を容易に特定できる。また、設定情報を簡単に 修正できる構成としたため、情報漏洩を未然に防止することができる。

[0102] 第 5の実施の形態において、第 2の実施の形態と同様に、情報漏洩対策優先順位 決定手段 210を備え、情報漏洩対策優先順位決定手段 210が決定した順位に従つ て、情報漏洩対策案を表示してもよい。情報漏洩対策優先順位決定手段 210の動 作は、第 2の実施の形態と同様である。

[0103] 〈実施の形態 6〉

図 14は、本発明の第 6の実施の形態を示すブロック図である。既に説明した実施の 形態と同様の構成部については、既に説明した構成部と同一の符号を付し、詳細な 説明を省略する。本実施の形態において、情報漏洩分析システムは、アクセス経路 入力手段 110と、アクセス経路モデル格納手段 1040と、アクセス経路判定手段 106 0と、アクセス経路分析手段 5010と、文書一覧表示手段 5020とを備える。

[0104] アクセス経路分析手段 5010は、アクセス経路モデルに含まれる任意のファイルを 流通元とし、アクセス経路モデルに含まれる任意のユーザまたはファイルを流通先と して分析対象アクセス経路を作成する。ただし、本実施の形態では、分析対象ァクセ ス経路において、流通元および流通先が指定されるが、その途中経路は指定されな い。また、第 1から第 5の実施の形態では、アクセス経路モデルの中に分析対象ァク セス経路と合致するファイル力 ユーザまたはファイルへの経路が存在する場合、そ の経路による情報漏洩の可能性があるものとした。第 6の実施の形態では、アクセス 経路分析手段 5010によって作成された分析対象アクセス経路そのものが情報漏洩 の可能性がある経路を示すわけではないものとする。

[0105] アクセス経路分析手段 5010は、任意のファイルやユーザの組み合わせて分析対 象アクセス経路を作成するので、 1つ以上の分析対象アクセス経路が作成される。

[0106] アクセス経路判定手段 1060は、個々の分析対象アクセス経路毎に、分析対象ァク セス経路における流通元および流通先間のアクセス経路がアクセス経路モデル内に 存在するか否かを判定する。そして、アクセス経路判定手段 1060は、流通元となつ たファイルごとに、流通先とそのアクセス経路を特定する。つまり、アクセス経路判定 手段 1060は、全ての流通元および流通先の組み合わせについて、そのアクセス経 路の有無を判定し、アクセス経路があるものについて、流通元ごとに、流通先とその アクセス経路を特定する。

[0107] 文書一覧表示手段 5020は、流通元となったファイルごとに、アクセス経路分析手 段 5010によって分析された流通先とそのアクセス経路を表示する。

[0108] 図 15は、第 6の実施の形態における情報漏洩分析システムの動作を示すフローチ ヤートである。まず、アクセス経路モデル入力手段 110が、アクセス経路モデルを入 力する (ステップ S 1010)。次に、アクセス経路分析手段 5010が、入力されたァクセ ス経路モデルに含まれる任意のファイルとユーザを用いて、流通元、流通先の組を 分析対象アクセス経路として作成し、アクセス経路判定手段 1060が、分析対象ァク セス経路における流通元および流通先間のアクセス経路がアクセス経路モデル内に 存在するか否かを判定する (ステップ S 1020)。分析対象アクセス経路における流通 元および流通先間のアクセス経路がアクセス経路モデル内に存在するならば、その 流通元および流通先間においてアクセス可能であることになる。ステップ S1020の後 、アクセス経路判定手段 1060は、同じファイルを流通元とするアクセス経路をまとめ る (ステップ S 1030)。すなわち、流通元となったファイルごとに、流通先とそのアクセス 経路を特定する。次に、文書一覧表示手段 5020は、流通元のファイルを流通先の ユーザ、およびファイル、アクセス経路とともに表示する (ステップ S 1040)。オペレー タは、ステップ S 1040における表示結果を確認して、情報漏洩の可能性がある経路 があるかどうかを判断する。

[0109] 第 1から第 5までの各実施の形態では、分析対象アクセス経路と合致するファイル 力 ユーザまたはファイルへの経路があった場合、その経路は情報漏洩の可能性の ある経路であると自動的に判定された。それに対し、本実施の形態では、分析対象ァ クセス経路そのものは、情報漏洩の可能性のある経路を意味するものではなぐ情報 漏洩の可能性のある経路の判断はオペレータに委ねられる。

[0110] 次に、本実施の形態の効果について説明する。本実施の形態では、アクセス経路 モデルを入力し、そのアクセス経路モデルに基づ 、て任意の流通元および流通先の 組み合わせを定める。そして、その流通元および流通先間のアクセス経路がある場 合には、流通元のファイル毎に、流通元ファイルの流通先となるファイルまたはユー ザと、そのアクセス経路をあわせて提示する。従って、オペレータ (検証者）は、個々 のファイルが適切に管理されているかを一目で確認することができ、適切に管理され ておらず、情報漏洩の可能性のあるファイルを簡単に特定することができる。また、ァ クセス経路をあわせて表示する構成としたため、すべての設定情報を確認することな ぐ情報漏洩を引き起こしている場所を簡単に特定ができ、設定情報を修正し、情報 漏洩を未然に防止することができる。

[0111] 〈実施の形態 7〉

図 16は、本発明の第 7の実施の形態を示すブロック図である。既に説明した実施の 形態と同様の構成部については、既に説明した構成部と同一の符号を付し、詳細な 説明を省略する。本実施の形態において、情報漏洩分析システムは、第 6の実施の 形態の構成に加えて、設定情報入力手段 130と、設定情報格納手段 2010と、設定 情報特定手段 2020と、文書一覧表示手段 5020と、情報漏洩対策提案手段 3040と 、情報漏洩対策案格納手段 3010とを備える。

[0112] 図 17は、第 7の実施の形態における情報漏洩分析システムの動作を示すフローチ ヤートである。まず、アクセス経路モデル入力手段 110が、アクセス経路モデルを入 力する (ステップ S1010)。次に、設定情報入力手段 130が、設定情報をアクセス経 路モデルに対応付けて入力する (ステップ S2020)。次に、アクセス経路分析手段 50 10力 入力されたアクセス経路モデルに含まれる任意のファイルとユーザを用いて、 流通元、流通先の組を分析対象アクセス経路として作成し、アクセス経路判定手段 1 060が、分析対象アクセス経路における流通元および流通先間のアクセス経路がァ クセス経路モデル内に存在するか否かを判定する (ステップ S2030)。

[0113] ステップ S2030の後、設定情報特定手段 2020が、アクセス経路と判定された経路 を作成する原因となった設定情報を特定する (ステップ S2040)。次に、アクセス経路 分析手段 5010は、同じファイルを流通元とするアクセス経路をまとめる (ステップ S20 50)。また、情報漏洩対策案提案手段 3040が、ステップ S 2040で特定された設定 情報の情報漏洩対策案を取り出す (ステップ S2060)。そして、文書一覧表示手段 5 020力 流通元のファイルを流通先のユーザ、およびファイル、アクセス経路および、 情報漏洩対策案とともに提示する (ステップ S2070)。

[0114] 次に、本実施の形態の効果について説明する。本実施の形態では、アクセス経路 モデルを入力し、そのアクセス経路モデルに基づ 、て任意の流通元および流通先の 組み合わせを定める。そして、その流通元および流通先間のアクセス経路がある場 合には、そのアクセス経路を生成する原因となった設定情報を特定して、情報漏洩 対策案も特定する。そして、流通元のファイル毎に、流通元ファイルの流通先となるフ アイルまたはユーザ、そのアクセス経路、および情報漏洩対策案を提示する。従って 、個々のファイルが適切に管理されているかを一目で確認することができ、適切に管 理されておらず、情報漏洩の可能性のあるファイルを簡単に特定することができる。 また、設定ファイルから特定の設定箇所を探し出す必要が無ぐ情報漏洩の可能性 のあるファイルの流通を容易に防止することができる。

[0115] 〈実施の形態 8〉

図 18は、本発明の第 8の実施の形態を示すブロック図である。既に説明した実施の 形態と同様の構成部については、既に説明した構成部と同一の符号を付し、詳細な 説明を省略する。本実施の形態において、情報漏洩分析システムは、第 7の実施の 形態の構成に加えて、設定変更入力手段 3030と、対策実行手段 3050とを備える。 [0116] 図 19は、第 8の実施の形態における情報漏洩分析システムの動作を示すフローチ ヤートである。図 19に示すステップ S3010〜S3070までの動作は、第 7の実施の形 態で説明したステップ S2010〜S2070の動作と同様である。ステップ S3070の後、 情報漏洩対策案提案手段 3040は、設定変更入力手段 3030によって情報漏洩対 策案 (設定情報の変更候補)を修正するオペレータの操作の有無を判定する (ステツ プ S3075)。修正操作が行われない場合、ステップ S3070に移行する。修正操作が 行われた場合、設定変更入力手段 3030は、オペレータに指定された情報漏洩対策 案を選択し、その情報漏洩対策案に対して、オペレータの操作に応じた修正を行う（ ステップ S3080)。次に、情報漏洩対策案提案手段 3040は、オペレータに指定され た情報漏洩対策案を選択し、対策実行手段 3050は、選択された情報漏洩対策案を 実行し、検証対象システム 1010の設定を変更する (ステップ S3090)。

[0117] 次に、本実施の形態の効果について説明する。本実施の形態では、情報漏洩対策 案を修正した後、その情報漏洩対策案を実行するので、情報漏洩対策を施す手段 の詳細を知ることなぐ容易に情報漏洩対策を実行することができ、情報漏洩の未然 防止が容易になる。

[0118] 〈実施の形態 9〉

図 20は、本発明の第 9の実施の形態を示すブロック図である。既に説明した実施の 形態と同様の構成部については、既に説明した構成部と同一の符号を付し、詳細な 説明を省略する。本実施の形態において、情報漏洩分析システムは、第 8の実施の 形態の構成に加えて、情報漏洩対策優先順位決定手段 210を備える。

[0119] 図 21は、第 9の実施の形態における情報漏洩分析システムの動作を示すフローチ ヤートである。図 21に示すステップ S4010〜S4060までの動作は、第 7の実施の形 態で説明したステップ S2010〜S2060の動作と同様である。ステップ S2060の後、 情報漏洩対策案優先順位決定手段 210は、ステップ S4060で取り出された情報漏 洩対策案に優先順位をつける (ステップ S4070)。この処理は、第 2の実施の形態に おけるステップ S21の処理と同様である。次に、文書一覧表示手段 5020は、流通元 のファイルを流通先のユーザ、およびファイル、アクセス経路および、情報漏洩対策 案とともに表示する (ステップ S4080)。このとき、情報漏洩対策案の優先順位に従つ て、流通元、流通先、アクセス経路、情報漏洩対策案の組を表示する。その後、ステ ップ S4085〜S4100の動作を行う。図 19に示すステップ S4085〜S4100の動作は 、第 8の実施の形態で説明したステップ S3075〜S3090の動作と同様である。対策 実行手段 3050が情報漏洩対策案を実行する場合、情報漏洩対策案優先順位決定 手段 120が決定した順位に従い、優先順位の高い (例えば、優先順位が最も高い） 情報漏洩対策案を自動的に実行してもよ 、。

[0120] 次に、本実施の形態の効果について説明する。本実施の形態では、優先順位をつ けて情報漏洩対策案を表示し、実行する形態としたため、設定変更による検証対象 システム 1010への影響が最も少ない情報漏洩対策案の適用が容易になる。また、 優先順位が最も高 、情報漏洩対策案を自動的に実行する構成とすることで、システ ム構成や、設定の影響に対する知識が無くても、情報漏洩の防止が容易になる。

[0121] また、第 7の実施の形態力も第 8の実施の形態までの各実施の形態において、情報 漏洩対策案提案手段 3040は、設定情報特定手段によって特定された設定情報を 出力する結果出力手段にも相当する。

[0122] 〈実施の形態 10〉

図 22は、本発明の第 10の実施の形態を示すブロック図である。既に説明した実施 の形態と同様の構成部については、既に説明した構成部と同一の符号を付し、詳細 な説明を省略する。本実施の形態では、情報漏洩分析システムは、第 3の実施の形 態における分析対象アクセス経路入力手段 1050の代わりに、属性情報解析手段 40 10と、属性情報格納手段 4020と、属性利用分析対象アクセス経路入力手段 4030 と、分析対象アクセス経路変換手段 4040とを備える。

[0123] 属性情報解析手段 4010は、検証対象システム 1010に含まれる設定情報の属性 を解析して、その設定情報の内容と属性とを対応づける。設定情報の属性とは、設定 情報が示す内容の属性を表す情報である。例えば、設定情報にユーザ、ホスト、また はファイルが示されて 、る場合、それらが配置されて 、るネットワーク上の位置 (例え ば、セグメント名）等力 ユーザ、ホスト、ファイルの属性情報となり得る。また、例えば 、設定情報にユーザが示されている場合、そのユーザの役割 (例えば、部長や課長 といった役職)等が、ユーザの属性情報となり得る。また、例えば、設定情報にフアイ ルが示されている場合、そのファイルの機密度 (例えば、マル秘文書、社外秘文書の ような機密度を表すカテゴリ）や、そのファイルの役割 (例えば、住所録、連絡網等）が 、ファイルの属性情報となり得る。また、アクセス経路の属性情報として、例えば、非 暗号ィ匕経路等の経路の種類が挙げられる。

[0124] 属性情報解析手段 4010は、例えば、検証対象システムから設定情報を入力する。

そして、属性情報解析手段 4010は、その設定情報内に記述されているファイル情報 、ユーザ情報に基づいて、ファイルの属性や、ユーザの属性を特定し、ファイル情報 とファイルの属性とを対応付け、また、ユーザ情報とユーザの属性とを対応付ける。同 様に、属性情報解析手段 4010は、設定情報内に記述されているポート番号、 IPアド レス、ホスト名等に基づいて、それらの情報が示す経路の属性を特定し、そのポート 番号等と経路の属性とを対応付ける。属性情報解析手段 4010は、検索対象システ ムの設定情報内のユーザ情報、ファイル情報、経路を示す情報と、ユーザの属性、フ アイルの属性、経路の属性を対応付けた対応情報を属性情報格納手段 4020に格 納させる。

[0125] 属性情報解析手段 4010は、ファイルの属性を特定する場合、例えば、以下のよう な解析を行えばよい。まず、ファイル情報が示すファイル名およびその格納場所を参 照して、そのファイルを読み込む。そして、そのファイルをヘッダ、本文、フッタ等の部 分領域に分割する。そして、各部分領域に記述されている場合にファイルが特定の 属性を有する可能性があることを示す語句 (以下、特徴要素と記す。）を検出する。例 えば、ヘッダ部分に「社外秘」という特徴要素が記載されている場合、そのファイルは 「社外秘文書」 、う属性を有する可能性がある。そのような特徴要素を部分領域毎 に予め定めておき、属性情報解析手段 4010は、部分領域毎に特徴要素を検出し、 その語句に基づいてファイルの属性の候補を特定する。そして、検出した特徴要素 の部分領域内における配置状況に基づいて、候補とした属性力 ファイルの属性とし て適しているカゝ否かを判定する。例えば、部分領域内において、検出した特徴要素 のうち最初に現れる特徴要素力 最後に現れる特徴要素までの語句の並びを参照 する。属性情報解析手段 4010は、その並びに含まれる語句の数に対する特徴要素 数の割合 (この値を密度と記すことにする。 )が予め定められた閾値以下であれば、 その特徴要素の検出に伴って候補とされた属性を候補から除外する。また、ある属性 候補を導いた特徴要素によって定まる語句の並びと、他の属性候補を導いた特徴候 補によって定まる語句の並びとが重複して 、る場合、密度が低 、方の候補を除外す る。そして、残った方の属性候補を導いた特徴要素によって定まる語句の並びに対 する重複部分の割合を算出し、 1からその値を減算する（この減算結果を純度と記す ことにする。；)。純度が、予め定められた閾値以下であれば、その候補を除外する。ま た、部分領域に含まれる語句の数に対する属性候補を導いた特徴要素によって定ま る語句の並び (検出した特徴要素のうち最初に現れる特徴要素から最後に現れる特 徴要素までの語句の並び）に含まれる語句数の割合 (この値を占度と記すことにする 。；)が、予め定められた閾値以下であれば、その候補を除外する。以上のようにして、 除外されなかった候補を、ファイルの属性と定める。この処理を、各部分領域毎に行 えばよい。また、ここでは、密度、純度、占度を用いてファイルの属性を解析する場合 を示した力 密度、純度、占度のうちいずれか 1つまたは 2つを用いて同様の解析を 行ってもよい。なお、各閾値は予め、不適切な候補が除外されるように実験などにより 定めておけばよい。

[0126] このような解析の結果、ファイルの属性を適切に特定することができる。例えば、ファ ィルのヘッダ領域に「社外秘」という特徴要素のみが記載されている場合、密度、純 度、占度とも 1となり、属性情報解析手段 4010は、そのファイルの属性を「社外秘文 書」と特定することができる。そして、属性情報解析手段 4010は、そのファイルのファ ィル情報と属性「社外秘」との対応情報を属性情報格納手段 4020に格納する。また 、例えば、ファイルのヘッダ部分に文書のタイトルとして「当社の社外秘文書に関する 説明」という記載がされていたとする。そして、「社外秘」という語句は含むものの、そ のファイル自体は社外秘ではなぐ社外秘文書という属性を持たないとする。この場 合、占度は低ぐ閾値以下になる。よって、属性情報解析手段 4010は、このファイル の属性が「社外秘」であると特定することはな 、。

[0127] ここで示した属性の解析は一例であり、他の解析方法によって属性を特定してもよ い。

[0128] また、属性情報解析手段 4010は、ユーザの属性を特定する場合、以下のような処 理を行えばよい。属性情報解析手段 4010は、予めユーザ毎に役職等の各種属性 の情報を記憶しておく。そして、属性情報解析手段 4010は、検証対象システムから 設定情報を入力すると、その設定情報に含まれているユーザ情報を参照し、そのュ 一ザ情報に応じた属性を、予め記憶していた情報の中から抽出する。属性情報解析 手段 4010は、この属性を、設定情報に含まれているユーザ情報の属性として特定 する。属性情報解析手段 4010は、このユーザ情報と、特定した属性とを対応付けた 対応情報を属性情報格納手段 4020に格納する。同様に、属性情報解析手段 4010 は、経路の属性を特定する場合、以下のような処理を行えばよい。属性情報解析手 段 4010は、予めポート番号、 IPアドレス、ホスト名等の情報とともに、その情報が示 す経路の属性 (例えば、「非暗号化経路」等)を予め記憶しておく。そして、属性情報 解析手段 4010は、検証対象システムから設定情報を入力すると、その設定情報に 含まれているポート番号、 IPアドレス、ホスト名等の情報を参照する。属性情報解析 手段 4010は、参照したポート番号等に応じた属性を、予め記憶していた情報の中か ら抽出する。属性情報解析手段 4010は、この属性を経路の属性として特定し、設定 情報に含まれて!/ヽるポート番号等と、特定した属性とを対応付けた対応情報を属性 情報格納手段 4020に格納する。

[0129] 属性情報解析手段 4010は、オペレータに属性の入力を促してもよい。すなわち、 属性情報解析手段 4010は、検証対象システムの設定情報を表示出力することによ り、設定情報が示す内容の属性情報の入力をオペレータに促してもよい。オペレータ による属性情報入力操作により、属性情報解析手段 4010は、設定情報に対応する 属性情報を収集することができる。

[0130] 属性情報格納手段 4020は、設定情報と、属性情報解析手段 4010が解析した属 性情報との対応情報を格納する。

[0131] 属性利用分析対象アクセス経路入力手段 4030は、属性利用分析対象アクセス経 路を入力する。属性利用分析対象アクセス経路とは、分析対象アクセス経路をユー ザや、ファイルなどの個々の名前 (例えば、ユーザ IDやファイル名称などの識別情報 )を用いる代わりに、属性情報を用いて流通元や、流通先や、途中経路を表したもの である。属性利用分析対象アクセス経路では、例えば、流通元をファイル名等で指定 するのではなく「個人情報」等の属性で表す。同様に、流通先もファイル名やユーザ I D等で指定するのではなぐユーザやファイルの属するセグメント名や、「社外秘文書 」等のファイルの種類で表す。また、同様に、途中経路も、「非暗号化経路」等の属性 で表す。

[0132] 分析対象アクセス経路変換手段 4040は、属性利用分析対象アクセス経路を、ァク セス経路判定手段 1060によるアクセス経路モデルとのマッチングが取れる形に変換 する。アクセス経路判定手段 1060が、属性情報を用いて示された属性利用分析対 象アクセス経路と、アクセス経路モデルとのマッチングを行える場合には、分析対象 アクセス経路変換手段 4040が備えられて 、なくてょ 、。

[0133] 図 23は、第 9の実施の形態における情報漏洩分析システムの動作を示すフローチ ヤートである。まず、設定情報収集手段 1020が、検証対象システム 1010から設定情 報を収集する (ステップ S410)。アクセス経路モデル生成手段 1030は、収集された 設定情報を元にモデルィヒを行 、、生成したアクセス経路モデルをアクセス経路モデ ル格納手段 1040に格納する (ステップ S420)。次に、属性情報解析手段 4010は、 検証対象システム 1010の設定情報を収集し、設定情報に記述された内容に対応す る属性を解析する。そして、属性情報解析手段 4010は、設定情報の内容と、解析に よって特定した属性情報との対応関係を示す対応情報を属性情報格納手段 4020 に格納する（ステップ S430)。

[0134] 次に、属性利用分析対象アクセス経路入力手段 4030は、属性情報格納手段 402 0に保存された属性情報を利用して、属性利用分析対象アクセス経路を入力する (ス テツプ S440)。なお、本実施の形態における分析対象アクセス経路は、第 1の実施 の形態等と同様に、情報漏洩の可能性がある経路を表す。従って、属性利用分析対 象アクセス経路入力手段 4030は、情報漏洩の可能性がある経路を属性情報によつ て表したデータとして、属性利用分析対象アクセス経路を入力する。

[0135] 次に、分析対象アクセス経路変換手段 4040は、属性情報格納手段 4020に格納 された設定情報と属性情報の対応情報を用いて属性利用分析対象アクセス経路を、 設定情報を用いた分析対象アクセス経路に変換する (ステップ S450)。その後、ァク セス経路判定手段 1060が、アクセス経路モデルと、分析対象アクセス経路とのマツ チングを行い (ステップ S460)、結果出力手段 2030が結果を出力する (ステップ S47 0)。ステップ S460, S470の動作は、第 3の実施の形態におけるステップ S 140, S1 50の動作と同様である。

[0136] 図 24は、属性利用分析対象アクセス経路を入力して、分析対象アクセス経路に変 換する処理を示すフローチャートである。図 24に示す処理は、図 23に示すステップ S430〜S450を詳細に示したものである。

[0137] まず、属性情報解析手段 4010は、検証対象システム 1010の設定情報を収集する

(ステップ Dl)。次に、属性情報解析手段 4010は、設定情報に記述された内容に対 応する属性を解析し、設定情報の内容と、解析によって特定した属性情報との対応 関係を示す対応情報を属性情報格納手段 4020に格納する (ステップ D2)。ステップ D2では、既に説明したように、例えば、ファイル力 特徴要素を検出して特徴要素の 配置状況に基づいてファイルの属性を特定する解析を行えばよい。また、ユーザや 経路の属性は、既に説明した処理によって特定すればよい。ステップ Dl, D2の処 理は、図 23に示すステップ S430に相当する。

[0138] 次に、属性利用分析対象アクセス経路入力手段 4030は、属性情報格納手段 402 0に保存された属性情報を利用して、属性利用分析対象アクセス経路を入力する (ス テツプ D3)。例えば、属性利用分析対象アクセス経路入力手段 4030は、流通元の 候補となる属性として、ファイルの属性を属性情報格納手段 4020から読み出して、 一覧表示し、オペレータにファイルの属性の選択を促す。そして、属性利用分析対 象アクセス経路入力手段 4030は、選択されたファイルの属性によって、属性利用分 析対象アクセス経路の流通元を記述する。同様に、属性利用分析対象アクセス経路 入力手段 4030は、流通元の候補となる属性として、ファイルやユーザの属性を属性 情報格納手段 4020から読み出して、一覧表示し、オペレータにファイルまたはユー ザの属性の選択を促す。そして、属性利用分析対象アクセス経路入力手段 4030は 、選択されたファイルまたはユーザの属性によって、属性利用分析対象アクセス経路 の流通先を記述する。同様に、属性利用分析対象アクセス経路入力手段 4030は、 途中経路の候補となる属性を属性情報格納手段 4020から読み出して、一覧表示し 、オペレータにその属性の選択を促す。そして、属性利用分析対象アクセス経路入 力手段 4030は、選択された属性によって、属性利用分析対象アクセス経路の途中 経路を記述する。属性利用分析対象アクセス経路は、途中経路を記述していなくて もよい。このステップ D3の処理は、図 23に示すステップ S440に相当する。

[0139] 次に、分析対象アクセス経路変換手段 4040は、属性利用分析対象アクセス経路 において流通元として記述された属性に対応する設定情報の内容を、属性情報格 納手段 4020が記憶する対応情報 (設定情報と属性情報との対応情報)から検索す る（ステップ D4)。

[0140] 同様に、分析対象アクセス経路変換手段 4040は、属性利用分析対象アクセス経 路において流通先として記述された属性に対応する設定情報の内容を、属性情報 格納手段 4020が記憶する対応情報力も検索する (ステップ D5)。

[0141] 次に、分析対象アクセス経路変換手段 4040は、属性利用分析対象アクセス経路 に途中経路が記述されている力否かを判定する (ステップ D6)。途中経路が記述さ れていなければ、ステップ D8に移行する。途中経路が記述されている場合、分析対 象アクセス経路変換手段 4040は、属性利用分析対象アクセス経路にお!、て途中経 路として記述された属性に対応する設定情報の内容を、属性情報格納手段 4020が 記憶する対応情報力も検索する (ステップ D7)。ステップ D7の後、ステップ D8に移 行する。

[0142] ステップ D8では、分析対象アクセス経路変換手段 4040は、属性によって記述され た属性利用分析対象アクセス経路の流通元、流通先を、それぞれステップ D4, D5 での検索結果に置き換える。また、ステップ D7の処理を行った場合、属性によいって 記述された属性利用分析対象アクセス経路の途中経路を、ステップ D7での検索結 果に置き換える。この結果、属性利用分析対象アクセス経路は、分析対象アクセス経 路に変換される。ステップ D4〜D8の処理は、図 23〖こ示すステップ S450〖こ相当する

[0143] 第 10の実施の形態では、第 3の実施の形態と同様の効果が得られる。また、個別 のファイル名やユーザ IDなどを指定して分析対象アクセス経路を指定するよりも、フ アイルゃユーザ等の属性を指定する方力 オペレータにとって操作し易い。本実施の 形態では、属性を用いて属性利用分析対象アクセス経路を入力し、分析対象ァクセ ス経路に変換するので、オペレータによっての利便性が向上する。その結果、情報 漏洩をより防止しやすくすることができる。

[0144] 第 1の実施の形態から第 5の実施の形態までの各実施の形態においても、分析対 象アクセス経路入力手段 1050の代わりに、属性情報解析手段 4010と、属性情報格 納手段 4020と、属性利用分析対象アクセス経路入力手段 4030と、分析対象ァクセ ス経路変換手段 4040とを備える構成としてもょ 、。

[0145] 上記の各実施の形態において、アクセス経路モデル入力手段 110、設定情報入力 手段 130、分析対象アクセス経路入力手段 1050は、例えば、キーボード等の入力 デバイスと、プログラムに従って動作する CPUとによって実現される。また、情報漏洩 対策案提案手段 3040、結果出力手段 1070、文書一覧表示手段 5020は、例えば 、ディスプレイ装置と、プログラムに従って動作する CPUとによって実現される。設定 変更入力手段 3030、属性利用分析対象アクセス経路入力手段 4030は、例えば、 ディスプレイ装置と、入力デバイスと、プログラムに従って動作する CPUとによって実 現される。アクセス経路モデル格納手段 1040、設定情報格納手段 2010、情報漏洩 対策案格納手段 3010、属性情報格納手段 4020は、例えば、記憶装置によって実 現される。アクセス経路判定手段 1060、設定情報特定手段 2020、情報漏洩対策優 先順位決定手段 210、アクセス経路分析手段 5010は、プログラムに従って動作する CPUによって実現される。対策実行手段 3050、設定情報収集手段 1020は、検証 対象システム 1010との通信のためのインタフェースと、プログラムに従って動作する CPUとによって実現される。属性情報解析手段 4010は、例えば、検証対象システム 1010との通信のためのインタフェースと、プログラムに従って動作する CPUとによつ て実現される。

[0146] また、各実施の形態において、各手段を実現するための CPUを共通とし、その CP Uがプログラムに従って動作する構成としてもよ 、。

[0147] また、第 1から第 5までの各実施の形態および第 10の実施の形態において、検証 対象アクセス経路は、情報漏洩の可能性がある経路を意味していたが、確立されて V、なければならな 、アクセス経路を検証対象アクセス経路として入力し、そのァクセ ス経路がアクセス経路モデル内に表されている力否かを確認する実施形態であって ちょい。

[0148] なお、上記の各実施の形態にお!、て、特許請求の範囲に記載のアクセス経路情報 格納手段は、アクセス経路モデル格納手段によって実現される。同様に、経路判定 手段は、アクセス経路判定手段によって実現される。アクセス経路情報生成手段は、 アクセス経路モデル生成手段によって実現される。経路情報作成手段は、アクセス 経路分析手段によって実現される。表示手段は、文書一覧表示手段によって実現さ れる。属性利用情報漏洩経路情報入力手段は、属性利用分析対象アクセス経路入 力手段によって実現される。情報漏洩経路情報は、分析対象アクセス経路に相当す る。属性利用情報漏洩経路情報は、属性利用分析対象アクセス経路に相当する。 実施例 1

[0149] 次に、具体的な検証対象システムを例示して、本発明の実施例を説明する。図 25 は、検証対象システムの例を示す説明図であり、ネットワーク構成情報に基づいて作 成したアクセス経路モデルによって表している。図 25に示すように、本例での検証対 象システムは、クライアントコンピュータ RD— Cと、部門サーバ RD— Wを備え、その 間をファイアウォール FWで接続したネットワーク構成になって 、るものとする。また、 クライアントコンピュータ RD— Cには、ウェブクライアント（図 25において図示せず。） が導入され、部門サーバ RD— Wには、ウェブサーバとして、 Apache (図 25におい て図示せず。）が導入されているとする。

[0150] 設定情報収集手段 1020は、検証対象システムの設定情報を収集しモデルィ匕する 。まず、ネットワーク構成情報を収集する。検証対象システム力も収集するネットヮー ク構成情報の例を図 26に示す。図 26に示すネットワーク構成情報から生成したァク セス経路モデルは、図 25に示すモデルとなる。このとき、アクセス経路モデル生成手 段 1030は、ネットワーク構成情報内の、ネットワークインタフェースを表す情報（図 26 )を参照し、 hostエレメントが 3つあり、それぞれ FW, RD-C, RD— Wを示していると 判定する。また、 FWを示す hostエレメントには nicエレメントが 2つ含まれていて、他 の 2つの hostエレメントには nicエレメントがそれぞれ 1つ含まれていることを判定する 。アクセス経路モデル生成手段 1030は、この情報力もネットワークノードを作成する 。次に、アクセス経路モデル生成手段 1030は、ネットワークインタフェースの接続情 報を表す情報（図 26)を参照する。なお、ネットワークインタフェースを表す情報内の nicエレメントでは、 IPアドレスとその id番号が示され、ネットワークインタフェースの接 続情報を表す情報では接続される nicの id番号の組が示される。アクセス経路モデル 生成手段 1030は、ネットワークインタフェースの接続情報を表す情報から、どのネッ トワークノード同士が接続されているかを認識し、ネットワークノードを接続するアーク を作成する。

[0151] 図 27は、クライアントコンピュータ RD— C力も収集されるユーザ情報の例を示す。

なお、図 27に示すユーザ情報は、 OSの設定情報である。アクセス経路モデル生成 手段 1030は、このユーザ情報から、「rdc- user- &」と「 0- butyou」の 2つのユーザ ID があることを認識する。そして、 RD—Cのユーザ情報をアクセス経路モデルに反映さ せる。この結果、アクセス経路モデルは、図 28に示すようになる。なお、ここでは、ァク セス経路モデルを図 25や図 28に示すように模式的に示すが、情報漏洩分析システ ムは、例えば XML等によって記述された情報としてアクセス経路モデルを保持する。

[0152] 図 29は、 RD—Cカゝら収集されるファイル情報とアクセス権情報の例を示す。この情 報も、 OSの設定情報である。アクセス経路モデル生成手段 1030は、ファイル情報か ら、ファィノレ/ rdc— user— a— home/と、フアイノレ/ rdc— user— butyou— home/ ^識する。ま た、アクセス経路モデル生成手段 1030は、アクセス権情報から、ファイル/ rdc-user- a-home/について、その作成者であるユーザ rdc-user-aにフルアクセスの権限 (書き 込み権限、読み込み権限)が与えられていることを認識する。同様に、ファイル/ rdc-u ser- butyou- home/につ 、て、その作成者であるユーザ user- butyouにフルアクセスの 権限 (書き込み権限、読み込み権限)が与えられていることを認識する。そして、フアイ ル情報と、アクセス権情報をアクセス経路モデルに反映させる。図 30は、ファイル情 報とアクセス権情報を反映したアクセス経路モデルの例を示す。図 30では、ユーザ 力もファイルに向力 実線矢印が書き込み権限を表し、ファイル力もユーザに向かう 実線矢印が読み込み権限を表して 、る。

[0153] 次に、アクセス経路モデル生成手段 1030は、ウェブクライアントの設定情報カもァ クセス経路モデルを作成する。ウェブクライアントは、一般にウェブサーバの 80番ポー トにアクセスできることから図 31に示すアクセス経路モデルを作成することができる。 [0154] さらに、アクセス経路モデル生成手段 1030は、ウェブクライアントの設定情報から 作成したアクセス経路モデルと、 OSの設定情報力 作成したアクセス経路モデルの うち、対応する箇所を接続する。すると、アクセス経路モデルは、図 32に示すモデル となる。図 32において、端部を菱形で表した実線は、別名定義を表している。

[0155] 図 33は、部門サーバ RD— Wの OSの設定情報であるユーザ情報の例を示す。ァ クセス経路モデル生成手段 1030は、このユーザ情報から、 RD—Wのユーザとして ユーザ apacheを認識する。アクセス経路モデル生成手段 1030は、このユーザ情報を モデル化し、アクセス経路モデルに追加する。すると、アクセス経路モデルは、図 34 に示すモデルとなる。

[0156] 図 35は、 RD—Wのファイル情報とアクセス権情報の例を示す。図 35に示す情報 は、 OSの設定情報である。アクセス経路モデル生成手段 1030は、このファイル情報 およびアクセス権情報をアクセス経路モデルに反映させる。この場合の、アクセス経 路モデルの例を図 36に示す。ただし、図 36では、便宜上、図 35で示されたファイル の一部のみを示している。

[0157] 図 37は、アパッチの設定情報の例を示す。図 37に示すように、アパッチの設定情 報は、ネットワーク情報、ユーザ情報、ファイル情報、アクセス権情報を含む。アクセス 経路モデル生成手段 1030は、アパッチの設定情報をモデルィ匕し、アクセス経路モ デルに追加する。このとき、アクセス経路モデル生成手段 1030は、図 37に示すネッ トワーク情報から、アパッチのネットワークノード「dstport:80」を作成する。また、図 37 に示すユーザ情報から、アパッチの「_user:apache」を作成し、 OSの設定情報力 作 成した「user: apache」との間のアークを作成する。また、図 37に示すファイル情報か ら、アパッチのファイルノードを作成し、 OSの設定情報力も作成したファイルノードと の間のアークを作成する。また、図 37に示すアクセス権情報から、アパッチのユーザ とファイルとの間のアークを作成する。この結果を、図 38に示す。なお、図 38におい て、 apacheのアクセス経路モデル内にファイル「/index.html」、「/leader/index.html」 が含まれている。「/index.html」は、図 37における行番号 10のファイル情報と、図 35 における 3行目のファイル情報とによって導出される。同様に、「/leader/index.html」 は、図 37における行番号 40のファイル情報と、図 35における 4行目および 5行目の ファイル情報とによって導出される。

[0158] 図 39は、ファイアウォールのアクセス権情報の例を示す。 39に示すアクセス権情報 は、 IPアドレス「10.56.2.5」から IPアドレス「10.56.1.105

」への 80番ポートへのアクセスが許可されて!、ることを表して!/、る。フィルタリング設定 を反映したアクセス経路モデルの例を図 40に示す。

[0159] アクセス経路モデル生成手段 1030は、以上のようにモデル化したアクセス経路モ デルをアクセス経路モデル格納手段 1030に格納する。既に説明したように、ァクセ ス経路モデルは、 XML等で記述された情報として情報漏洩分析システムに保持され る。図 41は、アクセス経路モデル格納手段 1030に格納されたアクセス経路モデル の例を示している。ただし、図 41では、アクセス経路モデル全体を表す XML形式の 記述のうち一部を抜粋して示している。図 41に示すように、ノードには、 IPアドレスを 格納した ip属性と、個々のノードを区別する IDを格納した id属性が含まれる。図 41に 示すアクセス経路モデルの記述は、 FWの設定力 作成されたモデルに 2つのネット ワークノード（ίρ="10.56.2.Γと ip="10.56.3.1")力 Sあることを示している。また、アプリケ ーシヨンの設定情報から作成されたモデルでは、 2つのネットワークノードと、これらの ネットワークノードの関係を表すアークを示している。アークは、 type属性と、 from属性 と、 to属性とを含む。 type属性はアークの種類を表す。 from属性は、アークの始点とな るノードの IDを表す。 to属性は、アークの終点となるノードの IDを表す。図 41では、 アクセス経路モデルの一部の記述を示した力 アクセスモデル全体の記述は、例え ば、図 42に示すような記述となる。

[0160] 図 43は、分析対象アクセス経路入力手段 1050が入力する分析対象アクセス経路 の例を示す説明図である。図 43に示す分析対象アクセス経路は、ファイル「10.56.3. 105/var/www/leader/index.html」をホスト「10.56.2.5」のユーザ「rdc- user- a」が 80番 ポートを使って読んでは 、けな 、ことをあらわして 、る。

[0161] 図 44は、アクセス経路判定手段 1060が分析対象アクセス経路とアクセス経路モデ ルとに基づいて、情報漏洩の可能性のある経路として判定した判定結果を示す。図 4 4において、情報漏洩の可能性のある経路は、破線で示している。この破線で示した 経路は、ホスト「10.56.3.105」のファイル「/var/www/leader/index.html」をホスト「10.5 6.2.5」のユーザ「rdc-user-a」が 80番ポートを使って読むことができてしまい、情報漏 洩の可能性があることを表している。つまり、ホスト「10.56.3.105」のファイル「/var/ww w/leader/index.htmljが漏洩する可能性があることを表して 、る。

[0162] 結果出力手段 1070は、図 44に示すアクセス経路モデルを表示して、オペレータ（ 検証者）に提示する。検証者は、図 44に例示するようなアクセス経路モデルを見るこ とで、分析対象アクセス経路にマッチする経路 (すなわち、情報漏洩の可能性のある 経路）上のファイルを特定することができる。また、情報漏洩の可能性のある経路も表 示されているため、検証者は、その経路に関する設定のうち、適当な設定を変更する ことができる。その結果、情報漏洩を未然に防止する設定変更を速やかに行うことが できる。

実施例 2

[0163] 実施例 1で示した検証対象システムを用いて、実施例 2を示す。また、検証対象シ ステム力 収集した設定情報に基づ 、て生成されるアクセス経路生成モデルも、実 施例 1と同様であるとする。本実施例では、生成したアクセス経路モデルを格納する とともに、設定情報も格納し、情報漏洩対策案を提示する場合について説明する。

[0164] 図 45および図 46は、設定情報収集手段 1020に収集された設定情報からモデル ィ匕されたアクセス経路モデルに設定情報を付加した情報の例を示す。図 45および図 46に例示する情報は、アクセス経路モデル生成手段 1030によって設定情報格納手 段 2010に格納される。図 45および図 46に示す設定情報 (アクセス経路モデルに付 加された設定情報）は、その設定情報が格納されていた場所 (ホスト名、ファイル名） や、ファイル中の位置等の情報を含む。

[0165] 設定情報特定手段 2020は、情報漏洩を引き起こすと判定された設定情報の特定 を行う。すなわち、情報漏洩の可能性がある経路のアクセス経路モデルに対応付け られた設定情報を特定し、設定情報格納手段 2010から抽出する。例えば、図 44に 破線で示す経路のアクセス経路モデルに対応付けられた設定情報を設定情報格納 手段 2010から抽出する。具体例を挙げると、図 44において破線で示したアクセス経 路モデルには、ファイル「/leader/index.html」とユーザ apacheとの間のアークが含ま れる。このアークは、図 46に示す apacheのアクセス権情報から生成されたものである 。設定情報特定手段 2020は、このアークに対応する設定情報として、図 46に例示 する設定情報を抽出する。図 44に破線で示したアクセス経路の場合、同様に、クライ アント RD— Cのユーサ rdc— user— aと、ファィノレ/ rdc— user— a— home/

と、その間のアーク (ファイルアクセス権)と、ウェブクライアント中の要素と、ファイアゥォ ール FWのフィルタリングルール「10.56.2.5,*,10.56.3.105,*」と、部門サーバ RD— D の apacheのネットワーク 80と、ファイル/ leader/index.htmlなどについて、それぞれの モデルに対応する設定情報を抽出する。

[0166] 情報漏洩対策案提案手段 3040は、情報漏洩対策案格納手段 3010から情報漏洩 対策案 (設定情報の変更候補)を取り出し、表示する。図 47は、情報漏洩対策案を 表示するためのユーザインタフェース（以下、 UIと記す。）の例を示す。図 47に例示 する UIでは、情報漏洩を引き起こすと判定された設定情報がそれぞれ「現在の設定 」として表示される。そして、各設定情報に対応して、「修正」ボタン、「変更候補」の表 示欄、「実行」ボタンが表示される。初期表示状態において、「変更候補」の表示欄に 変更候補が表示されない場合があってもよい。特に、ユーザによる決定項目が多いと 考えられる変更候補については、初期表示状態において表示しなくてもよい。各変 更候補が、初期表示状態において表示される力否かは、予め定めておけばよい。本 実施例では、図 47に示す UI上でオペレータが変更候補の編集を行うことはできな ヽ ものとする。「修正」ボタンが選択 (例えば、マウスクリック等による選択)されると、設定 変更入力手段 3030は、そのボタンに対応する変更候補の編集画面を表示する。図 47に示す UIにおいて、変更候補が表示されていな力つた場合、設定変更入力手段 3030は、選択された「修正」ボタンに対応する「現在の設定」に応じた変更候補を、 情報漏洩対策案格納手段 3010から取り出し、その変更候補を編集画面上に表示す る。

[0167] 図 48は、図 47において一番下に示した「修正」ボタンが選択されたときの表示画面 の例を示す。設定変更入力手段 3030は、「現在の設定」に応じた情報漏洩対策案 を取り出し、「変更候補」の表示欄に表示する（図 48参照。 )₀設定変更入力手段 30 30は、例えば、この画面を表示するディスプレイ装置と、キーボード等の入力デバィ スと、 CPUによって実現される。そして、設定変更入力手段 3030は、表示した変更 候補の修正操作が行われた場合には、その操作に応じて、変更候補の表示を更新 する。すなわち、オペレータは、キーボード等を用いて、表示された変更候補を編集 することができる。図 48に示す画面において「キャンセル」ボタンが選択されると、情 報漏洩対策案提案手段 3040は、前画面（図 47参照。）を再度表示する。図 48に示 す画面にお 、て「決定」ボタンが選択されると、情報漏洩対策案提案手段 3040は、 図 48において「変更候補」として表示した内容を反映させて、再度 UIを表示する。こ の UIの画面を図 49に示す。図 47に示す UIでは、一番下の「変更候補」の表示欄に は何も表示されて 、な 、状態であつたが、「修正」ボタンの選択により変更候補が表 示され（図 48参照。）、図 48に示す決定ボタンが選択されることにより、図 49に示す ように、一番下の「変更候補」の表示欄に変更候補が表示された状態になる。また、 図 48に示す画面で、オペレータによる変更候補の編集が行われた場合、その編集 結果が図 49に示す UIに表示される。

[0168] 図 47,図 49に例示する UIにおいて、表示済みの変更候補に対応する「実行」ボタ ンが選択されると、対策実行手段 3050は、情報漏洩対策案格納手段 3010に格納 された実行方法で、変更候補として示された設定を検証対象システムに施す。例え ば、図 49に例示する表示状態で、一番下の「実行」ボタンが選択されたとする。この 場合、対策実行手段 3050は、一番下の「実行」ボタンとともに表示された「変更候補 」を用いて、 apache設定ファイルを部分的に書き換え、サーバを再起動する。図 49 の一番下に表示された変更候補を用いて部分的に書き換えられた apache設定ファ ィルの例を図 50に示す。図 50に示す行番号 51〜60の部分力 書き換えられた箇 所である。

[0169] このように、検証者は、分析対象アクセス経路を入力することで、情報漏洩を引き起 こす可能性のあるファイルを容易に発見することができる。また、情報漏洩対策案提 案手段 3040により、情報漏洩を防止する方法を複数表示可能であるので、効果的と 考えられる対策をすばやぐ容易に実行することができる。このことにより、情報漏洩 を未然に防止することができる。

実施例 3

[0170] 実施例 3では、実施例 2と同様の検証対象システムを用いて説明する。また、ァクセ ス経路モデルとともに設定情報を格納する態様も、実施例 2と同様であるものとする。 実施例 3では、情報漏洩対策優先順位決定手段 210が、情報漏洩対策案に対し順 位付けを行う場合を示す。

[0171] 図 44に示す情報漏洩の可能性のある経路（図 44において破線で示した経路）に 関して、情報漏洩対策優先順位決定手段 210は、例えば、情報漏洩の可能性のあ る情報漏洩ファイル 5010 (/var/www/leader/index.html)、情報漏洩ファイル 5010 へのアクセス権を示すアーク 5020、情報漏洩ファイルへのアクセス権を有するユー ザ 5030 (user:apache)、アパッチの実行ユーザ設定の user:apache5040、アパッチの アクセス権設定 5050の順に順位付けする。情報漏洩対策案提案手段 3040は、順 位付けられた各モデルに対応する設定情報を順位に従って「現在の設定」として表 示し、その設定に対応する変更候補を表示する。実施例 2と同様に、初期表示状態 にお 、て表示されな!、変更候補があってもよ!、。情報漏洩対策優先順位決定手段 2 10が決定した順位に従って、変更候補を表示した画面の例を図 51に示す。ただし、 図 51では、「修正」ボタンが選択され編集などが行われて、各変更候補が表示されて いる状態を示している。この状態の後、「実行」ボタンが選択されたときの動作は、実 施例 2と同様である。

[0172] 本実施例では、実施例 2と同様の効果が得られる。特に、最も効果的と考えられる 対策をすばやぐ容易に実行することができる。

実施例 4

[0173] 実施例 4では、第 9の実施の形態の動作の例を示す。本例では、実施例 1〜3と同 様のアクセス経路モデルがアクセス経路モデル格納手段 1040に格納されているも のとする。アクセス経路分析手段 5010は、ファイル/ var/www/leader/index.html (図 44参照。）を流通元または、途中のノードとし、すべてのユーザ、ファイルを流通元、 流通先とする分析対象アクセス経路を作成する。次に、アクセス経路判定手段 1060 が全ての経路の有無を判定する。次に、情報漏洩対策優先順位決定手段 210は、 アクセス経路判定手段 1060によって判定された経路の本数を数える。図 44に例示 するモデルの場合、 14本となる。同様に、情報漏洩経路中のすべての要素について 、経路を数える。このようにして数えた経路の少ない順に、設定変更案の順位とする。 この後の手順は、実施例 2と同様である。

[0174] なお、実施例 2や実施例 3等では、図 47に例示する UIを用いて説明した。変更候 補を表示する UIにおいて、設定情報を記述した設定ファイル名を表示してもよい。図 52は、そのような UIの例を示す。図 52に示す UIでは、「実行」ボタン、設定ファイル 名、現在の設定、変更候補、「修正」ボタンを組にして表示している。

[0175] 本発明によれば、ファイルを格納するシステムの設定状況に応じて、情報漏洩の可 能性を判定することができる。また、ファイルが漏洩することを未然に防止することが できる。また、漏洩する可能性のあるファイルがどこに格納されているファイルである の力、あるいは、そのファイルの漏洩の起因となる設定等を特定することができる。 産業上の利用可能性

[0176] 本発明は、ファイル漏洩の可能性の検証に適用することができる。

Claims

請求の範囲

[1] ファイルを格納するシステムに格納されるファイルと、当該ファイルにアクセス可能な ユーザまたは当該ファイルの内容をコピー可能な他のファイルと、前記ユーザまたは 前記他のファイルから前記システムに格納されるファイルへのアクセス経路を表現し たアクセス経路情報を記憶するアクセス経路情報格納手段と、

前記システムにおけるネットワーク構成、前記システムに格納されたファイルのファ ィル名および格納場所、前記システムに搭載されたオペレーティングシステムまたは アプリケーションを利用するユーザに関する情報を含む設定情報を記憶する設定情 報格納手段と、

情報漏洩の可能性がある経路を表す情報漏洩経路情報と前記アクセス経路情報と を照合して、前記情報漏洩経路情報によって表される経路が前記アクセス経路情報 内に表されて!/ヽるか否かを判定する経路判定手段と、

前記情報漏洩経路情報によって表される経路が前記アクセス経路情報内に表され ていると判定された場合に、当該経路に対応付けられた設定情報を特定し、当該設 定情報を前記設定情報格納手段から読み込む設定情報特定手段と、

前記設定情報を出力する結果出力手段と

を備えたことを特徴とする情報漏洩分析システム。

[2] 情報漏洩の可能性がある経路を遮断する設定案を、設定情報の記載内容に対応 付けて記憶する情報漏洩対策案格納手段と、

設定情報特定手段が特定した設定情報の内容に対応付けられた設定案を情報漏 洩対策案格納手段から読み込んで出力する情報漏洩対策案提案手段とを備えた 請求項 1に記載の情報漏洩分析システム。

[3] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ設定案に 応じて、ファイルを格納するシステムの設定を変更する対策実行手段を備えた 請求項 2に記載の情報漏洩分析システム。

[4] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ設定案を 表示して、当該設定案に対する編集操作を促すユーザインタフェースを表示し、当 該ユーザインタフェースで前記設定案に対する編集操作が行われた場合、前記編集 操作に応じて前記設定案を更新する設定変更入力手段を備えた

請求項 2に記載の情報漏洩分析システム。

[5] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ各設定案 に対して、各設定案に応じてシステムの設定を変更した場合におけるシステムへの 影響が少ないと判定される順に順位を決定する情報漏洩対策案優先順位決定手段 を備え、

情報漏洩対策案提案手段は、情報漏洩対策案優先順位決定手段に決定された順 位に従って前記各設定案を表示する

請求項 2に記載の情報漏洩分析システム。

[6] 情報漏洩経路情報を入力する情報漏洩経路情報入力手段を備えた

請求項 1に記載の情報漏洩分析システム。

[7] 情報漏洩の可能性がある経路における流通元と流通先をファイルまたはユーザの 属性によって表した属性利用情報漏洩経路情報を入力する属性利用情報漏洩経路 情報入力手段と、

ファイルまたはユーザの属性と、当該属性を有するファイルまたはユーザの情報と の対応関係を記憶する属性情報格納手段と、

前記対応関係を参照して、属性利用情報漏洩経路情報に含まれる属性をファイル またはユーザの情報に置き換えることにより、属性利用情報漏洩経路情報を情報漏 洩経路情報に変換する変換手段とを備えた

請求項 1に記載の情報漏洩分析システム。

[8] ファイルを格納するシステム力 設定情報を収集し、前記設定情報に記述された内 容の属性を解析し、前記設定情報に記述された内容と、解析によって特定した属性 との対応関係を属性情報格納手段に記憶させる属性情報解析手段を備えた 請求項 7に記載の情報漏洩分析システム。

[9] ファイルを格納するシステムにおけるネットワーク構成、前記システムに格納された ファイルのファイル名および格納場所、前記システムに搭載されたオペレーティング システムまたはアプリケーションを利用するユーザに関する情報を含む設定情報を前 記システムから収集する設定情報収集手段と、 前記システムに格納されるファイルと、当該ファイルにアクセス可能なユーザまたは 当該ファイルの内容をコピー可能な他のファイルと、前記ユーザまたは前記他のファ ィルカ 前記システムに格納されるファイルへのアクセス経路を表現したアクセス経 路情報を、前記設定情報に基づ!、て生成するアクセス経路情報生成手段と、 情報漏洩の可能性がある経路を表す情報漏洩経路情報と前記アクセス経路情報と を照合して、前記情報漏洩経路情報によって表される経路が前記アクセス経路情報 内に表されて!/ヽるか否かを判定する経路判定手段と、

前記情報漏洩経路情報によって表される経路が前記アクセス経路情報内に表され ていると判定された場合に、当該経路の情報を出力する結果出力手段と

を備えたことを特徴とする情報漏洩分析システム。

[10] アクセス経路情報生成手段がアクセス経路情報を生成する際に用いた設定情報を 、前記アクセス経路情報との対応関係を示す情報とともに記憶する設定情報格納手 段と、

情報漏洩経路情報によって表される経路が前記アクセス経路情報内に表されてい ると判定された場合に、当該経路に対応付けられた設定情報を特定し、当該設定情 報を前記設定情報格納手段から読み込む設定情報特定手段とを備え、

前記結果出力手段は、前記設定情報特定手段が特定した設定情報を出力する 請求項 9に記載の情報漏洩分析システム。

[11] 情報漏洩の可能性がある経路を遮断する設定案を、設定情報の記載内容に対応 付けて記憶する情報漏洩対策案格納手段と、

設定情報特定手段が特定した設定情報の内容に対応付けられた設定案を情報漏 洩対策案格納手段から読み込んで出力する情報漏洩対策案提案手段とを備えた 請求項 10に記載の情報漏洩分析システム。

[12] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ設定案に 応じて、ファイルを格納するシステムの設定を変更する対策実行手段を備えた 請求項 11に記載の情報漏洩分析システム。

[13] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ設定案を 表示して、当該設定案に対する編集操作を促すユーザインタフェースを表示し、当 該ユーザインタフェースで前記設定案に対する編集操作が行われた場合、前記編集 操作に応じて前記設定案を更新する設定変更入力手段を備えた

請求項 11に記載の情報漏洩分析システム。

[14] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ各設定案 に対して、各設定案に応じてシステムの設定を変更した場合におけるシステムへの 影響が少ないと判定される順に順位を決定する情報漏洩対策案優先順位決定手段 を備え、

情報漏洩対策案提案手段は、情報漏洩対策案優先順位決定手段に決定された順 位に従って前記各設定案を表示する

請求項 11に記載の情報漏洩分析システム。

[15] 情報漏洩経路情報を入力する情報漏洩経路情報入力手段を備えた

請求項 9に記載の情報漏洩分析システム。

[16] 情報漏洩の可能性がある経路における流通元と流通先をファイルまたはユーザの 属性によって表した属性利用情報漏洩経路情報を入力する属性利用情報漏洩経路 情報入力手段と、

ファイルまたはユーザの属性と、当該属性を有するファイルまたはユーザの情報と の対応関係を記憶する属性情報格納手段と、

前記対応関係を参照して、属性利用情報漏洩経路情報に含まれる属性をファイル またはユーザの情報に置き換えることにより、属性利用情報漏洩経路情報を情報漏 洩経路情報に変換する変換手段とを備えた

請求項 9に記載の情報漏洩分析システム。

[17] ファイルを格納するシステム力 設定情報を収集し、前記設定情報に記述された内 容の属性を解析し、前記設定情報に記述された内容と、解析によって特定した属性 との対応関係を属性情報格納手段に記憶させる属性情報解析手段を備えた 請求項 16に記載の情報漏洩分析システム。

[18] ファイルを格納するシステムに格納されるファイルと、当該ファイルにアクセス可能な ユーザまたは当該ファイルの内容をコピー可能な他のファイルと、前記ユーザまたは 前記他のファイルから前記システムに格納されるファイルへのアクセス経路を表現し たアクセス経路情報を記憶するアクセス経路情報格納手段と、

アクセス経路情報に含まれる任意のファイルを流通元として指定し、アクセス経路情 報に含まれる任意のユーザまたはファイルを流通先として指定する経路情報を作成 する経路情報作成手段と、

前記経路情報作成手段によって作成された経路情報が指定する流通元から流通 先への経路が前記アクセス経路情報に表されているか否かを判定する経路判定手 段と、

前記アクセス経路情報に表されていると判定された経路情報が指定する流通元の ファイルと、流通先のファイルまたはユーザと、前記流通元と前記流通先との間の経 路を表示する表示手段とを備えた

ことを特徴とする情報漏洩分析システム。

[19] ファイルを格納するシステムにおけるネットワーク構成、前記システムに格納された ファイルのファイル名および格納場所、前記システムに搭載されたオペレーティング システムまたはアプリケーションを利用するユーザに関する情報を含む設定情報を記 憶する設定情報格納手段と、

経路情報作成手段によって作成された経路情報が指定する流通元から流通先へ の経路がアクセス経路情報に表されていると判定された場合に、当該経路に対応付 けられた設定情報を特定し、当該設定情報を前記設定情報格納手段から読み込む 設定情報特定手段と、

前記設定情報を出力する結果出力手段とを備えた

請求項 18に記載の情報漏洩分析システム。

[20] 情報漏洩の可能性がある経路を遮断する設定案を、設定情報の記載内容に対応 付けて記憶する情報漏洩対策案格納手段と、

設定情報特定手段が特定した設定情報の内容に対応付けられた設定案を情報漏 洩対策案格納手段から読み込んで出力する情報漏洩対策案提案手段とを備えた 請求項 19に記載の情報漏洩分析システム。

[21] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ設定案に 応じて、ファイルを格納するシステムの設定を変更する対策実行手段を備えた 請求項 20に記載の情報漏洩分析システム。

[22] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ設定案を 表示して、当該設定案に対する編集操作を促すユーザインタフェースを表示し、当 該ユーザインタフェースで前記設定案に対する編集操作が行われた場合、前記編集 操作に応じて前記設定案を更新する設定変更入力手段を備えた

請求項 20に記載の情報漏洩分析システム。

[23] 情報漏洩対策案提案手段が情報漏洩対策案格納手段から読み込んだ各設定案 に対して、各設定案に応じてシステムの設定を変更した場合におけるシステムへの 影響が少ないと判定される順に順位を決定する情報漏洩対策案優先順位決定手段 を備え、

情報漏洩対策案提案手段は、情報漏洩対策案優先順位決定手段に決定された順 位に従って前記各設定案を表示する

請求項 20に記載の情報漏洩分析システム。

[24] アクセス経路情報格納手段が、ファイルを格納するシステムに格納されるファイルと 、当該ファイルにアクセス可能なユーザまたは当該ファイルの内容をコピー可能な他 のファイルと、前記ユーザまたは前記他のファイルから前記システムに格納されるファ ィルへのアクセス経路を表現したアクセス経路情報を記憶し、

設定情報格納手段が、前記システムにおけるネットワーク構成、前記システムに格 納されたファイルのファイル名および格納場所、前記システムに搭載されたオペレー ティングシステムまたはアプリケーションを利用するユーザに関する情報を含む設定 情報を記憶し、

経路判定手段が、情報漏洩の可能性がある経路を表す情報漏洩経路情報と前記 アクセス経路情報とを照合して、前記情報漏洩経路情報によって表される経路が前 記アクセス経路情報内に表されている力否かを判定し、

設定情報特定手段が、前記情報漏洩経路情報によって表される経路が前記ァクセ ス経路情報内に表されていると判定された場合に、当該経路に対応付けられた設定 情報を特定し、当該設定情報を前記設定情報格納手段から読み込み、

結果出力手段が、前記設定情報を出力する ことを特徴とする情報漏洩分析方法。

[25] 設定情報収集手段が、ファイルを格納するシステムにおけるネットワーク構成、前記 システムに格納されたファイルのファイル名および格納場所、前記システムに搭載さ れたオペレーティングシステムまたはアプリケーションを利用するユーザに関する情 報を含む設定情報を前記システムから収集し、

アクセス経路情報生成手段が、前記システムに格納されるファイルと、当該ファイル にアクセス可能なユーザまたは当該ファイルの内容をコピー可能な他のファイルと、 前記ユーザまたは前記他のファイル力 前記システムに格納されるファイルへのァク セス経路を表現したアクセス経路情報を、前記設定情報に基づ 、て生成し、 経路判定手段が、情報漏洩の可能性がある経路を表す情報漏洩経路情報と前記 アクセス経路情報とを照合して、前記情報漏洩経路情報によって表される経路が前 記アクセス経路情報内に表されている力否かを判定し、

結果出力手段が、前記情報漏洩経路情報によって表される経路が前記アクセス経 路情報内に表されていると判定された場合に、当該経路の情報を出力する

ことを特徴とする情報漏洩分析方法。

[26] アクセス経路情報格納手段が、ファイルを格納するシステムに格納されるファイルと 、当該ファイルにアクセス可能なユーザまたは当該ファイルの内容をコピー可能な他 のファイルと、前記ユーザまたは前記他のファイルから前記システムに格納されるファ ィルへのアクセス経路を表現したアクセス経路情報を記憶し、

経路情報作成手段が、アクセス経路情報に含まれる任意のファイルを流通元として 指定し、アクセス経路情報に含まれる任意のユーザまたはファイルを流通先として指 定する経路情報を作成し、

経路判定手段が、前記経路情報作成手段によって作成された経路情報が指定す る流通元から流通先への経路が前記アクセス経路情報に表されているか否かを判定 し、

表示手段が、前記アクセス経路情報に表されていると判定された経路情報が指定 する流通元のファイルと、流通先のファイルまたはユーザと、前記流通元と前記流通 先との間の経路を表示する ことを特徴とする情報漏洩分析方法。

[27] ファイルを格納するシステムに格納されるファイルと、当該ファイルにアクセス可能な ユーザまたは当該ファイルの内容をコピー可能な他のファイルと、前記ユーザまたは 前記他のファイルから前記システムに格納されるファイルへのアクセス経路を表現し たアクセス経路情報を記憶するアクセス経路情報格納手段と、前記システムにおける ネットワーク構成、前記システムに格納されたファイルのファイル名および格納場所、 前記システムに搭載されたオペレーティングシステムまたはアプリケーションを利用す るユーザに関する情報を含む設定情報を記憶する設定情報格納手段とを備えたコン ピュータに搭載される情報漏洩分析プログラムであって、

前記コンピュータに、

情報漏洩の可能性がある経路を表す情報漏洩経路情報と前記アクセス経路情報と を照合して、前記情報漏洩経路情報によって表される経路が前記アクセス経路情報 内に表されて!/、るか否かを判定する経路判定処理、

前記情報漏洩経路情報によって表される経路が前記アクセス経路情報内に表され ていると判定された場合に、当該経路に対応付けられた設定情報を特定し、当該設 定情報を前記設定情報格納手段から読み込む設定情報特定処理、および

前記設定情報を出力する結果出力処理

を実行させるための情報漏洩分析プログラム。

[28] コンピュータに、

ファイルを格納するシステムにおけるネットワーク構成、前記システムに格納された ファイルのファイル名および格納場所、前記システムに搭載されたオペレーティング システムまたはアプリケーションを利用するユーザに関する情報を含む設定情報を前 記システムカゝら収集する設定情報収集処理、

前記システムに格納されるファイルと、当該ファイルにアクセス可能なユーザまたは 当該ファイルの内容をコピー可能な他のファイルと、前記ユーザまたは前記他のファ ィルカ 前記システムに格納されるファイルへのアクセス経路を表現したアクセス経 路情報を、前記設定情報に基づ!、て生成するアクセス経路情報生成処理、

情報漏洩の可能性がある経路を表す情報漏洩経路情報と前記アクセス経路情報と を照合して、前記情報漏洩経路情報によって表される経路が前記アクセス経路情報 内に表されて

いる力否かを判定する経路判定処理、および

前記情報漏洩経路情報によって表される経路が前記アクセス経路情報内に表され ていると判定された場合に、当該経路の情報を出力する結果出力処理

を実行させるための情報漏洩分析プログラム。

ファイルを格納するシステムに格納されるファイルと、当該ファイルにアクセス可能な ユーザまたは当該ファイルの内容をコピー可能な他のファイルと、前記ユーザまたは 前記他のファイルから前記システムに格納されるファイルへのアクセス経路を表現し たアクセス経路情報を記憶するアクセス経路情報格納手段を備えたコンピュータに 搭載される情報漏洩分析プログラムであって、

前記コンピュータに、

アクセス経路情報に含まれる任意のファイルを流通元として指定し、アクセス経路情 報に含まれる任意のユーザまたはファイルを流通先として指定する経路情報を作成 する経路情報作成処理、

前記経路情報作成処理で作成された経路情報が指定する流通元から流通先への 経路が前記アクセス経路情報に表されて 、る力否かを判定する経路判定処理、およ び

前記アクセス経路情報に表されていると判定された経路情報が指定する流通元の ファイルと、流通先のファイルまたはユーザと、前記流通元と前記流通先との間の経 路を表示する表示処理

を実行させるための情報漏洩分析プログラム。