Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5284012B2 - Client / server system and client / server system audit method - Google Patents
[go: Go Back, main page]

JP5284012B2 - Client / server system and client / server system audit method - Google Patents

Client / server system and client / server system audit method Download PDF

Info

Publication number
JP5284012B2
JP5284012B2 JP2008222707A JP2008222707A JP5284012B2 JP 5284012 B2 JP5284012 B2 JP 5284012B2 JP 2008222707 A JP2008222707 A JP 2008222707A JP 2008222707 A JP2008222707 A JP 2008222707A JP 5284012 B2 JP5284012 B2 JP 5284012B2
Authority
JP
Japan
Prior art keywords
client
audit
log
server system
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008222707A
Other languages
Japanese (ja)
Other versions
JP2010055566A (en
Inventor
敦史 浅山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2008222707A priority Critical patent/JP5284012B2/en
Publication of JP2010055566A publication Critical patent/JP2010055566A/en
Application granted granted Critical
Publication of JP5284012B2 publication Critical patent/JP5284012B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Description

この発明は、セキュリティ対策を施したクライアント/サーバシステムとクライアント/サーバシステムの監査方法に関する。   The present invention relates to a client / server system to which security measures are taken and a client / server system auditing method.

ネットワークに接続されたサーバ装置と、このサーバ装置の管理の下、同様にネットワークに接続されたクライアント装置からなるクライアント/サーバ型のシステムにおいて、セキュリティ対策を実施する場合、セキュリティ対策ソフトの導入等により対応することが多いが、従来のセキュリティ対策ソフトにおいては、クライアント装置にインストールされた監視モジュールが、クライアント装置の監視を行い、サーバ装置は、クライアント装置より送られてきたログを監査モジュールで監査していた。   When implementing security measures in a client / server system consisting of a server device connected to the network and a client device connected to the network under the control of this server device, the security measures must be implemented. In many cases, the security module installed in the client device monitors the client device, and the server device audits the log sent from the client device with the audit module. It was.

上記では、監視エージェントが、監視対象装置からアラートを取得した場合、一定期間に亘って定期的周期よりも短い周期で動作確認の通知を行なうようにしている(特許文献1参照)。   In the above, when the monitoring agent acquires an alert from the monitoring target device, the operation confirmation is notified at a cycle shorter than the periodic cycle over a certain period (see Patent Document 1).

しかし、クライアント装置が何十、何百台とあり、またログのファイルサイズも大きい場合、監査対象となるログは膨大になってしまい、そのため、迅速に情報漏洩に繋がる行為を検出しようとすると、監査周期を短くしなければならないが、サーバ装置の負荷が大きくなってしまう。   However, if there are dozens or hundreds of client devices and the log file size is large, the log to be audited becomes enormous, so if you try to quickly detect an action that leads to information leakage, Although the audit cycle must be shortened, the load on the server device increases.

また、モバイルPCで無線LANを利用し、持ち出しを行っていて、クライアント装置がサーバ装置に一定時間アクセス出来ない場合に、クライアント装置からサーバ装置へのログが送信できないため、最新のログの監査ができないという問題があり、システムの脆弱性が問題視されるようになってきた。
特開2006−221484号公報
In addition, when a mobile PC uses a wireless LAN and is taken out and the client device cannot access the server device for a certain period of time, the log from the client device to the server device cannot be transmitted. There is a problem that cannot be done, and the vulnerability of the system has been regarded as a problem.
JP 2006-221484 A

この発明の目的は、クライアント/サーバシステムのセキュリティ対策においてサーバ装置の監査処理内容を少なくし、サーバ装置の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置を素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することにある。   An object of the present invention is to reduce the contents of audit processing of a server device in a security measure of a client / server system, reduce the processing load of the server device, and quickly find a client device that violates a security policy and prevent information leakage. The object is to provide a client / server system and an audit method for the client / server system.

上記目的を達成するため、本発明のクライアント/サーバシステムは、複数のクライアントと、サーバとがネットワークを介して接続されたクライアント/サーバシステムであって、前記クライアントは、前記クライアントのログを作成する監視手段と、第1の周期で前記監視手段が作成した前記ログに基づいて、少なくとも不正メール送信、外部メモリへのファイルコピーを含む情報漏洩に繋がる緊急性の高いログを監視する一次監査手段と、を具備し、前記サーバは、前記第1の周期よりも長い周期の第2の周期で前記監視手段が取得した前記ログに基づいて、少なくともWEB操作、ログオン・ログオフ操作、ゲームソフト実行を含む緊急性の低いログを監視する二次監査手段と、前記一次監査手段と前記二次監査手段との監査結果に基づいて、予め登録されたセキュリティ違反頻度を超えたクライアントをブラックリストに登録するブラックリスト作成手段と、を具備し、前記二次監査手段は前記ブラックリストに登録されたクライアントから優先的に監査を実施することを特徴とするものである。 In order to achieve the above object, a client / server system of the present invention is a client / server system in which a plurality of clients and a server are connected via a network, and the client creates a log of the client. Monitoring means, and primary audit means for monitoring a highly urgent log that leads to information leakage including at least unauthorized mail transmission and file copying to an external memory, based on the log created by the monitoring means in the first period; The server includes at least a WEB operation, a logon / logoff operation, and a game software execution based on the log acquired by the monitoring unit in a second period longer than the first period. a secondary inspection means for monitoring a low urgency log, audit results between the primary verification unit said secondary verification unit Zui, the pre-registered clients beyond the security violation frequency comprises a black list creation means for blacklisting, and the secondary verification unit is client or found preferentially registered in the black list It is characterized by conducting an audit.

また、本発明のクライアント/サーバシステムの監査方法は、複数のクライアントと、サーバとがネットワークを介して接続されたクライアント/サーバシステムにおける監査方法であって、前記クライアントのログを作成するステップと、第1の周期で前記ログに基づいて、少なくとも不正メール送信、外部メモリへのファイルコピーを含む情報漏洩に繋がる緊急性の高いログを監視する一次監査ステップと、前記第1の周期よりも長い周期の第2の周期で前記ログに基づいて、少なくともWEB操作、ログオン・ログオフ操作、ゲームソフト実行を含む緊急性の低いログを監視する二次監査ステップと、前記一次監査ステップと前記二次監査ステップでの監査結果に基づいて、予め登録されたセキュリティ違反頻度を超えたクライアントをブラックリストに登録するブラックリスト作成ステップと、を具備し、前記二次監査ステップでは前記ブラックリストに登録されたクライアントから優先的に監査を実施することを特徴とするものである。 An audit method for a client / server system according to the present invention is an audit method for a client / server system in which a plurality of clients and a server are connected via a network, and includes the step of creating a log of the client ; A primary audit step for monitoring a highly urgent log that leads to information leakage including at least unauthorized mail transmission and file copy to an external memory based on the log in the first period, and a period longer than the first period A secondary audit step for monitoring a log of low urgency including at least a WEB operation, a logon / logoff operation, and a game software execution based on the log in the second period, the primary audit step and the secondary audit step clients that based on the audit results, beyond the security violation frequency that has been pre-registered in Comprising a blacklisting step of blacklisting, and said secondary audit step is characterized in carrying out the priority audit clients registered in the black list.

上記発明によれば、クライアント/サーバシステムのセキュリティ対策においてサーバ装置の監査処理内容を少なくし、サーバ装置の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置を素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することが可能となる。   According to the above-described invention, the contents of audit processing of the server device are reduced in the security measures of the client / server system, the processing load of the server device is reduced, and the client device that violates the security policy is quickly found to prevent information leakage. It is possible to provide a client / server system and a client / server system audit method.

この発明のクライアント/サーバシステムのセキュリティ対策において、サーバ装置の監査処理内容を少なくし、サーバ装置の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置を素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することが可能となる。   In the security measures of the client / server system of the present invention, the contents of audit processing of the server device are reduced, the processing load of the server device is reduced, and the client device that quickly finds a client device that violates the security policy and prevents information leakage It is possible to provide an audit method for a server system and a client / server system.

以下、本発明のバックアップシステの実施の形態につき図面を参照して説明する。
本実施形態にかかるバックアップシステム全体の概略構成を図1に示す。
<実施形態>
図1は本実施形態における、クライアント/サーバシステム構成図を示したものである。
クライアント装置2a〜2cは、主な構成モジュールとして、(1)監視モジュール21、(2)1次監査モジュール23を持ち、監視モジュール21が作成するログ22と監査モジュール23が作成するファイル(以下、監査レポート24と記す)がある。
Hereinafter, embodiments of a backup system of the present invention will be described with reference to the drawings.
FIG. 1 shows a schematic configuration of the entire backup system according to the present embodiment.
<Embodiment>
FIG. 1 shows a configuration diagram of a client / server system in this embodiment.
The client apparatuses 2a to 2c have (1) a monitoring module 21 and (2) a primary audit module 23 as main constituent modules, and a log 22 created by the monitoring module 21 and a file created by the audit module 23 (hereinafter, referred to as the following) Audit report 24).

(1)監視モジュール21は、Windows(登録商標)のサービスプログラムのような常駐プログラムとして動作し、主にファイル操作、アクセスしたWebの、アプリケーション動作、デバイス操作、印刷ジョブ、ログオン・ログオフ、メール送信内容などの監視を行い、ログ22を作成する。   (1) The monitoring module 21 operates as a resident program such as a Windows (registered trademark) service program, and mainly performs file operations, accessed Web application operations, device operations, print jobs, logon / logoff, and mail transmission. The contents are monitored and a log 22 is created.

(2)1次監査モジュール23は、(1)監視モジュール21と同様に、常駐プログラムとして動作し、クライアント装置2aの監査を行う。1次監査モジュール23の監査機能232は、1時間毎などのサーバ装置の2次監査モジュール12よりも短周期で動作し、メール送信のログや、USBメモリにファイルコピーしたログなど情報漏洩に繋がる緊急性の高いログに関して監査を行い、監査レポート24を作成する。   (2) The primary audit module 23 operates as a resident program and audits the client device 2a, similar to the (1) monitoring module 21. The audit function 232 of the primary audit module 23 operates in a shorter cycle than the secondary audit module 12 of the server device every hour or the like, and leads to information leakage such as mail transmission logs and log files copied to USB memory. An audit is performed on a highly urgent log and an audit report 24 is created.

また、セキュリティポリシーに違反する操作があった場合、サーバ装置管理者に警告25を行う。緊急性の高いログに関して、短周期で監査を行うことにより、迅速に情報漏洩に繋がる行為の検出を行うことが出来る。   If there is an operation that violates the security policy, a warning 25 is given to the server apparatus administrator. By auditing a highly urgent log in a short cycle, it is possible to quickly detect an action that leads to information leakage.

一方、サーバ装置1の、主な構成モジュールは2次監査モジュール12となる。2次監査モジュール12も1次監査モジュール23と同様に常駐プログラムとして動作する。   On the other hand, the main component module of the server apparatus 1 is the secondary audit module 12. Similarly to the primary audit module 23, the secondary audit module 12 operates as a resident program.

2次監査モジュール12のブラックリスト作成機能121は、サーバ装置1のデータベース14より過去の監査レポートを参照し、各クライアント装置2a〜2cのセキュリティポリシーに違反した頻度を計算し、ブラックリスト122を作成する機能となる。   The blacklist creation function 121 of the secondary audit module 12 refers to a past audit report from the database 14 of the server device 1, calculates the frequency of violation of the security policy of each client device 2a to 2c, and creates the blacklist 122 Function.

監査機能124は、1日毎など1次監査モジュール23よりも長周期で動作し、クライアント装置2a〜2cより送られてきた監査を行っていないログ22に関して、ブラックリスト122を利用し、セキュリティポリシーに違反する操作頻度の多いクライアント装置2a〜2cから監査を行う。監査結果は、クライアント装置2a〜2cより送られた監査レポート24とマージした監査レポート13を作成し、サーバ装置1のデータベース14に登録する。また、クライアント装置2a〜2cの監査機能232と同様に、セキュリティポリシーに違反する操作があった場合、サーバ装置管理者に警告15を行う。   The audit function 124 operates in a longer cycle than the primary audit module 23 such as every day, and uses the blacklist 122 for the log 22 sent from the client apparatuses 2a to 2c that is not audited, and uses it in the security policy. Auditing is performed from the client devices 2a to 2c that are frequently violated. As the audit result, an audit report 13 merged with the audit report 24 sent from the client apparatuses 2 a to 2 c is created and registered in the database 14 of the server apparatus 1. Similarly to the audit function 232 of the client apparatuses 2a to 2c, if there is an operation that violates the security policy, a warning 15 is given to the server apparatus administrator.

図2は、クライアント装置2a〜2cの1次監査モジュール23の動作フローチャート、図3はサーバ装置1の2次監査モジュール12の動作フローチャートを示したものであり、詳細説明を行う。   2 shows an operation flowchart of the primary audit module 23 of the client devices 2a to 2c, and FIG. 3 shows an operation flowchart of the secondary audit module 12 of the server device 1, which will be described in detail.

「クライアント装置2a〜2cの処理」
(1)監視ログ22の取得(S21)
監視モジュール21が作成するファイル操作やアクセスしたWebのURLなどセキュリティに対して緊急性の高いログ22を取得する。
(2)監査キーワード231の取得(S22)
予め設定された監査キーワード231の取得を行う。監査キーワード231は、クライアント装置2a〜2cとサーバ装置1で異なるキーワードを設定することが可能となる。例えば、以下のようにクライアント装置2a〜2cでは部門特有の監査キーワード231の設定を行い、サーバ装置1は部門共通のキーワード123の設定を行う。
"Processing of client devices 2a to 2c"
(1) Acquisition of monitoring log 22 (S21)
A log 22 that is highly urgent with respect to security such as a file operation created by the monitoring module 21 and a URL of the accessed Web is acquired.
(2) Acquisition of audit keyword 231 (S22)
The audit keyword 231 set in advance is acquired. As the audit keyword 231, it is possible to set different keywords for the client devices 2 a to 2 c and the server device 1. For example, as described below, the client devices 2a to 2c set a department-specific audit keyword 231 and the server apparatus 1 sets a common keyword 123 for the department.

●1次監査の監査キーワード231
(株)○○○会社 監査キーワード
├ 営業部・・・顧客情報、技術情報(営業に技術情報がある場合もあるため)
├ 技術部・・・技術情報
└ 総務部・・・従業員情報
●2次監査の監査キーワード123
(株)○○○会社 監査キーワード
├ 営業部・・・社外秘、極秘
├ 技術部・・・社外秘、極秘
└ 総務部・・・社外秘、極秘
(3)監査実行(S23)
一時間毎など設定した周期で実行する。クライアント装置2a〜2cの1次監査では、サーバ装置1の2次監査よりも短周期で監査周期を設定する。(2)で取得した監査キーワード231が(1)で取得したログ22に含まれるかパターンマッチを行って検出する。
1次監査では、メール送信監視、USBメモリへファイルコピーなど緊急性の高いログ、1時間毎などの短周期で監査を行う。
監視モジュール21が作成する、ファイル操作、Web操作、アプリケーション動作、デバイス操作、印刷ジョブ、ログオン・ログオフ、メール送信などのログ22のうち、USBメモリへ機密情報が書かれたファイルのコピーを行ったことがわかるファイル操作のログや機密情報をメールで送信したことがわかるメール送信のログなどは、情報漏洩に即つながる可能性がある。
Audit keyword 231 for primary audit
Company ○○○ Company Audit Keyword ├ Sales Department ・ ・ ・ Customer Information, Technical Information (Because sales may have technical information)
├ Engineering Department ・ ・ ・ Technical Information└ General Affairs Department ・ ・ ・ Employee Information ● Audit Keywords 123 for Second Audit
XX Company, Ltd. Audit keyword ├ Sales department ... Secret, top secret Technology department ... Secret, top secret General affairs department ... Secret, top secret (3) Audit execution (S23)
Executes at a set cycle such as every hour. In the primary audit of the client devices 2a to 2c, the audit cycle is set in a shorter cycle than the secondary audit of the server device 1. Whether the audit keyword 231 acquired in (2) is included in the log 22 acquired in (1) is detected by performing pattern matching.
In the primary audit, a highly urgent log such as mail transmission monitoring and file copying to a USB memory is audited at short intervals such as every hour.
Of the logs 22 created by the monitoring module 21 such as file operation, Web operation, application operation, device operation, print job, logon / logoff, and mail transmission, a file containing confidential information was copied to the USB memory. A log of file operations that understands and a log of email transmissions that show that confidential information has been sent by e-mail can lead to information leakage immediately.

しかし、Web操作や、ログオン・ログオフ、業務とは関係のないゲームなどのアプリケーション動作といったログは、必ずとも即、情報漏洩と繋がるものではないため、サーバ装置1の2次監査で、監査を行う。   However, logs such as web operations, logon / logoff, and application operations such as games that are not related to work do not always lead to information leakage. Therefore, a second audit of the server apparatus 1 performs an audit. .

また、クライアント装置2a〜2cで1次監査を行うことで、クライアント装置2a〜2cを持ち出しして一定期間サーバ装置1に接続できないなどの場合における脆弱性を解決することができる。   Further, by performing the primary audit in the client devices 2a to 2c, it is possible to solve the vulnerability when the client devices 2a to 2c are taken out and cannot be connected to the server device 1 for a certain period of time.

(4)監査レポート作成(S25)
監査結果を監査レポート24として残す。セキュリティポリシーに違反した操作が見つけられた場合は、該当箇所を抽出し、日時、ユーザ名、マシン名と共に監査レポート24に記載する。
(4) Audit report creation (S25)
The audit result is left as an audit report 24. If an operation that violates the security policy is found, the corresponding part is extracted and described in the audit report 24 together with the date and time, the user name, and the machine name.

(5)警告発信(S27)
監査にて、セキュリティポリシーに違反した操作が見つけられた場合にサーバ装置管理者に対して、警告25をメールなどの手段を用いて知らせる。
「サーバ装置1の処理」
(6)ブラックリストの作成(S32)
ブラックリスト122は、監査レポートデータベース14より過去の監査レポートを参照し、各クライアント装置2a〜2c毎のセキュリティポリシーに違反した頻度を計算し、一定頻度(閾値)を超えたクライアント装置2a〜2cを、違反頻度順に記載したものとなる。
(5) Alert transmission (S27)
When an operation that violates the security policy is found in the audit, a warning 25 is notified to the server apparatus administrator by using means such as e-mail.
"Processing of server device 1"
(6) Creation of black list (S32)
The black list 122 refers to past audit reports from the audit report database 14, calculates the frequency of violation of the security policy for each of the client devices 2a to 2c, and selects the client devices 2a to 2c that exceed a certain frequency (threshold). , Listed in order of violation frequency.

(7)監査実行(S35)
一日毎など設定した周期で実行する。サーバ装置1の2次監査は、クライアント装置2a〜2cよりも長周期で監査周期を設定する。
また、ブラックリスト122が有る場合は、ブラックリスト122に記載された順序でクライアント装置2a〜2cのログの監査を実行する。サーバ装置1の2次監査もクライアント装置2a〜2cの1次監査と同様、設定したキーワード123がログ11に含まれるかのパターンマッチを行う。
(7) Audit execution (S35)
Executes at a set cycle such as every day. The secondary audit of the server device 1 sets an audit cycle with a longer cycle than the client devices 2a to 2c.
When there is the black list 122, audits of the logs of the client apparatuses 2a to 2c are executed in the order described in the black list 122. Similarly to the primary audits of the client apparatuses 2a to 2c, the secondary audit of the server apparatus 1 performs pattern matching to determine whether the set keyword 123 is included in the log 11.

(8)監査レポートの作成(S36)
サーバ装置1の監査レポート13の作成では、クライアント装置2a〜2cより送られた監査レポート24と監査結果をマージした監査レポート13を作成する。
<本実施形態における具体的動作>
以下、業務中に、業務とは関係のないオークションサイトを閲覧していないか監査する例の具体的動作を述べる。
(a)Web監視ログの監査キーワード231に、オークションサイト(○○!オークションなど)と閾値(10回)を設定する。
(b)クライアント装置2a〜2cより送られてきたログ11と設定した監査キーワード123で監査を行う。
(c)クライアント装置01のWEB監視ログに、○○!オークションの記載が15回ほど検出され、クライアント装置02は、8回、クライアント装置03は、17回ほど検出されたとする。
(8) Creation of audit report (S36)
In creating the audit report 13 of the server device 1, the audit report 13 obtained by merging the audit report 24 and the audit result sent from the client devices 2 a to 2 c is created.
<Specific operation in this embodiment>
The specific operation of an example of auditing whether or not an auction site unrelated to the business is being browsed will be described below.
(A) An auction site (XX! Auction etc.) and a threshold (10 times) are set in the audit keyword 231 of the Web monitoring log.
(B) An audit is performed using the log 11 sent from the client devices 2a to 2c and the set audit keyword 123.
(C) In the WEB monitoring log of the client device 01, OO! It is assumed that the description of the auction is detected about 15 times, the client device 02 is detected 8 times, and the client device 03 is detected about 17 times.

(d)監査結果を監査レポート13に作成し、違反があった場合はサーバ装置管理者へ警告15を送る。
次回の監査において、
(a)監査レポートデータベース14より、監査レポートを取得する。
(b)クライアント装置01:2aが設定している監査キーワード123(○○!オークション)を15回ほど閲覧しているのがわかったため、ブラックリスト122にクライアント装置01:2aと使用頻度15、クライアント装置02:2bと使用頻度8、クライアント装置03:2cと使用頻度17と設定する。
(D) An audit result is created in the audit report 13, and a warning 15 is sent to the server apparatus administrator if there is a violation.
In the next audit,
(A) An audit report is acquired from the audit report database 14.
(B) Since it is found that the audit keyword 123 (XX! Auction) set by the client device 01: 2a is viewed about 15 times, the client device 01: 2a and the usage frequency 15 are displayed in the black list 122. Device 02: 2b and usage frequency 8 are set, and client device 03: 2c and usage frequency 17 are set.

この監査キーワード123の閾値は10回であるため、クライアント装置01:2aとクライアント装置03:2cは閾値を超えているため、危険クライアント装置として記録する。クライアント装置02:2bはあと2回履歴がみられると、危険クライアント装置として登録される。   Since the threshold value of the audit keyword 123 is 10 times, the client device 01: 2a and the client device 03: 2c exceed the threshold value, and are recorded as dangerous client devices. The client device 02: 2b is registered as a dangerous client device when two more histories are seen.

(c)クライアント装置2a〜2cより送られてきたログ22の中から、まずはブラックリスト122に載っているクライアント装置03:2cのログ22より監査を行う、次にクライアント装置01:2aを監査し、残りは、取得した順に監査を行う。
(d)監査結果を監査レポート13に作成し、違反があった場合はサーバ装置管理者へ警告15を送る。
以上述べたように、本実施形態のクライアント/サーバシステムのセキュリティ対策によれば、サーバ装置1の監査処理内容を少なくし、サーバ装置1の処理の負荷を軽減するとともに、セキュリティポリシーに違反するクライアント装置2a〜2cを素早く見つけ情報漏洩を防止するクライアント/サーバシステムとクライアント/サーバシステムの監査方法を提供することが可能となる。
(C) From the logs 22 sent from the client apparatuses 2a to 2c, auditing is first performed from the log 22 of the client apparatus 03: 2c on the black list 122, and then the client apparatus 01: 2a is audited The rest are audited in the order of acquisition.
(D) An audit result is created in the audit report 13, and a warning 15 is sent to the server apparatus administrator if there is a violation.
As described above, according to the security measures of the client / server system of the present embodiment, the contents of audit processing of the server device 1 are reduced, the processing load of the server device 1 is reduced, and the client that violates the security policy It is possible to provide a client / server system and a client / server system auditing method for quickly finding the devices 2a to 2c and preventing information leakage.

本実施形態にかかるクライアント/サーバシステムの全体の概略構成を示す図。1 is a diagram showing an overall schematic configuration of a client / server system according to an embodiment. 本実施形態にかかるクライアント装置の監査モジュールの動作フローチャート。The operation | movement flowchart of the audit module of the client apparatus concerning this embodiment. 本実施形態にかかるサーバ装置の監査モジュールの動作フローチャート。The operation | movement flowchart of the audit module of the server apparatus concerning this embodiment.

符号の説明Explanation of symbols

1…サーバ装置、2a、2b、2c…クライアント装置、3…ネットワーク、11…ログ、12…2次監査モジュール、121…ブラックリスト作成機能、122…ブラックリスト、123…監査キーワード、124…監査機能(長周期)、13…監査レポート、14…監査レポートデータベース、15…警告、21…監視モジュール、22…ログ、23…1次監査モジュール、231…監査キーワード、232…監査機能(短周期)、24…監査レポート、25…警告、   DESCRIPTION OF SYMBOLS 1 ... Server apparatus, 2a, 2b, 2c ... Client apparatus, 3 ... Network, 11 ... Log, 12 ... Secondary audit module, 121 ... Black list creation function, 122 ... Black list, 123 ... Audit keyword, 124 ... Audit function (Long cycle), 13 ... audit report, 14 ... audit report database, 15 ... warning, 21 ... monitoring module, 22 ... log, 23 ... primary audit module, 231 ... audit keyword, 232 ... audit function (short cycle), 24 ... Audit report, 25 ... Warning,

Claims (2)

複数のクライアントと、サーバとがネットワークを介して接続されたクライアント/サーバシステムであって、
前記クライアントは、
前記クライアントのログを作成する監視手段と、
第1の周期で前記監視手段が作成した前記ログに基づいて、少なくとも不正メール送信、外部メモリへのファイルコピーを含む情報漏洩に繋がる緊急性の高いログを監視する一次監査手段と、
を具備し、
前記サーバは、
前記第1の周期よりも長い周期の第2の周期で前記監視手段が取得した前記ログに基づいて、少なくともWEB操作、ログオン・ログオフ操作、ゲームソフト実行を含む緊急性の低いログを監視する二次監査手段と、
前記一次監査手段と前記二次監査手段との監査結果に基づいて、予め登録されたセキュリティ違反頻度を超えたクライアントをブラックリストに登録するブラックリスト作成手段と、
を具備し、
前記二次監査手段は前記ブラックリストに登録されたクライアントから優先的に監査を実施するクライアント/サーバシステム。
A client / server system in which a plurality of clients and a server are connected via a network ,
The client
Monitoring means for creating a log of the client;
Based on the log created by the monitoring means in the first period, primary audit means for monitoring a log with high urgency leading to information leakage including at least unauthorized mail transmission and file copy to an external memory;
Comprising
The server
Based on the log acquired by the monitoring means in a second period that is longer than the first period, a log with low urgency including at least a WEB operation, a logon / logoff operation, and game software execution is monitored. The next audit means,
On the basis of the inspection results of the primary verification unit said secondary verification unit, and blacklisting means for registering a client that exceeds the security violation frequency of pre blacklisted,
Comprising
Said secondary audit means to implement the client whether we preferentially auditing registered in the black list torque client / server system.
複数のクライアントと、サーバとがネットワークを介して接続されたクライアント/サーバシステムにおける監査方法であって、
前記クライアントのログを作成するステップと、
第1の周期で前記ログに基づいて、少なくとも不正メール送信、外部メモリへのファイルコピーを含む情報漏洩に繋がる緊急性の高いログを監視する一次監査ステップと、
前記第1の周期よりも長い周期の第2の周期で前記ログに基づいて、少なくともWEB操作、ログオン・ログオフ操作、ゲームソフト実行を含む緊急性の低いログを監視する二次監査ステップと、
前記一次監査ステップと前記二次監査ステップでの監査結果に基づいて、予め登録されたセキュリティ違反頻度を超えたクライアントをブラックリストに登録するブラックリスト作成ステップと、
を具備し、
前記二次監査ステップでは前記ブラックリストに登録されたクライアントから優先的に監査を実施するクライアント/サーバシステムの監査方法。
An audit method in a client / server system in which a plurality of clients and a server are connected via a network ,
Creating a log of the client ;
A primary audit step of monitoring a highly urgent log that leads to information leakage including at least unauthorized mail transmission and file copy to external memory based on the log in the first period;
A secondary audit step of monitoring a log with low urgency including at least a WEB operation, a logon / logoff operation, and a game software execution based on the log in a second period longer than the first period;
On the basis of the inspection result in the primary inspection step secondary auditing step, the blacklisting step of blacklisted the client beyond security breach often registered in advance,
Comprising
It said secondary Audit method torque client / server system to implement the priority audit clients registered in the black list in step.
JP2008222707A 2008-08-29 2008-08-29 Client / server system and client / server system audit method Expired - Fee Related JP5284012B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008222707A JP5284012B2 (en) 2008-08-29 2008-08-29 Client / server system and client / server system audit method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008222707A JP5284012B2 (en) 2008-08-29 2008-08-29 Client / server system and client / server system audit method

Publications (2)

Publication Number Publication Date
JP2010055566A JP2010055566A (en) 2010-03-11
JP5284012B2 true JP5284012B2 (en) 2013-09-11

Family

ID=42071371

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008222707A Expired - Fee Related JP5284012B2 (en) 2008-08-29 2008-08-29 Client / server system and client / server system audit method

Country Status (1)

Country Link
JP (1) JP5284012B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6441930B2 (en) * 2014-07-30 2018-12-19 株式会社Ubic Data analysis apparatus, data analysis apparatus control method, and data analysis apparatus control program
JP2017117365A (en) * 2015-12-25 2017-06-29 株式会社 ハンモック Specific personal information measure template management system
CN113079296A (en) * 2021-03-31 2021-07-06 重庆风云际会智慧科技有限公司 Law enforcement investigation equipment based on bidirectional video
JP2024017039A (en) 2022-07-27 2024-02-08 富士通株式会社 Attack situation output program, attack situation output device, attack situation output system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09214493A (en) * 1996-02-08 1997-08-15 Hitachi Ltd Network system
JP3904534B2 (en) * 2003-05-30 2007-04-11 京セラコミュニケーションシステム株式会社 Terminal status monitoring system and method
JP4437410B2 (en) * 2004-02-16 2010-03-24 三菱電機株式会社 Security management apparatus and program
JP2008191857A (en) * 2007-02-02 2008-08-21 Sky Kk Illicit operation management device, illicit operation management module and program
JP4041846B1 (en) * 2007-03-30 2008-02-06 クオリティ株式会社 Management system, management server, and management program
JP4092666B1 (en) * 2007-10-17 2008-05-28 クオリティ株式会社 Management system, management server, and management program

Also Published As

Publication number Publication date
JP2010055566A (en) 2010-03-11

Similar Documents

Publication Publication Date Title
JP5155909B2 (en) Operation monitoring system and operation monitoring program
US8943546B1 (en) Method and system for detecting and protecting against potential data loss from unknown applications
US11748210B2 (en) Intelligent monitoring of backup, recovery and anomalous user activity in data storage systems
KR101011456B1 (en) Information leakage audit method, a computer-readable recording medium storing a program for performing the same and a system for performing the same
US8250085B1 (en) Method to improve data loss prevention via cross leveraging fingerprints
CN113098846A (en) Industrial control flow monitoring method, equipment, storage medium and device
US20100064342A1 (en) Security measure status self-checking system
JP5284012B2 (en) Client / server system and client / server system audit method
JP6851212B2 (en) Access monitoring system
CN105930740B (en) Source retroactive method, monitoring method, restoring method and system when software file is changed
JP4092666B1 (en) Management system, management server, and management program
KR20170127630A (en) Ransom Ware Blocking Apparatus based on Whitelist and Method therefor
JP2020095459A (en) History monitoring method, monitoring processing device, and monitoring processing program
CN113553554A (en) A data center operation and maintenance system
Stallings Data loss prevention as a privacy-enhancing technology
JP4175574B1 (en) Management system, management server, and management program
JP4041846B1 (en) Management system, management server, and management program
JP2020087119A (en) Information processing apparatus, control method thereof, information processing system, and program
CN116488918A (en) Method, device, equipment and storage medium for determining priority of vulnerability repair
JP7328635B2 (en) Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program
JP2011198256A (en) Content protection device
KR102961285B1 (en) AD operation and security inspection consulting method using Active Directory(AD) data collection and analysis tools
Cornelius et al. Recommended practice: Creating cyber forensics plans for control systems
US12470595B2 (en) Cloud ransomware protection
JP2006268167A (en) Security system, security method, and its program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100924

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20100924

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130507

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130529

R151 Written notification of patent or utility model registration

Ref document number: 5284012

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees