JP2009116812A - 不正利用検出装置及びそのプログラム - Google Patents

不正利用検出装置及びそのプログラム Download PDF

Info

Publication number
JP2009116812A
JP2009116812A JP2007292129A JP2007292129A JP2009116812A JP 2009116812 A JP2009116812 A JP 2009116812A JP 2007292129 A JP2007292129 A JP 2007292129A JP 2007292129 A JP2007292129 A JP 2007292129A JP 2009116812 A JP2009116812 A JP 2009116812A
Authority
JP
Japan
Prior art keywords
employee
unauthorized use
transaction
information
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007292129A
Other languages
English (en)
Inventor
Takahiro Sukoi
貴弘 須古井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2007292129A priority Critical patent/JP2009116812A/ja
Publication of JP2009116812A publication Critical patent/JP2009116812A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】組織内部で発生する不正利用に対して不正利用リスクを検出する不正利用検出装置に関し、高精度且つ低コストで不正利用リスクを検出する不正利用検出装置を提供する。
【解決手段】就業システムの就業管理DB13aを参照して社員の在席状況を確認する在席確認手段13と、人事システムの人事管理DB12aを参照して社員の上司又は同僚又は又は隣席者を特定する関係社員特定手段12より、取引の取り扱いを行った社員の上司及び/又は同僚及び/又は隣席者が社内に不在の場合に、この社員を不正利用リスクのある社員と判断する不正利用リスク検出手段14と、この不正利用リスクが検出された場合に警告電子メールを社員の上司宛に送信して送信メールログDB15aにログ記録を行う電子メール警告手段15からなり、不正利用リスクの原因特定及び再発防止に効果を発揮する。
【選択図】図1

Description

本発明は、組織内部における不正利用を検出する不正利用検出装置に関し、特に心理的に不正が発生し易い状況を判断することにより、不正利用リスクを検出する不正利用検出装置に関する。
背景技術となる不正利用検出装置は、特開2005−285013号公報(第1の背景技術)、特開平11−259571号公報(第2の背景技術)に開示されるものがある。この各背景技術を図11及び図12に従来の不正利用検出装置の概略構成断面図として示す。
図11における、この第1の背景技術に係る不正利用検出装置としての、取引監視方法、取引監視プログラム、および取引監視装置は、金融機関の各支店(営業店)に設置された営業店端末101と、勘定系ホスト100との通信を統括する営業店サーバ102上に、アラーム表示端末104への警告の対象となる取引のパターン(類型)を定義したアラーム条件テーブルを用意しておく。そして、勘定系ホスト100から営業店端末101への取引可応答の中継時に、当該取引を上記各パターンと比較して、一致する場合にアラーム表示端末104への警告を行う構成である。
また、図12における、この第2の背景技術に係る不正利用検出装置としての、電子商取引システム不正利用検出方法及び装置は、データ蓄積手段202により蓄積された個人別モデル及び一般モデルに組み込まれた複数のデータを、新たなアクセスが実行されるごとに、当該アクセスが不正利用によるものであるか否かを判定するための判定基準として供与する判定基準供与手段206と、この判定基準供与手段206により供与される個人別モデル及び一般モデルに組み込まれた複数のデータと、当該アクセスに伴ってアクセスデータ抽出手段201により抽出される新たな複数のデータとを比較して、当該アクセスが不正利用によるものであるか否かを判定する不正利用判定手段207とを有する構成である。
特開2005−285013号公報 特開平11−259571号公報
前記第1の背景技術に係る不正利用検出装置は以上のように構成されていたことから、不正利用を検出する基準として物理的観点は含まれていないため、例えば上司や同僚や隣席者が不在という場合や他人の座席に移動して他人のPC端末にログオンして作業を行う場合等の物理的観点から不正利用のリスクが存在する場合には、前記アラーム条件テーブルに登録される警告の対象となる取引のパターン(類型)のみでは物理的観点からの不正利用リスクが検出できないために、不正利用リスクの検出率が低下するという課題を有する。
さらに、前記警告の対象となる取引のパターン(類型)は外部から主に経験に基づいて人手で前記アラーム条件テーブルに設定されるために、不正利用リスクの有無を判断する基準の精度にばらつきが生じ易く、また前記アラーム条件テーブルへの警告の対象となる取引のパターン(類型)のみで不正利用リスクの有無判断を行うために、この基準の精度が低い場合には、不正利用された取引にも関わらず前記警告の対象となる取引のパターン(類型)と合致しない状況が発生しやすくなり、不正利用リスクの検出率が低下するという課題を有する。
また、前記第2の背景技術に係る不正利用検出装置は以上のように構成されていたことから、前記アクセスに対する不正利用リスクの有無判断は、あくまでネットワーク上の情報からの判断のみであって物理的観点からの判断は含まれないため、例えば上司や同僚や隣席者が不在という場合や他人の座席に移動して他人のPC端末にログオンして作業を行うという場合等の物理的観点からの不正利用リスクが存在する状況下では、前記判定基準供与手段206及び前記不正利用判定手段207のみでは物理的観点からの不正利用リスクが検出できないために、不正利用リスクの検出率が低下するという課題を有する。
さらに、前記判定基準供与手段206及び前記不正利用判定手段207における不正利用の判定基準が主に経験に基づいて人手で外部から設定されるために、この判定基準の精度にばらつきが生じ易く、また前記判定基準供与手段206及び前記不正利用判定手段207のみで不正利用リスクの有無判断を行うために、この判定基準の精度が低い場合には、不正利用された取引にも関わらず不正利用リスクを検出できないという状況が発生しやすくなり、不正利用リスクの検出率が低下するという課題を有する。
さらに、前記個人別モデルにはある程度の量の蓄積データが必要であるが、このシステムの導入後初期や取引の絶対量が少ない場合には、蓄積データの絶対量が少ないために前記個人別モデルは不正利用判定の基準として使用可能なレベルに到達しておらず、不正利用リスクの検出精度の低い期間が存在するという課題を有する。また、このシステムの導入から十分な時間が経過した後や取引の絶対量が多い場合や不正利用の監視対象者が多い場合には、大量のデータを蓄積及び管理する必要があるために、バックアップシステムまで考慮すると膨大なシステムリソースを必要とし、これに伴いこのシステムのリソース管理及び定常保守運用の作業負担も大きくなり、このシステムの総所有コスト(TCO)が膨大になるという課題を有する。
本発明は前記課題を解消するためになされたもので、組織内部で発生する不正利用に対して、物理的観点を考慮して心理的に不正利用が発生し易い要素を判断基準に含めることにより、不正利用リスクの検出精度及び費用対効果に優れた不正利用検出装置を提供することを目的とする。
本発明に係る不正利用検出装置は、会社等の組織内部における不正利用を検出する不正利用検出装置であって、社員の出勤及び退勤の状況を確認して不在社員情報を生成する在席確認手段と、社内組織情報から社員の上司及び/又は同僚及び/又は隣席者等の関係社員を特定して関係社員一覧情報を生成する関係社員特定手段と、会計業務等の所定の勘定科目に関する入出金取引について、取引の取り扱いを行った社員、日時及び勘定科目より取引一覧情報を生成する取引特定手段と、当該不在社員情報、当該関係社員一覧情報及び当該取引一覧情報を参照して、入出金取引の取り扱いを行った社員の前記関係社員に対して社内に不在か否かを判断し、当該社員の前記関係社員が社内に不在の場合に当該社員を不正利用の疑いを有する不正利用リスク社員と判断する不正利用リスク検出手段とを備えるものである。
このように本発明によれば、会社等の組織内部における不正利用を検出する不正利用検出装置であって、社員の出勤及び退勤の状況を確認して不在社員情報を生成する在席確認手段と、社内組織情報から社員の上司及び/又は同僚及び/又は隣席者等の関係社員を特定して関係社員一覧情報を生成する関係社員特定手段と、会計業務等の所定の勘定科目に関する入出金取引について、取引の取り扱いを行った社員、日時及び勘定科目より取引一覧情報を生成する取引特定手段と、当該不在社員情報、当該関係社員一覧情報及び当該取引一覧情報を参照して、入出金取引の取り扱いを行った社員の前記関係社員に対して社内に不在か否かを判断し、当該社員の前記関係社員が社内に不在の場合に当該社員を不正利用の疑いを有する不正利用リスク社員と判断する不正利用リスク検出手段とを備えることから、不正利用リスクの発生を物理的な観点から判断し、心理的に不正利用が発生し易い周囲の状況を不正利用リスク発生の判断基準とするために、この判断基準確立のための特別なデータ蓄積を必要としないこととなり、データ蓄積による行動パターンを判断基準とする場合と比較して、データ蓄積量が少なくて済むためにシステムコストを低下させることができ、またデータ蓄積量が少ないことが原因で不正利用リスクの検出精度が低下する期間が発生しないために一定品質の検出精度を常に確保することができる。さらに、前記判断基準が人手による外部からの設定に依存しないために、前記判断基準の品質にシステムユーザーによるばらつきが発生しないこととなり、導入されるシステムの種類や規模を問わず不正利用リスクに対する一定品質の検出精度を常に確保することができる。
また、本発明に係る不正利用検出装置は必要に応じて、前記不正利用リスク検出手段が、入出金取引の取り扱いを行った名義人に該当する社員に対して社内に不在か否かを判断し、当該社員が社内に不在の場合に前記不正利用リスク社員をなりすましによる不正利用の疑いを有する社員と判断するものである。このように本発明によれば、前記不正利用リスク検出手段が、入出金取引の取り扱いを行った名義人に該当する社員に対して社内に不在か否かを判断し、当該社員が社内に不在の場合に前記不正利用リスク社員をなりすましによる不正利用の疑いを有する社員と判断することから、なりすましの発生検知のみならずなりすまし実行者の限定も行えることとなり、なりすまし発生を検知する場合のみと比較して特に再発防止に高い効果が得られる。
また、本発明に係る不正利用検出装置は必要に応じて、前記不正利用リスク検出手段が、取引に対して新規取引か否かを判断し、当該取引が新規取引の場合に当該取引の取り扱いを行った社員の前記関係社員に対して社内に不在か否かを判断し、当該社員の前記関係社員が社内に不在の場合に当該社員を前記不正利用リスク社員と判断するものである。このように本発明によれば、前記不正利用リスク検出手段が、取引に対して新規取引か否かを判断し、当該取引が新規取引の場合に当該取引の取り扱いを行った社員の前記関係社員に対して社内に不在か否かを判断し、当該社員の前記関係社員が社内に不在の場合に当該社員を前記不正利用リスク社員と判断するために、過去に取り扱い実績の無い新規取引の発生時にこの新規取引が例外的でイレギュラーな取引であり不正利用リスクが高いと判断されるため、不正利用リスク検出の契機がより一層増えることとなり、不正利用リスクの検出精度をさらに向上させることができる。
また、本発明に係る不正利用検出装置は必要に応じて、前記不正利用リスク検出手段が、前記電子メール送信毎に履歴情報を蓄積し、前記電子メール送信時に過去の判断情報と前記電子メールの判断情報との比較により生成される比較情報を参照して、不正利用の疑いを有する不正利用リスク社員を判断するものである。このように本発明によれば、前記不正利用リスク検出手段が、前記電子メール送信毎に履歴情報を蓄積し、前記電子メール送信時に過去の判断情報と前記電子メールの判断情報との比較により生成される比較情報を参照して、不正利用の疑いを有する不正利用リスク社員を判断することにより、不正利用リスクに応じた警告内容の電子メールが送信されることとなり、不正利用リスクの低い社員と不正利用リスクの高い社員とが同一に扱われることがなく、不正利用を繰り返す社員の特定や不正利用の再発防止に効果を発揮することができる。
また、本発明に係る不正利用検出装置は必要に応じて、前記不正利用リスク検出手段により不正利用の疑いがあると判断された場合に、当該判断情報を電子メールとして出力される電子メール警告手段を備えるものである。このように本発明によれば、前記不正利用リスク検出手段により不正利用の疑いがあると判断された場合に、当該判断情報を電子メールとして出力される電子メール警告手段を備えることにより、不正利用リスクを検知した場合に、例えば不正利用リスクを有する社員の上司に警告となる電子メールで報告を行うことにより、不正利用リスクの発生が迅速かつ的確に情報共有されることとなり、不正利用の原因特定及び再発防止に効果を発揮することができる。
(本発明の第1の実施形態)
以下、本発明の第1の実施形態に係る不正利用リスク検出システムを、図1から図7に基づいて説明する。この図1は本発明の第1の実施形態に係る不正利用リスク検出システムの構成を示すブロック図、図2は図1に記載された不正利用リスク検出システムの処理手順を示すフローチャート図、図3は図1に記載された不正利用リスク検出システムの全体構成を示す説明図、図4は図1に記載された不正利用リスク検出システムを構成する各機器のハードウェア構成を示す説明図、図5は図1に記載された不正利用リスク検出システムの不正利用リスク検知の全体手順を示す説明図、図6(A)、(B)、(C)、(D)は図1に記載された不正利用リスク検出システムにおける取引ログDB11aに登録された勘定系取引内容例、人事管理DB12aの登録内容例、就業管理DB13aの登録内容例、不正利用リスクの警告として送信される電子メール内容例を示す各説明図、図7は図1に記載された不正利用リスク検出システムにおける比較情報の内容に対する警告度の設定例を示す。
図1において、本発明の実施形態に係る不正利用リスク検出システムは、社員の出勤及び退勤の状況を管理する就業システムにおける就業管理DB13aを参照して社員の在席状況を確認する在席確認手段13と、社内組織情報を管理する人事システムにおける人事管理DB12aを参照して社員の上司又は同僚又は又は隣席者を特定する関係社員特定手段12と、会計業務等の所定の勘定科目に関する入出金取引についての業務システムにおける取引ログDB11aを参照して取引の取り扱いを行った社員、日時及び勘定科目を取り出す取引ログ特定手段11と、この取引ログ特定手段11及びこの関係社員特定手段12及びこの在席確認手段13より、取引の取り扱いを行った社員の上司及び/又は同僚及び/又は隣席者が社内に不在の場合に、この社員を不正利用リスクのある社員と判断する不正利用リスク検出手段5とを備える構成である。
また、前記不正利用リスク検出手段14により不正利用の疑いがあると判断された場合に、この判断情報を電子メールに記載して前記不正利用の疑いを有する社員の上司宛に送信し、送信メールログDB15aに送信内容を出力する電子メール警告手段15を備える構成とすることも可能である。
また、前記在席確認手段13は、前記就業システムとして各社員に対して出勤時及び退勤時において端末にログイン及びログアウトを要求する仕組みも可能である。この場合、前記在席確認手段13は各社員のログインログ及びログアウトログを取得し、このログインログ及びログアウトログの時刻情報から各社員の在席状況を確認するシステムとすることもできる。また、前記在席確認手段13は、各社員が使用する端末に対するKEEP ALIVEエコー送信等によるIPアドレス存在確認や端末電源のON/OFF検知による電源管理や等の各端末の起動状況から判断を行うこともでき、さらに社員証等のIDカードを使用した入退室管理からも判断を行うことができる。また、前記就業システムとして赤外線スコープや小型監視カメラを用いた人検知システム等による物理的な監視システムを用いることも可能である。
また、図1の構成における処理の流れは、図2のフローチャート図で示すように、まず入出金取引情報Aと入出金取引情報Aを入力した社員情報A1を会計システムの前記取引ログDB11aから抽出する(ステップS1)。ここで、前記取引ログDB11aへのアクセスタイミングは、取引発生の都度実行されるオンライン処理や、1日1回夜間バッチにより実行されるバッチ処理等のいずれでも可能である。また、休日や深夜や早朝という不正利用リスクが発生し易い時間帯のみオンライン処理で対応してその他の時間帯はバッチ処理で対応するということも可能であり、この場合にはシステムリソースを有効利用することが可能となる。さらに、過去に1度も取り扱いが無いために前記取引ログDB11aにログが記録されていない新規取引が発生した場合には、イレギュラーな取引である可能性があるために、前記取引ログDB11aから不正利用リスクのある取引として抽出することにより不正利用リスクの検出精度を向上させることができる。
次に、社員情報A1の上司B1及び同僚B2及び隣席者B3を含む上司同僚情報Bを人事システムの前記人事管理DB12aから抽出し(ステップS2)、上司同僚情報Bの在席情報Cを就業システムの就業管理DB13aから抽出し(ステップS3)、在席情報Cより上司B1及び同僚B2及び隣席者B3の在席状況を確認し(ステップS4)、不在の場合には、不正利用リスク有りと判定し(ステップS5)、上司B1に電子メール送信により警告を行い(ステップS7)、上司B1が在席の場合には、不正利用リスク無しと判定する(ステップS6)。
次に、図3に示すように、上記を基に構成された不正利用リスク検出システムは、社員が業務で使用するオペレータ端末27と、不正利用リスク発生を監視する不正利用リスク検出装置10と、会計システムを構築する勘定系ホスト24及び業務用サーバ21と、人事システムを構築する人事管理系ホスト25及び人事管理用サーバ22と、就業システムを構築する就業管理系ホスト26及び就業管理用サーバ23から構成される。
次に、図4に示すように、不正利用リスク検知システムを構成する各機器(ただし前記勘定系ホスト24、前記人事管理系ホスト25、前記就業管理系ホスト26を除く)のハードウエア構成は、装置全体の制御を司るCPU31と、このCPU31のワークエリアとして使用されてブートプログラムなどの記憶等にも使用されるメモリ32と、このCPU31の制御により書き込まれたデータを記憶する大容量記憶装置38と、カーソル、ウィンドウ、アイコン等をはじめ、文書や画像などの各種データを表示するディスプレイ36と、図3 に示したLAN/WANに接続され、当該ネットワークと装置内部とのデータの送受信を司る通信装置37と、文字、数値、各種指示などの入力のための複数のキーを備えて押下されたキーに対応するデータを電気的信号に変換するキーボード34と、本体下部のボールの回転量と回転方向および本体上部の各ボタンのON/OFFを電気的信号に変換するマウス35と、このキーボード34及びこのマウス35からの電気的信号を随時装置内部へ入力する入力装置33と、上記各部を接続するバス39からなる。なお、各機器はいずれも同一のハードウエア構成を有するものとする。
以下、前記構成に基づく本実施形態の具体的な装置を用いた不正利用リスク検出システムの使用方法について説明する。
図5に示すように、まず社員が前記オペレータ端末27から入出金取引を起票することを契機として、会計システムに対するトランザクションが発生する。即ち、前記オペレータ端末27からLAN/WANを経由して前記業務用サーバ21へ取引要求が送信され(ステップS21)、前記業務用サーバ21から前記勘定系ホスト24へこの取引要求が送信され(ステップS31)、前記勘定系ホスト24でこの取引に対する取引可否判定が行われ(ステップS41)、前記勘定系ホスト24から前記業務用サーバ21へこの取引可否応答が送信され(ステップS42)、前記業務用サーバ21から前記オペレータ端末27へこの取引可否応答が送信され(ステップS32)、LAN/WANを経由して前記オペレータ端末27がこの取引可否応答を受信し(ステップS22)、このトランザクション処理が完了する。
このトランザクションにおける取引内容は、例えば図6(A)で示すようなレコードレイアウトで前記業務用サーバ21内の前記取引ログDB11aにログ記録され、この取引が入出金取引もしくは前記取引ログDB11a内に存在しない新規取引であるか判定を行い(ステップS33)、この取引が入出金取引もしくは前記取引ログDB11a内に存在しない新規取引である場合に、この取引ログのレコード情報が前記不正利用リスク検出装置10の前記取引ログ特定手段11に取り込まれる。
次に、前記不正利用リスク検出装置10の前記在席確認手段13において、前記取引ログの起票社員番号の情報を用いて、前記取引を起票した社員の上司B1及び同僚B2及び隣席者B3を特定するために、前記人事管理用サーバ22へ関係社員確認要求を送信する(ステップS11)。前期関係社員確認要求を受信した前記人事管理用サーバ22は、前記人事管理DB12aの情報を基にして前期関係社員確認要求に対する応答を前記不正利用リスク検出装置10に送信する(ステップS51)。なお、本実施例においては、前記人事管理系ホスト25の負荷軽減の目的で、前記人事管理DB12aに関して前記人事管理用サーバ22の情報が前記人事管理系ホスト25の情報と逐次同期することにより、前期関係社員確認要求に対して前記人事管理系ホスト25までアクセスを行う必要が無く前記人事管理用サーバ22が応答を行う構成としている。
次に、前記不正利用リスク検出装置10の前記において、上記で特定された、前記取引を起票した社員の上司B1及び同僚B2及び隣席者B3の情報を用いて、前記取引を起票した社員の上司B1及び同僚B2及び隣席者B3の在席状況を確認するために、前記就業管理用サーバ23へ在席確認要求を送信する(ステップS12)。前記在席確認要求を受信した前記就業管理用サーバ23は、前記就業管理DB13aの情報を基にして前記在席確認要求に対する応答を前記不正利用リスク検出装置10に送信する(ステップS61)。なお、本実施例においては、前記就業管理系ホスト26の負荷軽減の目的で、前記就業管理DB13aに関して前記就業管理用サーバ23の情報が前記就業管理系ホスト26の情報と逐次同期することにより、前記在席確認要求に対して前記就業管理系ホスト26までアクセスを行う必要が無く前記就業管理用サーバ23が応答を行う構成としている。
次に、前記不正利用リスク検出装置10の前記不正利用リスク検出手段5において、上記で特定された、前記取引を起票した社員の上司B1及び同僚B2及び隣席者B3の在席状況から、不正利用リスクの判定を行い(ステップS13)、不正利用リスク有りと判断された場合には、前記不正利用リスク検出装置10の前記電子メール警告手段15において、前記取引を起票した社員の上司B1の前記オペレータ端末27に警告となる電子メールが送信される。この電子メールは例えば図6(D)のようなメール本文の内容で送信することができる。
また、前記取引ログDB11aを参照して、起票された取引に関する時刻、勘定科目及び金額等について各社員毎に取得された履歴情報を利用することで、不正利用リスク社員が検出された場合に、この履歴情報から各社員の通常利用パターンと同類の場合には不正利用リスクは低いとみなされ、この各社員の通常利用パターンと隔離している場合には不正利用リスクは高いと判断することが可能となる。この不正利用リスクの高低の度合いを例えば警告度という数値で具体化することにより前記電子メールに添付することも可能である。例えば、特定社員Aの14時に起票した取引に対して不正利用リスクが検出された場合、蓄積された前記履歴情報から特定社員Aが日常業務において9時から11時までに取引を起票していることが情報として得られている場合には、この取引は前記通常利用パターンから隔離しているために、特定社員Aの不正利用リスクは高いと判断される。また、この履歴情報はデータ蓄積が進むにつれて各社員の特性が顕在化するために不正利用リスクの判断精度が向上して信頼性が高まるという特性を有する。
また、図7では、各社員毎に起票した直近3世代前までの取引を前記履歴情報として取得している場合に、前記通常利用パターンとの比較に基づき設定される警告度の基準例を示している。前記通常利用パターンとの比較によりイレギュラー取引か否かを判断された比較情報を基に、直近3世代前までの取引に関して比較情報の組み合せから得られるパターンaからパターンgまでの各パターンに対して前記警告度を設定しており、前記警告度はどのような表現でもよいが、本例では4段階及び7段階の数値での一例を示している。
比較情報の対象が、例えば取引が起票された時刻の場合には、前記特定社員Aが日常業務において9時から11時までに取引を起票していることがデータ蓄積により前記通常利用パターンの情報として得られるため、前記特定社員Aが10時に取引を起票した場合には通常取引(×で図示)と判断され、前記特定社員Aが17時に取引を起票した場合にはイレギュラー取引(○で図示)と判断される。前記特定社員Aが前々回に10時に取引を起票し、前回も10時に取引を起票し、最も直近では17時に取引を起票した場合には、パターンfとなり、警告度(7段階)に関しては、警告度6となる。また、前記特定社員Aが前々回に17時に取引を起票し、前回も15時に取引を起票し、最も直近では10時に取引を起票した場合には、パターンdとなり、警告度(7段階)に関しては、警告度4となる。このように、警告度に幅を持たせることにより発生した不正利用リスクの度合いを具体的な数値で容易に理解することができ、不正利用リスク検出後の対応への有用な補助ツールとなる。
また、前記電子メール送信の都度、前記送信メールログDB15aに送信メールログを記録することにより、過去の前記電子メールの送信回数や送信取引内容等の送信メールログの内容が前記警告度において考慮されることで、前記判断精度をさらに向上させることができる。また、前記警告度は、過去に取り扱い実績のない新規取引が起票された場合や、深夜、早朝、休日の時間帯に起票された場合等の不正利用リスクの高い状況下で不正利用リスクが検出された場合にはさらに警告度を上げる等の柔軟な設定が可能である。
(本発明の第2の実施形態)
以下、本発明の第2の実施形態に係る不正利用リスク検出システムを、図8から図10に基づいて説明する。この図8は本発明の第2の実施形態に係る不正利用リスク検出システムの構成を示すブロック図、図9は図8に記載された不正利用リスク検出システムの処理手順を示すフローチャート図、図10は図8に記載された不正利用リスク検出システムのなりすまし発生検知処理の処理手順を示すフローチャート図を示す。
図8において、本発明の第2の実施形態に係る不正利用リスク検出システムは、本発明の第1の実施形態と同様に、前記取引ログ特定手段11、前記関係社員特定手段12及び前記在席確認手段13を備えており、前記不正利用リスク検出手段14を異にする構成である。前記不正利用リスク検出手段14は、前記取引ログ特定手段11及び前記在席確認手段13から各々出力される取引ログデータ及び在席確認データに基づき、在席が確認されない社員の名義で取引を実行した社員をなりすまし行為として検出するなりすまし発生検出部14aと、前記取引ログ特定手段11及び前記関係社員特定手段12及び前記在席確認手段13から各々出力される取引ログデータ、在席確認データ及び関係社員データに基づき、入出金取引の取り扱い時に上司及び/又は同僚及び/又は隣席者が社内に不在の社員を、不正利用の疑いを有する社員と判断する不正利用リスク検出部14bから構成される。
また、前記不正利用リスク検出手段14により不正利用の疑いがあると判断された場合に、本発明の第1の実施形態と同じく前記電子メール警告手段15を備え、電子メール送信を行う代替としてこの判断情報を1台の監視用PCに表示することにより管理者が一元管理することができる。
また、図8の構成における処理の流れは、図9に示すように、第1の実施形態になりすまし発生検知処理(ステップS301)を追加するものであり、このなりすまし発生検知処理は、ステップS3とステップS4の処理の間に追加され、図10に示すように、入出金取引情報AAと入出金取引情報AAを入力した社員情報AA1を会計システムの前記取引ログDB11aから抽出し(ステップS101)、社員情報AA1の在席情報CCを就業システムの就業管理DB13aから抽出し(ステップS102)、在席情報CCから社員情報AA1の在席確認を行い(ステップS103)、在席情報CCが不在の場合にはなりすまし発生有りと判定して処理が終了し(ステップS106)、在席情報CCが在席の場合にはこのなりすまし発生検知を指定期間内の全ての対象となる入出金取引情報AAに対して行い(ステップS104)、なりすまし発生が皆無の場合にはなりすまし発生無しと判定して処理が終了する(ステップS105)。
以下、前記構成に基づく本実施形態の具体的な装置を用いた不正利用リスク検出システムの使用方法について説明する。
本実施形態は、本発明の第1の実施形態になりすまし発生検知処理を追加したものであり、このなりすまし発生検知処理は、前記取引ログDB11aにログ記録された入出金取引が前記不正利用リスク検出装置10の前記取引ログ特定手段11に取り込まれた後、この入出金取引を起票した社員に対して、前記不正利用リスク検出装置10の前記在席確認手段13における前期就業管理DB13aに記録された在席情報からこの社員の在席状況を確認することにより、この社員が不在の場合はなりすまし発生を検知することができる。
なお、一定期間内におけるなりすまし発生の有無を確認する場合には、一定期間内に前記取引ログDB11aに記録された入出金取引を前記不正利用リスク検出装置10の前記取引ログ特定手段11により取り込み、この入出金取引の全件に対して前記なりすまし発生検知処理を実施することにより可能となる。このなりすまし発生検知処理によりなりすまし発生が検知され且つ不正利用リスクが検出された場合には、不正利用者がなりすましの犯人の可能性が高いために、前記監視用PCに表示される警告度もしくは前記電子メールの警告度を上げることで、なりすましの発生検知のみならずなりすまし実行者の限定も行えることとなり、なりすまし発生を検知する場合のみと比較して特に再発防止に高い効果が得られる。
なお、上記第1及び第2の実施形態の適用範囲としては、例えば金融システム等の限られた業務に限定されることはなく、広く一般に日常的に会計業務を扱う業務への適用することができる。また、上記第1の実施形態及び第2の実施形態では前記取引ログDB11aへのアクセスをオンライン処理と設定したが、前記取引ログDB11a及び就業管理DB13aのレコード情報に記録される時間情報を利用して、例えば1日1回夜間バッチにより実行されるバッチ処理と設定しても良い。
(付記1)会社等の組織内部における不正利用を検出する不正利用検出装置であって、
社員の出勤及び退勤の状況を確認して不在社員情報を生成する在席確認手段と、社内組織情報から社員の上司及び/又は同僚及び/又は隣席者等の関係社員を特定して関係社員一覧情報を生成する関係社員特定手段と、会計業務等の所定の勘定科目に関する入出金取引について、取引の取り扱いを行った社員、日時及び勘定科目より取引一覧情報を生成する取引特定手段と、当該不在社員情報、当該関係社員一覧情報及び当該取引一覧情報を参照して、入出金取引の取り扱いを行った社員の前記関係社員に対して社内に不在か否かを判断し、当該社員の前記関係社員が社内に不在の場合に当該社員を不正利用の疑いを有する不正利用リスク社員と判断する不正利用リスク検出手段とを備えることを、特徴とする不正利用検出装置。
(付記2)前記不正利用リスク検出手段が、入出金取引の取り扱いを行った名義人に該当する社員に対して社内に不在か否かを判断し、当該社員が社内に不在の場合に前記不正利用リスク社員をなりすましによる不正利用の疑いを有する社員と判断することを、特徴とする付記1に記載の不正利用検出装置。
(付記3)前記不正利用リスク検出手段が、取引に対して新規取引か否かを判断し、当該取引が新規取引の場合に当該取引の取り扱いを行った社員の前記関係社員に対して社内に不在か否かを判断し、当該社員の前記関係社員が社内に不在の場合に当該社員を前記不正利用リスク社員と判断することを、特徴とする付記1又は付記2に記載の不正利用検出装置。
(付記4)前記不正利用リスク検出手段が、前記電子メール送信毎に履歴情報を蓄積し、前記電子メール送信時に過去の判断情報と前記電子メールの判断情報との比較により生成される比較情報を参照して、不正利用の疑いを有する不正利用リスク社員を判断することを、特徴とする付記1ないし付記3に記載の不正利用検出装置。
(付記5)前記不正利用リスク検出手段により不正利用の疑いがあると判断された場合に、当該判断情報を電子メールとして出力される電子メール警告手段を備えることを、特徴とする付記1ないし付記4に記載の不正利用検出装置。
(付記6)コンピュータを、社員の出勤及び退勤の状況を確認して不在社員情報を生成する在席確認手段、社内組織情報から社員の上司及び/又は同僚及び/又は隣席者等の関係社員を特定して当該関係社員に関する関係社員一覧情報を生成する関係社員特定手段、会計業務等の所定の勘定科目に関する入出金取引について、取引の取り扱いを行った社員、日時及び勘定科目より取引一覧情報を生成する取引特定手段、当該不在社員情報、当該関係社員一覧情報及び当該取引一覧情報を参照して、入出金取引の取り扱いを行った社員を特定し、当該社員の前記関係社員が社内に不在の場合に当該社員を不正利用の疑いを有する不正利用リスク社員と判断する不正利用リスク検出手段、として機能させるための不正利用検出プログラム。
(付記7)前記不正利用リスク検出手段が、入出金取引の取り扱いを行った名義人に該当する社員が社内に不在の場合に、前記不正利用リスク社員をなりすましによる不正利用の疑いを有する社員と判断することを特徴とする付記6に記載の不正利用検出プログラム。
(付記8)前記不正利用リスク検出手段が、前記取引一覧情報を参照して新規取引か否かを判断し、当該新規取引の場合に前記不在社員情報及び前記関係社員一覧情報を参照して当該新規取引の取り扱いを行った社員の前記関係社員が社内に不在か否かを判断し、当該社員の前記関係社員が社内に不在の場合に当該社員を前記不正利用リスク社員と判断することを特徴とする付記6又は付記7に記載の不正利用検出プログラム。
(付記9)前記不正利用リスク検出手段が、前記電子メール送信毎に履歴情報を蓄積し、前記電子メール送信時に過去の判断情報と前記電子メールの判断情報との比較により生成される比較情報を参照して、不正利用の疑いを有する不正利用リスク社員を判断することを、特徴とする付記6ないし付記8に記載の不正利用検出プログラム。
(付記10)前記不正利用リスク検出手段により不正利用の疑いがあると判断された場合に、当該判断情報を電子メールとして出力される電子メール警告手段を備えることを、特徴とする付記9に記載の不正利用検出プログラム。
本発明の第1の実施形態に係る不正利用リスク検出システムの構成を示すブロック図である。 本発明の第1の実施形態に係る不正利用リスク検出システムの処理手順を示すフローチャート図である。 本発明の第1の実施形態に係る不正利用リスク検出システムの全体構成を示す説明図である。 本発明の第1の実施形態に係る不正利用リスク検知システムを構成する各機器のハードウェア構成を示す説明図である。 本発明の第1の実施形態に係る不正利用リスク検出システムの不正利用リスク検知の全体手順を示す説明図である。 (A)本発明の第1の実施形態に係る不正利用リスク検出システムにおける取引ログDB11aに登録された勘定系取引内容例である。(B)本発明の第1の実施形態に係る不正利用リスク検出システムにおける人事管理DB12aの登録内容例である。(C)本発明の第1の実施形態に係る不正利用リスク検出システムにおける就業管理DB13aの登録内容例である。(D)本発明の第1の実施形態に係る不正利用リスク検出システムにおける不正利用リスクの警告として送信される電子メール内容例である。 本発明の第1の実施形態に係る不正利用検出システムにおける比較情報の内容に対する警告度の設定例である。 本発明の第2の実施形態に係る不正利用リスク検出システムの構成を示すブロック図である。 本発明の第2の実施形態に係る不正利用リスク検出システムの処理手順を示すフローチャート図である。 本発明の第2の実施形態に係る不正利用リスク検出システムにおけるなりすまし発生検知処理の処理手順を示すフローチャート図である。 従来の不正利用リスク検出システムの概略構成図である。 従来の不正利用リスク検出システムの概略構成図である。
符号の説明
10 不正利用リスク検出装置
11 取引ログ特定手段
11a 取引ログDB
12 関係社員特定手段
12a 人事管理DB
13 在席確認手段
13a 就業管理DB
14 不正利用リスク検出手段
14a なりすまし発生検出部
14b 不正利用リスク検出部
15 電子メール警告手段
15a 送信メールログDB
21 業務用サーバ
22 人事管理用サーバ
23 就業管理用サーバ
24 勘定系ホスト
25 人事管理系ホスト
26 就業管理系ホスト
27 オペレータ端末
31 CPU
32 メモリ
33 入力装置
34 キーボード
35 マウス
36 ディスプレイ
37 通信装置
38 大容量記憶装置
39 バス

Claims (6)

  1. 会社等の組織内部における不正利用を検出する不正利用検出装置であって、
    社員の出勤及び退勤の状況を確認して不在社員情報を生成する在席確認手段と、
    社内組織情報から社員の上司及び/又は同僚及び/又は隣席者等の関係社員を特定して関係社員一覧情報を生成する関係社員特定手段と、
    会計業務等の所定の勘定科目に関する入出金取引について、取引の取り扱いを行った社員、日時及び勘定科目より取引一覧情報を生成する取引特定手段と、
    当該不在社員情報、当該関係社員一覧情報及び当該取引一覧情報を参照して、入出金取引の取り扱いを行った社員の前記関係社員に対して社内に不在か否かを判断し、当該社員の前記関係社員が社内に不在の場合に当該社員を不正利用の疑いを有する不正利用リスク社員と判断する不正利用リスク検出手段とを備えることを、
    特徴とする不正利用検出装置。
  2. 請求項1に記載の不正利用検出装置において、
    前記不正利用リスク検出手段が、入出金取引の取り扱いを行った名義人に該当する社員に対して社内に不在か否かを判断し、当該社員が社内に不在の場合に前記不正利用リスク社員をなりすましによる不正利用の疑いを有する社員と判断することを、
    特徴とする不正利用検出装置。
  3. 請求項1又は請求項2に記載の不正利用検出装置において、
    前記不正利用リスク検出手段が、取引に対して新規取引か否かを判断し、当該取引が新規取引の場合に当該取引の取り扱いを行った社員の前記関係社員に対して社内に不在か否かを判断し、当該社員の前記関係社員が社内に不在の場合に当該社員を前記不正利用リスク社員と判断することを、
    特徴とする不正利用検出装置。
  4. 請求項1ないし請求項3に不正利用検出装置において、
    前記不正利用リスク検出手段が、前記電子メール送信毎に履歴情報を蓄積し、前記電子メール送信時に過去の判断情報と前記電子メールの判断情報との比較により生成される比較情報を参照して、不正利用の疑いを有する不正利用リスク社員を判断することを、
    特徴とする不正利用検出装置。
  5. 請求項1ないし請求項4に記載の不正利用検出装置において、
    前記不正利用リスク検出手段により不正利用の疑いがあると判断された場合に、当該判断情報を電子メールとして出力される電子メール警告手段を備えることを、
    特徴とする不正利用検出装置。
  6. コンピュータを、
    社員の出勤及び退勤の状況を確認して不在社員情報を生成する在席確認手段、
    社内組織情報から社員の上司及び/又は同僚及び/又は隣席者等の関係社員を特定して当該関係社員に関する関係社員一覧情報を生成する関係社員特定手段、
    会計業務等の所定の勘定科目に関する入出金取引について、取引の取り扱いを行った社員、日時及び勘定科目より取引一覧情報を生成する取引特定手段、
    当該不在社員情報、当該関係社員一覧情報及び当該取引一覧情報を参照して、入出金取引の取り扱いを行った社員の前記関係社員に対して社内に不在か否かを判断し、当該社員の前記関係社員が社内に不在の場合に当該社員を不正利用の疑いを有する不正利用リスク社員と判断する不正利用リスク検出手段、
    として機能させるための不正利用検出プログラム。


JP2007292129A 2007-11-09 2007-11-09 不正利用検出装置及びそのプログラム Withdrawn JP2009116812A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007292129A JP2009116812A (ja) 2007-11-09 2007-11-09 不正利用検出装置及びそのプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007292129A JP2009116812A (ja) 2007-11-09 2007-11-09 不正利用検出装置及びそのプログラム

Publications (1)

Publication Number Publication Date
JP2009116812A true JP2009116812A (ja) 2009-05-28

Family

ID=40783862

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007292129A Withdrawn JP2009116812A (ja) 2007-11-09 2007-11-09 不正利用検出装置及びそのプログラム

Country Status (1)

Country Link
JP (1) JP2009116812A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011186612A (ja) * 2010-03-05 2011-09-22 Fujitsu Ltd プログラム及び診断方法
JP2011191823A (ja) * 2010-03-11 2011-09-29 Mitsubishi Electric Corp ログ管理サーバ、ログ管理方法およびログ管理プログラム
JP2018160282A (ja) * 2018-07-17 2018-10-11 富士通株式会社 監査対象特定支援プログラム、監査対象特定支援方法および監査支援装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011186612A (ja) * 2010-03-05 2011-09-22 Fujitsu Ltd プログラム及び診断方法
JP2011191823A (ja) * 2010-03-11 2011-09-29 Mitsubishi Electric Corp ログ管理サーバ、ログ管理方法およびログ管理プログラム
JP2018160282A (ja) * 2018-07-17 2018-10-11 富士通株式会社 監査対象特定支援プログラム、監査対象特定支援方法および監査支援装置

Similar Documents

Publication Publication Date Title
CN110140125A (zh) 安全性与合规性环境中的威胁情报管理
US20080163347A1 (en) Method to maintain or remove access rights
KR101717596B1 (ko) 이상거래 탐지장치 및 탐지방법
CN107040494A (zh) 用户账号异常防范方法和系统
CA2965543A1 (en) System and method for real time detection and prevention of segregation of duties violations in business-critical applications
JP6829789B1 (ja) 管理サーバ、配達管理方法、プログラムおよび記録媒体
CN101246619A (zh) 监控系统
JPWO2005048119A1 (ja) 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム
JP4508207B2 (ja) 管理者の不当閲覧防止方法及び不当閲覧防止システム、並びに不当閲覧防止プログラム
KR20210097007A (ko) 무인 단말기 유지 보수 방법
CN109474510A (zh) 一种邮箱安全交叉审计方法、系统及存储介质
JP2009116812A (ja) 不正利用検出装置及びそのプログラム
JP4728867B2 (ja) 勤怠管理システムおよび勤怠管理プログラム
KR100990649B1 (ko) 개인정보 열람관리 방법 및 이를 수행하기 위한 시스템
US20240037570A1 (en) Method for managing, evaluating and improving identity governance and administration
JP4417350B2 (ja) 制服管理システム、管理装置、及び、制服管理方法
JP6931384B2 (ja) 銀行システム、および銀行システムによって実行される方法
JP2006343994A (ja) 金融機関の処理システムおよび該処理システムの保守方法
JP5616920B2 (ja) 管理装置、管理方法および管理プログラム
JP5004572B2 (ja) ログイン管理システムおよびログイン管理方法
JP5145655B2 (ja) 保守出動管理プログラム、保守出動管理装置および保守出動管理方法
JP2009116512A (ja) 機密情報保護システム
JP5352879B2 (ja) セキュリティ対策評価方法及び装置
JP2007018235A (ja) 不正使用検出システム、被管理端末及び管理端末
JP2007286931A (ja) 情報処理装置及び方法並びにプログラム

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20110201