JP2016192185A - なりすまし検出システムおよびなりすまし検出方法 - Google Patents

なりすまし検出システムおよびなりすまし検出方法 Download PDF

Info

Publication number
JP2016192185A
JP2016192185A JP2015073141A JP2015073141A JP2016192185A JP 2016192185 A JP2016192185 A JP 2016192185A JP 2015073141 A JP2015073141 A JP 2015073141A JP 2015073141 A JP2015073141 A JP 2015073141A JP 2016192185 A JP2016192185 A JP 2016192185A
Authority
JP
Japan
Prior art keywords
predetermined
log
user
impersonation
profile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015073141A
Other languages
English (en)
Inventor
甲斐 賢
Masaru Kai
賢 甲斐
藤城 孝宏
Takahiro Fujishiro
孝宏 藤城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015073141A priority Critical patent/JP2016192185A/ja
Publication of JP2016192185A publication Critical patent/JP2016192185A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】ユーザのなりすましを確実に検出できるようにする。【解決手段】なりすまし検出システム1において、クラウドサービスのユーザに関する複数種のログを蓄積する記憶装置と、各ユーザに関する複数種のログを、クラウドサービスでの該当ユーザのセッション毎にグルーピングし、グルーピングしたセッション毎に該当各ログの所定項目を集約して第一の統合ログを生成し、これを所定アルゴリズムに適用して該当ユーザに関するプロファイルを作成し、その後に得たログについてグルーピングおよび統合ログの生成を実行して第二の統合ログを生成し、これをプロファイルに照合してなりすましのリスクを判定し、リスクが所定基準より高い場合に所定装置の所定情報を出力する演算装置を備える構成とする。【選択図】図1

Description

本発明は、なりすまし検出システムおよびなりすまし検出方法に関するものであり、具体的には、クラウドサービスにおけるユーザのなりすましを確実に検出する技術に関する。
近年、クラウドサービスの普及に伴い、ITベンダが顧客企業にオンプレミス(社内設置)でシステムを提供する形態から、クラウドサービス(特にSaaS;Software as Service)で提供する形態に、サービス提供形態が変化しつつある。上述のオンプレミスの形態においては、閉じられた環境でシステムが使われるのに対し、クラウドサービスでは、インターネット経由での提供やマルチテナントでの提供など、オープンな環境でシステム提供がなされるため、そうしたクラウドサービス(特にSaaS)のセキュリティ強化が必要である。
このようにオープンな環境で提供されるSaaSでは、ユーザ認証をパスすれば誰でもクラウドサービスを利用し、情報資産が格納されるデータベースにアクセスできる。そのため、他サイトで漏洩したIDとパスワードを活用し、標的とするサイトの認証を一度も失敗することなくパスするといった、リスト型攻撃も登場している。従ってこの場合、ユーザ認証のログを確認しても、攻撃を受けてなりすましに成功されたか否かを検出することは困難である。
こうしたログの分析に関連する技術としては、例えば、ユーザによる操作の記録であるシステムログを蓄積するシステムに対して、当該システムログを出力させ、前記システムに応じた変換ルールにしたがって、出力されたシステムログを変換するシステムログ収集ステップと、変換後のシステムログを登録するシステムログ登録ステップと、変換後のシステムログを対象に、分析を実行するための条件である分析設定情報に合致するシステムログを検索することで、不正な操作とみなされるシステムログを抽出するシステムログ検索ステップと、前記システムログ検索ステップにて抽出されたシステムログに示された不正な操作を行ったユーザのユーザ情報を、ディレクトリサービスシステムより取得するユーザ情報取得ステップと、を含むことを特徴とするシステムログ分析方法(特許文献1参照)などが提案されている。
特開2011−3090号公報
しかしながら従来技術においては、不正操作とみなされるシステムログを検索するための条件はユーザに非依存であって、画一的に設定されている。そのため、悪意のあるユーザが行う操作を全て事前に想定し、確実に対応することは難しい。
そこで本発明は、上記問題点に鑑みて成されたもので、クラウドサービスにおけるユーザのなりすましを確実に検出することを目的とする。
上記課題を解決する本発明のなりすまし検出システムは、クラウドサービスのユーザに
関する複数種のログを蓄積する記憶装置と、各ユーザに関する前記複数種のログを、前記クラウドサービスでの該当ユーザのセッション毎にグルーピングし、グルーピングしたセッション毎に該当各ログの所定項目を集約して第一の統合ログを生成し、前記第一の統合ログを所定アルゴリズムに適用して該当ユーザに関する前記クラウドサービスでの挙動特徴を示すプロファイルを作成する処理と、前記プロファイルの作成後に所定装置より得た、所定ユーザに関する複数種のログについて前記グルーピングおよび前記統合ログの生成を実行して第二の統合ログを生成し、当該第二の統合ログを、前記プロファイルのうち該当ユーザに関するものと照合し、所定アルゴリズムにより該当ユーザに関するなりすましのリスクを判定し、前記リスクが所定基準より高い場合に所定装置の所定情報を出力する処理を実行する演算装置と、を備えることを特徴とする。
また、本発明のなりすまし検出方法は、クラウドサービスのユーザに関する複数種のログを蓄積する記憶装置を備えた情報処理システムが、各ユーザに関する前記複数種のログを、前記クラウドサービスでの該当ユーザのセッション毎にグルーピングし、グルーピングしたセッション毎に該当各ログの所定項目を集約して第一の統合ログを生成し、前記第一の統合ログを所定アルゴリズムに適用して該当ユーザに関する前記クラウドサービスでの挙動特徴を示すプロファイルを作成する処理と、前記プロファイルの作成後に所定装置より得た、所定ユーザに関する複数種のログについて前記グルーピングおよび前記統合ログの生成を実行して第二の統合ログを生成し、当該第二の統合ログを、前記プロファイルのうち該当ユーザに関するものと照合し、所定アルゴリズムにより該当ユーザに関するなりすましのリスクを判定し、前記リスクが所定基準より高い場合に所定装置の所定情報を出力する処理と、を実行することを特徴とする。
本発明によれば、クラウドサービスにおけるユーザのなりすましを確実に検出できる。
本実施形態のなりすまし検出システムを含むネットワーク構成例を示す図である。 本実施形態におけるログ間トレース確認装置の機能構成例を示す図である 本実施形態におけるプロファイル学習装置の機能構成例を示す図である。 本実施形態におけるなりすまし検出装置の機能構成例を示す図である。 本実施形態における画面遷移例1を示す図である。 本実施形態におけるセッション管理テーブルのデータ例を示す図である。 本実施形態におけるWebアクセスログの構成例を示す図である。 本実施形態におけるAPP利用ログの構成例を示す図である。 本実施形態におけるDBアクセスログの構成例を示す図である。 本実施形態におけるなりすまし検出方法の全体フロー例を示す図である。 本実施形態におけるなりすまし検出方法の処理手順例1を示すフロー図である。 本実施形態におけるなりすまし検出方法の処理手順例2を示すフロー図である。 本実施形態における第一中間ログ(Webアクセス)のデータ例を示す図である。 本実施形態におけるなりすまし検出方法の処理手順例3を示すフロー図である。 本実施形態における第一中間ログ(APP利用)のデータ例を示す図である。 本実施形態におけるなりすまし検出方法の処理手順例4を示すフロー図である。 本実施形態における第一中間ログ(DBアクセス)のデータ例を示す図である。 本実施形態におけるなりすまし検出方法の処理手順例5を示すフロー図である。 本実施形態における第二中間ログのデータ例を示す図である。 本実施形態におけるなりすまし検出方法の処理手順例6を示すフロー図である。 本実施形態における統合ログのデータ例を示す図である。 本実施形態におけるなりすまし検出方法の処理手順例7を示すフロー図である。 本実施形態における重み付けDBの構成例1を示す図である。 本実施形態における重み付けDBの構成例2を示す図である。 本実施形態における重み付けDBの構成例3を示す図である。 本実施形態におけるなりすまし検出方法の処理手順例8を示すフロー図である。 本実施形態におけるプロファイル(決定木)の例を示す図である。 本実施形態におけるなりすまし検出方法の処理手順例9を示すフロー図である。 本実施形態における画面遷移例2を示す図である。 本実施形態における出力画面例1を示す図である。 本実施形態におけるなりすまし検出方法の処理手順例10を示すフロー図である。 本実施形態におけるログ間トレース確認処理に使うデータ例を示す図である。 本実施形態における出力画面例2を示す図である。 本実施形態におけるログ間トレースDBのデータ例を示す図である。
−−−システム構成−−−
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態のなりすまし検出システム1を含むネットワーク構成例を示す図である。図1に示すなりすまし検出システム1は、クラウドサービスにおけるユーザのなりすましを確実に検出するコンピュータシステムである。ここでまず、本実施形態におけるなりすまし検出システム1の位置づけを明確にするため、クラウドサービスのうち特にSaaSのサービス提供モデルと、本実施形態のなりすまし検出システム1との関係を、図1に基づき説明する。
この場合、SaaSは、Webサーバ、APP(アプリケーション)サーバ、DB(データベース)サーバなどからなるSaaS提供サーバ10が、内部ネットワーク30およびファイアウォール(FW)31を経由して、外部ネットワーク32に接続された各ユーザの端末40a〜40cにサービスを提供する形態を想定する。なお、サービスの提供主体は上述のSaaS提供サーバ10である。一方、このSaaS提供サーバ10にアクセスして、クラウドサービスの提供を受けるのは、上述の端末40a〜40cを操作する各ユーザ41a〜41cである。
SaaS提供サーバ10に対し、例えば端末40aがアクセスすると、SaaS提供サーバ10における認証管理部11、セッション管理部12、および動的ページ生成部13が連動して該当アクセスを処理し、例えばユーザA画面14aを生成し、これを該当端末40aに返信する。なお、認証管理部11では、ユーザA41aが端末40aで入力したIDとパスワードを取得し、これを適宜な認証用情報と照合することで本人確認処理を行
う。こうしたユーザ画面の生成や本人認証処理に関しては、他のユーザに関しても同様である(例:SaaS提供サーバ10にユーザB41bの端末40cがアクセスすると、ユーザB画面14bが生成され、返信される)。
上述のようなSaaS提供サーバ10に対する各ユーザの端末40a〜40cによるアクセスのログすなわちアクセスログは、SaaS提供サーバ10を構成する前述のWebサーバ、APPサーバ、DBサーバにシステムログとして記録される。一方、ログ収集サーバ20は、上述のSaaS提供サーバ10におけるWebサーバ、APPサーバ、およびDBサーバのそれぞれからシステムログを収集し、Webアクセスログ60、APP利用ログ70、DBアクセスログ80としてシステムログを記憶装置に蓄積する。
こうしたログ収集サーバ20としては、近年、SIEM(Security Incident and Event Management)と呼ばれる、ログ収集を主な機能の一つにもつセキュリティ製品が知られており、このような既存製品を活用してログ収集サーバ20を構成することを想定出来る。また、ログの収集は、Syslogなどの所定のプロトコルを使用してもよく、ログファイルをファイル転送することでログを収集するものであってもよい。
以上のような、SaaS提供サーバ10と各ユーザの端末40a〜40c、およびログ収集サーバ20で構成される、クラウドサービスとそのログ収集のネットワーク構成に対し、本実施形態のなりすまし検出システム1は、例えばログ収集サーバ20とアクセスし必要なデータであるログの取得を行うこととなる。図1にて例示するように、本実施形態のなりすまし検出システム1は、ログ間トレース確認装置100、プロファイル学習装置200、およびなりすまし検出装置300を含んで構成される。
機能やデータの具体的な詳細については後述するが、ログ間トレース確認装置100は、ログ収集サーバ20と接続され、このログ収集サーバ20から集められた各種システムログどうしの関係を分析するコンピュータである。またログ間トレース確認装置100は、異種ログ解析部110、トレース確認部120、およびログ間トレースDB130を備えている。
一方、プロファイル学習装置200は、上述のログ収集サーバ20と接続され、ログ収集サーバ20から集められた各種システムログからなりすましを検出するための基準データとなるプロファイルを作成するコンピュータである。こうしたプロファイル学習装置200は、インポート部210、重み付けDB220、統合ログDB230、プロファイル作成部240、およびプロファイルDB250を備えている。
また、なりすまし検出装置300は、ログ収集サーバ20およびセキュリティ管理者51の監視端末50と接続され、ログ収集サーバ20から集められた各種システムログからユーザのなりすましを検出するコンピュータである。なりすまし検出装置300は、インポート部310、統合ログDB320、プロファイル照合部330、およびアラート部340を備えている。
−−−ハードウェア構成の例−−−
次に、本実施形態のなりすまし検出システム1を構成する各装置のハードウェア構成例について説明する。図2は本実施形態におけるログ間トレース確認装置100の構成例を示す図である。図2で例示するログ間トレース確認装置100は、CPU101、メモリ102、記憶装置103、通信装置104、電源装置105、入力装置106、および出力装置107を備え、これらはバス108で接続された構成となっている。
このうちCPU101は、中央演算処理装置(演算装置)であり、上述のようにプログラム1031の実行により、異種ログ解析部110およびトレース確認部120を実装する。
また、メモリ102は、CPU101が処理を実行するときにプログラムやデータをロードする主記憶装置であり、揮発性記憶素子で構成される。また、記憶装置103は、CPU101への入力データや出力データやプログラム1031を保管するための補助記憶装置であり、不揮発記憶素子で構成される。この記憶装置103は、ログ間トレースDB130を格納する。なお、このログ間トレースDB130はメモリ102に格納するようにしてもよい。
また、通信装置104は、外部ノードとの通信を行う通信装置であり、各種ネットワークと通信を行う。なお、外部ノードは、ログ収集サーバ20を提供する計算機や、監視端末50の計算機などを含む。
また、電源装置105は、ログ間トレース確認装置100に電源を供給する装置であり、電源コンセントなどと接続される。
また、入力装置106は、操作者が入力するためのインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、音声入力などである。また出力装置107は、操作者にフィードバックや演算結果などを提供するためのインタフェースであり、例えば、画面表示装置、音声出力装置、印字装置などである。
なお、図2に示すログ間トレース確認装置100は、1台のハードウェア上に構成するものであるが、大規模なサービスに対応するための負荷分散や、可用性を高めるための冗長構成をとる場合に、2台以上のハードウェア上で構成されるものであってもよい。
また、ログ間トレース確認装置100の各機能を実現するプログラム、テーブル等の情報は、記憶装置103や、ストレージサブシステム、不揮発半導体メモリ、ハードディスクドライブ、SSD(Solid State Drive)などの記憶デバイス、または、ICカード、SDカード、DVDなどの計算機読み取り可能な非一時的データ記憶媒体に格納することができる。
図3は本実施形態におけるプロファイル学習装置200の構成例を示す図である。本実施形態におけるプロファイル学習装置200は、CPU201、メモリ202、記憶装置203、通信装置204、電源装置205、入力装置206、および出力装置207を備え、これらはバス208で接続された構成となっている。
このうちCPU201は、中央演算処理装置(演算装置)であり、記憶装置203のプログラム2031を実行することで、インポート部210およびプロファイル作成部240を実装する。
また、メモリ202は、CPU201が処理を実行するときにプログラム2031やデータをロードする主記憶装置であり、揮発性記憶素子で構成される。また、記憶装置203は、CPU201への入力データや出力データやプログラム2031を保管するための補助記憶装置であり、不揮発性記憶素子で構成される。この記憶装置203は、重み付けDB220、統合ログDB230、およびプロファイルDB250を格納する。なお、重み付けDB220、統合ログDB230、プロファイルDB250はメモリ202に格納するようにしてもよい。
また通信装置204は、外部ノードとの通信を行う通信装置であり、各種ネットワークと通信を行う。なお、外部ノードは、ログ収集サーバ20を提供する計算機や、監視端末50の計算機などを含む。また電源装置205は、プロファイル学習装置200に電源を供給する装置であり、電源コンセントなどと接続される。
また、入力装置206は、操作者が入力するためのインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、音声入力などである。また、出力装置207は、操作者にフィードバックや演算結果などを提供するためのインタフェースであり、例えば、画面表示装置、音声出力装置、印字装置などである。
なお、図3に示すプロファイル学習装置200は、1台のハードウェア上に構成するものであるが、大規模なサービスに対応するための負荷分散や、可用性を高めるための冗長構成をとる場合に、2台以上のハードウェア上で構成されるものであってもよい。
図4は本実施形態におけるなりすまし検出装置300の構成例を示す図である。本実施形態におけるなりすまし検出装置300、CPU301、メモリ302、記憶装置303、通信装置304、電源装置305、入力装置306、および出力装置307を備え、これらはバス308で接続された構成となっている。
このうちCPU301は、中央演算処理装置(演算装置)であり、記憶装置303のプログラム3031を実行することで、インポート部310、プロファイル照合部330、およびアラート部340を実装する。
また、メモリ302は、CPU301が処理を実行するときにプログラム3031やデータをロードする主記憶装置であり、揮発性記憶素子で構成される。また、記憶装置303は、CPU301への入力データや出力データやプログラム3031を保管するための補助記憶装置であり、不揮発性記憶素子で構成される。この記憶装置303は統合ログDB320を格納する。なお、統合ログDB320はメモリ302に格納するようにしてもよい。
また通信装置304は、外部ノードとの通信を行う通信装置であり、各種ネットワークと通信を行う。なお、外部ノードは、ログ収集サーバ20を提供する計算機や、監視端末50の計算機などを含む。また電源装置305は、なりすまし検出装置300に電源を供給する装置であり、電源コンセントなどと接続される。
また、入力装置306は、操作者が入力するためのインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、音声入力などである。また、出力装置307は、操作者にフィードバックや演算結果などを提供するためのインタフェースであり、例えば、画面表示装置、音声出力装置、印字装置などである。
なお、図4に示すなりすまし検出装置300は、1台のハードウェア上に構成するものであるが、大規模なサービスに対応するための負荷分散や、可用性を高めるための冗長構成をとる場合に、2台以上のハードウェア上で構成されるものであってもよい。
本実施形態では、ログ間トレース確認装置100、プロファイル学習装置200およびなりすまし検出装置300はそれぞれ独立した1台のコンピュータであるとして例示した。しかしながら、ログ間トレース確認装置100、プロファイル学習装置200およびなりすまし検出装置300の機能を、1台のコンピュータが備える構成としてもよい。或いは、ログ間トレース確認装置100、プロファイル学習装置200およびなりすまし検出装置300のそれぞれを複数台のコンピュータにより構成するようにしてもよい。さらに
、ログ間トレース確認装置100、プロファイル学習装置200およびなりすまし検出装置300の各機能は、SaaS提供サーバ10を構成する例えばWebサーバ、APPサーバおよびDBサーバ、ならびにログ収集サーバ20の1つまたは複数に配置するようにしてもよい。
−−−データ等の例−−−
続いて、本実施形態のなりすまし検出システム1が取り扱うデータについて説明する。ここではまず、そうしたデータの取得契機となるクラウドサービスの利用時に想定される画面について示す。図5は、本実施形態における画面遷移例1を示す図である。この図5では、上述のSaaS提供サーバ10が提供するサービスにユーザがログインした場合に、その端末に提供されるユーザ画面の遷移状況例を示している。
この場合、例えばユーザ41aが端末40aを操作して、SaaS指定のURLにWebブラウザでアクセスすると、SaaS提供サーバ10の認証管理部11が、ログイン画面400を端末40aに表示させる。
上述のユーザ41aがログイン画面400上でIDとパスワードを入力し、ログインに成功すると、SaaS提供サーバ10のセッション管理部12は、該当ユーザがログアウトするまでの一連のアクセスを関連付けるためのセッションを作成し、また、動的ページ生成部13が、ユーザ41a向けのポータル画面410を生成して端末40aに表示させる。以降、ユーザ41aは、ポータル画面410上のメニュー1ボタン411、メニュー2ボタン412、メニュー3ボタン413を押下し、SaaS上で業務を遂行するために、メニュー1画面420や、メニュー2画面430に画面遷移し、作業を行うこととなる。
なお、上述のユーザ41aがポータル画面410上でログアウトボタン414を押下すると、SaaS提供サーバ10のセッション管理部12は、該当ユーザに関して管理しているセッションを切断する。また、セッション管理部12は、ユーザ41aがログインした後に所定時間が経過した場合や、あるいは、ユーザ41aが最後にユーザ画面14にアクセスしてから所定時間が経過した場合に該当セッションを切断するようにしてもよい。
続いて、上述のSaaS提供サーバ10におけるセッション管理部12が管理する、セッション管理テーブル1000について説明する。図6は本実施形態におけるセッション管理テーブル1000のデータ例を示す図である。
本実施形態におけるセッション管理テーブル1000は、ユーザID1001、セッション開始時刻1002、セッション終了時刻1003、なりすましリスク値1004を含む、ユーザ数だけのエントリからなるテーブル構造をもつ。このうちセッション開始時刻1002には、ユーザID1001を名乗るユーザが最後に認証管理部11の認証を通過した時刻が記録されている。また、セッション終了時刻1003には、ユーザID1001を名乗るユーザが最後にログアウトした時刻が記録されている。また、なりすましリスク値1004には、当該セッションを利用したユーザがなりすましであるリスクを表す値(なりすましリスク値)が格納されている。このなりすましリスク値の算出方法については後述する。
次に、ログ収集サーバ20が収集するシステムログ(Webアクセスログ60、APP利用ログ70、DBアクセスログ80)について説明する。
図7は本実施形態におけるWebアクセスログ60の構成例を示す図である。本実施形態におけるWebアクセスログ60には、ユーザによるSaaSへのアクセス時に、端末
40からどのWebページにアクセスしたかの記録が残される。例えば、Webアクセスログ60は、日時61、ユーザID62、アクセスページ63、応答コード64、セッションID65を含む。
図8は本実施形態におけるAPP利用ログ70の構成例を示す図である。本実施形態のAPP利用ログ70には、SaaSへアクセスするミドルウェアとして上述のWebサーバから呼び出されるAPPサーバへのアクセスの記録が残される。例えば、APP利用ログ70は、日時71、セッションID72、アクションクラス73、プロセスID74、トランザクションID75、応答コード76、応答時間77を含む。
図9は本実施形態におけるDBアクセスログ80の構成例を示す図である。本実施形態のDBアクセスログ80には、SaaSが管理する情報資産へのアクセスとして、上述のAPPサーバからのDBサーバへのアクセスが記録される。例えば、DBアクセスログ80は、日時81、IPアドレス82、トランザクションID83、SQLクエリ84、応答コード85、応答時間86を含む。
ここでセキュリティ課題の一つとして、例えば、ユーザ41aのIDとパスワードが他のサイトと共通のものを使っていた場合、もし他サイトでIDとパスワードが漏洩すると、悪意のある者はそのIDとパスワードを認証管理部11に入力することで、ユーザ41aになりすましてSaaS提供サーバ10にログインすることができる。リスト型攻撃として知られている攻撃手法である。なりすましに成功した悪意のある者は、ユーザA画面14aにアクセスできてしまうが、認証管理部11では、認証に一度も失敗していないため、セキュリティ管理者がWebアクセスログ60、APP利用ログ70、DBアクセスログ80からなりすましを目視で検出することは困難な作業となる。
しかしながら本発明のなりすまし検出技術によれば、こうした状況にも確実に対応して、なりすましを確実に検出することが可能である。以下、なりすまし検出方法の具体的な処理内容について説明する。
−−−処理フロー−−−
以下、本実施形態におけるなりすまし検出方法の実際手順について図に基づき説明する。以下で説明するなりすまし検出方法に対応する各種動作は、なりすまし検出システム1を構成する各装置がメモリ等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
図10は、本実施形態におけるなりすまし検出方法の全体フロー例を示す図である。本実施形態のなりすまし検出システム1による処理は、SaaSのシステムの開発およびテスト段階とシステム運用段階とを含み、このうち開発およびテスト段階には、ログ間トレース確認装置100により実行されるログ間トレース確認処理701が含まれる。ログ間トレース確認処理701の詳細は、後述する図18を使って説明する。
また、システム運用段階には、プロファイル学習装置200により実行されるプロファイル学習処理702と、その後になりすまし検出装置300により実行されるなりすまし検出処理703とが含まれる。
ここで図11にて、上述のシステム運用段階におけるプロファイル学習処理702の詳細を示す。当該フローにおいて、ステップ801では、プロファイル学習装置200のインポート部210が、ログ収集サーバ20からWebアクセスログ60、APP利用ログ70、DBアクセスログ80を収集する。なお、収集するタイミングは、例えば一日に一
回の業務時間外である深夜に、バッチとして処理するものであっても良い。あるいは週に一回の休日に、バッチとして処理するものであっても良い。
ステップ802では、プロファイル学習装置200のインポート部210が、Webアクセスログ60、APP利用ログ70、DBアクセスログ80から統合ログ230を生成する。この統合ログ生成について図12のフローに示す。
図12のフローにおいて、プロファイル学習装置200のインポート部210は、ステップ8021にて、Webアクセスログ60から第一中間ログ500を作成し、ステップ8022において、APP利用ログ70から第一中間ログ510を作成し、ステップ8023において、DBアクセスログ80から第一中間ログ520を作成し、ステップ8024において、第一中間ログ510,520から第二中間ログ530を作成し、ステップ8025において、統合ログ220を作成する。
上述の各ログのうち第一中間ログ500の例について図13にて示す。インポート部210がWebアクセスログ60から作成する第一中間ログ500(以下、「第一中間ログ(Webアクセス)」とも表記する。)は、通番501、日時502、ユーザID503、セッションID504、URL1(505)、URL2(506)、・・・、URLn(507)の組合せを含む、0個以上のエントリから構成されるテーブル構造をもつ。
こうした第一中間ログ500の作成手順の詳細については図14のフローに示している。このフローにおいて、ステップ80211では、第一中間ログ500インポート部210が、上述の第一中間ログ500の新しいエントリを作成する。
ステップ80212では、第一中間ログ500インポート部210が、Webアクセスログ60の各エントリを個々に区別するために通し番号を振って、新しいエントリの通番501に設定する。
またステップ80213では、第一中間ログ500インポート部210がWebアクセスログ60の日時61を所定の年月日フォーマットに変換して、新しいエントリの日時502に設定する。
ステップ80214では、第一中間ログ500インポート部210は、Webアクセスログ60のユーザID62を、新しいエントリのユーザID503にそのまま格納する。
ステップ80215では、第一中間ログ500インポート部210は、Webアクセスログ60のセッションID65を、新しいエントリのセッションID504にそのまま格納する。
ステップ80216では、第一中間ログ500インポート部210は、Webアクセスログ60のアクセスページ63に含まれる各URLについて、当該URLにおけるユーザの滞在時間を日時61から求める。なお、URLにおけるユーザの滞在時間を求めるには一般的な手法を用いることができ、ここでは説明を省略する。
ステップ80217では、第一中間ログ500インポート部210は、求めた滞在時間をそれぞれ新しいエントリのURL1(505)、URL2(506)、・・・、URLn(507)に設定する。図13の例では、たとえばURL1(505)である「login.jsp」での滞在時間が1s(秒)であったことや、URL2(506)である「portal.jsp」での滞在時間が10sであったことが示されている。以上のようにして、Webアクセスログ60から第一中間ログ500が作成される。
次に、インポート部210がAPP利用ログ70から作成する第一中間ログ510(以下、「第一中間ログ(APP利用)」とも表記する)について説明する。図15に例示する第一中間ログ510は、通番511、セッションID512、トランザクションID513、アクションクラス1(514)、アクションクラス2(515)、・・・、アクションクラスn(516)の組合せを含む、0個以上のエントリから構成されるテーブル構造をもつ。こうした第一中間ログ510を作成する処理について図16に基づき説明する。
図16のフローにて、ステップ80221では、プロファイル学習部200のインポート部210が第一中間ログ510の新しいエントリを作成する。
ステップ80222では、プロファイル学習部200のインポート部210がAPP利用ログ70の各エントリを個々に区別するために通し番号を振って、新しいエントリの通番511に設定する。
また、ステップ80223では、プロファイル学習部200のインポート部210は、APP利用ログ70のセッションID72を、新しいエントリのセッションID512にそのまま格納する。
また、ステップ80224では、プロファイル学習部200のインポート部210は、APP利用ログ70のトランザクションID75を、新しいエントリのトランザクションID513にそのまま格納する。
ステップ80225では、プロファイル学習部200のインポート部210は、APP利用ログ70のアクションクラス73を構成する各アクションクラスについて、当該アクションクラスに対応するAPP利用ログ70の応答時間77を、新しいエントリのアクションクラス1(514)、アクションクラス2(515)、・・・、アクションクラスn(516)のいずれかに対応付けて設定する。図15の例では、たとえばアクションクラス1(514)である「login.java」の応答時間が20ms(ミリ秒)であったことや、アクションクラス2(515)である「portal.java」の応答時間が30msであったことなどが示されている。以上のようにして、APP利用ログ70から第一中間ログ510が作成される。
次に、インポート部210がDBアクセスログ80から作成する第一中間ログ520の構成例について説明する。図17に例示する第一中間ログ520(以下、「第一中間ログ(DBアクセス)」とも表記する)は、通番521、トランザクションID522、テーブル1(523)、テーブル2(524)、・・・、テーブルn(525)の組合せを含む、0個以上のエントリから構成される。こうした第一中間ログ520を、DBアクセスログ80から作成する処理(図12のステップ8023)の詳細を続いて説明する。
図18のフローにて、ステップ80231では、プロファイル学習装置200のインポート部210が第一中間ログ520の新しいエントリを作成する。
また、ステップ80232では、プロファイル学習装置200のインポート部210がDBアクセスログ80の各エントリを個々に区別するために通し番号を振って、新しいエントリの通番521に設定する。
また、ステップ80233では、プロファイル学習装置200のインポート部210は、DBアクセスログ80のトランザクションID83を、新しいエントリのトランザクシ
ョンID522にそのまま格納する。
ステップ80234では、プロファイル学習装置200のインポート部210は、DBアクセスログ80のSQLクエリ84に含まれる各テーブルについて、当該テーブルに対応するDBアクセスログ80の応答時間86を、新しいエントリのテーブル1(523)、テーブル2(524)、・・・、テーブルn(525)のいずれかに対応付けて設定する。図17の例では、たとえばテーブル1(523)である「T_USER」に対するクエリの応答時間が10ms(ミリ秒)であったことや、テーブル2(524)である「T_PORTAL」に対するクエリの応答時間が500msであったことなどが示されている。なお、SQLクエリ84中に複数のテーブルが含まれる場合には、応答時間86はSQLクエリ84に含まれるすべてのテーブルに同等にかかったものとして、複数のテーブルのそれぞれに対応づけて設定するようにしても良い。以上のようにして、DBアクセスログ80から第一中間ログ520が作成される。
次に、上述のインポート部210が第一中間ログ510、520から作成する第二中間ログ530の構成例について説明する。図19に例示する第二中間ログ530は、第一中間ログ510のトランザクションID513と、DBアクセスログ80に係る第一中間ログ520のトランザクションID522とが同じ値をとるような各エントリを1個のエントリとしたものである。こうした第二中間ログ530は、通番531、セッションID532、アクションクラス1(533)、アクションクラス2(534)、・・・、アクションクラスn(535)、テーブル1(536)、テーブル2(537)、・・・、テーブルn(538)、トレース通番(539)の組合せを含む、0個以上のエントリから構成されるテーブル構造をもつ。
こうした第二中間ログ530の作成処理について説明する。図20は、第一中間ログ510、520から第二中間ログ530を作成する処理(図12のステップ8024)の詳細を説明する図である。この場合、ステップ80241では、プロファイル学習装置200のインポート部210が第二中間ログ530の新しいエントリを作成する。
次にステップ80242では、プロファイル学習装置200のインポート部210が第二中間ログ530の各エントリを個々に区別するために通し番号を振って、新しいエントリの通番531に設定する。
また、ステップ80243では、プロファイル学習装置200のインポート部210は、第一中間ログ510のセッションID512をセッションID532にそのまま格納する。
次にステップ80244では、プロファイル学習装置200のインポート部210は、第一中間ログ510のアクションクラス1(514)、アクションクラス2(515)、・・・、アクションクラスn(516)を、アクションクラス1(533)、アクションクラス2(534)、・・・、アクションクラスn(535)にそのまま格納する。
また、ステップ80245では、プロファイル学習装置200のインポート部210は、第一中間ログ520のテーブル1(523)、テーブル2(524)、・・・、テーブルn(525)を、テーブル1(536)、テーブル2(537)、・・・、テーブルn(538)にそのまま格納する。
次にステップ80246では、プロファイル学習装置200のインポート部210は、第一中間ログ510の通番501と第一中間ログ520の通番511とをトレース通番539に格納する。以上のようにして、第一中間ログ510、520から第二中間ログ53
0が作成される。
続いて、上述のインポート部210が第一中間ログ500と第二中間ログ530から作成する統合ログ220の構成例について説明する。図21に例示する統合ログ220は、第一中間ログ500のセッションID504と、第二中間ログ530のセッションID532とが同じ値をとるような各エントリを1個のエントリとしたものである。こうした統合ログ220は、通番541、日時542、ユーザID543、URL1(544)、URL2(545)、URLn(546)、アクションクラス1(547)、アクションクラス2(548)、アクションクラスn(549)、テーブル1(550)、テーブル2(551)、テーブルn(552)、トレース通番553の組合せを含む、0個以上のエントリから構成される。以下に、この統合ログ220の作成処理について説明する。
図22は、第一中間ログ500と第二中間ログ530から統合ログ220を作成する処理(図12のステップ8025)の詳細を説明する図である。このフローにおいて、ステップ80251では、プロファイル学習装置200のインポート部210が統合ログ220の新しいエントリを作成する。
次にステップ80252では、プロファイル学習装置200のインポート部210が統合ログ220の各エントリを個々に区別するために通し番号を振って、新しいエントリの通番541に設定する。
また、ステップ80253では、プロファイル学習装置200のインポート部210は、第一中間ログ500の日時502を日時542にそのまま格納する。
続いてステップ80254では、プロファイル学習装置200のインポート部210は、第一中間ログ500のユーザID503をユーザID543にそのまま格納する。
また、ステップ80255では、プロファイル学習装置200のインポート部210は、第一中間ログ500のURL1(505)、URL2(506)、・・・、URLn(507)を、URL1(544)、URL2(545)、・・・、URLn(546)にそのまま格納する。
次にステップ80256では、プロファイル学習装置200のインポート部210は、第二中間ログ530のアクションクラス1(533)、アクションクラス2(534)、・・・、アクションクラスn(535)を、アクションクラス1(547)、アクションクラス2(548)、・・・、アクションクラスn(549)にそのまま格納する。
また、ステップ80257では、プロファイル学習装置200のインポート部210は、第二中間ログ530のテーブル1(536)、テーブル2(537)、・・・、テーブルn(538)を、テーブル1(550)、テーブル2(551)、・・・、テーブルn(552)にそのまま格納する。
また、ステップ80258では、プロファイル学習装置200のインポート部210は、第一中間ログ500の通番501と第二中間ログ530の通番531とをトレース通番553に格納する。以上述べてきたステップ802で作成された統合ログ230では、ユーザ41がログインしてからログアウトするまでのユーザID543にもとづき、アクセスしたURLや、起動されたアクションクラスや、読み書きが行われたテーブルの一覧を、1個のエントリとして把握することができる。
ここで示した統合ログ230の作成形態は一例であり、後述するログ間トレース確認装
置100が出力するログ間トレースDB130の内容を使って、その他の手順で統合ログ230を作成するものであっても良い。
ここで図11のフローに関する説明に戻る。ステップ802に続いて、ステップ803において、プロファイル学習装置200のインポート部210が、重み付けDB220を使って、統合ログ230の各項目に重みをつける処理を行う。ここで用いる重み付けDB220のデータ構造を、図23〜25にそれぞれ基づき説明する。本実施形態では、重み付けDB220が3つの重み付けテーブル600、610、620から構成される場合を想定する。
このうち重み付けテーブル600は、図23にて例示するように、URLの滞在時間に対して用いる重みを管理するテーブルである。この重み付けテーブル600に管理される重み付け値は、高い頻度でアクセスするURLほど軽く、低い頻度でアクセスするURLほど重くなるように設定されている。こうした重み付けテーブル600は、URL601、重み付け値602、理由603を含む、0個以上のエントリからなるテーブル構造をもつ。
一方、重み付けテーブル610は、図24にて例示するように、アクションクラスの応答時間に対して用いる重みを管理するテーブルである。この重み付けテーブル610に管理される重み付け値は、高い頻度で呼び出されるアクションクラスほど軽く、低い頻度で呼び出されるアクションクラスほど重くなるように設定されている。この重み付けテーブル610は、アクションクラス611、重み付け値612、理由613を含む、0個以上のエントリからなるテーブル構造をもつ。
また、重み付けテーブル620は、図25にて例示するように、テーブルの応答時間に対して用いる重みを管理するテーブルである。重み付けテーブル620に管理される重み付け値は、価値の高い情報を保持するテーブルほど重く、価値の低い情報を保持するテーブルほど値を軽くなるように設定されている。こうした重み付けテーブル620は、テーブル621、重み付け値622、理由623を含む、0個以上のエントリからなるテーブル構造をもつ。
図26にて上述の重み付けDB220を用いて重み付け値を適用する処理(図11のステップ803)の詳細フローを示す。このフローにおいて、ステップ8031では、プロファイル学習装置200のインポート部210は、統合ログ230のURL1(544)、URL2(545)、・・・、URLn(546)のそれぞれに対して、重み付けテーブル600において対応するURLの重み付け値602を掛け算する。
また、ステップ8032では、プロファイル学習装置200のインポート部210は、統合ログ230のアクションクラス1(547)、アクションクラス2(548)、・・・、アクションクラスn(549)に対して、重み付けテーブル610において対応するアクションクラスの重み付け値612を掛け算する。
次にステップ8033では、プロファイル学習装置200のインポート部210は、統合ログ230のテーブル1(550)、テーブル2(551)、・・・、テーブルn(552)に対して、重み付けテーブル620において対応するテーブルの重み付け値622を掛け算する。
ここで再び図11のフローの説明に戻る。上述のステップ803の続き、ステップ804では、プロファイル学習装置200のプロファイル作成部240がプロファイルDB250を作成する。図27に、プロファイルDB250のデータ構造の一例を示す。ここで
例示するプロファイルDB250は、プロファイル学習装置200のプロファイル作成部240によって機械学習の結果(プロファイル)として作成される。プロファイルはユーザによる操作の特徴を示すデータであり、決定木と呼ばれるツリー構造を有する。
図27で示すプロファイルすなわち決定木の例は、プロファイルDB250がノード900、910、920、930、940とリンク901、902、903、921、922、923とを格納していることを示す。ルートのノード900は、統合ログDB230のうち、機械学習の入力としたログを示す。決定木において、リンク901は、ノード900に含まれる統合ログのうち、URL1(544)の滞在時間の長さによって、60秒より長ければ(分岐902)ノード910に分類され、60秒以下であれば(分岐903)ノード920に分類されることを意味する。
また、リンク921は、ノード920に含まれる統合ログのうち、アクションクラス2(548)の応答時間の長さによって、3秒以下であれば(分岐922)ノード930に分類され、3秒より長ければ(分岐923)ノード940に分類されることを意味する。ルート以外のノード910、920、930、940は、ユーザIDを示す。すなわち、決定木を辿ることによりユーザIDを決定することができる。このような決定木の作成方法の詳細は公知であり、ここでの詳細な説明については割愛する。
以上述べてきたステップ801〜804により、プロファイルプロファイル学習装置200のプロファイル学習処理702が完了する。
続いて、なりすまし検出装置300による処理について説明する。図28は、なりすまし検出処理703でのフローを示す図である。このフローにて、ステップ811では、なりすまし検出装置300のインポート部310がログ収集サーバ20からシステムログを収集する。
またステップ812では、なりすまし検出装置300のインポート部310がシステムログから統合ログDB320を生成する。
次にステップ813では、なりすまし検出装置300のインポート部310が重み付けDB220にもとづき統合ログDB320に重みをつける。
上述のステップ811からステップ813は、プロファイル学習処理702のステップ801からステップ803と同等であるが、ログ収集サーバ20から収集するシステムログは、ユーザ41がSaaS提供サーバ10にログインしてからログアウトするまで次々に生成されるシステムログを次々に収集するものであっても良い。
続いてステップ814では、なりすまし検出装置300が、つづくステップ815からステップ818までの処理を、統合ログ320のエントリの個数だけ繰り返す。
ステップ815では、なりすまし検出装置300のプロファイル照合部330が、機械学習アルゴリズムの決定木の照合をつかって、プロファイルDB250にしたがい、ユーザIDを予測する。本実施形態では、なりすまし検出装置300は、プロファイル学習装置200と通信可能に接続しており、なりすまし検出装置300のプロファイル照合部330は、プロファイル学習装置200が備えるプロファイルDB250にアクセスできるものとする。図27の例においてユーザIDの予測にあたっては、プロファイルDB250のノード900から開始し、リンク901を見て統合ログ320のエントリが分岐902と分岐903のいずれかに該当するかを判断する。分岐902に該当するなら、ノード910では80%の確率で「ユーザA」と予測する。分岐903に該当するなら、ノード
920に進み、つぎのリンク921にて分岐する。このようにして、プロファイル照合部330は、統合ログ230のエントリからどのユーザIDに該当するかを予測することができる。
次にステップ816では、なりすまし検出装置300のプロファイル照合部330が、上述のステップ815で予測したユーザIDが、統合ログ320のエントリに含まれるユーザID543と一致するかどうかを判定する。ユーザIDが一致しない場合にはステップ817に進み、ユーザIDが一致する場合にはステップ818に進む。
また、ステップ817では、なりすまし検出装置300のプロファイル照合部330が、図6に示したセッション管理テーブル1000において当該ユーザID1001に対応するなりすましリスク値1004の値を増加させる。
次にステップ818では、なりすまし検出装置300のプロファイル照合部330が、セッション管理テーブル1000の当該ユーザID1001の、なりすましリスク値1004の値を減少させる。
また、ステップ819では、なりすまし検出装置300のプロファイル照合部330が、セッション管理テーブル1000のなりすましリスク値1004を見て、所定の値以上かどうかを判定する。なりすましリスク値1004が所定の値以上であれば、ステップ820に進む。所定の値未満であれば、なりすまし検出処理703は終了する。
またステップ820では、なりすまし検出装置300のアラート部340がアラートを生成する。以下、このアラート部340について説明する。本実施形態では、アラート部340は、SaaS提供サーバ10にアクセスしているユーザ41に対してアラート表示を出力する場合(図29)と、セキュリティ管理者51の監視端末50に対してアラート表示を出力する場合(図30)と、セッションを切断することによりアラートとする場合とがある。
なお、なりすまし検出装置300のアラート部340は、ユーザ41およびセキュリティ管理者51以外のユーザ(例えば、システムの運用者、SaaSサービスを提供する事業者など)に対して出力するようにしてもよい。また、アラート部340は、画面にアラートを表示する形態に限らず、例えば電子メールでアラートを送信するようにしてもよいし、音声により報知するようにしてもよい。さらに、アラート部340は、セッションを切断することに代えて、SaaSシステム全体または一部の運用を停止するようにしてもよい。また、アラート部340は、なりすましリスク値が所定値よりも高くなったユーザIDについて、以後のログインを許可しないように設定するようにしてもよい。
図29は、上述のステップ820において、アラート出力画面を、動的ページ生成部13が作成するユーザ画面14(ユーザA画面14a、ユーザB画面14b)の一部として構成する場合の例を示す図である。この場合、ユーザ41は、ログイン画面1100でログインが成功した後、ポータル画面1110にアクセスする。ユーザ41がメニュー1ボタンを押下してメニュー1画面1120を操作する間、なりすましのリスクが低いとプロファイル照合部330が判定した場合(ステップ819:所定値未満)、とくにアラートは出ない。
ユーザ41がメニュー3ボタンを押下してメニュー3画面1130を利用しだし、このメニュー3画面1130の利用に係るシステムログからプロファイル照合部330が、プロファイルと合わない操作(ユーザ41が通常は行わない操作)と判定し、セッション管理テーブル1000のなりすましリスク値1004が所定値よりも高い場合(ステップ8
19:所定値以上)、メニュー3画面1130上に、アラート部340がアラート表示1131を出す。
以上のようにして、ステップ820において、システムに実際にアクセスしているユーザ41に対してなりすましのリスクに係る警告を発することができる。ユーザ41になりすました悪意のある第三者がアラート表示1131を見たならば、警告とうつり、抑止効果となることが期待される。
図30は、上述のステップ820において、なりすまし検出装置300が、アラートをセキュリティ管理者51の監視端末50に出す画面の一例を示す図である。ここで例示するなりすまし監視画面1200は、クラウドサービス(SaaS)を所定の日に利用したセッションとアラートの一覧を表示する本日アラート表示領域1210と、一人のユーザに着目した場合の過去の日をさかのぼってのアラート履歴を表示するユーザ履歴表示領域1220と、ログ履歴表示領域1230と、OKボタン1230と、キャンセルボタン1240とを含んで構成される。
本日アラート表示領域1210には、ユーザID1211、セッション開始時間1212、セッション終了時間1213、なりすましリスク値1214などが表示される。セキュリティ管理者51は、本日アラート表示領域1210を毎日確認することで、その日のうちに急いで対処が必要な高リスクのセッションがないかどうかを容易に見つけることができる。
なりすまし検出装置300は、ユーザ履歴表示領域1220において、本日から順に日付をさかのぼったアラートの履歴を表示し、本日のリスク値1221、1日前のリスク値1222、3日前のリスク値1223というように、セッションを確立していた時間帯と、そのセッションのなりすましリスク値を表示する。セキュリティ管理者51は、ユーザ履歴表示領域1220を確認することで、当該ユーザIDのアラートの傾向を分析することができる。
さらにリスク値1221、1222、1223をクリックすると、なりすまし検出装置300は、ログ履歴表示領域1230にて、該当する統合ログ230を出力する。
以上のようにして、ステップ820において、セキュリティ管理者51に対してなりすましのリスクに係る警告を発することができる。なりすまし監視画面1200により、セキュリティ管理者51は、SaaSを利用する複数のユーザのなりすましリスクを統合的に把握することができる。
上述のステップ820においてアラート部340は、なりすましリスク値1004の高いセッションに対して、セッション管理部12と連動して、該当するセッションを強制切断するものであっても良い。セッションを強制切断することで、ユーザ41に悪意のある者がなりすましていた場合に、被害拡大を防ぐことができる。
以上、システム運用におけるプロファイル学習処理702となりすまし検出処理703(図10参照)の処理を説明してきた。次に、システム開発・テスト段階におけるログ間トレース確認装置100によるログ間トレース確認処理701(図10参照)の処理について説明する。図31はログ間トレース確認処理701に対応したフロー図であり、図32は、ログ間トレース確認処理701に係るデータ図である。
図31のフローにおいて、ステップ1400では、ログ間トレース確認装置100の異種ログ解析部110が、ログ収集サーバ20からシステムログを収集する。このとき、図
32に示すようにログ収集サーバ20がもつWebアクセスログ60、APP利用ログ70、DBアクセスログ80に限らず、SaaS提供サーバ10を構成するOSやミドルウェアが生成する、OSイベントログ1300、DBコネクタログ1310などまで含めてシステムログを収集するものであっても良い。
次にステップ1401では、ログ間トレース確認装置100の異種ログ解析部110が、異種ログの組合せの数だけ、以降のステップ1407までの処理を繰り返す。異種ログの組合せは、図32の組合せテーブル1320に示すように、異なるログどうしの全ての組合せである。ログの種類をN個とすると、異なるログどうしの全ての組合せはN(N−1)/2個である。
また、ステップ1402では、ログ間トレース確認装置100の異種ログ解析部110が、上述のステップ1401で突き合わせるログ同士が、同じ時間帯のものかどうかを判定する。同じ時間帯のものでない場合は、次の組合せへと処理を進める。
次にステップ1403では、ログ間トレース確認装置100の異種ログ解析部110が、異種ログどうしの列を比較する。例えば、図32に示す列比較テーブル1330では、Webアクセスログ60とAPP利用ログ70との列を比較している。以降のステップ1406までを、比較対象とする列の数だけ繰り返す。
また、ステップ1404では、ログ間トレース確認装置100の異種ログ解析部110が、上述のステップ1403で比較すると抽出した列どうしに含まれる値について比較する。例えば、図32に示す比較図1540では、Webアクセスログ60のセッションIDとAPP利用ログ70のセッションIDとの間で、同じ値かどうかを比較する。一方、図32に示す比較図1550では、Webアクセスログ60のユーザIDとAPP利用ログ70の応答時間との間で、同じ値かどうかを比較する。
次にステップ1405では、ログ間トレース確認装置100が、上述のステップ1404で述べた比較の結果、値が一致していた個数を算出する。例えば、図32に示す比較図1540では、値が70個同じだったことを示している。比較図1550では、値が0個同じだったことを示している。以上の値が同じ個数は、列比較テーブル1330内の該当箇所に格納する。
なお、ステップ1406は、ステップ1403からの繰り返しである。また、ステップ1407は、ステップ1401からの繰り返しである。
次にステップ1408では、ログ間トレース確認装置100のトレース確認部120が、異種ログがどのようにトレースできたかを、出力装置207に表示する。異種ログトレース確認画面のインタフェース図を、図33を使って説明する。
図33に例示する異種ログトレース確認画面1600は、異種ログとして解析対象としたシステムログの一覧を表示する表示領域1610と、異種ログ間でトレースできる可能性を示した表示領域1620と、異種ログとして具体的にどのような値が入っているかを確認するための表示領域1630とを含んで構成される。
表示領域1620では、異種ログであってもトレースできる可能性があるログとして、たとえば、Webアクセスログ1621のセッションIDとAPP利用ログ1622のセッションIDとがリンク1624により紐付けられることを示す。また、APP利用ログ1622のトランザクションIDとDBアクセスログ1623のトランザクションIDとがリンク1625により紐付けられることを示す。
ユーザが上述のリンク1624をクリックすると、ログ間トレース確認装置100は、表示領域1630上で、Webアクセスログ1621に対応して上述のログの具体的な内容をテーブルビュー1631で示し、APP利用ログ1622に対応して上述のログの具体的な内容をテーブルビュー1632で示す。さらにログ間トレース確認装置100は、上述のリンク1624に対応して、紐付けの理由となっている、Webアクセスログ上のセッションID1633と、APP利用ログ上のセッションID1634とを強調表示する。
以上のように、異種ログトレース確認画面1600により、SaaSの開発者は、SaaSの開発およびテスト段階において、テスト時に発生させたシステムログを使って、どのシステムログ同士が紐付けられるかを確認することができる。SaaSの開発者は、もしログが思ったとおりに紐付けられない場合には、SaaSのソースコードを改良して、SaaSにおいて生成されるシステムログを変更し、ふたたび異種ログ解析部110を動かすことで、所定の紐付けが可能なことを確認することができる。
ここで、図31のフローの説明に戻る。上述のステップ1408に続き、ステップ1409では、ログ間トレース確認装置100のトレース確認部120が、紐付け結果として、ログ間トレースDB130を出力する。ログ間トレースDB130のデータ図の一例を、図34を使って説明する。
図34で例示するログ間トレースDB130は、異種ログの入力として使ったログのスキーマ構造を格納している。例えば、Webアクセスログ1501、APP利用ログ1502、DBアクセスログ1503、OSイベントログ1504、DBコネクタログ1505のデータベースのスキーマ構造をもつ。なお、上述のスキーマ構造間にはリンクが設定されている。例えば、Webアクセスログ1501のセッションIDとAPP利用ログ1502のセッションIDとの間に、リンク1510が設定されている。さらには、APP利用ログ1502のトランザクションIDとDBアクセスログ1503のトランザクションIDとの間に、リンク1520が設定されている。さらには、APP利用ログ1502のプロセスIDと、OSイベントログ1504のプロセスIDとの間に、リンク1530が設定されている。さらには、DBアクセスログ1503のSQLクエリとDBコネクタログ1505のSQLクエリとの間に、リンク1540が設定されている。このようにログ間トレースDB130を構成することで、データベースのスキーマどうしを紐付けることができる。
以上述べてきたログ間トレース確認装置100のログ間トレース確認処理701により、SaaS提供サーバ10が出力する異種のシステムログどうしで互いに紐付けられる可能性があるログの候補を、容易に見つけ出すことができる。これにより、プロファイル学習装置200で生成する統合ログ230や、なりすまし検出装置300で生成する統合ログ320を容易に構成することができる。
以上のようにして、本実施形態のなりすまし検出システム1によれば、プロファイル学習処理702において統合ログ220から作成した決定木(プロファイルDB250)に対して、その後のなりすまし検出処理703において収集したシステムログを照合し、決定木を辿ることにより決定されたユーザIDが、統合ログ220のユーザIDと一致するか否かにより、なりすましのリスクを求めることができる。
統合ログ220は、ログ収集サーバ20が収集するシステムログ(Webアクセスログ60、APP利用ログ70、DBアクセスログ80)をセッションIDおよびトランザクションIDで紐付けたものであり、ユーザのシステムにおける一連の操作を表す。したが
って、例えば一日に一回の業務時間外である深夜、あるいは週に一回の休日などにバッチとして処理されるプロファイル学習処理702において作成された決定木は、ユーザによる操作の特徴を表すといえる。
そして、例えば、ユーザ41がSaaS提供サーバ10にログインしてからログアウトするまでのセッションにおいて収集されたシステムログから作成された統合ログ220に係る操作を行ったユーザ(すなわち、統合ログ220に含まれるユーザIDが示すユーザ)と、当該統合ログ220を決定木に照合して決定されるユーザとが異なる場合には、当該セッションのユーザ41はそのユーザに特徴的な操作を行わなかったといえる。そのようなユーザ41はなりすましのリスクがある。とくにクラウドサービスとくにSaaSのようなサービスでは、一般的なユーザが取り得る行動の幅はSaaSを使いこなすうちに定型化すると予想されることから、比較的似通った行動をとることになり、セキュリティに脅威を与える悪意のユーザ(なりすましユーザ)のとる行動は特異であることが期待される。
よって、本実施形態に係るなりすまし検出処理703によれば、大量のシステムログの中からなりすましの有無を早く正確に検出でき、なりすました第三者を効果的に追い出すことができる。またこれにより、SaaSの認証が突破された場合に被害が拡大するリスクを軽減できる。
また、本実施形態のなりすまし検出システム1では、恣意的に設定したプロファイルを用いることなく、システムログからユーザの操作の特徴を抽出したものをプロファイルとしている。すなわち、ユーザごとに最適化されたプロファイルを用いてユーザのなりすましを検出することができる。よって、なりすましの検出を精度良く行うことができる。
また、本実施形態のなりすまし検出システム1によれば、システム開発・テスト段階におけるログ間トレース確認処理701により、異種のシステムログを比較して共通する値を検索し、共通する値(本実施形態では、セッションIDとトランザクションID)が所定数以上である場合に、これを用いて紐付け、統合ログ220として統合することができる。したがって、例えばユーザIDなど、異種のシステムログに一貫して共通する識別情報がなくても、2つのシステムログの組み合わせで共通するID等の共通値があれば、これらを紐付けることができる。
また、本実施形態のなりすまし検出システムによれば、なりすましのリスクが高くなった場合に、ユーザ41が閲覧する画面(例えば図29のメニュー3画面1130)にアラート表示1131を出力し、ユーザ41に対して直接警告することができる。したがって、抑止効果が期待される。
また、本実施形態のなりすまし検出システムによれば、なりすましのリスクが高くなった場合に、アラートを表示することなくセッションを切断することもできる。この場合、なりすましによる被害をできる限り少なくすることができる。
また、本実施形態のなりすまし検出システムによれば、なりすましのリスクが高くなった場合に、セキュリティ管理者が閲覧する画面にアラートを表示することもできる。この場合、セキュリティ管理者はなりすましのリスクを容易かつ迅速に把握することができる。
また、本実施形態のなりすまし検出システムでは、プロファイルとして決定木が作成される。したがって、なりすまし検出処理703では、統合ログ220をプロファイルと照合してリンクを辿っていくだけで、現在のユーザの行動に見合ったユーザIDを容易に特
定することが可能となる。すなわち、なりすましの検知処理の負荷を軽減することができる。
また、本実施形態のなりすまし検出システムによれば、URLへのアクセス頻度に応じて変化させた重みをURLにつけるとともに、格納されている情報の重要度に応じて変化させた重みをテーブルにつけたうえで決定木を作成することができる。したがって、アクセス頻度が高く、ユーザの操作の特徴が表れていないURLについての評価を落として決定木を作成するとともに、重要な情報へのアクセスはなりすましによる被害のリスクが高いものとして評価を上げて決定木を作成することができる。よって、よりユーザの操作の特徴を表すプロファイルを作成することが可能となるとともに、よりなりすましのリスクが高い操作についてのリスクを高く評価してプロファイルを作成することが可能となり、なりすましのリスクを適切に評価することができる。
以上、本実施形態について説明したが、上記実施形態は本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明は、その趣旨を逸脱することなく、変更、改良され得ると共に、本発明にはその等価物も含まれる。
例えば、本実施形態では、プロファイル学習装置200は物理的に1台のコンピュータであるものとしたが、これに限らず、例えば複数台のコンピュータで仮想的に1台のコンピュータを構成するようにしてもよいし、複数台のコンピュータに機能部および記憶部を分散させて連携動作させるようにしてもよい。例えば、記憶部をプロファイル学習装置200とは別体のデータベースサーバに管理させるようにしてもよい。
また、本実施形態では、ログ間トレース確認処理701の後にプロファイル学習処理702を実行するものとしたが(図10)、これに限らず、ログ間トレース処理701と、プロファイル学習処理702の後にログ間トレース処理701を再度実行するようにしてもよいし、ログ間トレース処理701をプロファイル学習処理702から独立させて実行するようにしてもよい。また、ログ間トレース確認処理701をシステム運用時に実行するようにしてもよい。
また、本実施形態では、システムログは2つずつ統合していくものとしたが、これに限らず、共通するID(本実施形態では、セッションIDとトランザクションID)を用いて3つ以上のシステムログを1度に統合ログに統合するようにしてもよい。
本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態のなりすまし検出システムにおいて、前記演算装置は、前記グルーピングに際し、各ユーザに関する前記複数種のログについて、同時間帯の異種のログ間で共通の値を検索し、該当値が所定基準以上含まれる異種ログ同士を紐付けて、対応する所定セッションにグルーピングするものであるとしてもよい。
これによれば、同時間帯のセッションに含まれる各処理のログに関してグルーピングを行うことで、無駄なログ間のトレース処理等は発生せず、全体として処理の効率化とグルーピング精度の向上が図られる。ひいては、ユーザのなりすましを確実に検出できることとなる。
また、本実施形態のなりすまし検出システムにおいて、前記演算装置は、前記プロファイルを作成する処理に際し、各ユーザの第一の統合ログがそれぞれ示す所定事象の特徴量のうち、全ユーザ中での該当ユーザを一意に特定可能なものを判定して、前記プロファイルたる決定木を作成するものであり、前記なりすましのリスク判定に際し、前記第二の統合ログを前記決定木に照合して、該当ユーザのプロファイルとの相違を特定し、所定アル
ゴリズムにより該当ユーザに関するなりすましのリスクを判定するものであるとしてもよい。
これによれば、ユーザのプロファイルを決定木として生成・管理し、以後のなりすましリスクの判定に際しても、煩雑な手順を伴わず効率的な処理で判定手順を精度良く実行することができる。ひいては、ユーザのなりすましを確実に検出できることとなる。
また、本実施形態のなりすまし検出システムにおいて、前記記憶装置は、各ユーザの通常において所定頻度以上でアクセスまたは使用する事物に関するログの所定項目に対し、所定基準以下の重み付け値が対応付けされ、各ユーザの通常において所定頻度以下でアクセスまたは使用する事物に関するログの所定項目に対し、所定基準以上の重み付け値が対応付けされた、重み付けデータベースを更に格納しており、前記演算装置は、前記第一の統合ログの生成に際し、前記グルーピングしたセッション毎の該当各ログの所定項目に対して、前記重み付けデータベースでの該当項目の重み付け値を所定ルールで演算処理して重み付けした上で、前記集約をして第一の統合ログを生成するものであるとしてもよい。
これによれば、なりすまし検出に重要となる真にイレギュラーな挙動について、上述の重み付け値に基づく処理を行うことで効率的かつ確実に特定することが可能となり、全体として処理の効率化とグルーピング精度の向上が図られる。ひいては、ユーザのなりすましを確実に検出できることとなる。
また、本実施形態のなりすまし検出システムにおいて、前記記憶装置は、各ユーザがアクセスまたは使用する各情報の重要度の高さに応じて増大する重み付け値を規定した重み付けデータベースを更に格納しており、前記演算装置は、前記第一の統合ログの生成に際し、前記グルーピングしたセッション毎の該当各ログの所定項目について、該当所定項目が示す情報に関する重み付け値を前記重み付けデータベースで特定し、当該特定した重み付け値を前記所定項目に対して所定ルールで演算処理して重み付けした上で、前記集約をして第一の統合ログを生成するものであるとしてもよい。
これによれば、なりすましのリスク判定に際して重要となる、クラウドサービスで利用される情報の重要度を考慮したグルーピングが可能となり、ひいては、ユーザのなりすましを情報の重要度の観点も踏まえた上で確実に検出できることとなる。
また、本実施形態のなりすまし検出システムにおいて、前記演算装置は、前記所定装置に所定情報を出力する処理に際し、該当ユーザが前記クラウドサービスにログイン後のユーザ端末に対して所定のアラート情報を送信するものであるとしてもよい。
これによれば、クラウドサービスにおける通常状況である、ユーザのログイン状態になりすましのアラートを上げて、該当ユーザに対する牽制をかけることが可能となり、ひいては、ユーザのなりすましを確実に検出できることとなる。
また、本実施形態のなりすまし検出システムにおいて、前記演算装置は、前記所定装置に所定情報を出力する処理に際し、該当ユーザと前記クラウドサービスとの間のセッションを切断する指示を、前記クラウドサービスの所定装置に対して送信するものであるとしてもよい。
これによれば、なりすましが疑われるユーザに関して強制力を作動させ、以後のなりすまし行動を確実に遮断することが出来る。ひいては、ユーザのなりすましを確実に検出できることとなる。
また、本実施形態のなりすまし検出システムにおいて、前記演算装置は、前記所定装置に所定情報を出力する処理に際し、該当ユーザの所属組織または前記クラウドサービスにおける所定管理者の端末に対し、所定のアラート情報を送信するものである、としてもよい。
これによれば、所定の管理責任を有する者に対する確実ななりすまし検出の報告処理が可能となり、ひいては、ユーザのなりすましを確実に検出できることとなる。
また、本実施形態のなりすまし検出方法において、前記情報処理システムが、前記グルーピングに際し、各ユーザに関する前記複数種のログについて、同時間帯の異種のログ間で共通の値を検索し、該当値が所定基準以上含まれる異種ログ同士を紐付けて、対応する所定セッションにグルーピングするとしてもよい。
また、本実施形態のなりすまし検出方法において、前記情報処理システムが、前記プロファイルを作成する処理に際し、各ユーザの第一の統合ログがそれぞれ示す所定事象の特徴量のうち、全ユーザ中での該当ユーザを一意に特定可能なものを判定して、前記プロファイルたる決定木を作成し、前記なりすましのリスク判定に際し、前記第二の統合ログを前記決定木に照合して、該当ユーザのプロファイルとの相違を特定し、所定アルゴリズムにより該当ユーザに関するなりすましのリスクを判定するとしてもよい。
また、本実施形態のなりすまし検出方法において、前記情報処理システムが、前記記憶装置において、各ユーザの通常において所定頻度以上でアクセスまたは使用する事物に関するログの所定項目に対し、所定基準以下の重み付け値が対応付けされ、各ユーザの通常において所定頻度以下でアクセスまたは使用する事物に関するログの所定項目に対し、所定基準以上の重み付け値が対応付けされた、重み付けデータベースを更に格納しており、前記第一の統合ログの生成に際し、前記グルーピングしたセッション毎の該当各ログの所定項目に対して、前記重み付けデータベースでの該当項目の重み付け値を所定ルールで演算処理して重み付けした上で、前記集約をして第一の統合ログを生成するとしてもよい。
また、本実施形態のなりすまし検出方法において、前記情報処理システムが、前記記憶装置において、各ユーザがアクセスまたは使用する各情報の重要度の高さに応じて増大する重み付け値を規定した重み付けデータベースを更に格納しており、前記第一の統合ログの生成に際し、前記グルーピングしたセッション毎の該当各ログの所定項目について、該当所定項目が示す情報に関する重み付け値を前記重み付けデータベースで特定し、当該特定した重み付け値を前記所定項目に対して所定ルールで演算処理して重み付けした上で、前記集約をして第一の統合ログを生成するとしてもよい。
また、本実施形態のなりすまし検出方法において、前記情報処理システムが、前記所定装置に所定情報を出力する処理に際し、該当ユーザが前記クラウドサービスにログイン後のユーザ端末に対して所定のアラート情報を送信するとしてもよい。
また、本実施形態のなりすまし検出方法において、前記情報処理システムが、前記所定装置に所定情報を出力する処理に際し、該当ユーザと前記クラウドサービスとの間のセッションを切断する指示を、前記クラウドサービスの所定装置に対して送信するとしてもよい。
また、本実施形態のなりすまし検出方法において、前記情報処理システムが、前記所定装置に所定情報を出力する処理に際し、該当ユーザの所属組織または前記クラウドサービスにおける所定管理者の端末に対し、所定のアラート情報を送信するとしてもよい。
1 なりすまし検出システム
10 SaaS提供サーバ
11 認証管理部
12 セッション管理部
13 動的ページ生成部
14 ユーザ画面
20 ログ収集サーバ
30 内部ネットワーク
31 FW(ファイアウォール)
32 外部ネットワーク
40 端末
41 ユーザ
50 監視端末
51 セキュリティ管理者
60 Webアクセスログ
70 APP利用ログ
80 DBアクセスログ
101、201、301 CPU
102、202、302 メモリ
103、203、303 記憶装置
104、204、304 通信装置
105、205、305 電源装置
106、206、306 入力装置
107、207、307 出力装置
108、208、308 バス
100 ログ間トレース確認装置
110 異種ログ解析部
120 トレース確認部
130 ログ間トレースDB
200 プロファイル学習装置
210 インポート部
220 重み付けDB
230 統合ログDB
240 プロファイル作成部
250 プロファイルDB
300 なりすまし検出装置
310 インポート部
320 統合ログDB
330 プロファイル照合部
340 アラート部
400 ログイン画面
410 ポータル画面
420 メニュー1画面
430 メニュー2画面
500 第一中間ログ
510、520 第一中間ログ
530 第二中間ログ
600、610、620 重み付けテーブル
1100 ログイン画面
1110 ポータル画面
1120 メニュー1画面
1130 メニュー3画面
1200 なりすまし監視画面
1600 異種ログトレース確認画面

Claims (16)

  1. クラウドサービスのユーザに関する複数種のログを蓄積する記憶装置と、
    各ユーザに関する前記複数種のログを、前記クラウドサービスでの該当ユーザのセッション毎にグルーピングし、グルーピングしたセッション毎に該当各ログの所定項目を集約して第一の統合ログを生成し、前記第一の統合ログを所定アルゴリズムに適用して該当ユーザに関する前記クラウドサービスでの挙動特徴を示すプロファイルを作成する処理と、
    前記プロファイルの作成後に所定装置より得た、所定ユーザに関する複数種のログについて前記グルーピングおよび前記統合ログの生成を実行して第二の統合ログを生成し、当該第二の統合ログを、前記プロファイルのうち該当ユーザに関するものと照合し、所定アルゴリズムにより該当ユーザに関するなりすましのリスクを判定し、前記リスクが所定基準より高い場合に所定装置の所定情報を出力する処理と、
    を実行する演算装置と、
    を備えることを特徴とするなりすまし検出システム。
  2. 前記演算装置は、
    前記グルーピングに際し、各ユーザに関する前記複数種のログについて、同時間帯の異種のログ間で共通の値を検索し、該当値が所定基準以上含まれる異種ログ同士を紐付けて、対応する所定セッションにグルーピングするものである、
    ことを特徴とする請求項1に記載のなりすまし検出システム。
  3. 前記演算装置は、
    前記プロファイルを作成する処理に際し、各ユーザの第一の統合ログがそれぞれ示す所定事象の特徴量のうち、全ユーザ中での該当ユーザを一意に特定可能なものを判定して、前記プロファイルたる決定木を作成するものであり、
    前記なりすましのリスク判定に際し、前記第二の統合ログを前記決定木に照合して、該当ユーザのプロファイルとの相違を特定し、所定アルゴリズムにより該当ユーザに関するなりすましのリスクを判定するものである、
    ことを特徴とする請求項1に記載のなりすまし検出システム。
  4. 前記記憶装置は、
    各ユーザの通常において所定頻度以上でアクセスまたは使用する事物に関するログの所定項目に対し、所定基準以下の重み付け値が対応付けされ、各ユーザの通常において所定頻度以下でアクセスまたは使用する事物に関するログの所定項目に対し、所定基準以上の重み付け値が対応付けされた、重み付けデータベースを更に格納しており、
    前記演算装置は、
    前記第一の統合ログの生成に際し、前記グルーピングしたセッション毎の該当各ログの所定項目に対して、前記重み付けデータベースでの該当項目の重み付け値を所定ルールで演算処理して重み付けした上で、前記集約をして第一の統合ログを生成するものである、
    ことを特徴とする請求項1に記載のなりすまし検出システム。
  5. 前記記憶装置は、
    各ユーザがアクセスまたは使用する各情報の重要度の高さに応じて増大する重み付け値を規定した重み付けデータベースを更に格納しており、
    前記演算装置は、
    前記第一の統合ログの生成に際し、前記グルーピングしたセッション毎の該当各ログの所定項目について、該当所定項目が示す情報に関する重み付け値を前記重み付けデータベースで特定し、当該特定した重み付け値を前記所定項目に対して所定ルールで演算処理して重み付けした上で、前記集約をして第一の統合ログを生成するものである、
    ことを特徴とする請求項1に記載のなりすまし検出システム。
  6. 前記演算装置は、
    前記所定装置に所定情報を出力する処理に際し、該当ユーザが前記クラウドサービスにログイン後のユーザ端末に対して所定のアラート情報を送信するものである、
    ことを特徴とする請求項1に記載のなりすまし検出システム。
  7. 前記演算装置は、
    前記所定装置に所定情報を出力する処理に際し、該当ユーザと前記クラウドサービスとの間のセッションを切断する指示を、前記クラウドサービスの所定装置に対して送信するものである、
    ことを特徴とする請求項1に記載のなりすまし検出システム。
  8. 前記演算装置は、
    前記所定装置に所定情報を出力する処理に際し、該当ユーザの所属組織または前記クラウドサービスにおける所定管理者の端末に対し、所定のアラート情報を送信するものである、
    ことを特徴とする請求項1に記載のなりすまし検出システム。
  9. クラウドサービスのユーザに関する複数種のログを蓄積する記憶装置を備えた情報処理システムが、
    各ユーザに関する前記複数種のログを、前記クラウドサービスでの該当ユーザのセッション毎にグルーピングし、グルーピングしたセッション毎に該当各ログの所定項目を集約して第一の統合ログを生成し、前記第一の統合ログを所定アルゴリズムに適用して該当ユーザに関する前記クラウドサービスでの挙動特徴を示すプロファイルを作成する処理と、
    前記プロファイルの作成後に所定装置より得た、所定ユーザに関する複数種のログについて前記グルーピングおよび前記統合ログの生成を実行して第二の統合ログを生成し、当該第二の統合ログを、前記プロファイルのうち該当ユーザに関するものと照合し、所定アルゴリズムにより該当ユーザに関するなりすましのリスクを判定し、前記リスクが所定基準より高い場合に所定装置の所定情報を出力する処理と、
    を実行することを特徴とするなりすまし検出方法。
  10. 前記情報処理システムが、
    前記グルーピングに際し、各ユーザに関する前記複数種のログについて、同時間帯の異種のログ間で共通の値を検索し、該当値が所定基準以上含まれる異種ログ同士を紐付けて、対応する所定セッションにグルーピングする、
    ことを特徴とする請求項9に記載のなりすまし検出方法。
  11. 前記情報処理システムが、
    前記プロファイルを作成する処理に際し、各ユーザの第一の統合ログがそれぞれ示す所定事象の特徴量のうち、全ユーザ中での該当ユーザを一意に特定可能なものを判定して、前記プロファイルたる決定木を作成し、
    前記なりすましのリスク判定に際し、前記第二の統合ログを前記決定木に照合して、該当ユーザのプロファイルとの相違を特定し、所定アルゴリズムにより該当ユーザに関するなりすましのリスクを判定する、
    ことを特徴とする請求項9に記載のなりすまし検出方法。
  12. 前記情報処理システムが、
    前記記憶装置において、各ユーザの通常において所定頻度以上でアクセスまたは使用する事物に関するログの所定項目に対し、所定基準以下の重み付け値が対応付けされ、各ユーザの通常において所定頻度以下でアクセスまたは使用する事物に関するログの所定項目
    に対し、所定基準以上の重み付け値が対応付けされた、重み付けデータベースを更に格納しており、
    前記第一の統合ログの生成に際し、前記グルーピングしたセッション毎の該当各ログの所定項目に対して、前記重み付けデータベースでの該当項目の重み付け値を所定ルールで演算処理して重み付けした上で、前記集約をして第一の統合ログを生成する、
    ことを特徴とする請求項9に記載のなりすまし検出方法。
  13. 前記情報処理システムが、
    前記記憶装置において、各ユーザがアクセスまたは使用する各情報の重要度の高さに応じて増大する重み付け値を規定した重み付けデータベースを更に格納しており、
    前記第一の統合ログの生成に際し、前記グルーピングしたセッション毎の該当各ログの所定項目について、該当所定項目が示す情報に関する重み付け値を前記重み付けデータベースで特定し、当該特定した重み付け値を前記所定項目に対して所定ルールで演算処理して重み付けした上で、前記集約をして第一の統合ログを生成する、
    ことを特徴とする請求項9に記載のなりすまし検出方法。
  14. 前記情報処理システムが、
    前記所定装置に所定情報を出力する処理に際し、該当ユーザが前記クラウドサービスにログイン後のユーザ端末に対して所定のアラート情報を送信する、
    ことを特徴とする請求項9に記載のなりすまし検出方法。
  15. 前記情報処理システムが、
    前記所定装置に所定情報を出力する処理に際し、該当ユーザと前記クラウドサービスとの間のセッションを切断する指示を、前記クラウドサービスの所定装置に対して送信する、
    ことを特徴とする請求項9に記載のなりすまし検出方法。
  16. 前記情報処理システムが、
    前記所定装置に所定情報を出力する処理に際し、該当ユーザの所属組織または前記クラウドサービスにおける所定管理者の端末に対し、所定のアラート情報を送信する、
    ことを特徴とする請求項9に記載のなりすまし検出方法。
JP2015073141A 2015-03-31 2015-03-31 なりすまし検出システムおよびなりすまし検出方法 Pending JP2016192185A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015073141A JP2016192185A (ja) 2015-03-31 2015-03-31 なりすまし検出システムおよびなりすまし検出方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015073141A JP2016192185A (ja) 2015-03-31 2015-03-31 なりすまし検出システムおよびなりすまし検出方法

Publications (1)

Publication Number Publication Date
JP2016192185A true JP2016192185A (ja) 2016-11-10

Family

ID=57246999

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015073141A Pending JP2016192185A (ja) 2015-03-31 2015-03-31 なりすまし検出システムおよびなりすまし検出方法

Country Status (1)

Country Link
JP (1) JP2016192185A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018097696A (ja) * 2016-12-14 2018-06-21 富士通株式会社 操作ログ出力プログラム、操作ログ出力方法、および情報処理装置
JP2020194478A (ja) * 2019-05-30 2020-12-03 株式会社日立ソリューションズ 異常検知システム、及び異常検知方法
JP2021157313A (ja) * 2020-03-25 2021-10-07 株式会社日立製作所 機械学習モデル運用管理システム、運用管理方法及びコンピュータプログラム
WO2022096982A1 (en) * 2020-11-06 2022-05-12 International Business Machines Corporation Sharing insights between pre and post deployment to enhance cloud workload security
CN115086059A (zh) * 2022-06-30 2022-09-20 北京永信至诚科技股份有限公司 基于欺骗域特定语言的欺骗场景描述文件生成方法、装置
JP7393642B2 (ja) 2020-01-27 2023-12-07 富士通株式会社 情報処理装置、分析用データ生成プログラム及び方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018097696A (ja) * 2016-12-14 2018-06-21 富士通株式会社 操作ログ出力プログラム、操作ログ出力方法、および情報処理装置
JP2020194478A (ja) * 2019-05-30 2020-12-03 株式会社日立ソリューションズ 異常検知システム、及び異常検知方法
JP7100607B2 (ja) 2019-05-30 2022-07-13 株式会社日立ソリューションズ 異常検知システム、及び異常検知方法
JP7393642B2 (ja) 2020-01-27 2023-12-07 富士通株式会社 情報処理装置、分析用データ生成プログラム及び方法
JP2021157313A (ja) * 2020-03-25 2021-10-07 株式会社日立製作所 機械学習モデル運用管理システム、運用管理方法及びコンピュータプログラム
JP7239519B2 (ja) 2020-03-25 2023-03-14 株式会社日立製作所 機械学習モデル運用管理システムおよび運用管理方法
WO2022096982A1 (en) * 2020-11-06 2022-05-12 International Business Machines Corporation Sharing insights between pre and post deployment to enhance cloud workload security
GB2615677A (en) * 2020-11-06 2023-08-16 Ibm Sharing insights between pre and post deployment to enhance cloud workload security
US11947444B2 (en) 2020-11-06 2024-04-02 International Business Machines Corporation Sharing insights between pre and post deployment to enhance cloud workload security
CN115086059A (zh) * 2022-06-30 2022-09-20 北京永信至诚科技股份有限公司 基于欺骗域特定语言的欺骗场景描述文件生成方法、装置

Similar Documents

Publication Publication Date Title
US11798028B2 (en) Systems and methods for monitoring malicious software engaging in online advertising fraud or other form of deceit
US11171970B2 (en) System and method for reducing false positive security events
US20200296137A1 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
EP2871574B1 (en) Analytics for application programming interfaces
US11570209B2 (en) Detecting and mitigating attacks using forged authentication objects within a domain
CN111522922B (zh) 日志信息查询方法、装置、存储介质及计算机设备
EP3136249B1 (en) Log analysis device, attack detection device, attack detection method and program
US20210021644A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
JP2016192185A (ja) なりすまし検出システムおよびなりすまし検出方法
US9141791B2 (en) Monitoring for anomalies in a computing environment
US8136029B2 (en) Method and system for characterising a web site by sampling
KR102058697B1 (ko) 뉴럴네트워크를 이용한 자동학습 기반의 딥러닝 학습 모델을 위한 이상징후 탐지 시스템
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US20150089300A1 (en) Automated risk tracking through compliance testing
WO2018211827A1 (ja) 評価プログラム、評価方法および情報処理装置
US11503066B2 (en) Holistic computer system cybersecurity evaluation and scoring
CN114528457A (zh) Web指纹检测方法及相关设备
JP6294847B2 (ja) ログ管理制御システムおよびログ管理制御方法
JP2016099857A (ja) 不正プログラム対策システムおよび不正プログラム対策方法
US20150199508A1 (en) Information processing system, information processing device, monitoring device, monitoring method
CN115204733A (zh) 数据审计方法、装置、电子设备及存储介质
Mendes et al. Benchmarking the security of web serving systems based on known vulnerabilities
CN112199573B (zh) 一种非法交易主动探测方法及系统
EP2698966B1 (en) Tracking end-users in web databases
KR100992069B1 (ko) 인터넷상의 개인정보 노출대응 시스템 및 방법