JP2017010258A - 不正操作監視装置、不正操作監視方法および不正操作監視システム - Google Patents
不正操作監視装置、不正操作監視方法および不正操作監視システム Download PDFInfo
- Publication number
- JP2017010258A JP2017010258A JP2015124845A JP2015124845A JP2017010258A JP 2017010258 A JP2017010258 A JP 2017010258A JP 2015124845 A JP2015124845 A JP 2015124845A JP 2015124845 A JP2015124845 A JP 2015124845A JP 2017010258 A JP2017010258 A JP 2017010258A
- Authority
- JP
- Japan
- Prior art keywords
- business
- unauthorized
- monitoring apparatus
- unauthorized operation
- operation monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
【課題】正常な操作を不正操作と誤って検出することを防ぐ。
【解決手段】不正操作監視装置101は、業務において行われたいずれかの操作を示す情報111を取得し、操作を示す情報111から、業務における各操作が行われた頻度113を算出する。この後、不正操作監視装置101は、業務における各操作が行われた頻度113を、業務における各操作に応じて設定された閾値114と比較し、比較した結果に基づいて、業務において不正操作が行われたか否かを判断する。
【選択図】図1
【解決手段】不正操作監視装置101は、業務において行われたいずれかの操作を示す情報111を取得し、操作を示す情報111から、業務における各操作が行われた頻度113を算出する。この後、不正操作監視装置101は、業務における各操作が行われた頻度113を、業務における各操作に応じて設定された閾値114と比較し、比較した結果に基づいて、業務において不正操作が行われたか否かを判断する。
【選択図】図1
Description
本発明は、不正操作監視装置、不正操作監視方法および不正操作監視システムに関する。
近年、企業における業務用PC(パーソナル・コンピュータ)に、ウィルスやトロイの木馬等のマルウェアが感染することがある。マルウェアに感染すると、悪意のあるユーザが、業務用PCを不正に遠隔操作して、社内システムやサーバにある重要情報を盗み出す場合がある。
例えば、マルウェアに感染すると、業務用PC内にバックドアが設置され、外部から業務用PCを操作されるため、ID(Identification)とパスワードによるユーザ認証で不正操作を防ぐことができない。このため、業務用PCによる不正操作が行われたか否かを検出することが行われる。
関連する先行技術としては、例えば、作業申請情報を受信し、システム操作の内容が申請された作業申請情報内にあるか否かで不正操作を判定する技術がある。また、例えば、操作項目毎の重み値の偏差を平均値および標準偏差から求め、偏差が許容範囲外であると不正操作と判定する技術がある。また、例えば、業務名、ユーザ名、ファイルアクセスの許可時間等を関連付けたアクセス許可ポリシーを生成し、アクセス時間外のときは、不正アクセスを見つけ、ファイルへのアクセスを拒否する技術がある。また、例えば、使用者に対して所定のポイント値を付与し、所定の条件で、ポイント値から所定値を減算し、ポイント値が予め設定される閾値以下となった際に、使用者に関する情報を削除する技術がある。また、例えば、新たなイベントについて、前回イベントで設定された不審値と前回イベントとの時間差を反映した不正スコアを算出することで、不正操作を検知する技術がある。
しかしながら、従来技術では、正常な操作を不正操作と誤って判断する場合がある。例えば、ユーザは、業務において毎回全く同じ動作をするとは限らない。このため、業務における操作に対して、不正操作である可能性を示す値を算出し、算出した値が許容範囲内に収まっていない場合を不正操作と判断すると、正常な操作を不正操作と誤って判断する場合がある。
一つの側面では、本発明は、正常な操作を不正操作と誤って判断することを防ぐ不正操作監視装置、不正操作監視方法および不正操作監視システムを提供することを目的とする。
本発明の一側面によれば、業務において行われたいずれかの操作を示す情報を取得したことに応じて、取得した前記操作を示す情報から、業務における各操作が行われた頻度を算出し、算出した業務における各操作が行われた頻度と、業務における各操作に応じて設定された閾値とをそれぞれ比較し、比較した結果に基づいて、業務において不正操作が行われたか否かを判断する不正操作監視装置、不正操作監視方法および不正操作監視システムが提案される。
本発明の一態様によれば、正常な操作を不正操作と誤って検出することを防ぐという効果を奏する。
以下に図面を参照して、本発明にかかる不正操作監視装置、不正操作監視方法および不正操作監視システムの実施の形態を詳細に説明する。
(実施の形態)
図1は、実施の形態にかかる不正操作監視方法の一実施例を示す説明図である。不正操作監視装置101は、端末装置102が不正操作を行っているかを監視するコンピュータである。
図1は、実施の形態にかかる不正操作監視方法の一実施例を示す説明図である。不正操作監視装置101は、端末装置102が不正操作を行っているかを監視するコンピュータである。
ここで、不正操作とは、端末装置102を使用する権限のあるユーザ以外のユーザによる端末装置102の操作である。例えば、不正操作は、不当に取得したIDとパスワードによりログインしたユーザによる操作である。また、例えば、不正操作は、端末装置102に設置されたバックドアから侵入したユーザによる操作である。また、操作とは、端末装置102を動かして、作用させること、または、端末装置102からの指示によりサーバ103を動かして、作用させることである。例えば、操作は、ユーザが端末装置102上でキーボード、マウス等で入力すること、または、端末装置102に接続されたサーバ103のファイルにアクセスすることである。
近年、端末装置102がマルウェアに感染し、マルウェアにより設置されたバックドアから侵入したユーザが社内システムやサーバにある重要情報を盗み出す場合がある。端末装置102がマルウェアに感染すると、IDやパスワードで外部からのユーザの侵入を防ぐことができないため、端末装置102で不正操作が行われているか否かを検出することが行われる。
例えば、端末装置102で行われる操作に対して、不正操作である可能性を示す値を算出し、算出された値が許容範囲に収まっているか否かで操作を不正操作と判定する技術がある。しかしながら、ユーザは、業務において毎回全く同じ動作をするとは限らない。このため、業務における一つの操作が、過去の操作と異なる場合があり、操作に対して、算出された値が、許容範囲内に収まらない場合がある。この場合、ユーザの正常な操作にも関わらず、不正操作と判定されてしまう。
そこで、実施の形態では、不正操作監視装置101は、業務で行われた各操作が行われた頻度を、操作に応じて設定された閾値と比較した結果に基づき、業務において不正操作が行われたかを判断する。これにより、不正操作監視装置101は、業務内の複数の操作により不正操作を判断できる。このため、不正操作監視装置101は、正常な操作を不正操作と誤って判断することを防ぐことができる。
以下、実施の形態にかかる不正操作監視装置101の一実施例について説明する。図1の例では、端末装置102がサーバ103に対して行った操作に基づき、端末装置102の操作が不正操作であるか否かを判断する例である。また、サーバ103は、サーバAおよびシステムAを有し、これ以降の記載で、サーバ103を、サーバAまたはシステムAと称することもある。
(1)不正操作監視装置101は、業務において行われたいずれかの操作を示す情報111を取得する。ここで、操作を示す情報111とは、端末装置102が行った操作の内容と時刻を特定できる情報である。例えば、操作を示す情報111は、操作時刻、操作対象および操作種別を含む。また、例えば、不正操作監視装置101は、業務と時間を対応付けた情報より、操作を行った業務を特定することができる。また、操作を示す情報111が、業務を特定できる情報を含み、不正操作監視装置101が、業務を特定できる情報から操作を行った業務を特定することもできる。
図1の例では、不正操作監視装置101が、端末装置102で行われた操作を示す情報111を取得した例である。操作を示す情報111には、サーバA、システムAに対して行われた操作の操作時刻、操作対象および操作種別を含む。また、例えば、不正操作監視装置101は、業務名と時間帯を対応付ける情報112から、操作を示す情報111に含まれる操作は、業務名「見積もり」で行われたと特定することができる。
(2)不正操作監視装置101は、操作を示す情報111から、業務における各操作が行われた頻度113を作成する。ここで、各操作が行われた頻度113とは、業務において操作が行われた頻度を操作ごとに示す情報である。例えば、各操作が行われた頻度114は、業務において操作が行われた累計回数および操作が行われた累計時間である。
図1の例では、業務名「見積もり」で端末装置102は、システムAに4回アクセスし、サーバAに2回アクセスしている。不正操作監視装置101は、業務名「見積もり」でシステムAアクセス回数を4回とし、サーバAアクセス回数を2回とした各操作が行われた頻度113を作成する。
(3)不正操作監視装置101は、業務における各操作が行われた頻度113を、業務における各操作に応じて設定された閾値114と比較する。例えば、不正操作監視装置101は、業務における操作ごとに操作が行われた累計および操作が行われた時間を閾値と比較する。ここで、閾値は、ユーザが過去に行った操作に基づき設定されることができる。
図1の例では、不正操作監視装置101は、業務名「見積もり」におけるシステムAアクセス回数およびサーバAアクセス回数をそれぞれの閾値と比較する。
(4)不正操作監視装置101は、比較した結果に基づいて、業務において不正操作が行われたか否かを判断する。例えば、不正操作監視装置101は、累計が閾値を超えた場合、操作に対応した重みを決定し、操作ごとに決定した重みを、業務に対応した閾値115を超えたか否かで不正操作が行われたか否かを判断する。ここで、業務に対応した閾値115は、ユーザが業務内で過去に行った操作に基づき設定されることができる。
また、例えば、不正操作監視装置101は、累計が閾値を超えた数が、所定の数を超えたか否かで不正操作が行われたか否かを判断することができる。
図1の例では、システムAアクセス回数の累計は4回であり、閾値の3回を超えている。このため、不正操作監視装置101は、システムAアクセス回数に対応した重みとして、例えば、1を決定する。また、サーバAアクセス回数の累計は2回であり、閾値の0回を超えている。このため、不正操作監視装置101は、サーバAアクセス回数に対応した重みとして、例えば、2を決定する。
重みの1と2を加算した3は、業務名「見積もり」に対応した閾値115の1を超えている。このため、不正操作監視装置101は、業務名「見積もり」において不正操作が行われたと判断する。
以上説明したように、不正操作監視装置101は、業務において行われたいずれかの操作を示す情報111を取得し、操作を示す情報111から、業務における各操作が行われた頻度113を算出する。この後、不正操作監視装置101は、業務における各操作が行われた頻度113を、業務における各操作に応じて設定された閾値114と比較し、比較した結果に基づいて、業務において不正操作が行われたか否かを判断する。
これにより、不正操作監視装置101は、業務内の複数の操作に基づいて、端末装置102において不正操作が行われたか否かを判断できる。例えば、業務における正常な操作では、ある操作の回数が多くなり、ある操作で閾値を超えることはあり得る。この場合、他の操作を行う時間が無くなるため、他の操作では閾値を超えることが少ない。このため、例えば、業務内のある操作が閾値を超え、他の操作が閾値を超えない場合、不正操作監視装置101は、正常な操作と判断する。一方、不正操作では、ある操作で閾値を超えるだけでなく、他の操作でも閾値を超えることが多い。この場合、不正操作監視装置101は、不正操作と判断する。このため、不正操作監視装置101は、正常な操作を不正操作と誤って判断することを防ぐことができる。
(不正操作監視システム200のシステム構成例)
図2は、不正操作監視システム200のシステム構成例を示す説明図である。図2において、不正操作監視システム200は、不正操作監視装置101と、端末装置102と、サーバ103と、を含む。不正操作監視装置101と、端末装置102と、サーバ103は、有線または無線のネットワーク210を介して接続される。ネットワーク210は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどである。
図2は、不正操作監視システム200のシステム構成例を示す説明図である。図2において、不正操作監視システム200は、不正操作監視装置101と、端末装置102と、サーバ103と、を含む。不正操作監視装置101と、端末装置102と、サーバ103は、有線または無線のネットワーク210を介して接続される。ネットワーク210は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどである。
不正操作監視装置101は、端末装置102がサーバ103に対して行った操作が不正操作であるか否かを判断する装置である。具体的には、例えば、不正操作監視装置101はサーバ等のコンピュータである。
また、不正操作監視装置101は、スケジュールプロファイルテーブル220、業務プロファイルテーブル230、操作プロファイルテーブル240、操作履歴テーブル250、実操作テーブル260、適用プロファイルテーブル270、スコアテーブル280および操作ログ290を有する。これらの記憶内容については、図4〜図11を用いて後述する。
ここで、スケジュールプロファイルテーブル220、業務プロファイルテーブル230、操作プロファイルテーブル240は、端末装置102を使用するユーザが、不正操作監視装置101が不正を監視する前に作成しておくテーブルである。これ以降の記載で、スケジュールプロファイルテーブル220、業務プロファイルテーブル230および操作プロファイルテーブル240を、プロファイルテーブルと称することもある。例えば、端末装置102を使用するユーザは、業務を開始する前にスケジュールプロファイルテーブル220、業務プロファイルテーブル230、操作プロファイルテーブル240を作成する。
また、操作履歴テーブル250、実操作テーブル260、適用プロファイルテーブル270およびスコアテーブル280は、不正操作監視装置101が不正を監視する際に、作成および更新されるテーブルである。また、操作ログ290は、端末装置102がサーバ103に対する操作を行うことにより、作成および更新されるテーブルである。
ここで、業務プロファイルテーブル230は、図1の業務に対応した閾値115に対応し、操作プロファイルテーブル240は、図1の業務における各操作に応じて設定された閾値114に対応する。また、実操作テーブル260は、図1の業務における各操作が行われた頻度113に対応し、操作ログ290は、図1の操作を示す情報111に対応する。
端末装置102は、ユーザがサーバ103を操作することにより業務を実行するコンピュータである。具体的に、端末装置102は、PC、タブレット端末等のコンピュータである。
サーバ103は、ユーザが業務を行うためのサービスを提供するコンピュータである。例えば、サーバ103は、ユーザが業務で使用するファイルを保存するファイルサーバであり、ユーザが業務で使用するメールを送受信するメールサーバである。
(不正操作監視装置101のハードウェア構成例)
図3は、不正操作監視装置101のハードウェア構成例を示すブロック図である。図3において、不正操作監視装置101は、CPU(Central Processing Unit)301と、メモリ302と、I/F(Interface)303と、ディスクドライブ304と、ディスク305と、を有する。また、各構成部は、バス300によってそれぞれ接続される。
図3は、不正操作監視装置101のハードウェア構成例を示すブロック図である。図3において、不正操作監視装置101は、CPU(Central Processing Unit)301と、メモリ302と、I/F(Interface)303と、ディスクドライブ304と、ディスク305と、を有する。また、各構成部は、バス300によってそれぞれ接続される。
ここで、CPU301は、不正操作監視装置101の全体の制御を司る。メモリ302は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)およびフラッシュROMなどを有する。具体的には、例えば、フラッシュROMやROMが各種プログラムを記憶し、RAMは記憶部としてCPU301のワークエリアとして使用される。メモリ302に記憶されるプログラムは、CPU301にロードされることで、コーディングされている処理をCPU301に実行させる。
I/F303は、通信回線を通じてLAN、WAN、インターネットなどのネットワーク210に接続され、ネットワーク210を介して他のコンピュータ(例えば、図2に記載の端末装置102およびサーバ103)に接続される。そして、I/F303は、ネットワーク210と内部のインターフェースを司り、他のコンピュータからのデータの入出力を制御する。I/F303には、例えば、モデムやLANアダプタなどを採用することができる。
ディスクドライブ304は、CPU301の制御に従ってディスク305に対するデータのリード/ライトを制御する。ディスク305は、ディスクドライブ304の制御で書き込まれたデータを記憶する。ディスク305としては、例えば、磁気ディスク、光ディスクなどが挙げられる。
なお、不正操作監視装置101は、上述した構成部のほか、例えば、SSD(Solid State Drive)、キーボード、マウス、プリンタ、ディスプレイなどを有することにしてもよい。また、図2に示した端末装置102およびサーバ103についても、不正操作監視装置101と同様のハードウェア構成例により実現することができる。
(スケジュールプロファイルテーブル220の一例)
図4は、スケジュールプロファイルテーブル220の記憶内容の一例を示す説明図である。図4において、スケジュールプロファイルテーブル220は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
図4は、スケジュールプロファイルテーブル220の記憶内容の一例を示す説明図である。図4において、スケジュールプロファイルテーブル220は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
スケジュールプロファイルテーブル220は、例えば、端末装置102を使用するユーザごとに、ユーザの業務日ごとに作成される。また、例えば、スケジュールプロファイルテーブル220は、ユーザが業務を開始する前に、ユーザによって作成される。
スケジュールプロファイルテーブル220は、業務名、開始時刻および終了時刻の項目を有する。スケジュールプロファイルテーブル220は、各項目に情報を設定することで、スケジュール情報を1レコードとして記憶する。例えば、図4に示すスケジュールプロファイルテーブル220は、スケジュール情報400−1〜400−7を各レコードとして記憶する。
ここで、業務名は、ユーザが行う業務の名称を示す。ここで、業務には、昼休み等の休憩時間を含めることもできる。また、開始時刻は、業務名の業務を開始する時刻を示す。また、終了時刻は、業務名の業務を終了する時刻を示す。例えば、開始時刻および終了時刻は、時分で示される。
図4の例では、レコード400−2は、業務名「資料作成」が、8時50分に開始され、11時00分に終了することを示す。
(業務プロファイルテーブル230の一例)
図5は、業務プロファイルテーブル230の記憶内容の一例を示す説明図である。図5において、業務プロファイルテーブル230は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
図5は、業務プロファイルテーブル230の記憶内容の一例を示す説明図である。図5において、業務プロファイルテーブル230は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
業務プロファイルテーブル230は、例えば、端末装置102を使用するユーザごとに作成される。また、例えば、業務プロファイルテーブル230は、ユーザに新たな業務が追加された時に更新される。
業務プロファイルテーブル230は、業務名およびブロック閾値の項目を有する。業務プロファイルテーブル230は、各項目に情報を設定することで、業務情報を1レコードとして記憶する。例えば、図5に示す業務プロファイルテーブル230は、業務情報500−1〜500−6を各レコードとして記憶する。
ここで、業務名は、ユーザが行う業務の名称を示す。また、ブロック閾値は、業務名の業務で行われた操作が不正操作であるか否かを判断するための閾値を示す。例えば、不正操作監視装置101は、ブロック閾値を後述する図10のスコアと比較することにより、不正操作であるか否かを判断できる。ここで、ブロック閾値は、例えば、ユーザが過去に行った正常な業務が不正と判断されない値とすることができる。また、ブロック閾値は、不正操作監視システム200のシステム管理者またはセキュリティ管理者等がデフォルトの規定値を提示して、提示された値とすることができる。
また、業務プロファイルテーブル230は、業務全体で行われた操作が不正操作であるか否かを判断するため、業務名として業務全体のレコードを有することができる。ここで、業務全体とは、一日で行われた業務全てのことである。この際、不正操作監視装置101は、ブロック閾値をすべての業務のブロック閾値を加算した値より小さい値とすることができる。例えば、不正操作監視装置101は、すべての業務のブロック閾値を加算した値の7割から8割の値とすることができる。
また、業務プロファイルテーブル230は、時間的に連続して行われる複数の業務で行われた操作が不正操作であるか否かを判断するため、業務名として時間的に連続して行われる複数の業務のレコードを有することができる。ここで、時間的に連続して行われる複数の業務とは、業務の終了時刻と開始時刻が同一の業務のことである。また、不正操作監視装置101は、時間的に連続して行われる複数の業務のブロック閾値を、複数の業務のブロック閾値を加算した値または加算した値より小さい値とすることができる。
図5の例では、レコード500−2は、業務名「打合せ」のブロック閾値が「30」であることを示す。
(操作プロファイルテーブル240の一例)
図6は、操作プロファイルテーブル240の記憶内容の一例を示す説明図である。図6において、操作プロファイルテーブル240は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
図6は、操作プロファイルテーブル240の記憶内容の一例を示す説明図である。図6において、操作プロファイルテーブル240は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
操作プロファイルテーブル240は、例えば、端末装置102を使用するユーザごとに、作成される。また、例えば、操作プロファイルテーブル240は、ユーザに新たな業務または新たな操作が追加された時に更新される。
操作プロファイルテーブル240は、業務名、操作名、閾値および重みの項目を有する。操作プロファイルテーブル240は、各項目に情報を設定することで、操作情報を1レコードとして記憶する。例えば、図6に示す操作プロファイルテーブル240は、操作情報600−1〜600−5を各レコードとして記憶する。
ここで、業務名は、ユーザが行う業務の名称を示す。また、操作名は、業務名の業務で行われる操作の名称を示す。また、閾値は、操作名の操作が正常な操作の範囲内であるか否かを判断するための閾値を示す。例えば、不正操作監視装置101は、閾値を後述する図8の累計と比較することにより、正常な操作の範囲内であるか否かを判断できる。
ここで、閾値は、例えば、ユーザが過去に行った正常な業務における操作が不正と判断されない値とすることができる。また、閾値は、後述する図7の操作ごとの平均に基づいた値とすることができる。例えば、不正操作監視装置101は、閾値を、後述する図7の平均を含む範囲とすることができる。また、平均の他に操作ごとの標準偏差が算出された場合、不正操作監視装置101は、閾値の範囲を標準偏差に基づいて設定することができる。
また、重みは、操作名の操作が正常な操作の範囲内でないと判断された際に、操作ごとに算出される値を示す。例えば、操作名の操作が、日によって代わることのない決まった動作である場合、正常な操作の範囲内でないことは異常であるため、重みを大きくすることができる。逆に、操作名の操作が、日によって代わる非定型の業務の操作である場合、正常な操作の範囲内でなくても、それほど異常な状態でないため、重みを小さくすることができる。
図6の例では、レコード600−1は、業務名「見積もり」において操作名「システムA操作時間」は、5分から20分の間である場合、操作が正常な操作の範囲内であると判断され、正常な操作の範囲内でない場合の重みは、「1」であることを示す。ここで、操作時間とは、システムAにログインして、システムAからログアウトするまでの時間である。
(操作履歴テーブル250の一例)
図7は、操作履歴テーブル250の記憶内容の一例を示す説明図である。図7において、操作履歴テーブル250は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
図7は、操作履歴テーブル250の記憶内容の一例を示す説明図である。図7において、操作履歴テーブル250は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
操作履歴テーブル250は、例えば、端末装置102を使用するユーザごとに、作成される。また、例えば、操作履歴テーブル250は、ユーザが過去に行った操作に基づき、作成される。また、例えば、操作履歴テーブル250は、ユーザからの指示により作成される。また、例えば、操作履歴テーブル250は、後述する図13の操作プロファイル登録画面1300の表示ボタン1360を押下することにより作成される。また、後述する図14の操作履歴表示画面1400の更新ボタン1440を押下することにより作成される。
操作履歴テーブル250は、業務名、操作名および平均の項目を有する。操作履歴テーブル250は、各項目に情報を設定することで、操作履歴情報を1レコードとして記憶する。例えば、図7に示す操作履歴テーブル250は、操作履歴情報700−1〜700−3を各レコードとして記憶する。
ここで、業務名は、ユーザが行う業務の名称を示す。また、操作名は、業務名の業務で行われる操作の名称を示す。また、平均は、過去の一定期間での操作の平均を示す。例えば、操作名に操作時間が含まれるとき、ユーザが過去の一定期間で行った操作の一日の平均時間を示す。また、例えば、操作名にアクセス回数が含まれるとき、ユーザが過去の一定期間で行ったアクセスの一日の平均回数を示す。また、例えば、一定期間として1ヶ月とすることができる。また、例えば、一定期間は、操作履歴表示画面1400の期間入力項目1430で入力することができる。
また、操作履歴テーブル250は、平均の他に標準偏差の項目をさらに有することとしてもよい。この場合、平均と標準偏差に基づいて、操作プロファイルテーブル240の閾値を決定することができる。
図7の例では、レコード700−1は、業務名「見積もり」において操作名「システムA操作時間」の平均が「10分」であることを示す。
(実操作テーブル260の一例)
図8は、実操作テーブル260の記憶内容の一例を示す説明図である。図8において、実操作テーブル260は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
図8は、実操作テーブル260の記憶内容の一例を示す説明図である。図8において、実操作テーブル260は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
実操作テーブル260は、例えば、端末装置102を使用するユーザごとに、作成される。また、例えば、実操作テーブル260は、スケジュールプロファイルテーブル220の最も早い開始時刻から現在時刻までの操作に基づき作成される。また、例えば、操作履歴テーブル250は、ユーザが操作を行うごとに更新されることができる。例えば、操作履歴テーブル250は、ユーザの業務が変更するごとに更新されることができる。
実操作テーブル260は、業務名、操作名および累計の項目を有する。実操作テーブル260は、各項目に情報を設定することで、実操作情報を1レコードとして記憶する。例えば、図8に示す実操作テーブル260は、実操作情報800−1〜800−4を各レコードとして記憶する。
ここで、業務名は、ユーザが行う業務の名称を示す。また、操作名は、業務名の業務で行われる操作の名称を示す。また、累計は、スケジュールプロファイルテーブル220の最も早い開始時刻から現在時刻までの操作の累計を示す。例えば、操作名に操作時間を含むとき、累計は累計時間を示す。また、例えば、操作名にアクセス回数を含むとき、累計は累計回数を示す。
図8の例では、レコード800−1は、業務名「見積もり」において操作名「システムA操作時間」の累計が「33分」であることを示す。
(適用プロファイルテーブル270の一例)
図9は、適用プロファイルテーブル270の記憶内容の一例を示す説明図である。図9において、適用プロファイルテーブル270は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
図9は、適用プロファイルテーブル270の記憶内容の一例を示す説明図である。図9において、適用プロファイルテーブル270は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
適用プロファイルテーブル270は、例えば、端末装置102を使用するユーザごとに、作成される。また、例えば、適用プロファイルテーブル270は、ユーザが行う業務が変更した際に更新される。
適用プロファイルテーブル270は、適用業務名の項目を有する。適用プロファイルテーブル270は、各項目に情報を設定することで、適用業務情報を1レコードとして記憶する。例えば、図9に示す適用プロファイルテーブル270は、適用業務情報900−1をレコードとして記憶する。
ここで、適用業務名は、ユーザが現在行っている業務の名称を示す。例えば、適用業務名は、ユーザが操作を行った際の時刻を取得し、当該時刻がスケジュールプロファイルテーブル220の開始時刻と終了時刻の間にある業務名から取得することができる。
図9の例では、レコード900−1は、ユーザが現在行っている業務は、「見積もり」であることを示す。
(スコアテーブル280の一例)
図10は、スコアテーブル280の記憶内容の一例を示す説明図である。図10において、スコアテーブル280は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
図10は、スコアテーブル280の記憶内容の一例を示す説明図である。図10において、スコアテーブル280は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
スコアテーブル280は、例えば、端末装置102を使用するユーザごとに、作成される。また、例えば、スコアテーブル280は、実操作テーブル260が更新されるごとに更新される。
スコアテーブル280は、業務名およびスコアの項目を有する。スコアテーブル280は、各項目に情報を設定することで、スコア情報を1レコードとして記憶する。例えば、図10に示すスコアテーブル280は、スコア情報1000−1〜1000−6を各レコードとして記憶する。
ここで、業務名は、ユーザが行う業務の名称を示す。また、スコアは、業務名の業務の中の操作で、正常の範囲内でないと判断された操作に基づいて加算される値を示す。例えば、実操作テーブル260の累計が、操作プロファイルテーブル240の閾値を超えた場合、操作プロファイルテーブル240の重みが、スコアに加算される。また、実操作テーブル260の累計が、操作プロファイルテーブル240の閾値の上限のn倍(ここで、nは正の整数)を超えた場合、操作プロファイルテーブル240の重みのn倍が、スコアに加算されることができる。
図10の例では、レコード1000−2は、業務名「打合せ」においてスコアが「22」であることを示す。
(操作ログ290の記憶内容の一例)
図11は、操作ログ290の記憶内容の一例を示す説明図である。図11において、操作ログ290は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
図11は、操作ログ290の記憶内容の一例を示す説明図である。図11において、操作ログ290は、例えば、不正操作監視装置101によって作成、更新され、不正操作監視装置101のメモリ302またはディスク305に記憶される。
操作ログ290は、例えば、端末装置102を使用するユーザごとに、作成される。また、例えば、操作ログ290は、ユーザが端末装置102でサーバ103を操作するごとに更新される。
操作ログ290は、時刻、対象および操作の項目を有する。操作ログ290は、各項目に情報を設定することで、操作情報を1レコードとして記憶する。例えば、図11に示す操作ログ290は、操作情報1100−1〜1100−11を各レコードとして記憶する。
ここで、時刻は、ユーザが端末装置102でサーバ103を操作した時刻を示す。例えば、時刻は、時分で示される。対象は、ユーザが端末装置102で操作した対象を示す。例えば、対象は、サーバ103の名称またはサーバ103に記憶されたファイル名を示す。操作は、ユーザが端末装置102で対象に行った操作を示す。
図11の例では、レコード1100−1は13時00分に、ユーザが端末装置102からシステムAにログインしたことを示す。
(業務プロファイル登録画面1200の一例)
図12は、業務プロファイル登録画面1200の一例を示す説明図である。図12において、業務プロファイル登録画面1200は、ユーザが業務プロファイルテーブル230に業務名を登録するための画面である。また、例えば、業務プロファイル登録画面1200は、不正操作監視装置101によって作成され、端末装置102のディスプレイに表示される。
図12は、業務プロファイル登録画面1200の一例を示す説明図である。図12において、業務プロファイル登録画面1200は、ユーザが業務プロファイルテーブル230に業務名を登録するための画面である。また、例えば、業務プロファイル登録画面1200は、不正操作監視装置101によって作成され、端末装置102のディスプレイに表示される。
業務プロファイル登録画面1200は、ユーザ項目1210、業務入力項目1220、続けて入力ボタン1230および入力終了ボタン1240を有する。
ここで、ユーザ項目1210は、業務名を入力するユーザが表示される項目である。例えば、ユーザ項目1210は、ユーザの氏名を表示する。また、業務入力項目1220は、ユーザが端末装置102で行う業務名を入力する項目である。また、続けて入力ボタン1230は、業務入力項目1220に入力された業務名を業務プロファイルテーブル230の業務名に登録し、再度、業務入力項目1220に業務名を入力するためのボタンである。また、入力終了ボタン1240は、業務入力項目1220に入力された業務名を業務プロファイルテーブル230の業務名に登録し、業務名の入力を終了するためのボタンである。
図12の例は、ユーザ○○が、端末装置102で行う業務名として、「見積もり」を入力した例である。
(操作プロファイル登録画面1300の一例)
図13は、操作プロファイル登録画面1300の一例を示す説明図である。図13において、操作プロファイル登録画面1300は、ユーザが操作プロファイルテーブル240に操作名、閾値および重みを登録するための画面である。例えば、操作プロファイル登録画面1300は、業務プロファイル登録画面1200で業務名を入力した後に表示される。また、例えば、操作プロファイル登録画面1300は、不正操作監視装置101によって作成され、端末装置102のディスプレイに表示される。
図13は、操作プロファイル登録画面1300の一例を示す説明図である。図13において、操作プロファイル登録画面1300は、ユーザが操作プロファイルテーブル240に操作名、閾値および重みを登録するための画面である。例えば、操作プロファイル登録画面1300は、業務プロファイル登録画面1200で業務名を入力した後に表示される。また、例えば、操作プロファイル登録画面1300は、不正操作監視装置101によって作成され、端末装置102のディスプレイに表示される。
操作プロファイル登録画面1300は、ユーザ項目1310、業務選択項目1320、操作入力項目1330、閾値項目1340、重み項目1350、表示ボタン1360、続けて入力ボタン1370および入力終了ボタン1380を有する。
ここで、ユーザ項目1310は、操作名、閾値および重みを入力するユーザが表示される項目である。また、業務選択項目1320は、業務を選択する項目である。例えば、業務選択項目1320には、業務プロファイルテーブル230に登録された業務名が表示される。また、例えば、ユーザは、マウス等のポインティングデバイスを使用して、業務選択項目1320に表示された業務名を選択することができる。
また、操作入力項目1330は、業務選択項目1320に表示された業務名の業務で行う操作をユーザが入力する項目である。また、閾値項目1340は、操作に対する閾値を入力する項目である。閾値は、下限と上限を入力することができる。重み項目1350は、操作に対する重みを入力する項目である。
また、表示ボタン1360は、図14で後述する操作履歴表示画面1400を表示するボタンである。例えば、操作履歴表示画面1400により、ユーザは、ユーザが過去に行った操作の平均を知ることができ、閾値を入力する際の参考にすることができる。
また、続けて入力ボタン1370は、入力された操作名、閾値および重みを、それぞれ操作プロファイルテーブル240の操作名、閾値および重みに登録し、再度、操作名、閾値および重みを入力するためのボタンである。また、入力終了ボタン1380は、入力された操作名、閾値および重みを、それぞれ操作プロファイルテーブル240の操作名、閾値および重みに登録し、操作名、閾値および重みの入力を終了するためのボタンである。
図13の例は、ユーザ○○が、業務名「見積もり」で行う操作として、操作名として「システムA操作時間」、閾値の下限として「5分」、閾値の上限として「20分」、重みとして「1」を入力した例である。
(操作履歴表示画面1400の一例)
図14は、操作履歴表示画面1400の一例を示す説明図である。図14において、操作履歴表示画面1400は、操作履歴テーブル250に記憶されたレコードを表示するための画面である。例えば、操作履歴表示画面1400は、操作プロファイル登録画面1300の表示ボタン1360を押下することにより表示される。また、例えば、操作履歴表示画面1400は、不正操作監視装置101によって作成され、端末装置102のディスプレイに表示される。
図14は、操作履歴表示画面1400の一例を示す説明図である。図14において、操作履歴表示画面1400は、操作履歴テーブル250に記憶されたレコードを表示するための画面である。例えば、操作履歴表示画面1400は、操作プロファイル登録画面1300の表示ボタン1360を押下することにより表示される。また、例えば、操作履歴表示画面1400は、不正操作監視装置101によって作成され、端末装置102のディスプレイに表示される。
操作履歴表示画面1400は、ユーザ項目1410、履歴表示項目1420、期間入力項目1430、更新ボタン1440および終了ボタン1450を有する。
ここで、ユーザ項目1410は、操作履歴を表示するユーザが表示される項目である。履歴表示項目1420は、操作履歴テーブル250に記憶されたレコードを表示する項目である。期間入力項目1430は、平均を計算する期間を入力する項目である。例えば、期間は、開始時期と終了時期とで指定することができる。
また、更新ボタン1440は、履歴表示項目1420を更新するためのボタンである。例えば、不正操作監視装置101は、期間入力項目1430に入力された期間に基づいて、操作履歴テーブル250の平均を計算し、履歴表示項目1420に計算した平均を表示する。終了ボタン1450は、操作履歴表示画面1400の表示を終了するための画面である。
図14の例は、ユーザ○○の4月〜5月の操作履歴が表示された例である。
(スケジュールプロファイル登録画面1500の一例)
図15は、スケジュールプロファイル登録画面1500の一例を示す説明図である。図15において、スケジュールプロファイル登録画面1500は、ユーザの業務スケジュールを入力するための画面である。例えば、スケジュールプロファイル登録画面1500は、不正操作監視装置101によって作成され、端末装置102のディスプレイに表示される。
図15は、スケジュールプロファイル登録画面1500の一例を示す説明図である。図15において、スケジュールプロファイル登録画面1500は、ユーザの業務スケジュールを入力するための画面である。例えば、スケジュールプロファイル登録画面1500は、不正操作監視装置101によって作成され、端末装置102のディスプレイに表示される。
スケジュールプロファイル登録画面1500は、ユーザ項目1510、スケジュールプロファイル入力項目1520および入力完了ボタン1530を有する。
ここで、ユーザ項目1510は、スケジュールプロファイルを入力するユーザが表示される項目である。また、スケジュールプロファイル入力項目1520は、ユーザがスケジュールプロファイルを入力する項目である。例えば、不正操作監視装置101は、スケジュールプロファイル入力項目1520の業務名に業務プロファイル登録画面1200で登録された業務名を表示する。ユーザは、業務名ごとに開始時刻および終了時刻をスケジュールプロファイル入力項目1520に入力する。
また、入力完了ボタン1530は、スケジュールプロファイル入力項目1520への入力を終了するためのボタンである。例えば、不正操作監視装置101は、スケジュールプロファイル入力項目1520に入力された内容に基づき、スケジュールプロファイルテーブル220を作成する。
図15の例は、業務名として、出勤、資料作成、打合せ、昼休み、見積もり、検証および退勤が表示され、ユーザ○○がそれぞれの開始時刻と終了時刻を入力した例である。
(ブロック閾値登録画面1600の一例)
図16は、ブロック閾値登録画面1600の一例を示す説明図である。図16において、ブロック閾値登録画面1600は、業務プロファイルテーブル230の業務名に対応するブロック閾値を入力するための画面である。例えば、ブロック閾値登録画面1600は、不正操作監視装置101によって作成され、端末装置102のディスプレイに表示される。
図16は、ブロック閾値登録画面1600の一例を示す説明図である。図16において、ブロック閾値登録画面1600は、業務プロファイルテーブル230の業務名に対応するブロック閾値を入力するための画面である。例えば、ブロック閾値登録画面1600は、不正操作監視装置101によって作成され、端末装置102のディスプレイに表示される。
ブロック閾値登録画面1600は、ユーザ項目1610、ブロック閾値入力項目1620、業務追加ボタン1630および入力完了ボタン1640を有する。
ここで、ユーザ項目1610は、ブロック閾値を入力するユーザが表示される項目である。ブロック閾値入力項目1620は、ユーザがブロック閾値を入力する項目である。例えば、不正操作監視装置101は、ブロック閾値入力項目1620の業務名に業務プロファイル登録画面1200で登録された業務名を表示する。
また、業務追加ボタン1630は、ユーザが業務を追加するためのボタンである。例えば、業務追加ボタン1630が押下されると、不正操作監視装置101は、業務プロファイル登録画面1200を表示して、ユーザが業務を追加することを可能にする。
また、入力完了ボタン1640は、ブロック閾値入力項目1620への入力を終了するためのボタンである。例えば、不正操作監視装置101は、ブロック閾値入力項目1620に入力された内容に基づき、業務プロファイルテーブル230を更新する。
図16の例は、ユーザ○○が、業務名、打合せ、資料作成、検証および見積もりのそれぞれに対してブロック閾値を入力した例である。
(不正操作監視装置101の機能的構成例)
図17は、不正操作監視装置101の機能的構成例を示すブロック図である。図17において、不正操作監視装置101は、取得部1701と、算出部1702と、比較部1703と、判断部1704と、を含む構成である。取得部1701と、算出部1702と、比較部1703と、判断部1704と、を含む制御部は、具体的には、例えば、図3に示したメモリ302などの記憶装置に記憶されたプログラムをCPU301に実行させることにより、その機能を実現する。各機能部の処理結果は、例えば、図3に示したメモリ302などの記憶装置に記憶される。
図17は、不正操作監視装置101の機能的構成例を示すブロック図である。図17において、不正操作監視装置101は、取得部1701と、算出部1702と、比較部1703と、判断部1704と、を含む構成である。取得部1701と、算出部1702と、比較部1703と、判断部1704と、を含む制御部は、具体的には、例えば、図3に示したメモリ302などの記憶装置に記憶されたプログラムをCPU301に実行させることにより、その機能を実現する。各機能部の処理結果は、例えば、図3に示したメモリ302などの記憶装置に記憶される。
取得部1701は、業務のいずれかにおいて行われた操作を示す情報を取得する機能を有する。例えば、取得部1701は、操作を示す情報として、時刻と、操作対象と、操作の詳細とを取得して、操作ログ290に蓄積する。
ここで、取得部1701は、端末装置102がサーバ103に行った操作ごとに、操作を示す情報を取得し、操作ログ290にレコードを蓄積することができる。また、例えば、取得部1701は、一定期間ごとに、操作を示す情報を取得し、操作ログ290にレコードをまとめて蓄積することができる。
また、取得部1701は、端末装置102を使用するユーザから、スケジュールプロファイルテーブル220、業務プロファイルテーブル230および操作プロファイルテーブル240に設定する情報を取得する。
例えば、取得部1701は、業務プロファイル登録画面1200およびブロック閾値登録画面1600を、端末装置102に表示して、業務プロファイルテーブル230に設定する情報を取得する。また、例えば、取得部1701は、操作プロファイル登録画面1300および操作履歴表示画面1400を、端末装置102に表示して、操作プロファイルテーブル240に設定する情報を取得する。また、例えば、取得部1701は、スケジュールプロファイル登録画面1500を、端末装置102に表示して、スケジュールプロファイルテーブル220に設定する情報を取得する。
算出部1702は、取得部1701が取得した操作を示す情報から、業務における各操作が行われた頻度を算出する機能を有する。例えば、算出部1702は、スケジュールプロファイルテーブル220を参照し、操作を示す情報に含まれる時刻から、業務名を抽出する。算出部1702は、抽出した業務名が、適用プロファイルテーブル270の適用業務と異なる場合、適用プロファイルテーブル270の適用業務を更新する。
また、算出部1702は、業務における各操作が行われた頻度を算出して、実操作テーブル260を作成する。ここで、例えば、算出部1702は、適用プロファイルテーブル270の適用業務を更新するごとに、実操作テーブル260を作成する。また、算出部1702は、操作を示す情報を取得するごとに実操作テーブル260を作成することもできる。
また、算出部1702は、取得部1701が取得した情報に基づき、スケジュールプロファイルテーブル220、業務プロファイルテーブル230、操作プロファイルテーブル240を作成する。
また、算出部1702は、取得部1701が取得した操作を示す情報から、操作履歴テーブル250を作成する。例えば、算出部1702は、操作履歴表示画面1400の期間入力項目1430に入力された開始時期と終了時期とで指定された期間を受け付け、該当期間の操作ログ290から操作ごとに期間内における平均値を算出し、操作履歴テーブル250の平均に設定する。
比較部1703は、業務における各操作が行われた頻度を、業務における各操作に応じて設定された閾値と比較する機能を有する。例えば、比較部1703は、業務名と操作名が同一の操作プロファイルテーブル240のレコードの閾値と実操作テーブル260のレコードの累計を比較する。
また、比較部1703は、実操作テーブル260の累計が、操作プロファイルテーブル240の閾値を超える場合、操作プロファイルテーブル240の重みを抽出する。また、比較部1703は、操作名ごとに抽出した重みを加算することでスコアを業務名ごとに算出する。また、比較部1703は、業務名ごとに算出したスコアを、対応する業務名のスコアテーブル280のレコードのスコアに加算する。
判断部1704は、比較した結果に基づいて、業務において不正操作が行われたか否かを判断する機能を有する。例えば、判断部1704は、業務プロファイルテーブル230のブロック閾値とスコアテーブル280のスコアとを業務名ごとに比較する。判断部1704は、少なくとも1つの業務名でスコアテーブル280のスコアが、業務プロファイルテーブル230のブロック閾値を超える場合、業務において不正操作が行われたと判断する。
また、判断部1704は、業務において不正操作が行われたと判断すると、制御処理を実行することができる。
(操作履歴テーブル作成処理手順の一例)
図18は、不正操作監視装置101の操作履歴テーブル作成処理手順の一例を示すフローチャートである。図18において、まず、不正操作監視装置101は、ユーザから作成する期間を取得する(ステップS1801)。例えば、不正操作監視装置101は、操作履歴表示画面1400の期間入力項目1430に入力された開始時期と終了時期とで指定された期間を取得する。
図18は、不正操作監視装置101の操作履歴テーブル作成処理手順の一例を示すフローチャートである。図18において、まず、不正操作監視装置101は、ユーザから作成する期間を取得する(ステップS1801)。例えば、不正操作監視装置101は、操作履歴表示画面1400の期間入力項目1430に入力された開始時期と終了時期とで指定された期間を取得する。
不正操作監視装置101は、該当期間の操作ログ290が存在するか否かを判断する(ステップS1802)。該当期間の操作ログ290が存在しないと判断した場合(ステップS1802:No)、不正操作監視装置101は、操作履歴テーブル作成処理を終了する。
該当期間の操作ログ290が存在すると判断した場合(ステップS1802:Yes)、不正操作監視装置101は、操作ログ290とスケジュールプロファイルテーブル220から操作ログ290の各操作の業務名を特定する(ステップS1803)。例えば、不正操作監視装置101は、操作ログ290の時刻がスケジュールプロファイルテーブル220の開始時刻と終了時刻との間にあるレコードの業務名を特定する。
不正操作監視装置101は、操作ごとに期間内における平均値を算出する(ステップS1804)。例えば、不正操作監視装置101は、操作がシステムに対するアクセスである場合、期間内のアクセス回数の累計を求め、求めた累計を期間内の業務日数で割ることによりアクセス回数の平均を算出する。また、例えば、不正操作監視装置101は、期間内の操作時間の累計を求め、求めた累計を期間内の業務日数で割ることにより操作時間の平均を算出する。
不正操作監視装置101は、算出した平均値を操作履歴テーブル250に設定する(ステップS1805)。例えば、不正操作監視装置101は、操作がシステムに対するアクセスである場合、操作名をシステム操作時間として、算出した操作時間の平均値を操作履歴テーブル250の平均に設定する。また、例えば、不正操作監視装置101は、操作名をシステムアクセス回数として、算出したアクセス回数の平均値を操作履歴テーブル250の平均に設定する。
不正操作監視装置101は、操作履歴テーブル250を表示する(ステップS1806)。例えば、不正操作監視装置101は、操作履歴表示画面1400の履歴表示項目1420に操作履歴テーブル250を表示する。
これにより、本フローチャートにおける一連の処理は終了する。本フローチャートを実行することで、不正操作監視装置101は、操作履歴テーブル250を作成、表示することができる。
(プロファイル作成処理手順の一例)
図19は、不正操作監視装置101のプロファイル作成処理手順の一例を示すフローチャートである。図19において、まず、不正操作監視装置101は、ユーザから業務名を取得する(ステップS1901)。例えば、不正操作監視装置101は、業務プロファイル登録画面1200の業務入力項目1220から業務名を取得する。ここで、不正操作監視装置101は、ユーザから複数の業務名を取得することもできる。
図19は、不正操作監視装置101のプロファイル作成処理手順の一例を示すフローチャートである。図19において、まず、不正操作監視装置101は、ユーザから業務名を取得する(ステップS1901)。例えば、不正操作監視装置101は、業務プロファイル登録画面1200の業務入力項目1220から業務名を取得する。ここで、不正操作監視装置101は、ユーザから複数の業務名を取得することもできる。
不正操作監視装置101は、取得した業務名を業務プロファイルテーブル230に登録する(ステップS1902)。例えば、不正操作監視装置101は、業務プロファイルテーブル230の業務名に取得した業務名を登録する。また、ここで、不正操作監視装置101は、業務全体のレコードを業務プロファイルテーブル230に追加することができる。
不正操作監視装置101は、操作履歴テーブル250を表示する(ステップS1903)。例えば、不正操作監視装置101は、操作プロファイル登録画面1300において、操作ごとに閾値と重みをユーザが入力する際の情報として操作履歴テーブル250を表示する。具体的には、操作プロファイル登録画面1300の表示ボタン1360の押下により、不正操作監視装置101は操作履歴テーブル250を表示する。また、例えば、不正操作監視装置101は、操作履歴表示画面1400の履歴表示項目1420に操作履歴テーブル250を表示する。
不正操作監視装置101は、業務ごとに操作、閾値、重みを取得する(ステップS1904)。例えば、不正操作監視装置101は、操作プロファイル登録画面1300の操作入力項目1330、閾値項目1340、重み項目1350から業務ごとの操作、閾値、重みを取得する。
不正操作監視装置101は、取得した業務ごとの操作、閾値、重みを操作プロファイルテーブル240に登録する(ステップS1905)。例えば、不正操作監視装置101は、操作プロファイルテーブル240の業務名、操作名、閾値、重みに、操作登録画面1300の業務選択項目1320で選択された業務、取得した操作、閾値、重みを登録する。
不正操作監視装置101は、スケジュールを取得する(ステップS1906)。例えば、不正操作監視装置101は、スケジュールプロファイル登録画面1500のスケジュールプロファイル入力項目1520の業務名ごとの開始時刻と終了時刻を取得する。
不正操作監視装置101は、取得した業務名ごとの開始時刻と終了時刻をスケジュールプロファイルテーブル220に登録する(ステップS1907)。例えば、不正操作監視装置101は、業務名ごとにスケジュールプロファイルテーブル220の開始時刻と終了時刻に、取得した開始時刻と終了時刻を登録する。
不正操作監視装置101は、業務ごとにブロック閾値を取得する(ステップS1908)。例えば、不正操作監視装置101は、ブロック閾値登録画面1600のブロック閾値入力項目1620の業務名ごとのブロック閾値を取得する。
不正操作監視装置101は、取得したブロック閾値を業務プロファイルテーブル230に登録する(ステップS1909)。例えば、不正操作監視装置101は、業務名ごとに業務プロファイルテーブル230のブロック閾値に受け付けたブロック閾値を登録する。
これにより、本フローチャートにおける一連の処理は終了する。本フローチャートを実行することで、不正操作監視装置101は、スケジュールプロファイルテーブル220、業務プロファイルテーブル230および操作プロファイルテーブル240を作成することができる。
(不正操作判断処理手順の一例)
図20は、不正操作監視装置101の不正操作判断処理手順の一例を示すフローチャートである。図20において、まず、不正操作監視装置101は、ユーザ操作情報を取得する(ステップS2001)。例えば、不正操作監視装置101は、操作を行った時刻と、ユーザが操作した対象と、操作の詳細と、を受け付ける。例えば、不正操作監視装置101は、ユーザ操作情報を、端末装置102またはユーザが操作した対象から受け付けることができる。
図20は、不正操作監視装置101の不正操作判断処理手順の一例を示すフローチャートである。図20において、まず、不正操作監視装置101は、ユーザ操作情報を取得する(ステップS2001)。例えば、不正操作監視装置101は、操作を行った時刻と、ユーザが操作した対象と、操作の詳細と、を受け付ける。例えば、不正操作監視装置101は、ユーザ操作情報を、端末装置102またはユーザが操作した対象から受け付けることができる。
不正操作監視装置101は、ユーザ操作ログ290に蓄積する(ステップS2002)。例えば、不正操作監視装置101は、操作を行った時刻、ユーザが操作した対象、操作の詳細を、それぞれユーザ操作ログ290の時刻、対象、操作の項目に設定する。
不正操作監視装置101は、プロファイルテーブルが登録されているか否かを判断する(ステップS2003)。例えば、不正操作監視装置101は、スケジュールプロファイルテーブル220、業務プロファイルテーブル230および操作プロファイルテーブル240のすべてが登録されているか否かを判断する。
プロファイルテーブルが登録されていない場合(ステップS2003:No)、不正操作監視装置101は、プロファイルテーブル作成要求を行う(ステップS2013)。例えば、不正操作監視装置101は、ユーザが操作する端末装置102にスケジュールプロファイルテーブル220、業務プロファイルテーブル230および操作プロファイルテーブル240の作成要求を出力する。
この後、不正操作監視装置101の処理は、終了する。スケジュールプロファイルテーブル220、業務プロファイルテーブル230および操作プロファイルテーブル240のすべてが登録されていないと、業務において不正操作が存在するか否かを判断することができないためである。
プロファイルテーブルが登録されている場合(ステップS2003:Yes)、不正操作監視装置101は、スケジュールプロファイルテーブル220から業務名を抽出可能か否かを判断する(ステップS2004)。例えば、不正操作監視装置101は、ステップS2001で取得したユーザ操作情報に含まれる時刻が、スケジュールプロファイルテーブル220のいずれかのレコードの開始時刻と終了時刻の間にあるか否かを判断する。
抽出不可能と判断する場合(ステップS2004:No)、不正操作監視装置101の処理は、ステップS2012に移行する。この場合、不正操作監視装置101は、業務が行われる時間外で操作が行われたと判断し、ステップS2001で取得したユーザ操作情報に含まれる操作を不正操作と判断する。
抽出可能と判断する場合(ステップS2004:Yes)、不正操作監視装置101は、スケジュールプロファイルテーブル220から業務名を抽出する(ステップS2005)。例えば、不正操作監視装置101は、ステップS2001で取得したユーザ操作情報に含まれる時刻が、開始時刻と終了時刻の間にあるレコードの業務名を抽出する。
不正操作監視装置101は、ステップS2005で抽出した業務名が、適用プロファイルテーブル270の適用業務と同一であるか否かを判断する(ステップS2006)。同一でないと判断する場合(ステップS2006:No)、不正操作監視装置101の処理は、ステップS2001に戻る。
同一であると判断する場合(ステップS2006:Yes)、不正操作監視装置101は、適用プロファイルテーブル270の適用業務に抽出した業務名を登録する(ステップS2007)。不正操作監視装置101は、実操作テーブル260を作成する(ステップS2008)。
例えば、ステップS2001で取得したユーザ操作情報に含まれる対象が、実操作テーブル260の操作名に存在する場合、実操作テーブル260のレコードを更新する。例えば、不正操作監視装置101は、ステップS2001で取得したユーザ操作情報に含まれる対象のアクセス回数の累計を1増加させる。また、不正操作監視装置101は、ステップS2001で取得したユーザ操作情報に含まれる対象の操作時間の累計に、前回の操作から今回の操作までの時間を加算する。
また、例えば、ステップS2001で取得したユーザ操作情報に含まれる対象が、実操作テーブル260の操作名に存在せず、操作プロファイルテーブル240の操作名に存在する場合、実操作テーブル260のレコードを作成する。例えば、不正操作監視装置101は、ステップS2001で取得したユーザ操作情報に含まれる対象のアクセス回数の累計を1、ステップS2001で取得したユーザ操作情報に含まれる対象の操作時間の累計を0分として、レコードを作成する。
また、例えば、ステップS2001で取得したユーザ操作情報に含まれる対象が、実操作テーブル260の操作名に存在せず、操作プロファイルテーブル240の操作名に存在しない場合、実操作テーブル260の操作名が「定義外」のレコードを更新する。
図6と図8と図11の例では、操作ログ290のレコード1100−1〜1100−5の対象は、システムAであり、実操作テーブル260の操作名に存在する。このため、不正操作監視装置101は、実操作テーブル260のシステムA操作時間の累計を33分に更新して、実操作テーブル260のシステムAアクセス回数を5回に更新する。また、操作ログ290のレコード1100−6〜1100−10の対象は、サーバAであり、実操作テーブル260の操作名に存在する。このため、不正操作監視装置101は、実操作テーブル260のサーバAアクセス回数を3回に更新する。また、操作ログ290のレコード1100−11の対象は、サーバGであり、実操作テーブル260の操作名および操作プロファイルテーブル240の操作名に存在しない。このため、不正操作監視装置101は、実操作テーブル260の定義外操作を1回に更新する。
不正操作監視装置101は、操作プロファイルテーブル240と実操作テーブル260とを比較することにより業務名ごとにスコアを算出する(ステップS2009)。例えば、不正操作監視装置101は、業務名と操作名が同一の操作プロファイルテーブル240のレコードの閾値と実操作テーブル260のレコードの累計を比較する。不正操作監視装置101は、実操作テーブル260の累計が、操作プロファイルテーブル240の閾値の範囲に含まれない場合、操作プロファイルテーブル240の重みを抽出する。
不正操作監視装置101は、業務名ごとに抽出した重みを加算することでスコアを算出する。実操作テーブル260の累計が、操作プロファイルテーブル240の閾値の上限のn倍(ここで、nは正の整数)を超えた場合、不正操作監視装置101は、操作プロファイルテーブル240の重みのn倍をスコアに加算することができる。
図6と図8の例では、不正操作監視装置101は、レコード600−1〜レコード600−4を、それぞれレコード800−1〜レコード800−4と比較する。レコード600−1とレコード800−1の比較では、累計は閾値を超えるため、重みとして1が抽出される。レコード600−2とレコード800−2の比較では、累計は閾値を超えないため、重みは抽出されない。レコード600−3とレコード800−3の比較では、累計は閾値を超えないため、重みは抽出されない。レコード600−4とレコード800−4の比較では、累計は閾値を超えないため、重みは抽出されない。この場合、不正操作監視装置101は、業務名「見積もり」に対してスコア「1」を算出する。
不正操作監視装置101は、スコアテーブル280を更新する(ステップS2010)。例えば、不正操作監視装置101は、業務名ごとに算出したスコアを、対応する業務名のスコアテーブル280のレコードのスコアに加算する。ここで、不正操作監視装置101は、業務名「業務全体」のレコードのスコアを、算出したスコアを全て加算した値とすることができる。また、不正操作監視装置101は、業務名に複数の業務名が存在する場合、それぞれの業務について算出されたスコアを加算する。
図10の例では、不正操作監視装置101は、業務名「見積もり」に対してスコアテーブル280のスコアに「1」を加算する。また、不正操作監視装置101は、業務名「業務全体」および業務名「検証/見積もり」に対してスコアテーブル280のスコアに「1」を加算する。
不正操作監視装置101は、スコアがブロック閾値を超えているか否かを判断する(ステップS2011)。例えば、不正操作監視装置101は、業務プロファイルテーブル230のブロック閾値とスコアテーブル280のスコアとを業務名ごとに比較する。不正操作監視装置101は、少なくとも1つの業務名でスコアテーブル280のスコアが、業務プロファイルテーブル230のブロック閾値を超える場合、スコアはブロック閾値を超えていると判断する。
図5と図10の例では、不正操作監視装置101は、業務プロファイルテーブル230のレコード500−1〜500−6のブロック閾値と、スコアテーブル280のレコード1000−1〜1000−6のスコアとを比較する。
この場合、全ての比較において、スコアテーブル280のスコアが、業務プロファイルテーブル230のブロック閾値を超えないため、不正操作監視装置101は、スコアはブロック閾値を超えていないと判断する。
スコアがブロック閾値を超えていない場合(ステップS2011:No)、不正操作監視装置101の処理は、ステップS2001に戻る。スコアがブロック閾値を超えている場合(ステップS2011:Yes)、不正操作監視装置101は端末装置102において不正操作が行われていると判断する。
このため、不正操作監視装置101は、制御処理を実行する(ステップS2012)。例えば、不正操作監視装置101は、制御処理として、端末装置102からサーバ103のアクセスをブロックする。また、例えば、不正操作監視装置101は、端末装置102から外部の装置へのアクセスをブロックすることができる。また、不正操作監視装置101は、端末装置102のユーザや端末装置102を管理する管理者に、端末装置102で不正操作が行われていることを通知することもできる。
これにより、本フローチャートにおける一連の処理は終了する。本フローチャートを実行することで、不正操作監視装置101は、端末装置102で行われた業務における操作に不正操作があるか判断でき、不正操作があると判断した場合、端末装置102に制御処理を実行することができる。
今まで説明した不正操作判断処理手順の説明では、不正操作監視装置101は、端末装置102で行われた業務における操作に不正操作がないと判断した。以下では、不正操作監視装置101が、端末装置102で行われた業務における操作に不正操作があると判断する場合を説明する。
図21は、操作ログ290の記憶内容の他の一例を示す説明図である。本操作ログ290では、図20のステップS2008の実操作テーブル作成の処理は以下のようになる。
操作ログ290のレコード2100−1〜2100−3、2100−9および2100−10の対象は、システムAであり、実操作テーブル260の操作名に存在する。このため、不正操作監視装置101は、実操作テーブル260のシステムA操作時間の累計を33分に更新して、実操作テーブル260のシステムAアクセス回数を5回に更新する。
また、操作ログ290のレコード2100−4〜2100−8の対象は、サーバCであり、実操作テーブル260の操作名および操作プロファイルテーブル240の操作名に存在しない。このため、不正操作監視装置101は、実操作テーブル260の定義外操作を5回に更新する。
また、操作ログ290のレコード2100−11、2100−12および2100−18〜2100−20の対象は、サーバAであり、実操作テーブル260の操作名に存在する。このため、不正操作監視装置101は、実操作テーブル260のサーバAアクセス回数を5回に更新する。
また、操作ログ290のレコード2100−13〜2100−15の対象は、システムCであり、実操作テーブル260の操作名および操作プロファイルテーブル240の操作名に存在しない。このため、不正操作監視装置101は、実操作テーブル260の定義外操作を8回に更新する。また、操作ログ290のレコード2100−16、2100−17の対象は、システムDであり、実操作テーブル260の操作名および操作プロファイルテーブル240の操作名に存在しない。このため、不正操作監視装置101は、実操作テーブル260の定義外操作を10回に更新する。
図22は、実操作テーブル260の記憶内容の他の一例を示す説明図である。図22は、図21の操作ログ290から作成された実操作テーブル260である。本実操作テーブル260では、図20のステップS2010のスコアテーブル更新処理は、以下のようになる。
図6と図22の例では、不正操作監視装置101は、レコード600−1〜レコード600−4を、それぞれレコード2200−1〜レコード2200−4と比較する。レコード600−1とレコード2200−1の比較では、累計は閾値を超えるため、重みとして1が抽出される。レコード600−2とレコード2200−2の比較では、累計は閾値を超えないため、重みは抽出されない。レコード600−3とレコード2200−3の比較では、累計は閾値を超えないため、重みは抽出されない。レコード600−4とレコード2200−4の比較では、累計は閾値の3倍を超えるため、重みとして9が抽出される。この場合、不正操作監視装置101は、業務名「見積もり」に対してスコア「10」を算出する。
図23は、スコアテーブル280の記憶内容の他の一例を示す説明図である。図23は、図6の操作プロファイルテーブル240と図22の実操作テーブル260との比較から作成されたスコアテーブル280である。本スコアテーブル280では、図20のステップS2011の比較処理は以下のようになる。
図5と図23の例では、不正操作監視装置101は、業務プロファイルテーブル230のレコード500−1〜500−6のブロック閾値と、スコアテーブル280のレコード2300−1〜2300−6のスコアとを比較する。
この場合、2300−5のスコアがレコード500−5のブロック閾値を超えているため、不正操作監視装置101は、スコアはブロック閾値を超えていると判断する。このため、不正操作監視装置101は、端末装置102において不正操作が行われていると判断し、ステップS2012の制御処理を実行する。
以上説明したように、不正操作監視装置101は、操作ログ290を取得し、操作ログ290から、実操作テーブル260を作成する。この後、不正操作監視装置101は、実操作テーブル260を、操作プロファイルテーブル240と比較することでスコアを算出し、算出したスコアに基づいてスコアテーブル280を更新する。不正操作監視装置101は、スコアテーブル280を業務プロファイルテーブル230と比較し、業務において不正操作が行われたか否かを判断する。
これにより、不正操作監視装置101は、業務内の複数操作に基づいて、端末装置102において不正操作が行われたか否かを判断できる。このため、不正操作監視装置101は、正常な操作を不正操作と誤って判断することを防ぐことができる。
また、不正操作監視装置101は、複数の業務についてスコアを算出し、算出したスコアを累積した値を、複数の業務に応じて設定されたブロック閾値と比較することができる。また、例えば、不正操作監視装置101は、複数の業務を一日で行われた業務全てとすることができる。
これにより、不正操作監視装置101は、ひとつひとつの業務単位では判断できない不正操作を検出することができる。例えば、マルウェアが、端末装置102を使用するユーザに気づかれないように、長い時間をかけて重要情報を盗み出す場合、ひとつひとつの業務ではブロック閾値を超えないが、複数の業務ではブロック閾値を超えることがある。不正操作監視装置101は、この場合でも不正操作を検出することができる。
また、不正操作監視装置101は、複数の業務を時間的に連続して行われる複数の業務とすることができる。
これにより、不正操作監視装置101は、時間的に連続して行われる複数の業務で行われた不正操作を検出することができる。例えば、1つの業務と次の業務に連続して不正操作が行われた場合、業務それぞれで判断すると不正操作を検出できない場合があるが、不正操作監視装置101は、1つの業務と次の業務とをあわせて判断することにより、不正操作を検出することができる。
また、不正操作監視装置101は、業務プロファイルテーブル230のブロック閾値および操作プロファイルテーブル240の閾値に、同一の業務を行っているユーザに対して、同一の値を設定することができる。
これにより、不正操作監視装置101は、同一の業務を行っているユーザの操作に対して、統一した閾値を設定でき、同じ基準で不正操作を判断することができる。また、ユーザごとに、業務プロファイルテーブル230のブロック閾値および操作プロファイルテーブル240の閾値を決定しなくてもよいため、ユーザの負担が軽減される。
また、不正操作監視装置101は、操作プロファイルテーブル240の閾値を、ユーザが過去に行った操作に基づき設定することができる。例えば、不正操作監視装置101は、操作プロファイルテーブル240の閾値を、ユーザが、端末装置102を使用してサーバ103に対して、過去に行った操作に基づき設定することができる。
これにより、不正操作監視装置101は、端末装置102において、過去に行われた操作と同様の操作が行われた場合、正常な操作と判断し、過去に行われた操作と異なる操作が行われた場合に、不正操作と判断することができる。
また、不正操作監視装置101は、スケジュールプロファイルテーブル220、業務プロファイルテーブル230のブロック閾値および操作プロファイルテーブル240の閾値を、いずれかのタイミングで更新することができる。
これにより、端末装置102を使用するユーザのスケジュールまたは業務内容が突然変更されることがあっても、ユーザは、変更されたスケジュールまたは変更された業務に対応する閾値を登録することができる。このため、不正操作監視装置101は、スケジュールまたは業務内容が突然変更された場合でも、ユーザの正常な操作を不正操作と判断することを防ぐことができる。
また、不正操作監視装置101は、業務プロファイルテーブル230に業務を記憶し、操作ログ290に含まれる時刻から特定した業務名が、適用プロファイルテーブル270の適用業務と同一でない場合、実操作テーブル260を更新することができる。
これにより、不正操作監視装置101は、ユーザの業務が変更するごとに業務における操作に不正操作が行われたか否かを判断することができる。
また、不正操作監視装置101は、スケジュールプロファイルテーブル220から操作を行った業務を特定できない場合、操作を不正操作と判断することができる。
これにより、不正操作監視装置101は、ユーザが業務を行う予定に無いときに行われた操作を不正操作と判断することができる。
なお、本実施の形態で説明した不正操作監視方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。本不正操作監視プログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また、本不正操作監視プログラムは、インターネット等のネットワークを介して配布してもよい。
上述した実施の形態に関し、さらに以下の付記を開示する。
(付記1)業務において行われたいずれかの操作を示す情報を取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、
算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、
前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する
制御部を有することを特徴とする不正操作監視装置。
算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、
前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する
制御部を有することを特徴とする不正操作監視装置。
(付記2)前記制御部は、
前記比較した結果に基づいて、各操作で不正操作が行われた可能性を示す値を累積した累積値を算出し、
算出した前記累積値と、前記業務に応じて設定された閾値とを比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断することを特徴とする付記1に記載の不正操作監視装置。
前記比較した結果に基づいて、各操作で不正操作が行われた可能性を示す値を累積した累積値を算出し、
算出した前記累積値と、前記業務に応じて設定された閾値とを比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断することを特徴とする付記1に記載の不正操作監視装置。
(付記3)前記制御部は、
複数の業務のそれぞれの業務について、前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較した結果に基づいて、前記業務に対応して各操作で不正操作が行われた可能性を示す値を累積した累積値を算出し、
算出した前記累積値を累積した値と、前記複数の業務に応じて設定された閾値とを比較した結果に基づいて、前記複数の業務において不正操作が行われたか否かを判断することを特徴とする付記2に記載の不正操作監視装置。
複数の業務のそれぞれの業務について、前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較した結果に基づいて、前記業務に対応して各操作で不正操作が行われた可能性を示す値を累積した累積値を算出し、
算出した前記累積値を累積した値と、前記複数の業務に応じて設定された閾値とを比較した結果に基づいて、前記複数の業務において不正操作が行われたか否かを判断することを特徴とする付記2に記載の不正操作監視装置。
(付記4)前記複数の業務は、時間的に連続して行われる複数の業務であることを特徴とする付記3に記載の不正操作監視装置。
(付記5)前記業務における各操作に応じて設定された閾値および前記業務に応じて設定された閾値は、同一の業務を行っているユーザに対して、同一の値が設定されることを特徴とする付記2〜4のいずれか一つに記載の不正操作監視装置。
(付記6)前記業務における各操作に応じて設定された閾値は、前記業務において過去に行われた操作を示す情報に基づき設定されることを特徴とする付記1〜5のいずれか一つに記載の不正操作監視装置。
(付記7)前記操作を示す情報は、前記操作が行われた時刻を含み、
前記制御部は、
前記操作を示す情報を取得したことに応じて、業務と業務を行う時間帯とを対応付けたスケジュール情報を参照し、取得した前記操作を示す情報に含まれる前記操作が行われた時刻から、前記操作が行われた業務を特定し、
特定した前記業務における各操作が行われた頻度を算出することを特徴とする付記1〜6のいずれか一つに記載の不正操作監視装置。
前記制御部は、
前記操作を示す情報を取得したことに応じて、業務と業務を行う時間帯とを対応付けたスケジュール情報を参照し、取得した前記操作を示す情報に含まれる前記操作が行われた時刻から、前記操作が行われた業務を特定し、
特定した前記業務における各操作が行われた頻度を算出することを特徴とする付記1〜6のいずれか一つに記載の不正操作監視装置。
(付記8)前記制御部は、
取得した前記操作を示す情報を蓄積し、
特定した前記業務が、蓄積した前記操作を示す情報から特定される業務と異なることを検出したことに応じて、蓄積した前記操作を示す情報から、蓄積した前記操作を示す情報から特定される業務における各操作が行われた頻度を算出することを特徴とする付記7に記載の不正操作監視装置。
取得した前記操作を示す情報を蓄積し、
特定した前記業務が、蓄積した前記操作を示す情報から特定される業務と異なることを検出したことに応じて、蓄積した前記操作を示す情報から、蓄積した前記操作を示す情報から特定される業務における各操作が行われた頻度を算出することを特徴とする付記7に記載の不正操作監視装置。
(付記9)前記制御部は、
前記操作が行われた業務を特定できない場合、前記操作を不正操作と判断することを特徴とする付記7または8に記載の不正操作監視装置。
前記操作が行われた業務を特定できない場合、前記操作を不正操作と判断することを特徴とする付記7または8に記載の不正操作監視装置。
(付記10)コンピュータが、
業務において行われたいずれかの操作を示す情報を取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、
算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、
前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する
処理を実行することを特徴とする不正操作監視方法。
業務において行われたいずれかの操作を示す情報を取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、
算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、
前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する
処理を実行することを特徴とする不正操作監視方法。
(付記11)コンピュータに、
業務において行われたいずれかの操作を示す情報を取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、
算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、
前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する
処理を実行させることを特徴とする不正操作監視プログラム。
業務において行われたいずれかの操作を示す情報を取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、
算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、
前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する
処理を実行させることを特徴とする不正操作監視プログラム。
(付記12)業務において行われたいずれかの操作を示す情報を取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、
算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、
前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する
処理をコンピュータに実行させる不正操作監視プログラムを記録したことを特徴とする前記コンピュータに読み取り可能な記録媒体。
算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、
前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する
処理をコンピュータに実行させる不正操作監視プログラムを記録したことを特徴とする前記コンピュータに読み取り可能な記録媒体。
(付記13)業務においていずれかの操作が行われる端末装置と、
前記業務において行われたいずれかの操作を示す情報を前記端末装置から取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する制御部を有する不正操作監視装置と、
を有することを特徴とする不正操作監視システム。
前記業務において行われたいずれかの操作を示す情報を前記端末装置から取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する制御部を有する不正操作監視装置と、
を有することを特徴とする不正操作監視システム。
101 不正操作監視装置
102 端末装置
103 サーバ
1701 取得部
1702 算出部
1703 比較部
1704 判断部
102 端末装置
103 サーバ
1701 取得部
1702 算出部
1703 比較部
1704 判断部
Claims (11)
- 業務において行われたいずれかの操作を示す情報を取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、
算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、
前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する
制御部を有することを特徴とする不正操作監視装置。 - 前記制御部は、
前記比較した結果に基づいて、各操作で不正操作が行われた可能性を示す値を累積した累積値を算出し、
算出した前記累積値と、前記業務に応じて設定された閾値とを比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断することを特徴とする請求項1に記載の不正操作監視装置。 - 前記制御部は、
複数の業務のそれぞれの業務について、前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較した結果に基づいて、前記業務に対応して各操作で不正操作が行われた可能性を示す値を累積した累積値を算出し、
算出した前記累積値を累積した値と、前記複数の業務に応じて設定された閾値とを比較した結果に基づいて、前記複数の業務において不正操作が行われたか否かを判断することを特徴とする請求項2に記載の不正操作監視装置。 - 前記複数の業務は、時間的に連続して行われる複数の業務であることを特徴とする請求項3に記載の不正操作監視装置。
- 前記業務における各操作に応じて設定された閾値および前記業務に応じて設定された閾値は、同一の業務を行っているユーザに対して、同一の値が設定されることを特徴とする請求項2〜4のいずれか一つに記載の不正操作監視装置。
- 前記業務における各操作に応じて設定された閾値は、前記業務において過去に行われた操作を示す情報に基づき設定されることを特徴とする請求項1〜5のいずれか一つに記載の不正操作監視装置。
- 前記操作を示す情報は、前記操作が行われた時刻を含み、
前記制御部は、
前記操作を示す情報を取得したことに応じて、業務と業務を行う時間帯とを対応付けたスケジュール情報を参照し、取得した前記操作を示す情報に含まれる前記操作が行われた時刻から、前記操作が行われた業務を特定し、
特定した前記業務における各操作が行われた頻度を算出することを特徴とする請求項1〜6のいずれか一つに記載の不正操作監視装置。 - 前記制御部は、
取得した前記操作を示す情報を蓄積し、
特定した前記業務が、蓄積した前記操作を示す情報から特定される業務と異なることを検出したことに応じて、蓄積した前記操作を示す情報から、蓄積した前記操作を示す情報から特定される業務における各操作が行われた頻度を算出することを特徴とする請求項7に記載の不正操作監視装置。 - 前記制御部は、
前記操作が行われた業務を特定できない場合、前記操作を不正操作と判断することを特徴とする請求項7または8に記載の不正操作監視装置。 - コンピュータが、
業務において行われたいずれかの操作を示す情報を取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、
算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、
前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する
処理を実行することを特徴とする不正操作監視方法。 - 業務においていずれかの操作が行われる端末装置と、
前記業務において行われたいずれかの操作を示す情報を前記端末装置から取得したことに応じて、取得した前記操作を示す情報から、前記業務における各操作が行われた頻度を算出し、算出した前記業務における各操作が行われた頻度と、前記業務における各操作に応じて設定された閾値とをそれぞれ比較し、前記比較した結果に基づいて、前記業務において不正操作が行われたか否かを判断する制御部を有する不正操作監視装置と、
を有することを特徴とする不正操作監視システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015124845A JP2017010258A (ja) | 2015-06-22 | 2015-06-22 | 不正操作監視装置、不正操作監視方法および不正操作監視システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015124845A JP2017010258A (ja) | 2015-06-22 | 2015-06-22 | 不正操作監視装置、不正操作監視方法および不正操作監視システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017010258A true JP2017010258A (ja) | 2017-01-12 |
Family
ID=57761700
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015124845A Pending JP2017010258A (ja) | 2015-06-22 | 2015-06-22 | 不正操作監視装置、不正操作監視方法および不正操作監視システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017010258A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019204389A (ja) * | 2018-05-25 | 2019-11-28 | 株式会社日立ソリューションズ | セキュリティ管理サーバ、セキュリティ管理方法、及びセキュリティ管理プログラム |
JP2019220132A (ja) * | 2018-06-18 | 2019-12-26 | エーオー カスペルスキー ラボAO Kaspersky Lab | プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法 |
CN115484063A (zh) * | 2022-08-12 | 2022-12-16 | 国家管网集团北方管道有限责任公司 | 一种用于工业控制系统的网络安全防控方法及系统 |
-
2015
- 2015-06-22 JP JP2015124845A patent/JP2017010258A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019204389A (ja) * | 2018-05-25 | 2019-11-28 | 株式会社日立ソリューションズ | セキュリティ管理サーバ、セキュリティ管理方法、及びセキュリティ管理プログラム |
JP2019220132A (ja) * | 2018-06-18 | 2019-12-26 | エーオー カスペルスキー ラボAO Kaspersky Lab | プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法 |
CN115484063A (zh) * | 2022-08-12 | 2022-12-16 | 国家管网集团北方管道有限责任公司 | 一种用于工业控制系统的网络安全防控方法及系统 |
CN115484063B (zh) * | 2022-08-12 | 2023-05-30 | 国家管网集团北方管道有限责任公司 | 一种用于工业控制系统的网络安全防控方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6508353B2 (ja) | 情報処理装置 | |
US11087014B2 (en) | Dynamic policy based on user experience | |
US10437831B2 (en) | Identifying insider-threat security incidents via recursive anomaly detection of user behavior | |
US9727723B1 (en) | Recommendation system based approach in reducing false positives in anomaly detection | |
CN113826368A (zh) | 针对离群动作检测云用户的行为异常 | |
US9443082B2 (en) | User evaluation | |
JP2008192091A (ja) | ログ分析プログラム、ログ分析装置及びログ分析方法 | |
US20160330217A1 (en) | Security breach prediction based on emotional analysis | |
US20140317752A1 (en) | Computer network security platform | |
US20130067572A1 (en) | Security event monitoring device, method, and program | |
KR102098064B1 (ko) | 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 | |
WO2020210976A1 (en) | System and method for detecting anomaly | |
WO2016075825A1 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
JP2017010258A (ja) | 不正操作監視装置、不正操作監視方法および不正操作監視システム | |
JP2008158959A (ja) | 端末監視サーバと端末監視プログラムとデータ処理端末とデータ処理端末プログラム | |
JP2005222216A (ja) | システム監査方法、およびシステム監査装置 | |
JP2008191857A (ja) | 不正操作管理装置と不正操作管理モジュール及びそのプログラム | |
US20150220850A1 (en) | System and Method for Generation of a Heuristic | |
JP2011065397A (ja) | 不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法 | |
US10614225B2 (en) | System and method for tracing data access and detecting abnormality in the same | |
CN105556481B (zh) | 防毒保护系统及方法 | |
JP2012093804A (ja) | セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム | |
CN113872959B (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
JP6780326B2 (ja) | 情報処理装置及びプログラム | |
JP2020095459A (ja) | 履歴監視方法、監視処理装置および監視処理プログラム |