JP2017107512A - リスク算定方法、リスク算定プログラムおよびリスク算定装置 - Google Patents

リスク算定方法、リスク算定プログラムおよびリスク算定装置 Download PDF

Info

Publication number
JP2017107512A
JP2017107512A JP2015242682A JP2015242682A JP2017107512A JP 2017107512 A JP2017107512 A JP 2017107512A JP 2015242682 A JP2015242682 A JP 2015242682A JP 2015242682 A JP2015242682 A JP 2015242682A JP 2017107512 A JP2017107512 A JP 2017107512A
Authority
JP
Japan
Prior art keywords
user
alert
risk
value
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015242682A
Other languages
English (en)
Inventor
剛陽 寺田
Takeaki Terada
剛陽 寺田
津田 宏
Hiroshi Tsuda
宏 津田
悟 鳥居
Satoru Torii
悟 鳥居
片山 佳則
Yoshinori Katayama
佳則 片山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015242682A priority Critical patent/JP2017107512A/ja
Priority to US15/364,700 priority patent/US20170169452A1/en
Publication of JP2017107512A publication Critical patent/JP2017107512A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0201Market modelling; Market analysis; Collecting market data
    • G06Q30/0204Market segmentation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0201Market modelling; Market analysis; Collecting market data
    • G06Q30/0203Market surveys; Market polls

Abstract

【課題】アラートの精度を高めることを可能とする。
【解決手段】実施形態のリスク算定方法は、ユーザに特徴的な心理特性を示す心理特性情報と、ユーザの行動履歴が記録された履歴情報のうち所定期間における行動履歴から求めた所定期間においてユーザに特徴的な行動特性を示す行動特性情報とに基づいて、リスク値を計算する処理をコンピュータが実行する。また、リスク算定方法は、計算したリスク値が所定の基準値を超過したユーザについてアラートを出力する処理をコンピュータが実行する。
【選択図】図2

Description

本発明の実施形態は、リスク算定方法、リスク算定プログラムおよびリスク算定装置に関する。
従来、各種サービスをユーザに提供する業務用又は商用のシステムにおいては、ユーザがクラッキングの被害を受けないように、ユーザに対してアラートを出力することで、システムのセキュリティを向上させている。ユーザに対してアラートの出力を行う技術としては、ユーザの自信度(自己評価)に基づいた支援情報を提供する技術が知られている。なお、クラッキングの被害については、例えば標準型攻撃メールによるものがあり、以下の説明ではIT被害と呼ぶものとする。
特開平2−208710号公報 特開2009−134496号公報 特開2015−176375号公報
しかしながら、上述した従来技術では、ユーザの自信度(自己評価)という時間的に変化のない静的なファクター(要因)をもとにアラートの出力を行うため、アラートの精度が低いという問題がある。
例えば、IT被害に対するリスクには、昼過ぎの眠くなる時間帯などの時間帯で異なる個人の行動や、午前または午後で変化する業務内容など、時間によって動的に変化する要因がある。しかしながら、時間的に変化のない静的な要因によってアラートを出力する場合には、時間帯に関係なくアラートが出続けることがあり、時間によって動的に変化するリスクに対応することが困難である。
1つの側面では、アラートの精度を高めることを可能とするリスク算定方法、リスク算定プログラムおよびリスク算定装置を提供することを目的とする。
第1の案では、リスク算定方法は、ユーザに特徴的な心理特性を示す心理特性情報と、ユーザの行動履歴が記録された履歴情報のうち所定期間における行動履歴から求めた所定期間においてユーザに特徴的な行動特性を示す行動特性情報とに基づいて、リスク値を計算する処理をコンピュータが実行する。また、リスク算定方法は、計算したリスク値が所定の基準値を超過したユーザについてアラートを出力する処理をコンピュータが実行する。
本発明の1実施態様によれば、アラートの精度を高めることができる。
図1は、実施形態にかかるシステムの構成例を示すブロック図である。 図2は、実施形態にかかるシステムの動作例を示すフローチャートである。 図3は、リスク値の時間的変化を説明する説明図である。 図4は、リスク値の時間的変化を説明する説明図である。 図5は、リスク値の度数分布を説明する説明図である。 図6は、リスク値のデータテーブルの一例を示す説明図である。 図7は、リスク値のデータテーブルの一例を示す説明図である。 図8は、リスク値のデータテーブルの一例を示す説明図である。 図9は、リスク値のデータテーブルの一例を示す説明図である。 図10は、変形例にかかるシステムの動作例を示すフローチャートである。 図11は、情報処理装置のハードウエア構成を例示するブロック図である。
以下、図面を参照して、実施形態にかかるリスク算定方法、リスク算定プログラムおよびリスク算定装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明するリスク算定方法、リスク算定プログラムおよびリスク算定装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
図1は、実施形態にかかるシステム1の構成例を示すブロック図である。図1に示すように、システム1は、端末装置2と、LAN(Local Area Network)などの通信ネットワーク(図示しない)を介して端末装置2と接続されたサーバ装置3とを有する。
端末装置2は、例えば、PC(パーソナルコンピュータ)やスマートフォンなどのユーザが使用する情報処理装置(コンピュータ)である。サーバ装置3は、端末装置2をクライアント(C)として収容するシステム1の情報処理装置であり、いわゆるサーバ(S)である。一実施形態として、サーバ装置3には、PCやWS(ワークステーション)などの装置を採用できる。
端末装置2およびサーバ装置3の各々には、クライアント(C)またはサーバ(S)にかかるプログラムがインストールされる。かかるプログラムを端末装置2およびサーバ装置3のプロセッサ上で動作させることによって、端末装置2およびサーバ装置3の各々は、クライアント(C)またはサーバ(S)における各種機能を実現できる。
端末装置2は、プログラムをプロセッサ上で動作させることによって、行動検出部10、動的リスク算出部11、通信部12、ユーザ検知部14、過剰アラート防止部15および出力部16の機能を有する。同様に、サーバ装置3は、プログラムをプロセッサ上で動作させることによって、閾値算出部13の機能を有する。
行動検出部10は、キーボード、マウスなどの入力装置を介してユーザUが行った行動を検出する。行動検出部10は、検出した行動内容を検出時刻とともに行動ログ20に記録する。具体的には、行動検出部10は、ログイン認証などで認証されたユーザUを示す識別情報(例えばユーザID)とともに、検出した行動内容および検出時刻を行動ログ20に記録する。行動ログ20は、ユーザUごとの行動履歴、すなわちユーザUの行動内容を時系列で記録したデータである。
動的リスク算出部11は、行動ログ20より所定期間内のユーザUの行動履歴を抽出し、抽出した行動履歴から期間内においてユーザUに特徴的な行動特性を示す行動特性値を求める。動的リスク算出部11がユーザUの行動履歴を抽出する期間は、1時間、1日といった時間単位である。例えば、動的リスク算出部11は、直近から1時間前または1日前までのユーザUの行動履歴を行動ログ20より抽出する。次いで、動的リスク算出部11は、ユーザUへのアンケート結果などにより事前に得られた、ユーザUに特徴的な心理特性を示す心理特性値21と、所定期間における行動特性値とをもとに、ユーザUがIT被害にあうリスクを示すリスク値22を算出する。
例えば、動的リスク算出部11は、RS(リスク値)=f(Ps)+g(B,T)とするリスク計算式よりリスク値22を算出する。このリスク計算式において、Psは心理特性、Bは行動特性、Tは期間(時間)を示す。また、fはPsの関数、gはB、Tの関数であることを示す。このリスク計算式より算出されるリスク値(RS)は、アンケートを行った時から時間的に変化のない静的な心理特性値21だけでなく、昼過ぎの眠くなる時間帯や午前または午後で変化する業務内容など、時間帯で異なるユーザUの行動特性値を反映する値となる。したがって、動的リスク算出部11より算出されるリスク値(RS)は、ユーザUの行動特性値を求めた期間(T)ごとに変化する動的な値となる。
なお、動的リスク算出部11は、ログイン認証などで認証されたユーザUを示す識別情報(例えばユーザID)に基づくユーザUごとに、各期間におけるリスク値22を算出する。期間ごとに算出した各ユーザUのリスク値22は、データテーブルなどに格納される。
通信部12は、LAN(Local Area Network)等の通信ネットワーク(図示しない)を介して外部装置(例えばサーバ装置3)との通信を行う。具体的には、通信部12は、動的リスク算出部11により算出されたリスク値22をサーバ装置3へ送信する。また、通信部12は、IT被害についてのアラートを出力する基準のリスク値(閾値)となるアラート基準値23をサーバ装置3より受信する。通信部12は、サーバ装置3より受信したアラート基準値23をユーザ検知部14へ出力する。
閾値算出部13は、1または複数の端末装置2より受信した複数名のユーザUのリスク値(複数名)22aを集計してアラート基準値23を算出する。具体的には、各ユーザUについて算出されたリスク値22は、通信部12を介してサーバ装置3に送られて、リスク値(複数名)22aに蓄積される。閾値算出部13は、このリスク値(複数名)22aを集計して平均値、度数分布などの統計データを求め、IT被害のリスクの高いユーザUを検出するための目安となるアラート基準値23を算出する。閾値算出部13は、算出したアラート基準値23を通信ネットワークを介して端末装置2へ送信する。
例えば、閾値算出部13は、リスク値(複数名)22aを集計した平均値をアラート基準値23とする。この場合、算出されたアラート基準値23をもとに、IT被害についてのリスクが複数のユーザUの平均よりも高いユーザUを検知できる。また、閾値算出部13は、リスク値(複数名)22aを集計した度数分布をもとに、上位の所定範囲(例えば上位数%)に属するリスク値の境界値をアラート基準値23とする。この場合、算出されたアラート基準値23をもとに、IT被害についてのリスクが上位の所定範囲に属するユーザUを検知できる。
ユーザ検知部14は、サーバ装置3より取得したアラート基準値23と、各ユーザUのリスク値22とを比較し、アラート基準値23よりもリスク値22が超過するユーザUを検知する。ユーザ検知部14は、検知結果を過剰アラート防止部15を介して出力部16へ出力する。出力部16は、ディスプレイへの表示や、音声出力などにより、アラート基準値23よりもリスク値22が超過するユーザUについてIT被害が生じうる危険があることを示すアラートを出力する。
過剰アラート防止部15は、ユーザ検知部14により検知されたアラート基準値23よりもリスク値22が超過するユーザUについて、短期間のうちにアラートが連続して出力され、アラートの出力が過剰となることを防止する。具体的には、過剰アラート防止部15は、ユーザIDなどの識別情報が同じユーザUについて、直近にアラートを出力してからの経過時間が所定時間内である場合にはアラートの出力を抑制する。
また、過剰アラート防止部15は、ユーザIDなどの識別情報が同じユーザUについて、複数の期間にわたるリスク値22の度数分布を求める。そして、過剰アラート防止部15は、求めた度数分布において今回のリスク値22が上位の所定範囲(例えば上位数%)に属する場合には、アラートの出力を抑制することなく、出力部16よりアラートを出力させる。
これにより、複数の期間にわたるリスク値22の度数分布において、今回のリスク値22が上位に属する場合、すなわち、IT被害を受けやすい状態である場合には、ユーザUに対してアラートを出力することができる。また、リスク値22が度数分布の上位2%に属する場合にアラートを出力するものとすると、ユーザUの行動特性値を求める期間が1時間単位ならば100時間に2回程度の頻度、1日単位ならば100日に2日程度の頻度にアラートの出力を抑えることができる。
図2は、実施形態にかかるシステム1の動作例を示すフローチャートである。図2に示すように、システム1では、特徴的な心理特性を得るためのアンケートをユーザUに対して予め行い、アンケート回答を得る(S1)。そして、得られたアンケート回答をもとに、ユーザUの特徴的な心理特性を示す心理特性値21を計算し(S2)、求めておく。この心理特性値21は、例えば半年に1回などの間隔で実行されるアンケートより回答が得られる度に更新される。
ユーザUに対して行うアンケートは、心理状態に関する質問項目を含むものである。質問項目の一例としては、標準型攻撃メールについての訓練メールでの開封経験(プログラムの実行経験)、ウイルスの感染経験、自信過剰度を評価する質問項目、目先の利益の優先度を評価する質問項目、クラッキングの被害に遭う可能性を問う質問項目などがある。自信過剰度を評価する質問項目、目先の利益の優先度を評価する質問項目などの心理状態に関する質問項目については、例えば、ユーザの回答を数値化した(段階別に評価した)ものなどであってよい。また、アンケートには、心理状態に関する質問項目だけでなく、訓練メールでの開封経験、ウイルスの感染経験など、セキュリティに対する意識の低い人か否かを判定するための質問項目を含めてもよい。
心理特性値21は、これらの質問項目への回答をもとに、自信過剰(Ps1)、面倒くさがり(Ps2)、目先の利益を優先(Ps3)、せっかち(Ps4)…などの心理特性(Ps)を数値化したものである。
行動検出部10では、ユーザUが行った行動を検出し、検出した行動内容を時刻とともに行動ログ20に記録する(S3)。行動ログ20に記録される行動内容には、例えば、マウス、キーボードの操作の他、画面の切り替え操作、メールの送受信操作、各種画面(例えば警告画面)の表示時間などがある。
動的リスク算出部11では、ユーザUのリスク値(RS_u)をユーザUの心理特性(Ps_u)および行動特性(B_u)の和または積により計算する動的リスク計算式24の係数計算(S4、S5)を行う。
動的リスク計算式24は、例えばユーザUのリスク値(RS_u)を次の式(1)で計算する。式(1)において、αはPs_uの係数、βはB_uの係数である。
Figure 2017107512
リスクに関係するユーザUの心理特性(Ps_u)および行動特性(B_u)が複数存在する場合、ユーザUのそれぞれの値はPs_{u,i}(i=1,2,…,n)、B_{u,j}(j=1,2,…,m)と表現でき、式(1)は次の式(2)のように表現できる。
Figure 2017107512
式(2)では、和(Σ)としてるが、積(Π)としてもよい。α_i、β_jは、各特性(i、j)における係数である。さらに、ある時刻におけるユーザUのリスク値(RS_u)は、次の式(3)のように表現できる。
Figure 2017107512
S4、S5では、ユーザUの1ヶ月程度の過去の行動ログ20aを行動特性(B)における既知の値、S1におけるアンケート回答を心理特性(Ps)における既知の値として、動的リスク計算式24の係数(α_i、β_j)の計算を行う。この係数計算は、例えば特開2015−176375号公報などにおいて公知の方法であり、従来の回帰分析手法を用いて計算される。なお、動的リスク計算式24の係数(α_i、β_j)については、上述したようにユーザUごとに求めたものを用いてもよいし、一般的なユーザUをモデルとして予め計算しておいた係数値を用いてもよい。
動的リスク算出部11では、行動ログ20より所定期間内のユーザUの行動履歴を抽出し、期間(T)内においてユーザUに特徴的な行動特性を示す行動特性値25(B{u,j,T})を計算する(S6)。
具体的には、抽出された行動履歴をもとに、例えばマウス、キーボードの操作から、キー入力の時間間隔、一定時間内のマウスのクリック操作の回数、バックスペースなどの削除キーの操作の回数などの行動特性値B{u,1,T}を計算する。この行動特性値B{u,1,T}は、例えばユーザUの注意力が落ちると時間間隔は遅くなり、操作回数は多くなる値である。
また、画面の切り替え操作からは、複数のウインドウ画面の中から操作対象とするアクティブウインドウ画面の切り替え回数などの行動特性値B{u,2,T}を計算する。この行動特性値B{u,2,T}は、例えば業務が多忙である時に多くなる値である。
また、各種画面の表示時間からは、注意喚起画面の表示時間などの行動特性値B{u,3,T}を計算する。行動特性値B{u,3,T}は、例えば業務が多忙である時に短くなる値である。このように、動的リスク算出部11は、期間(T)内におけるユーザUの行動特性ごとの行動特性値25(B{u,1,T}、B{u,2,T}…B{u,j,T})を計算する。
次いで、動的リスク算出部11は、ユーザUの心理特性値21と、期間(T)内におけるユーザUの行動特性値25とを動的リスク計算式24に代入し、ユーザUの期間(T)におけるリスク値22を計算する(S7)。
図3は、リスク値の時間的変化を説明する説明図である。図3において、THは、アラートを出力する基準のリスク値(閾値)であるアラート基準値23を示す。RS1は、ユーザAについて、心理特性値21と、時間(t)ごとの行動特性値25とを動的リスク計算式24に代入して求めたリスク値である。このRS1に対し、RS1aは、ユーザAについて、時間(t)ごとの行動特性値25を用いずに、心理特性値21をもとに求めたリスク値である。同様に、RS2は、ユーザBについて、心理特性値21と、時間(t)ごとの行動特性値25とを動的リスク計算式24に代入して求めたリスク値である。また、RS2aは、ユーザBについて、時間(t)ごとの行動特性値25を用いずに、心理特性値21をもとに求めたリスク値である。
図3に示すように、時間(t)ごとの行動特性値25を用いずに、アンケートを行った時から時間的に変化のない静的な心理特性値21をもとに求めたリスク値(RS1a、RS2a)は、時間で変化することがない。このため、例えばリスク値がTHを超過する場合(RS2aの場合)は、時間(t)に関係なくアラートが出力され続けることとなる。
これに対し、動的リスク算出部11により算出されるリスク値22(RS1またはRS2)は、アンケートを行った時から時間的に変化のない静的な心理特性値21だけでなく、時間(t)で異なるユーザUの行動特性値25を反映した時間的に変化する値となる。具体的には、図3に示すように、ユーザAのリスク値RS1またはユーザBのリスク値RS2は、ユーザA、Bの時間ごとに変化する行動特性値25を反映し、時間的に変化する値となる。この時間ごとに変化する行動特性値25は、昼過ぎの眠くなる時間帯や午前または午後で変化する業務内容などを的確に反映したものである。よって、動的リスク算出部11は、動的に変化するユーザA、Bのリスクに対応した、精度の高いリスク値(RS1、RS2)を求めることができる。
ユーザ検知部14は、サーバ装置3より取得したアラート基準値23と、各ユーザUのリスク値22とを比較し、アラート基準値23よりもリスク値22が超過するユーザUを検知する(S8)。ユーザ検知部14は、検知結果を過剰アラート防止部15を介して出力部16へ出力する。出力部16では、ユーザ検知部14からの検知結果をもとに、アラート基準値23よりもリスク値22が超過するユーザUについてIT被害が生じうる危険があることを示すアラートを出力する(S11)。
過剰アラート防止部15は、ユーザ検知部14の検知結果をもとに、アラート基準値23よりもリスク値22が超過するユーザUについて前回の検知からの経過時間が予め設定された時間(Du)未満であるか否かを判定する(S9)。Duの値は、アラートの出力間隔を空けるように、例えば1日程度の値が適宜設定される。
前回の検知からの経過時間が予め設定された時間(Du)未満である場合(S9:YES)、過剰アラート防止部15は、出力部16からのアラートの出力を抑制し、アラートの出力が過剰となることを防止する(S10)。また、前回の検知からの経過時間が予め設定された時間(Du)未満でない場合(S9:NO)、過剰アラート防止部15は、出力部16からのアラートの出力を抑制することなく、アラート基準値23よりもリスク値22が超過するユーザUに対するアラートをそのまま出力部16より出力させる。
また、過剰アラート防止部15は、ユーザIDなどの識別情報が同じユーザUについて、複数の期間にわたるリスク値22の度数分布を求め、求めた度数分布と今回のリスク値22とを比較して、アラートの抑制を行ってもよい。例えば、過剰アラート防止部15は、求めた度数分布において今回のリスク値22が上位の所定範囲(例えば上位数%)に属さない場合には、際立ってリスクの高い状態ではないことから、アラートの出力を抑制する。また、過剰アラート防止部15は、今回のリスク値22が度数分布の上位の所定範囲(例えば上位数%)に属する場合には、アラートの出力を抑制することなく、出力部16よりアラートを出力させる。
図4は、リスク値の時間的変化を説明する説明図である。図4に示すように、ユーザA、ユーザBにおけるリスク値(RS)は、期間(T)によって変化する。ここで、ユーザAのリスク値は、2Tおよび4Tのところでアラート基準値23を超過している。したがって、例えば1Tが1時間単位である場合には、2時間ごとにアラートが出力され、アラートが頻繁に出力されることとなる。このように、アラートが頻繁に出力されると、ユーザUは、アラートに対して慣れてしまい、アラートに対する対処が遅れる場合がある。
図5は、リスク値の度数分布を説明する説明図である。図5に示すように、過剰アラート防止部15は、一定期間(例えば100T程度)でのユーザU個人のリスク値(RS)の度数分布を作り、ユーザUがめったに取らない上位の所定範囲を求める。例えば、過剰アラート防止部15は、度数分布が正規分布に従うと仮定することで、平均値(μ)と標準偏差(σ)を求め、ユーザUが100回中2回(=2%)取りうるリスク値(=μ+2σ)を求める。
このように、過剰アラート防止部15は、各ユーザUについて、リスク値(RS)の度数分布から上位の所定範囲となるリスク値を求めておき、今回のリスク値22が上位の所定範囲に属するか否かを判定する。そして、過剰アラート防止部15は、今回のリスク値22が上位の所定範囲に属さない場合には、際立ってリスクの高い状態ではないことから、アラートの出力を抑制する。また、過剰アラート防止部15は、今回のリスク値22が上位の所定範囲に属する場合には、出力部16よりアラートを出力させる。これにより、ユーザUにとって煩わしくない頻度でのアラートが可能となる。
図6〜図9は、リスク値のデータテーブルの一例を示す説明図である。図6に示すように、各ユーザUについて算出されたリスク値22は、ユーザUごと(u_1,u_2,…)のテーブルデータで管理される。
また、このテーブルデータで管理されるユーザUごとのリスク値は、通信部12よりサーバ装置3へ送信される。サーバ装置3の閾値算出部13は、ユーザUごとのリスク値を集計してアラート基準値23を算出し、端末装置2へ送信する。ここで、アラート基準値23の値は、9.0と算出されたものとする。
ユーザ検知部14は、ユーザUごと(u_1,u_2,…)のテーブルデータを参照し、アラート基準値23(9.0)を超過するユーザUを検知する。具体的には、図7に示すように、リスク値が9.0を超過するユーザu_9、u_12、u_14、u_20(黒丸参照)が検知される。
次いで、過剰アラート防止部15は、図8に示すように、ユーザUにおける時間(T_{1,u}、T_{2,u}…)ごとのリスク値を格納するテーブルデータを参照し、直近にアラートを出力してからの経過時間が所定時間内である場合にはアラートの出力を抑制する。
例えば、図8の例において、時刻tの1単位が1時間である場合には、20時間でリスク値が9.0を超過する(黒丸参照)時刻が複数あり、頻繁にアラートを受けることとなる。したがって、直近にアラートを出力してからの経過時間が所定時間内である場合にはアラートの出力を抑制することで、ユーザUがアラート慣れを起こすことを防止する。
また、過剰アラート防止部15は、図9に示すように、ユーザUにおける時間(T_{1,u}、T_{2,u}…)ごとのリスク値を格納するテーブルデータを参照し、リスク値の度数分布を求める。
具体的には、過剰アラート防止部15は、ユーザUのリスク値(RS_{u,t})の分布を正規分布とみなし、所定期間(例えばT_{1,u}〜T_{20,u})における平均(μ)と標準偏差(σ)を求める。そして、過剰アラート防止部15は、ユーザUがめったに取らない上位のリスク値(RS_{u,anomaly})を求める。例えば、ユーザUが約2%の確率で取りうるリスク値(=μ+2σ)を求め、過剰アラート防止部15は、今回のリスク値22が約2%の確率で取りうる高いリスク値である場合には、出力部16よりアラートを出力させる。
図9の例では、時刻がT_{20,u}である時に、約2%の確率で取りうる高いリスク値であることから、アラートが出力されることとなる。
(変形例)
図10は、変形例にかかるシステム1aの動作例を示すフローチャートである。図10に示すように、変形例にかかるシステム1aでは、端末装置2aの行動検出部10が検出した行動ログ20を通信部12を介してサーバ装置3aに送る。そして、サーバ装置3aにおいて、動的リスク算出部11によるユーザUのリスク値22の算出、ユーザ検知部14によるユーザUの検知、過剰アラート防止部15による過剰アラートの防止および出力部16によるアラート出力を行う。このように、端末装置2aより行動ログ20をサーバ装置3aが収集し、ユーザUのリスク値22の計算やアラートの出力などの処理については、サーバ装置3a側で行ってもよい。
以上のように、システム1では、動的リスク算出部11がユーザUの行動履歴が記録された行動ログ20をもとに、所定期間(T)における行動履歴から所定期間(T)においてユーザUに特徴的な行動特性を示す行動特性値25を求める。また、動的リスク算出部11は、ユーザUに特徴的な心理特性を示す心理特性値21と、所定期間(T)においてユーザUに特徴的な行動特性を示す行動特性値25とに基づいて、ユーザUがIT被害にあうリスク値22を計算する。また、システム1では、出力部16が計算されたリスク値22が所定の基準値を超過したユーザUについてアラートを出力する。したがって、システム1では、時間によって動的に変化するリスクに対応することができ、リスクをもとに出力するアラートの精度を高めることができる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
例えば、本実施形態では端末装置2およびサーバ装置3を含むクライアント・サーバ(C/S)モデルのシステム1を例示したが、閾値算出部13を自装置内で実現する端末装置2単体の装置構成であってもよい。また、C/Sモデルのサーバ装置3は、クラウドコンピューティングとしてもよい。
また、本実施形態では、動的リスク算出部11はユーザUごとのリスク値22を求めているが、動的リスク算出部11が求めるリスク値22は、ユーザUごとのものに限定しない。例えば、動的リスク算出部11は、ユーザUが属するグループ(例えば、企業における部門など)単位で集計し、グループ単位のリスク値22を求めてもよい。このようにグループ単位のリスク値22を求める場合には、業務内容、業務時間、昼休みの時刻、フレックス勤務の有無など、グループによって異なる行動特性をリスク計算(S7)に反映できる。
また、端末装置2およびサーバ装置3の情報処理装置で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図11は、情報処理装置100のハードウエア構成を例示するブロック図である。
図11が示すように、情報処理装置100は、各種演算処理を実行するCPU101と、データ入力を受け付ける入力装置102と、モニタ103と、スピーカ104とを有する。また、情報処理装置100は、記憶媒体からプログラム等を読み取る媒体読取装置105と、各種装置と接続するためのインタフェース装置106と、有線または無線により外部機器と通信接続するための通信装置107とを有する。また、情報処理装置100は、各種情報を一時記憶するRAM108と、ハードディスク装置109とを有する。また、情報処理装置100内の各部(101〜109)は、バス110に接続される。
ハードディスク装置109には、行動検出部10、動的リスク算出部11、通信部12、閾値算出部13、ユーザ検知部14、過剰アラート防止部15および出力部16の各処理部と同様の機能を有するプログラムが記憶される。また、ハードディスク装置109には、プログラムを実現するための各種データが記憶される。入力装置102は、例えば情報処理装置100の操作者から操作情報の入力を受け付ける。モニタ103は、例えば操作者が操作する各種画面を表示する。インタフェース装置106は、例えば印刷装置等が接続される。通信装置107は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU101は、ハードディスク装置109に記憶された各プログラムを読み出して、RAM108に展開して実行することで、各種の処理を行う。また、これらのプログラムは、情報処理装置100を行動検出部10、動的リスク算出部11、通信部12、閾値算出部13、ユーザ検知部14、過剰アラート防止部15および出力部16として機能させることができる。
なお、上記のプログラムは、必ずしもハードディスク装置109に記憶されている必要はない。例えば、情報処理装置100が読み取り可能な記憶媒体に記憶されたプログラムを、情報処理装置100が読み出して実行するようにしてもよい。情報処理装置100が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN(Local Area Network)等に接続された装置にこのプログラムを記憶させておき、情報処理装置100がこれらからプログラムを読み出して実行するようにしてもよい。
1、1a…システム
2、2a…端末装置
3、3a…サーバ装置
10…行動検出部
11…動的リスク算出部
12…通信部
13…閾値算出部
14…ユーザ検知部
15…過剰アラート防止部
16…出力部
20…行動ログ
21…心理特性値
22…リスク値
22a…リスク値(複数名)
23…アラート基準値
24…動的リスク計算式
25…行動特性値
100…情報処理装置
RS、RS1、RS1a、RS2、RS2a…リスク値
TH…アラート基準値
U…ユーザ

Claims (7)

  1. ユーザに特徴的な心理特性を示す心理特性情報と、前記ユーザの行動履歴が記録された履歴情報のうち所定期間における行動履歴から求めた該所定期間において前記ユーザに特徴的な行動特性を示す行動特性情報とに基づいて、リスク値を計算し、
    計算した前記リスク値が所定の基準値を超過したユーザについてアラートを出力する
    処理をコンピュータが実行することを特徴とするリスク算定方法。
  2. 前記アラートを出力する処理は、計算した前記リスク値が所定の基準値を超過したユーザについて、直近にアラートを出力してからの経過時間が所定時間内である場合にはアラートの出力を抑制する
    ことを特徴とする請求項1に記載のリスク算定方法。
  3. 前記アラートを出力する処理は、計算した前記リスク値が前記ユーザの複数の期間について計算した前記リスク値の度数分布において上位の所定範囲に属する場合に前記アラートを出力する
    ことを特徴とする請求項1または2に記載のリスク算定方法。
  4. 複数のユーザごとに計算したリスク値の集計結果をもとに前記基準値を算出する処理をコンピュータが更に実行し、
    前記アラートを出力する処理は、計算した前記リスク値が前記算出された基準値を超過したユーザについてアラートを出力する
    ことを特徴とする請求項1乃至3のいずれか一項に記載のリスク算定方法。
  5. 前記計算する処理は、前記行動履歴に含まれる前記ユーザの入力間隔、削除キーの操作回数および操作対象とするウインドウ画面の切り替え回数のうちの少なくとも1つの値をもとに前記行動特性情報を求める
    ことを特徴とする請求項1乃至4のいずれか一項に記載のリスク算定方法。
  6. ユーザに特徴的な心理特性を示す心理特性情報と、前記ユーザの行動履歴が記録された履歴情報のうち所定期間における行動履歴から求めた該所定期間において前記ユーザに特徴的な行動特性を示す行動特性情報とに基づいて、リスク値を計算し、
    計算した前記リスク値が所定値を超過したユーザについてアラートを出力する
    処理をコンピュータに実行させることを特徴とするリスク算定プログラム。
  7. ユーザに特徴的な心理特性を示す心理特性情報と、前記ユーザの行動履歴が記録された履歴情報のうち所定期間における行動履歴から求めた該所定期間において前記ユーザに特徴的な行動特性を示す行動特性情報とに基づいて、リスク値を計算するリスク計算部と、
    計算した前記リスク値が所定値を超過したユーザについてアラートを出力する出力部と
    を有することを特徴とするリクス算定装置。
JP2015242682A 2015-12-11 2015-12-11 リスク算定方法、リスク算定プログラムおよびリスク算定装置 Pending JP2017107512A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015242682A JP2017107512A (ja) 2015-12-11 2015-12-11 リスク算定方法、リスク算定プログラムおよびリスク算定装置
US15/364,700 US20170169452A1 (en) 2015-12-11 2016-11-30 Risk calculation method, computer-readable recording medium, and risk calculation apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015242682A JP2017107512A (ja) 2015-12-11 2015-12-11 リスク算定方法、リスク算定プログラムおよびリスク算定装置

Publications (1)

Publication Number Publication Date
JP2017107512A true JP2017107512A (ja) 2017-06-15

Family

ID=59020748

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015242682A Pending JP2017107512A (ja) 2015-12-11 2015-12-11 リスク算定方法、リスク算定プログラムおよびリスク算定装置

Country Status (2)

Country Link
US (1) US20170169452A1 (ja)
JP (1) JP2017107512A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019012353A (ja) * 2017-06-29 2019-01-24 株式会社リコー 情報処理装置、プログラム、情報処理システム及び判定方法
WO2020065943A1 (ja) * 2018-09-28 2020-04-02 三菱電機株式会社 セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110458401A (zh) * 2019-07-05 2019-11-15 深圳壹账通智能科技有限公司 基于区块链的信息处理装置、方法及存储介质
CN116743970B (zh) * 2023-08-14 2023-11-21 安徽塔联智能科技有限责任公司 一种具有视频ai预警分析的智能管理平台

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH085736A (ja) * 1994-06-21 1996-01-12 Nissan Motor Co Ltd 車両用接近警報装置
JP2002357999A (ja) * 2001-06-01 2002-12-13 Senshiyukai:Kk 携帯メディア学習システム
JP2006018340A (ja) * 2004-06-30 2006-01-19 Interscope Inc 顧客情報統合システム及び統合顧客情報データベースの作成法
JP2011123579A (ja) * 2009-12-09 2011-06-23 Daiwa Securities Group Inc 従業員行動の管理方法及び管理システム
JP2015176375A (ja) * 2014-03-14 2015-10-05 富士通株式会社 管理方法、管理装置および管理プログラム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH085736A (ja) * 1994-06-21 1996-01-12 Nissan Motor Co Ltd 車両用接近警報装置
JP2002357999A (ja) * 2001-06-01 2002-12-13 Senshiyukai:Kk 携帯メディア学習システム
JP2006018340A (ja) * 2004-06-30 2006-01-19 Interscope Inc 顧客情報統合システム及び統合顧客情報データベースの作成法
JP2011123579A (ja) * 2009-12-09 2011-06-23 Daiwa Securities Group Inc 従業員行動の管理方法及び管理システム
JP2015176375A (ja) * 2014-03-14 2015-10-05 富士通株式会社 管理方法、管理装置および管理プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019012353A (ja) * 2017-06-29 2019-01-24 株式会社リコー 情報処理装置、プログラム、情報処理システム及び判定方法
WO2020065943A1 (ja) * 2018-09-28 2020-04-02 三菱電機株式会社 セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム
JPWO2020065943A1 (ja) * 2018-09-28 2021-02-15 三菱電機株式会社 セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム

Also Published As

Publication number Publication date
US20170169452A1 (en) 2017-06-15

Similar Documents

Publication Publication Date Title
CN106796707B (zh) 慢性疾病发现和管理系统
US10496815B1 (en) System, method, and computer program for classifying monitored assets based on user labels and for detecting potential misuse of monitored assets based on the classifications
EP2738727A1 (en) Customized predictors for user actions in an online system
US20140088944A1 (en) Method and apparatus for prediction of community reaction to a post
JP2017107512A (ja) リスク算定方法、リスク算定プログラムおよびリスク算定装置
US10419375B1 (en) Systems and methods for analyzing emotional responses to online interactions
US20180005160A1 (en) Determining and enhancing productivity
Ghosh et al. Designing an experience sampling method for smartphone based emotion detection
Bergman et al. Correlations of mobility and Covid-19 transmission in global data
JP2016122273A (ja) アラート発信方法、プログラム、及び装置
Arnold et al. Estimating the effects of lockdown timing on COVID-19 cases and deaths in England: A counterfactual modelling study
US20170118231A1 (en) Alert handling support apparatus and method therefor
JP2019164699A (ja) 算出装置、算出方法及び算出プログラム
Golding et al. Estimating the transmissibility of SARS-CoV-2 during periods of high, low and zero case incidence
JP6252268B2 (ja) 管理方法、管理装置および管理プログラム
US20220107858A1 (en) Methods and systems for multi-resource outage detection for a system of networked computing devices and root cause identification
JP7459885B2 (ja) ストレス分析装置、ストレス分析方法、及びプログラム
JP2014120138A (ja) 異常原因推定プログラム、異常原因推定装置及び異常原因推定方法
Biehl et al. Widespread recommendations can change our habits of hand-washing and physical distance during the COVID-19 pandemic
JP6500142B1 (ja) 選択装置、選択方法及び選択プログラム
JP2021043781A (ja) 健康管理システム、健康管理方法
JP2013156941A (ja) 在宅管理装置、在宅管理方法および在宅管理プログラム
US20160224990A1 (en) Customer health tracking system based on machine data and human data
JP6259947B1 (ja) 情報処理装置、情報処理システム、及びプログラム
JP2019211899A (ja) 処理装置、処理方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180810

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190702

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190829

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200128