JP2018081655A - Unauthorized operation monitoring device, unauthorized operation monitoring method, unauthorized operation monitoring program, and unauthorized operation monitoring system - Google Patents

Unauthorized operation monitoring device, unauthorized operation monitoring method, unauthorized operation monitoring program, and unauthorized operation monitoring system Download PDF

Info

Publication number
JP2018081655A
JP2018081655A JP2016225530A JP2016225530A JP2018081655A JP 2018081655 A JP2018081655 A JP 2018081655A JP 2016225530 A JP2016225530 A JP 2016225530A JP 2016225530 A JP2016225530 A JP 2016225530A JP 2018081655 A JP2018081655 A JP 2018081655A
Authority
JP
Japan
Prior art keywords
unauthorized
time
information
business
name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016225530A
Other languages
Japanese (ja)
Inventor
悠 榊原
Hisashi Sakakibara
悠 榊原
池田 信一
Nobukazu Ikeda
信一 池田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016225530A priority Critical patent/JP2018081655A/en
Publication of JP2018081655A publication Critical patent/JP2018081655A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

PROBLEM TO BE SOLVED: To improve the accuracy of detecting an unauthorized operation.SOLUTION: An unauthorized operation monitoring device 101 acquires operation history information that includes the type of operation that indicates the type of operation on an information processing system and an operated time of day. The unauthorized operation monitoring device 101 determines, on the basis of schedule information 120, whether or not the type of operation that corresponds to the operated time of day is included in an operation group that corresponds to the operated time of day of the acquired operation history information. The schedule information 120 indicates correspondence between an operation group that is a combination of one or more operation types that indicate the type of operation and a time. When the type of operation that corresponds to the operated time of day is not included in the operation group, the unauthorized operation monitoring device 101 determines whether or not an authorized operation has been performed, on the basis of a value that indicates the level of possibility of unauthorized operation that increases or decreases in accordance with the frequency of the type of operation in the operation history information included in the schedule information 120 at a specific time.SELECTED DRAWING: Figure 1

Description

本発明は、不正操作監視装置、不正操作監視方法、不正操作監視プログラム、および不正操作監視システムに関する。   The present invention relates to an unauthorized operation monitoring device, an unauthorized operation monitoring method, an unauthorized operation monitoring program, and an unauthorized operation monitoring system.

近年、企業における業務用PC(Personal Computer)のマルウェア感染による被害が増加している。マルウェアに感染すると、外部の悪意のあるユーザから、不正に業務用PCが遠隔操作され、社内システムやサーバにある重要情報が盗み出される場合がある。   In recent years, the damage caused by malware infection of business PCs (Personal Computers) in companies has increased. When infected with malware, an external malicious user may illegally remotely operate a business PC and steal important information in an in-house system or server.

また、マルウェアに感染すると、業務用PC内にバックドアが設置され、外部から業務用PCを容易に操作することが可能となるため、ID(Identification)とパスワードによるユーザ認証で不正操作を防ぐことは難しい。したがって、このような状況を想定して、マルウェアに感染した業務用PCにおける不正操作を検出する技術が望まれる。   In addition, when a malware is infected, a back door is installed in the business PC and it is possible to easily operate the business PC from the outside. Therefore, unauthorized operation is prevented by user authentication using an ID (Identification) and password. Is difficult. Therefore, assuming such a situation, a technique for detecting an unauthorized operation in a commercial PC infected with malware is desired.

関連する先行技術としては、例えば、操作の項目の重み値の偏差を対応する平均値および標準偏差から求め、重み値の偏差が許容範囲外であれば、アラート情報を出力する技術がある。また、監視対象装置から受信した各々のログを関連づけた各シナリオ候補に対して重要度を算出し、ユーザ関連度および操作関連度によってユーザごとに各シナリオ候補の重要度を再算出する技術がある。また、自己の存在を知らせることなく自己宛の通信を検出するパッシブホストセンサから通知されたアクセスログに基づいて検知ルールを自動生成する技術がある。   As a related prior art, for example, there is a technique for obtaining a deviation of a weight value of an operation item from a corresponding average value and standard deviation and outputting alert information if the deviation of the weight value is out of an allowable range. Also, there is a technique for calculating the importance for each scenario candidate associated with each log received from the monitoring target device, and recalculating the importance of each scenario candidate for each user based on the user relevance level and the operation relevance level. . In addition, there is a technique for automatically generating a detection rule based on an access log notified from a passive host sensor that detects communication addressed to itself without notifying its own existence.

特開2011−210060号公報Japanese Patent Application Laid-Open No. 2011-210060 特開2013−061794号公報JP 2013-061794 A 特開2005−316779号公報Japanese Patent Laid-Open No. 2005-31679

しかしながら、従来技術では、正常な操作が不正な操作であると誤って判断されて、不正操作の検出精度の低下を招くという問題がある。   However, the conventional technique has a problem that a normal operation is erroneously determined to be an unauthorized operation, and the detection accuracy of the unauthorized operation is reduced.

一つの側面では、本発明は、不正操作の検出精度の向上を図ることを目的とする。   In one aspect, an object of the present invention is to improve detection accuracy of an unauthorized operation.

1つの実施態様では、情報処理システムに対する操作の種類を示す操作種類と操作時刻とを含む操作履歴情報を取得し、前記操作種類の1以上の組み合わせである操作グループと時間との対応を示すスケジュール情報を記憶する記憶部を参照して、前記操作履歴情報の操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれていない場合に、特定の時間の前記スケジュール情報に含まれる前記操作種類の頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する不正操作監視装置が提供される。   In one embodiment, operation history information including an operation type indicating an operation type for an information processing system and an operation time is acquired, and a schedule indicating a correspondence between an operation group and one or more combinations of the operation types. Referring to the storage unit that stores information, if the operation group corresponding to the operation time of the operation history information does not include the operation type corresponding to the operation time, it is included in the schedule information at a specific time There is provided an unauthorized operation monitoring device that determines whether or not an unauthorized operation has been performed based on a value indicating a possibility of an unauthorized operation that increases or decreases according to the frequency of the operation type.

本発明の一側面によれば、不正操作の検出精度の向上を図ることができる。   According to one aspect of the present invention, it is possible to improve the detection accuracy of an unauthorized operation.

図1は、実施の形態にかかる不正操作監視方法の一実施例を示す説明図である。FIG. 1 is an explanatory diagram of an example of the unauthorized operation monitoring method according to the embodiment. 図2は、不正操作監視システム200のシステム構成例を示す説明図である。FIG. 2 is an explanatory diagram showing a system configuration example of the unauthorized operation monitoring system 200. 図3は、不正操作監視装置101のハードウェア構成例を示すブロック図である。FIG. 3 is a block diagram illustrating a hardware configuration example of the unauthorized operation monitoring apparatus 101. 図4は、業務プロファイルテーブル220の記憶内容の一例を示す説明図である。FIG. 4 is an explanatory diagram showing an example of the contents stored in the business profile table 220. 図5は、操作プロファイルテーブル230の記憶内容の一例を示す説明図である。FIG. 5 is an explanatory diagram showing an example of the contents stored in the operation profile table 230. 図6は、定義外操作テーブル240の記憶内容の一例を示す説明図である。FIG. 6 is an explanatory diagram showing an example of the contents stored in the undefined operation table 240. 図7は、スケジュールプロファイルテーブル250の記憶内容の一例を示す説明図である。FIG. 7 is an explanatory diagram showing an example of the contents stored in the schedule profile table 250. 図8は、適用プロファイルテーブル260の記憶内容の一例を示す説明図である。FIG. 8 is an explanatory diagram showing an example of the contents stored in the application profile table 260. 図9は、実操作テーブル270の記憶内容の一例を示す説明図である。FIG. 9 is an explanatory diagram showing an example of the stored contents of the actual operation table 270. 図10は、操作履歴テーブル280の記憶内容の一例を示す説明図である。FIG. 10 is an explanatory diagram showing an example of the contents stored in the operation history table 280. 図11は、スコアテーブル290の記憶内容の一例を示す説明図である。FIG. 11 is an explanatory diagram showing an example of the contents stored in the score table 290. 図12は、定義外操作確認画面1200の画面例を示す説明図である。FIG. 12 is an explanatory diagram illustrating a screen example of the undefined operation confirmation screen 1200. 図13は、不正操作監視装置101の機能的構成例を示すブロック図である。FIG. 13 is a block diagram illustrating a functional configuration example of the unauthorized operation monitoring apparatus 101. 図14は、不正操作の判断例を示す説明図(その1)である。FIG. 14 is an explanatory diagram (part 1) illustrating an example of determining an unauthorized operation. 図15は、不正操作の判断例を示す説明図(その2)である。FIG. 15 is an explanatory diagram (part 2) of an example of determining an unauthorized operation. 図16は、不正操作監視装置101のプロファイル作成処理手順の一例を示すフローチャート(その1)である。FIG. 16 is a flowchart (part 1) illustrating an example of the profile creation processing procedure of the unauthorized operation monitoring apparatus 101. 図17は、不正操作監視装置101のプロファイル作成処理手順の一例を示すフローチャート(その2)である。FIG. 17 is a flowchart (part 2) illustrating an example of the profile creation processing procedure of the unauthorized operation monitoring apparatus 101. 図18は、不正操作監視装置101の不正操作監視処理手順の一例を示すフローチャート(その1)である。FIG. 18 is a flowchart (part 1) illustrating an example of the unauthorized operation monitoring processing procedure of the unauthorized operation monitoring apparatus 101. 図19は、不正操作監視装置101の不正操作監視処理手順の一例を示すフローチャート(その2)である。FIG. 19 is a flowchart (part 2) illustrating an example of the unauthorized operation monitoring processing procedure of the unauthorized operation monitoring apparatus 101. 図20は、操作履歴更新処理の具体的処理手順の一例を示すフローチャートである。FIG. 20 is a flowchart illustrating an example of a specific processing procedure of the operation history update process.

以下に図面を参照して、本発明にかかる不正操作監視装置、不正操作監視方法、不正操作監視プログラム、および不正操作監視システムの実施の形態を詳細に説明する。   Exemplary embodiments of an unauthorized operation monitoring device, an unauthorized operation monitoring method, an unauthorized operation monitoring program, and an unauthorized operation monitoring system according to the present invention will be described below in detail with reference to the drawings.

(実施の形態)
図1は、実施の形態にかかる不正操作監視方法の一実施例を示す説明図である。図1において、不正操作監視装置101は、端末装置102における不正操作を監視するコンピュータである。不正操作監視装置101は、例えば、サーバである。不正操作とは、利用権限のないコンピュータを不正に利用して操作することである。 (Embodiment)
FIG. 1 is an explanatory diagram of an example of the unauthorized operation monitoring method according to the embodiment. In FIG. 1, an unauthorized operation monitoring apparatus 101 is a computer that monitors unauthorized operations in the terminal apparatus 102. The unauthorized operation monitoring apparatus 101 is a server, for example. An unauthorized operation is an operation that uses an unauthorized computer.

不正操作としては、例えば、不当に取得したIDとパスワードによりログインしたユーザによる操作や、端末装置102に設置されたバックドアから侵入したユーザによる操作が挙げられる。操作とは、端末装置102を動かして何らかの作用を生じさせることであり、例えば、端末装置102を遠隔操作して社内システムやサーバにアクセスすることである。   Examples of the unauthorized operation include an operation by a user who logs in with an illegally acquired ID and password, and an operation by a user who has entered through a back door installed in the terminal device 102. The operation refers to moving the terminal device 102 to cause some action. For example, the terminal device 102 is remotely operated to access an in-house system or server.

ここで、企業における業務用PCのマルウェア感染による被害は増加しており、不正に業務用PCが遠隔操作されて、社内システムやサーバにある重要情報が盗み出されるおそれがある。マルウェアは、コンピュータウイルスやトロイの木馬等の有害なソフトウェアの総称である。   Here, the damage caused by malware infection of business PCs in a company is increasing, and there is a risk that the business PC is illegally operated remotely, and important information in an in-house system or server is stolen. Malware is a general term for harmful software such as computer viruses and Trojan horses.

マルウェアに感染すると、IDやパスワード等を用いたユーザ認証によって外部からの侵入を防ぐことが難しくなる。したがって、マルウェア感染への対策としては、マルウェアに感染して外部から不正に操作が可能となった業務用PCにおける不正操作をどのように検出するのかが重要となる。   When infected with malware, it is difficult to prevent intrusion from the outside by user authentication using an ID, a password, or the like. Therefore, as a countermeasure against malware infection, it is important how to detect an unauthorized operation in a business PC that has been infected with malware and can be illegally operated from the outside.

例えば、各業務で行われる操作をあらかじめ登録しておき、ある業務において未登録の操作が行われたら、その頻度に応じて不正操作が行われたか否かを判断することが考えられる。しかしながら、ユーザは、業務において毎回全く同じ操作をするとは限らないし、ある業務を実施中に、別の業務に係る操作を行う場合も考えられる。   For example, it is conceivable that an operation to be performed in each business is registered in advance, and if an unregistered operation is performed in a certain business, it is determined whether an unauthorized operation has been performed according to the frequency. However, the user does not always perform exactly the same operation every time in a business, and it may be possible to perform an operation related to another business while performing a certain business.

例えば、ある業務を実施中のユーザが、直前に実施した業務に関して、データの入力漏れや入力ミスに気付いて、データの入力操作を行う場合がある。また、ある業務を実施中のユーザが、その後に実施予定の業務に関して、事前に情報収集するためにサーバ等にアクセスする場合がある。したがって、このような正常な操作が不正の可能性がある操作として扱われると、不正操作の誤検出を招くおそれがある。   For example, there is a case where a user who is performing a certain task notices a data input omission or an input mistake regarding a task performed immediately before and performs a data input operation. In addition, a user who is executing a certain task may access a server or the like in order to collect information in advance regarding a task scheduled to be performed thereafter. Therefore, if such a normal operation is handled as an operation that may be illegal, there is a risk of erroneous detection of the illegal operation.

そこで、本実施の形態では、業務横断数が多い操作、すなわち、様々な業務で行われる操作については、あらかじめ想定された業務とは異なる他の業務で行われたときの、不正操作であると判断される確度を低くすることで、不正操作の誤検出を防ぐ不正操作監視方法について説明する。以下、不正操作監視装置101の処理例について説明する。   Therefore, in the present embodiment, an operation with a large number of crossing operations, that is, an operation performed in various operations, is an unauthorized operation when performed in another operation different from the operation assumed in advance. An unauthorized operation monitoring method that prevents erroneous detection of an unauthorized operation by reducing the accuracy of determination will be described. Hereinafter, a processing example of the unauthorized operation monitoring apparatus 101 will be described.

(1)不正操作監視装置101は、情報処理システムに対する操作の種類を示す操作種類と操作時刻とを含む操作履歴情報を取得する。ここで、情報処理システムは、社内システムやサーバ等の操作対象103である。操作種類は、例えば、操作名である。操作履歴情報は、例えば、端末装置102から取得してもよく、また、操作対象103から取得してもよい。   (1) The unauthorized operation monitoring apparatus 101 acquires operation history information including an operation type indicating an operation type for the information processing system and an operation time. Here, the information processing system is an operation target 103 such as an in-house system or a server. The operation type is, for example, an operation name. For example, the operation history information may be acquired from the terminal device 102 or may be acquired from the operation target 103.

図1の例では、業務Gにおいて行われた操作Aの種類を示す操作種類と操作時刻とを含む操作履歴情報110が取得された場合を想定する。業務Gは、例えば、端末装置102のユーザが実施している業務であってもよく、また、実施済みの業務であってもよい。   In the example of FIG. 1, it is assumed that the operation history information 110 including the operation type indicating the type of the operation A performed in the business G and the operation time is acquired. The business G may be, for example, a business performed by the user of the terminal device 102 or a business that has been performed.

(2)不正操作監視装置101は、スケジュール情報120に基づいて、取得した操作履歴情報の操作時刻に対応する操作グループに、操作時刻に対応する操作種類が含まれているか否かを判断する。スケジュール情報120は、操作の種類を示す操作種類の1以上の組み合わせである操作グループと時間との対応を示す情報である。   (2) Based on the schedule information 120, the unauthorized operation monitoring apparatus 101 determines whether or not the operation group corresponding to the operation time of the acquired operation history information includes an operation type corresponding to the operation time. The schedule information 120 is information indicating a correspondence between an operation group, which is one or more combinations of operation types indicating operation types, and time.

操作グループは、その操作グループに対応する時間に行われる予定の業務に対応する。したがって、操作履歴情報の操作時刻に対応する操作グループに、操作時刻に対応する操作種類が含まれているか否かを判断することにより、その操作種類の操作が、操作グループに対応する業務に対応する操作であるか否かを判断することができる。   The operation group corresponds to a task scheduled to be performed at a time corresponding to the operation group. Therefore, by determining whether or not the operation group corresponding to the operation time in the operation history information includes the operation type corresponding to the operation time, the operation of the operation type corresponds to the job corresponding to the operation group. It can be determined whether or not the operation is to be performed.

図1の例では、操作履歴情報110の操作時刻に対応する操作グループに、操作履歴情報110が示す操作種類が含まれていない場合を想定する。すなわち、操作Aが業務Gに対応する操作ではない場合を想定する。   In the example of FIG. 1, it is assumed that the operation type corresponding to the operation time of the operation history information 110 does not include the operation type indicated by the operation history information 110. That is, assume that the operation A is not an operation corresponding to the business G.

(3)不正操作監視装置101は、操作グループに操作時刻に対応する操作種類が含まれていない場合、操作履歴情報の操作種類の操作が定義外操作として行われたときの不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する。ここで、定義外操作とは、ある業務において行われるとあらかじめ想定された操作とは異なる操作である。   (3) If the operation group does not include an operation type corresponding to the operation time, the unauthorized operation monitoring apparatus 101 indicates the possibility of an unauthorized operation when an operation of the operation type in the operation history information is performed as an undefined operation. Based on the value indicating the height, it is determined whether or not an unauthorized operation has been performed. Here, an undefined operation is an operation that is different from an operation that is assumed to be performed in a certain job.

不正操作可能性の高さを示す値は、操作が定義外操作として行われたときの不正である可能性の高さを示す。不正操作可能性の高さを示す値は、特定の時間のスケジュール情報120に含まれる、操作履歴情報の操作種類の頻度に応じて増減する。特定の時間は、例えば、一日のうちで端末装置102のユーザが行う全業務に対応する時間である。   The value indicating the high possibility of illegal operation indicates the high possibility of illegal operation when the operation is performed as an undefined operation. The value indicating the possibility of unauthorized operation increases or decreases according to the frequency of the operation type of the operation history information included in the schedule information 120 for a specific time. The specific time is, for example, a time corresponding to all tasks performed by the user of the terminal device 102 in one day.

より具体的には、不正操作可能性の高さを示す値は、特定の時間のスケジュール情報120に含まれる、操作履歴情報の操作種類の頻度が高いほど小さく、頻度が低いほど大きくなるように設定される。すなわち、不正操作可能性の高さを示す値は、業務横断数が多い操作ほど小さくなる。   More specifically, the value indicating the high possibility of unauthorized operation is set such that the frequency of the operation type of the operation history information included in the schedule information 120 at a specific time is smaller as the frequency is lower, and is larger as the frequency is lower. Is set. That is, the value indicating the high possibility of unauthorized operation becomes smaller as the operation has a greater number of crossings.

図1の例では、特定の時間のスケジュール情報120に含まれる、操作履歴情報110の操作種類の頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かが判断される。換言すれば、一日のうちに端末装置102のユーザが行う複数の業務のうち、業務Gとは異なる他の業務で操作Aが行われる頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、業務Gにおいて不正操作が行われたか否かが判断される。   In the example of FIG. 1, an unauthorized operation is performed based on a value indicating the level of possibility of unauthorized operation that increases or decreases according to the frequency of the operation type of the operation history information 110 included in the schedule information 120 of a specific time. It is determined whether or not. In other words, it is possible to increase the possibility of unauthorized operation that increases or decreases according to the frequency with which the operation A is performed in another business different from the business G among a plurality of business operations performed by the user of the terminal device 102 in one day. Based on the indicated value, it is determined whether or not an unauthorized operation has been performed in the business G.

これにより、操作Aが様々な業務で行われる業務横断数の多い操作であれば、業務Gにおいて定義外操作として行われたとしても正常な操作である可能性が高いとして、不正操作であると判断される確度を低くすることができる。換言すれば、正常な操作が不正の可能性がある操作として扱われるのを防いで、不正操作の検出精度の向上を図ることができる。   As a result, if the operation A is an operation with a large number of cross-business operations performed in various business operations, even if the operation A is performed as an undefined operation, it is highly likely that the operation is a normal operation. The accuracy of the determination can be lowered. In other words, it is possible to prevent the normal operation from being treated as an operation that may be illegal, and to improve the detection accuracy of the illegal operation.

以下の説明では、ある時間に対応する操作グループを、その時間に行われる予定の「業務」として扱う場合がある。   In the following description, an operation group corresponding to a certain time may be treated as a “business” scheduled to be performed at that time.

(不正操作監視システム200のシステム構成例)
つぎに、実施の形態にかかる不正操作監視システム200のシステム構成例について説明する。 (System configuration example of the unauthorized operation monitoring system 200)
Next, a system configuration example of the unauthorized operation monitoring system 200 according to the embodiment will be described.

図2は、不正操作監視システム200のシステム構成例を示す説明図である。図2において、不正操作監視システム200は、不正操作監視装置101と、端末装置T1〜Tn(n:2以上の自然数)と、サーバSV1〜SVm(m:2以上の自然数)と、を含む。不正操作監視システム200において、不正操作監視装置101、端末装置T1〜TnおよびサーバSV1〜SVmは、有線または無線のネットワーク210を介して接続される。ネットワーク210は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどである。   FIG. 2 is an explanatory diagram showing a system configuration example of the unauthorized operation monitoring system 200. In FIG. 2, the unauthorized operation monitoring system 200 includes an unauthorized operation monitoring device 101, terminal devices T1 to Tn (n: a natural number of 2 or more), and servers SV1 to SVm (m: a natural number of 2 or more). In the unauthorized operation monitoring system 200, the unauthorized operation monitoring device 101, the terminal devices T1 to Tn, and the servers SV1 to SVm are connected via a wired or wireless network 210. The network 210 is, for example, a local area network (LAN), a wide area network (WAN), or the Internet.

以下の説明では、端末装置T1〜Tnのうちの任意の端末装置を「端末装置Ti」と表記する場合がある(i=1,2,…,n)。また、サーバSV1〜SVmのうちの任意のサーバを「サーバSVj」と表記する場合がある(j=1,2,…,m)。   In the following description, an arbitrary terminal device among the terminal devices T1 to Tn may be referred to as “terminal device Ti” (i = 1, 2,..., N). In addition, an arbitrary server among the servers SV1 to SVm may be expressed as “server SVj” (j = 1, 2,..., M).

ここで、不正操作監視装置101は、端末装置TiにおいてサーバSVjへの不正操作が行われたか否かを判断する。不正操作監視装置101は、業務プロファイルテーブル220、操作プロファイルテーブル230、定義外操作テーブル240およびスケジュールプロファイルテーブル250を有する。これら各種テーブル220,230,240,250は、例えば、不正操作監視装置101による不正操作監視処理の前に作成される。図1に示したスケジュール情報120は、例えば、操作プロファイルテーブル230およびスケジュールプロファイルテーブル250に相当する。   Here, the unauthorized operation monitoring apparatus 101 determines whether an unauthorized operation is performed on the server SVj in the terminal apparatus Ti. The unauthorized operation monitoring apparatus 101 includes a business profile table 220, an operation profile table 230, an undefined operation table 240, and a schedule profile table 250. These various tables 220, 230, 240, 250 are created before the unauthorized operation monitoring process by the unauthorized operation monitoring apparatus 101, for example. The schedule information 120 illustrated in FIG. 1 corresponds to, for example, the operation profile table 230 and the schedule profile table 250.

また、不正操作監視装置101は、適用プロファイルテーブル260、実操作テーブル270、操作履歴テーブル280およびスコアテーブル290を有する。これら各種テーブル260,270,280,290は、例えば、不正操作監視装置101による不正操作監視処理を実行中に作成・更新される。各種テーブルの記憶内容については、図4〜図11を用いて後述する。   In addition, the unauthorized operation monitoring apparatus 101 includes an application profile table 260, an actual operation table 270, an operation history table 280, and a score table 290. These various tables 260, 270, 280, and 290 are created and updated during execution of the unauthorized operation monitoring process by the unauthorized operation monitoring apparatus 101, for example. The contents stored in the various tables will be described later with reference to FIGS.

端末装置Tiは、ユーザが業務において使用するコンピュータである。例えば、端末装置Tiは、PC、タブレットPC、スマートフォンなどである。ユーザは、例えば、企業の社員や自治体の職員などである。図1に示した端末装置102は、例えば、端末装置Tiに相当する。   The terminal device Ti is a computer that a user uses in business. For example, the terminal device Ti is a PC, a tablet PC, a smartphone, or the like. The user is, for example, a company employee or a local government employee. The terminal device 102 illustrated in FIG. 1 corresponds to the terminal device Ti, for example.

サーバSVjは、ユーザが業務を行うためのサービスを提供するコンピュータである。例えば、サーバSVjは、企業の業務システムに含まれるファイルサーバ、メールサーバ、アプリケーションサーバ等の業務サーバである。図1に示した操作対象103は、例えば、サーバSVjに相当する。   The server SVj is a computer that provides a service for a user to perform business. For example, the server SVj is a business server such as a file server, a mail server, or an application server included in a business system of a company. The operation target 103 illustrated in FIG. 1 corresponds to the server SVj, for example.

(不正操作監視装置101のハードウェア構成例)
つぎに、不正操作監視装置101のハードウェア構成例について説明する。 (Hardware configuration example of unauthorized operation monitoring apparatus 101)
Next, a hardware configuration example of the unauthorized operation monitoring apparatus 101 will be described.

図3は、不正操作監視装置101のハードウェア構成例を示すブロック図である。図3において、不正操作監視装置101は、CPU(Central Processing Unit)301と、メモリ302と、I/F(Interface)303と、ディスクドライブ304と、ディスク305と、を有する。また、各構成部は、バス300によってそれぞれ接続される。   FIG. 3 is a block diagram illustrating a hardware configuration example of the unauthorized operation monitoring apparatus 101. 3, the unauthorized operation monitoring apparatus 101 includes a CPU (Central Processing Unit) 301, a memory 302, an I / F (Interface) 303, a disk drive 304, and a disk 305. Each component is connected by a bus 300.

ここで、CPU301は、不正操作監視装置101の全体の制御を司る。メモリ302は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)およびフラッシュROMなどを有する。具体的には、例えば、フラッシュROMやROMが各種プログラムを記憶し、RAMがCPU301のワークエリアとして使用される。メモリ302に記憶されるプログラムは、CPU301にロードされることで、コーディングされている処理をCPU301に実行させる。   Here, the CPU 301 governs overall control of the unauthorized operation monitoring apparatus 101. The memory 302 includes, for example, a ROM (Read Only Memory), a RAM (Random Access Memory), and a flash ROM. Specifically, for example, a flash ROM or ROM stores various programs, and a RAM is used as a work area for the CPU 301. The program stored in the memory 302 is loaded into the CPU 301 to cause the CPU 301 to execute the coded process.

I/F303は、通信回線を通じてネットワーク210に接続され、ネットワーク210を介して外部のコンピュータ(例えば、図2に示した端末装置T1〜TnやサーバSV1〜SVm)に接続される。そして、I/F303は、ネットワーク210と装置内部とのインターフェースを司り、外部のコンピュータからのデータの入出力を制御する。I/F303には、例えば、モデムやLANアダプタなどを採用することができる。   The I / F 303 is connected to the network 210 through a communication line, and is connected to an external computer (for example, the terminal devices T1 to Tn and the servers SV1 to SVm shown in FIG. 2) via the network 210. The I / F 303 controls an interface between the network 210 and the inside of the apparatus, and controls data input / output from an external computer. For example, a modem or a LAN adapter may be employed as the I / F 303.

ディスクドライブ304は、CPU301の制御に従ってディスク305に対するデータのリード/ライトを制御する。ディスク305は、ディスクドライブ304の制御で書き込まれたデータを記憶する。ディスク305としては、例えば、磁気ディスク、光ディスクなどが挙げられる。   The disk drive 304 controls reading / writing of data with respect to the disk 305 according to the control of the CPU 301. The disk 305 stores data written under the control of the disk drive 304. Examples of the disk 305 include a magnetic disk and an optical disk.

なお、不正操作監視装置101は、上述した構成部のほかに、例えば、SSD(Solid State Drive)、入力装置、ディスプレイ等を有することにしてもよい。また、端末装置TiやサーバSVjについても、不正操作監視装置101と同様のハードウェア構成により実現することができる。ただし、端末装置Tiは、上述した構成部のほかに、例えば、入力装置、ディスプレイ等を有する。   The unauthorized operation monitoring device 101 may include, for example, an SSD (Solid State Drive), an input device, a display, and the like in addition to the above-described components. Further, the terminal device Ti and the server SVj can also be realized by the same hardware configuration as that of the unauthorized operation monitoring device 101. However, the terminal device Ti includes, for example, an input device, a display, and the like in addition to the components described above.

(各種テーブルの記憶内容)
つぎに、図2に示した不正操作監視装置101が有する各種テーブルの記憶内容について説明する。各種テーブルは、例えば、端末装置Tiを使用するユーザごとに作成される。各種テーブルは、例えば、図3に示したメモリ302、ディスク305などの記憶装置により実現される。 (Contents stored in various tables)
Next, the contents stored in various tables of the unauthorized operation monitoring apparatus 101 shown in FIG. 2 will be described. The various tables are created for each user who uses the terminal device Ti, for example. The various tables are realized by a storage device such as the memory 302 and the disk 305 shown in FIG.

図4は、業務プロファイルテーブル220の記憶内容の一例を示す説明図である。図4において、業務プロファイルテーブル220は、業務名およびブロック閾値のフィールドを有し、各フィールドに情報を設定することで、業務プロファイル情報(例えば、業務プロファイル情報400−1〜400−6)をレコードとして記憶する。   FIG. 4 is an explanatory diagram showing an example of the contents stored in the business profile table 220. In FIG. 4, the business profile table 220 has fields for business name and block threshold, and records business profile information (for example, business profile information 400-1 to 400-6) by setting information in each field. Remember as.

ここで、業務名は、ユーザが行う業務の名称を示す。業務名は、図1で説明した操作グループを識別する情報に相当する。ブロック閾値は、業務名の業務において不正操作が行われたか否かを判断する際に用いられる閾値を示す。ブロック閾値は、例えば、正常な業務における操作が不正と判断されない値に設定される。業務名として、複数の業務をまとめたものを設定することにしてもよい。   Here, the business name indicates the name of the business performed by the user. The business name corresponds to information for identifying the operation group described with reference to FIG. The block threshold value indicates a threshold value used when determining whether or not an illegal operation has been performed in the business task with the business name. For example, the block threshold is set to a value at which an operation in normal business is not determined to be illegal. As a business name, a group of a plurality of businesses may be set.

例えば、一日の業務全体で不正操作が行われたか否かを判断するために、業務名として、一日で行われる全ての業務を表す「業務全体」を設定することにしてもよい。この際、ブロック閾値として、全ての業務のブロック閾値を合計した値を用いることにしてもよく、また、全ての業務のブロック閾値を合計した値よりも小さい値(例えば、7〜8割程度の値)を用いることにしてもよい。   For example, in order to determine whether or not an unauthorized operation has been performed on the entire day of work, “all work” representing all the work performed on the day may be set as the work name. At this time, the block threshold value may be a value obtained by summing up the block threshold values of all the tasks, or a value smaller than the sum of the block threshold values of all the tasks (for example, about 70 to 80%). Value) may be used.

図5は、操作プロファイルテーブル230の記憶内容の一例を示す説明図である。図5において、操作プロファイルテーブル230は、業務名、操作名、閾値および重みのフィールドを有し、各フィールドに情報を設定することで、操作プロファイル情報(例えば、操作プロファイル情報500−1〜500−4)をレコードとして記憶する。   FIG. 5 is an explanatory diagram showing an example of the contents stored in the operation profile table 230. In FIG. 5, the operation profile table 230 includes fields for business name, operation name, threshold value, and weight. By setting information in each field, operation profile information (for example, operation profile information 500-1 to 500- 4) is stored as a record.

ここで、業務名は、ユーザが行う業務の名称を示す。操作名は、業務名の業務において行われる操作の名称を示す。操作名は、図1で説明した操作種類に相当する。すなわち、同一の業務名の操作を組み合わせたものが、図1で説明した操作グループに相当する。閾値は、業務名の業務において、操作名の操作が正常な範囲で行われたか否かを判断する際に用いられる閾値を示す。閾値は、例えば、正常な業務における操作が不正と判断されない値や範囲に設定される。   Here, the business name indicates the name of the business performed by the user. The operation name indicates the name of the operation performed in the business with the business name. The operation name corresponds to the operation type described in FIG. That is, a combination of operations with the same business name corresponds to the operation group described with reference to FIG. The threshold value indicates a threshold value used when determining whether or not the operation of the operation name is performed in a normal range in the business of the business name. For example, the threshold value is set to a value or range in which an operation in normal business is not determined to be illegal.

重みは、操作名の操作が正常な範囲で行われていないと判断された際に、業務名の業務において不正操作が行われた可能性の高さを示すスコアに加算される値である。例えば、重みは、操作名の操作についての不正が行われた際の影響度合いが大きいほど、大きい値に設定される。また、重みは、業務名の業務において操作名の操作が正常な範囲で行われていないときに不正であるといえる妥当性が高いほど、大きい値に設定される。   The weight is a value added to a score indicating a high possibility that an illegal operation has been performed in the business with the business name when it is determined that the operation with the operation name is not performed within a normal range. For example, the weight is set to a larger value as the degree of influence when the operation name operation is fraudulent is increased. In addition, the weight is set to a larger value as the validity that can be said to be invalid when the operation of the operation name is not performed in a normal range in the business of the business name is high.

例えば、操作プロファイル情報500−1は、業務名「見積もり」の業務において行われる操作名「システムA操作時間」の閾値「5分〜20分」および重み「1」を示す。   For example, the operation profile information 500-1 indicates a threshold “5 to 20 minutes” and a weight “1” of the operation name “system A operation time” performed in the business with the business name “estimation”.

図6は、定義外操作テーブル240の記憶内容の一例を示す説明図である。図6において、定義外操作テーブル240は、定義外操作名、出現頻度、重み平均および定義外スコアのフィールドを有し、各フィールドに情報を設定することで、定義外操作情報(例えば、定義外操作情報600−1〜600−4,600−x)をレコードとして記憶する。   FIG. 6 is an explanatory diagram showing an example of the contents stored in the undefined operation table 240. In FIG. 6, the undefined operation table 240 has fields of undefined operation name, appearance frequency, weighted average, and undefined score. By setting information in each field, undefined operation information (for example, undefined operation information). Operation information 600-1 to 600-4, 600-x) is stored as a record.

ここで、定義外操作名は、ユーザがいずれかの業務において行う操作の名称を示す。定義外操作名としては、例えば、操作プロファイルテーブル230に設定された操作名のうち、「回数」と表記のある操作名から、「回数」を除いた残余の文字列が用いられる。出現頻度は、ユーザが行う全業務において定義外操作名の操作が出現する頻度を示す。例えば、出現頻度は、操作プロファイルテーブル230(例えば、図5参照)において定義外操作名を、操作名に含む操作が出現する回数(レコード数)である。   Here, the undefined operation name indicates the name of the operation performed by the user in any of the tasks. As the undefined operation name, for example, among the operation names set in the operation profile table 230, the remaining character string excluding “number of times” from the operation name described as “number of times” is used. The appearance frequency indicates a frequency at which an operation with an undefined operation name appears in all the operations performed by the user. For example, the appearance frequency is the number of times (number of records) that an operation including an undefined operation name in the operation name appears in the operation profile table 230 (for example, see FIG. 5).

重み平均は、操作プロファイルテーブル230における定義外操作名の操作の重みの平均値である。定義外スコアは、定義外操作名の操作が定義外操作として行われた際に不正操作である可能性の高さを示す。なお、定義外操作とは、業務において行われるとあらかじめ想定された操作とは異なる操作である。   The weight average is an average value of operation weights of undefined operation names in the operation profile table 230. The non-definition score indicates the high possibility of an unauthorized operation when an operation with an undefined operation name is performed as an undefined operation. An undefined operation is an operation that is different from an operation that is assumed to be performed in a business.

図7は、スケジュールプロファイルテーブル250の記憶内容の一例を示す説明図である。図7において、スケジュールプロファイルテーブル250は、業務名と開始時刻と終了時刻とを対応付けて記憶する。スケジュールプロファイルテーブル250には、例えば、一日のうちにユーザが行う予定の各業務についての業務名、開始時刻および終了時刻が記憶される。   FIG. 7 is an explanatory diagram showing an example of the contents stored in the schedule profile table 250. In FIG. 7, the schedule profile table 250 stores a business name, a start time, and an end time in association with each other. In the schedule profile table 250, for example, a business name, a start time, and an end time for each business scheduled to be performed by the user during a day are stored.

ここで、業務名は、ユーザが行う予定の業務の名称を示す。業務には、昼休み等の休憩時間を含めることにしてもよい。開始時刻は、業務名の業務を開始する時刻を示す。終了時刻は、業務名の業務を終了する時刻を示す。スケジュールプロファイルテーブル250は、例えば、業務日ごとに作成される。   Here, the business name indicates the name of the business scheduled to be performed by the user. The business may include break times such as lunch breaks. The start time indicates the time at which the business with the business name starts. The end time indicates the time at which the business with the business name ends. The schedule profile table 250 is created for each business day, for example.

図8は、適用プロファイルテーブル260の記憶内容の一例を示す説明図である。図8において、適用プロファイルテーブル260は、適用業務のフィールドを有する。ここで、適用業務は、端末装置Tiにおいて操作が行われたときに、ユーザが実施している業務の名称を示す。   FIG. 8 is an explanatory diagram showing an example of the contents stored in the application profile table 260. In FIG. 8, the application profile table 260 has a field of application. Here, the applied business indicates the name of the business performed by the user when an operation is performed on the terminal device Ti.

図9は、実操作テーブル270の記憶内容の一例を示す説明図である。図9において、実操作テーブル270は、業務名、操作名および累計のフィールドを有し、各フィールドに情報を設定することで、実操作情報(例えば、実操作情報900−1〜900−3)をレコードとして記憶する。   FIG. 9 is an explanatory diagram showing an example of the stored contents of the actual operation table 270. In FIG. 9, the actual operation table 270 has fields of business name, operation name, and total number. By setting information in each field, actual operation information (for example, actual operation information 900-1 to 900-3). Is stored as a record.

業務名は、ユーザが行った業務の名称を示す。操作名は、業務名の業務においてユーザが行った操作の名称を示す。累計は、業務名の業務において、ユーザが操作名の操作を行った累計回数あるいは累計時間を示すものであり、業務中にユーザが行う操作内容に応じて逐次更新される。累計回数とは、ユーザが操作を行った回数である。累計時間とは、ユーザが操作を開始してから終了するまでの操作時間の累計である。   The business name indicates the name of the business performed by the user. The operation name indicates the name of the operation performed by the user in the business with the business name. The total indicates the total number of times or the total time that the user has operated the operation name in the business with the business name, and is sequentially updated according to the operation performed by the user during the business. The total number of times is the number of times the user has performed an operation. The accumulated time is the accumulated operation time from the start of the operation to the end of the operation by the user.

なお、ここでは、操作名に「操作時間」が含まれるとき、累計は累計時間を示す。また、操作名に「アクセス回数」が含まれるとき、累計は累計回数を示す。実操作テーブル270は、例えば、一日の業務を開始あるいは終了する際にリセットされる。   Here, when “operation time” is included in the operation name, the cumulative total indicates the cumulative time. When the operation name includes “access count”, the cumulative total indicates the cumulative count. The actual operation table 270 is reset, for example, when starting or ending a day's work.

図10は、操作履歴テーブル280の記憶内容の一例を示す説明図である。図10において、操作履歴テーブル280は、業務名、操作名および平均のフィールドを有し、各フィールドに情報を設定することで、操作履歴情報(操作履歴情報1000−1〜1000−3)をレコードとして記憶する。   FIG. 10 is an explanatory diagram showing an example of the contents stored in the operation history table 280. In FIG. 10, an operation history table 280 has business name, operation name, and average fields, and records operation history information (operation history information 1000-1 to 1000-3) by setting information in each field. Remember as.

業務名は、ユーザが行った業務の名称を示す。操作名は、業務名の業務においてユーザが行った操作の名称を示す。平均は、過去の一定期間Tにおける業務名の業務においてユーザが行った操作名の操作の平均を示す。一定期間Tは、任意に設定可能であり、例えば、1週間や1ヶ月の期間に設定される。   The business name indicates the name of the business performed by the user. The operation name indicates the name of the operation performed by the user in the business with the business name. The average indicates an average operation of operation names performed by the user in the business with the business name in the past certain period T. The fixed period T can be set arbitrarily, and is set to a period of one week or one month, for example.

例えば、操作名に「操作時間」が含まれるとき、平均は、過去の一定期間Tにおいてユーザが行った操作の一日の累計時間の平均を示す。また、操作名に「アクセス回数」が含まれるとき、平均は、過去の一定期間Tにおいてユーザが行った操作の一日の累計回数の平均を示す。   For example, when “operation time” is included in the operation name, the average indicates the average of the accumulated time for one day of the operation performed by the user in the past certain period T. Further, when “number of accesses” is included in the operation name, the average indicates the average of the accumulated number of operations performed by the user in the past certain period T.

なお、図示は省略するが、操作履歴テーブル280には、例えば、過去の一定期間に端末装置Tiのユーザが行った操作を示す操作情報(操作ログ)が蓄積される。   Although illustration is omitted, the operation history table 280 stores operation information (operation log) indicating, for example, operations performed by the user of the terminal device Ti during a past fixed period.

図11は、スコアテーブル290の記憶内容の一例を示す説明図である。図11において、スコアテーブル290は、業務名およびスコアのフィールドを有し、各フィールドに情報を設定することで、スコア情報(例えば、1100−1〜1100−6)をレコードとして記憶する。   FIG. 11 is an explanatory diagram showing an example of the contents stored in the score table 290. In FIG. 11, the score table 290 has fields of business name and score, and by setting information in each field, score information (for example, 1100-1 to 1100-6) is stored as a record.

ここで、業務名は、ユーザが行う業務の名称を示す。業務名としては、例えば、図4に示した業務プロファイルテーブル220に設定された業務名が設定される。スコアは、業務名の業務において不正操作が行われた可能性の高さを示す値であり、業務中にユーザが行う操作内容に応じて逐次更新される。   Here, the business name indicates the name of the business performed by the user. As the business name, for example, the business name set in the business profile table 220 shown in FIG. 4 is set. The score is a value indicating a high possibility that an unauthorized operation has been performed in the business with the business name, and is sequentially updated according to the operation content performed by the user during the business.

(定義外操作確認画面1200の画面例)
つぎに、端末装置Tiのディスプレイ(不図示)に表示される定義外操作確認画面1200の画面例について説明する。 (Screen example of undefined operation confirmation screen 1200)
Next, a screen example of the undefined operation confirmation screen 1200 displayed on the display (not shown) of the terminal device Ti will be described.

図12は、定義外操作確認画面1200の画面例を示す説明図である。図12において、定義外操作確認画面1200は、定義外操作テーブル240に登録する定義外操作を確認するための操作画面である。定義外操作確認画面1200には、定義外操作として登録される操作の操作名、操作定義業務、昨日のスコア、本日のスコアおよび変更・設定が表示される。   FIG. 12 is an explanatory diagram illustrating a screen example of the undefined operation confirmation screen 1200. In FIG. 12, an undefined operation confirmation screen 1200 is an operation screen for confirming an undefined operation registered in the undefined operation table 240. The undefined operation confirmation screen 1200 displays the operation name, operation definition work, yesterday's score, today's score, and change / setting of the operation registered as an undefined operation.

ここで、操作定義業務は、操作名の操作が行われる業務を示す。なお、各操作がどの業務で行われるかは、例えば、図5に示した操作プロファイルテーブル230から特定される。昨日のスコアは、操作名の操作の昨日の定義外スコアである。本日のスコアは、操作名の操作の本日の定義外スコアである。本日のスコアとしては、例えば、各操作の出現頻度と重み平均とに基づく値が設定される。   Here, the operation definition task indicates a task for which an operation with an operation name is performed. In addition, it is specified from the operation profile table 230 shown in FIG. 5, for example, in which work each operation is performed. The yesterday's score is a yesterday's undefined score for the operation of the operation name. Today's score is today's undefined score for the operation of the operation name. As today's score, for example, a value based on the appearance frequency of each operation and the weighted average is set.

定義外操作確認画面1200によれば、ユーザは、例えば、各操作について、昨日のスコアを参照して、本日のスコアの妥当性を判断することができる。また、ユーザは、ある操作について本日のスコアを変更する場合は、変更後のスコアをその操作の変更・設定の項目に入力する。この結果、その操作について、本日のスコアが、変更後のスコアに更新される。変更・設定の項目が未入力の操作については、本日のスコアが定義外スコアとして設定される。   According to the undefined operation confirmation screen 1200, for example, the user can determine the validity of today's score by referring to yesterday's score for each operation. In addition, when changing the score for today for a certain operation, the user inputs the score after the change in the item for changing / setting the operation. As a result, for the operation, today's score is updated to the changed score. For operations in which the change / setting item is not input, today's score is set as an undefined score.

また、定義外操作確認画面1200によれば、ユーザは、「その他操作」の本日のスコアを設定することができる。「その他操作」は、操作プロファイルテーブル230に登録されていない操作である。これにより、「その他操作」が行われた際に不正操作である可能性の高さを示す定義外スコアを任意に設定することができる。   Further, according to the undefined operation confirmation screen 1200, the user can set today's score of “other operation”. “Other operation” is an operation that is not registered in the operation profile table 230. Thereby, it is possible to arbitrarily set an undefined score indicating a high possibility of an unauthorized operation when “other operation” is performed.

また、定義外操作確認画面1200において、端末装置Tiの入力装置(不図示)を用いたユーザの操作入力により、OKボタン1201を選択すると、定義外操作テーブル240に登録する定義外操作の確認を終了することができる。また、定義外操作確認画面1200において、ユーザの操作入力により、キャンセルボタン1202を選択すると、各操作の変更・設定の項目を初期化することができる。   In addition, when the OK button 1201 is selected by the user's operation input using the input device (not shown) of the terminal device Ti on the undefined operation confirmation screen 1200, confirmation of the undefined operation registered in the undefined operation table 240 is confirmed. Can be terminated. Further, when the cancel button 1202 is selected by a user operation input on the undefined operation confirmation screen 1200, items for changing / setting each operation can be initialized.

(不正操作監視装置101の機能的構成例)
つぎに、不正操作監視装置101の機能的構成例について説明する。 (Functional configuration example of the unauthorized operation monitoring apparatus 101)
Next, a functional configuration example of the unauthorized operation monitoring apparatus 101 will be described.

図13は、不正操作監視装置101の機能的構成例を示すブロック図である。図13において、不正操作監視装置101は、取得部1301と、判定部1302と、算出部1303と、設定部1304と、判断部1305と、制御処理部1306と、を含む構成である。取得部1301〜制御処理部1306は制御部となる機能であり、具体的には、例えば、図3に示したメモリ302、ディスク305などの記憶装置に記憶されたプログラムをCPU301に実行させることにより、または、I/F303により、その機能を実現する。各機能部の処理結果は、例えば、メモリ302、ディスク305などの記憶装置に記憶される。   FIG. 13 is a block diagram illustrating a functional configuration example of the unauthorized operation monitoring apparatus 101. In FIG. 13, the unauthorized operation monitoring apparatus 101 includes an acquisition unit 1301, a determination unit 1302, a calculation unit 1303, a setting unit 1304, a determination unit 1305, and a control processing unit 1306. The acquisition unit 1301 to the control processing unit 1306 are functions as control units. Specifically, for example, by causing the CPU 301 to execute a program stored in a storage device such as the memory 302 and the disk 305 illustrated in FIG. Alternatively, the function is realized by the I / F 303. The processing result of each functional unit is stored in a storage device such as the memory 302 and the disk 305, for example.

取得部1301は、端末装置Tiにおいて行われた操作を示す操作情報を取得する。ここで、操作情報は、例えば、操作時刻と、操作対象と、操作内容とを含む。操作時刻は、操作が行われた時刻である。操作対象は、操作の対象を示す。例えば、操作対象は、図2に示したサーバSV1〜SVmのうちのいずれかのサーバSVjである。操作内容は、操作の内容を示す。操作情報は、図1で説明した操作履歴情報に相当する。   The acquisition unit 1301 acquires operation information indicating an operation performed on the terminal device Ti. Here, the operation information includes, for example, an operation time, an operation target, and an operation content. The operation time is the time when the operation was performed. The operation target indicates an operation target. For example, the operation target is one of the servers SVj among the servers SV1 to SVm illustrated in FIG. The operation content indicates the content of the operation. The operation information corresponds to the operation history information described with reference to FIG.

具体的には、例えば、取得部1301は、端末装置TiにおいてサーバSVjへの操作が行われたことに応じて、その操作を示す操作情報をサーバSVj(あるいは、端末装置Ti)から受信することにより、その操作を示す操作情報を取得する。取得された操作情報は、操作ログとして、例えば、図10に示した操作履歴テーブル280に記憶される。   Specifically, for example, the acquisition unit 1301 receives operation information indicating the operation from the server SVj (or the terminal device Ti) in response to an operation performed on the server SVj in the terminal device Ti. Thus, operation information indicating the operation is acquired. The acquired operation information is stored as an operation log, for example, in the operation history table 280 shown in FIG.

判定部1302は、複数の業務について各業務と各業務で行う操作とを対応付けた情報に基づいて、取得した操作情報が示す操作が適用業務に対応する操作であるか否かを判定する。ここで、適用業務は、操作情報が示す操作が行われたときに、端末装置Tiのユーザが実施している業務である。   The determination unit 1302 determines whether or not the operation indicated by the acquired operation information is an operation corresponding to the application job, based on information in which each job is associated with an operation performed in each job for a plurality of jobs. Here, the application work is a work performed by the user of the terminal device Ti when the operation indicated by the operation information is performed.

具体的には、例えば、判定部1302は、図7に示したスケジュールプロファイルテーブル250を参照して、取得された操作情報に含まれる操作時刻が、開始時刻から終了時刻までの時間帯に含まれる業務名を、適用業務の業務名として特定する。これにより、操作情報が示す操作が行われた業務を特定することができる。   Specifically, for example, the determination unit 1302 refers to the schedule profile table 250 illustrated in FIG. 7, and the operation time included in the acquired operation information is included in the time period from the start time to the end time. The business name is specified as the business name of the applied business. As a result, it is possible to identify the work for which the operation indicated by the operation information has been performed.

ただし、ユーザが実施している業務を特定可能な情報が、操作情報に含まれていてもよい。この場合、判定部1302は、取得された操作情報を参照して、操作情報が示す操作が行われた業務を特定することができる。   However, the operation information may include information that can identify the work performed by the user. In this case, the determination unit 1302 can identify the work on which the operation indicated by the operation information has been performed with reference to the acquired operation information.

特定された適用業務の業務名は、例えば、図8に示した適用プロファイルテーブル260に記憶される。例えば、操作情報が取得されたことに応じて、その都度、判定部1302が適用プロファイルテーブル260を更新することにより、端末装置Tiのユーザが現在行っている業務を管理することができる。   The business name of the specified application business is stored, for example, in the application profile table 260 shown in FIG. For example, each time the operation information is acquired, the determination unit 1302 updates the application profile table 260, so that the task currently being performed by the user of the terminal device Ti can be managed.

そして、判定部1302は、図5に示した操作プロファイルテーブル230を参照して、適用業務の業務名と対応付けて、操作情報が示す操作の操作名が設定されているか否かを判定する。ここで、操作名が設定されている場合、判定部1302は、操作情報が示す操作が適用業務に対応する操作であると判定する。一方、操作名が未設定の場合、判定部1302は、操作情報が示す操作が適用業務に対応する操作ではないと判定する。   Then, the determination unit 1302 refers to the operation profile table 230 illustrated in FIG. 5 and determines whether the operation name of the operation indicated by the operation information is set in association with the business name of the application. Here, when the operation name is set, the determination unit 1302 determines that the operation indicated by the operation information is an operation corresponding to the application. On the other hand, when the operation name is not set, the determination unit 1302 determines that the operation indicated by the operation information is not an operation corresponding to the application.

なお、操作情報が示す操作の操作名は、例えば、操作情報に含まれる操作対象と操作内容とから特定される。例えば、操作対象であるサーバSVjが「システムA」であり、操作内容が「ファイルのリード/ライト」の場合、操作名は「システムAアクセス回数」となる。また、操作対象であるサーバSVjが「システムA」であり、操作内容が「ログイン/ログアウト」の場合、操作名は「システムA操作時間」となる。   Note that the operation name of the operation indicated by the operation information is identified from, for example, the operation target and the operation content included in the operation information. For example, when the operation target server SVj is “system A” and the operation content is “file read / write”, the operation name is “system A access count”. When the server SVj to be operated is “system A” and the operation content is “login / logout”, the operation name is “system A operation time”.

算出部1303は、取得された操作情報に基づいて、業務において操作が行われた頻度を算出する。具体的には、例えば、算出部1303は、操作情報が示す操作が適用業務に対応する操作である場合に、適用業務において操作が行われた頻度を算出する。頻度は、例えば、適用業務において操作が行われた累計回数や累計時間である。   The calculation unit 1303 calculates the frequency at which operations are performed in business based on the acquired operation information. Specifically, for example, when the operation indicated by the operation information is an operation corresponding to the application, the calculation unit 1303 calculates the frequency of the operation performed in the application. The frequency is, for example, the total number of times and the total time that operations have been performed in the application.

例えば、取得された操作情報が、操作対象であるサーバSVjへのアクセス(例えば、ファイルのリード/ライト等)を示す場合、算出部1303は、適用業務におけるサーバSVjへのアクセス回数をインクリメントする。   For example, when the acquired operation information indicates access to the server SVj that is the operation target (for example, file read / write), the calculation unit 1303 increments the number of accesses to the server SVj in the application.

また、取得された操作情報が、操作対象であるサーバSVjへの操作の開始(例えば、ログイン)を示す場合、算出部1303は、適用業務におけるサーバSVjへの操作の開始時刻(例えば、ログイン時刻)を記録する。そして、算出部1303は、サーバSVjへの操作の終了(例えば、ログアウト)を示す操作情報が取得された場合に、適用業務におけるサーバSVjへの操作時間を算出して累計していく。操作時間は、例えば、適用業務におけるサーバSVjへの操作の開始時刻から終了時刻(例えば、ログアウト時刻)までの時間である。   When the acquired operation information indicates the start (for example, login) of the operation to the server SVj that is the operation target, the calculation unit 1303 starts the operation (for example, the login time) to the server SVj in the application. ). Then, when the operation information indicating the end of the operation on the server SVj (for example, logout) is acquired, the calculation unit 1303 calculates the operation time for the server SVj in the application and accumulates the operation time. The operation time is, for example, the time from the start time to the end time (for example, logout time) of the operation on the server SVj in the application.

算出された頻度は、例えば、適用業務の業務名と該当操作の操作名と対応付けて、図9に示した実操作テーブル270に「累計」として記憶される。該当操作は、操作情報が示す操作である。実操作テーブル270に、適用業務の業務名と該当操作の操作名との組合せに対応するレコードが既に存在する場合は、そのレコードの「累計」が更新される。   The calculated frequency is stored as “cumulative” in the actual operation table 270 illustrated in FIG. 9 in association with, for example, the business name of the applied business and the operation name of the corresponding operation. The corresponding operation is an operation indicated by the operation information. If the actual operation table 270 already has a record corresponding to the combination of the application name of the application and the operation name of the corresponding operation, the “total” of the record is updated.

また、算出部1303は、取得された操作情報に基づいて、端末装置Tiのユーザの操作履歴を更新する。具体的には、例えば、算出部1303は、操作履歴テーブル280から、過去の一定期間T分の操作情報を取得する。過去の一定期間T分の操作情報は、例えば、現在時刻から一定期間T遡った時点から現在時刻までの期間に、操作時刻が含まれる操作情報である。   Also, the calculation unit 1303 updates the operation history of the user of the terminal device Ti based on the acquired operation information. Specifically, for example, the calculation unit 1303 acquires operation information for a certain past period T from the operation history table 280. The operation information for the past fixed period T is, for example, operation information in which the operation time is included in a period from the time point that is a predetermined period T backward from the current time to the current time.

そして、算出部1303は、取得した過去の一定期間T分の操作情報に基づいて、業務と操作との組合せごとに、業務においてユーザが行った操作の平均を算出する。操作の平均は、例えば、操作の操作名に操作時間が含まれるとき、該当業務においてユーザが行った該当操作の日ごとの累計時間の平均を示す。また、操作の平均は、操作の操作名にアクセス回数が含まれるとき、該当業務においてユーザが行った該当操作の日ごとの累計回数の平均を示す。   Then, the calculation unit 1303 calculates an average of operations performed by the user in the business for each combination of the business and the operation based on the acquired operation information for a predetermined period T. For example, when the operation name is included in the operation name of the operation, the average of the operations indicates an average of the accumulated time for each day of the corresponding operation performed by the user in the corresponding business. In addition, the average of operations indicates an average of the cumulative number of operations per day for the corresponding operation performed by the user in the corresponding job when the operation name of the operation includes the access count.

算出された操作の平均は、例えば、業務名と操作名と対応付けて、図10に示した操作履歴テーブル280に記憶される。操作履歴テーブル280に、操作の平均が算出された業務名と操作名との組合せに対応するレコードが既に存在する場合は、そのレコードの「平均」が更新される。   The calculated average of operations is stored in the operation history table 280 shown in FIG. 10 in association with, for example, a business name and an operation name. If there is already a record in the operation history table 280 corresponding to the combination of the business name and operation name for which the average operation has been calculated, the “average” of the record is updated.

なお、端末装置Tiのユーザの操作履歴の更新処理は、操作情報が取得される度に実行されてもよく、また、1日や1週間ごとなど定期的に実行されることにしてもよい。   Note that the operation history update process of the user of the terminal device Ti may be executed every time operation information is acquired, or may be executed periodically such as every day or every week.

設定部1304は、端末装置Tiにおいて行われる操作の定義外スコアを設定する。ここで、定義外スコアの設定対象となる操作は、例えば、操作プロファイルテーブル230に設定された操作名の操作である。定義外スコアは、操作が定義外操作として行われたときの不正である可能性の高さを示す値である。定義外操作は、業務において行われるとあらかじめ想定された操作とは異なる操作である。   The setting unit 1304 sets an undefined score for operations performed in the terminal device Ti. Here, the operation for which the non-definition score is set is, for example, an operation with the operation name set in the operation profile table 230. The non-definition score is a value indicating a high possibility of fraud when an operation is performed as an undefined operation. An undefined operation is an operation that is different from an operation that is assumed to be performed in a business.

操作の定義外スコアは、端末装置Tiのユーザが実施する複数の業務において、その操作が行われる頻度に応じて増減する。換言すれば、ある業務において定義外操作として行われる操作の定義外スコアは、その操作が他の業務で行われる頻度に応じて増減する。したがって、ユーザが実施する複数の業務全体において、頻繁に行われる操作の定義外スコアは低くなる。   The score outside the definition of the operation is increased or decreased according to the frequency of the operation in a plurality of operations performed by the user of the terminal device Ti. In other words, the undefined score of an operation performed as an undefined operation in a certain business increases or decreases according to the frequency with which the operation is performed in another business. Accordingly, the undefined score of frequently performed operations is low in the entire plurality of tasks performed by the user.

ユーザが実施する複数の業務全体における各操作の頻度は、例えば、操作プロファイルテーブル230における各操作の出現頻度に相当する。すなわち、ある操作名の操作の出現頻度は、操作プロファイルテーブル230において、その操作名の操作が出現する回数である。   The frequency of each operation in the entire plurality of tasks performed by the user corresponds to, for example, the appearance frequency of each operation in the operation profile table 230. That is, the appearance frequency of an operation with a certain operation name is the number of times the operation with the operation name appears in the operation profile table 230.

また、操作の定義外スコアは、その操作が行われる業務と当該操作との組合せに応じて設定される重みに応じてさらに増減することにしてもよい。重みは、例えば、業務において、対応する操作についての不正が行われた際の影響度合いが大きいほど、高い値に設定される。例えば、操作の定義外スコアは、業務名と操作名との組合せに応じて操作プロファイルテーブル230に設定される重みに応じてさらに増減する。   In addition, the score outside the definition of the operation may be further increased or decreased according to the weight set according to the combination of the operation for which the operation is performed and the operation. For example, the weight is set to a higher value as the degree of influence when a fraud is performed on a corresponding operation in the business is larger. For example, the score outside the definition of the operation further increases or decreases according to the weight set in the operation profile table 230 according to the combination of the business name and the operation name.

より具体的には、例えば、設定部1304は、下記式(1)を用いて、各操作の定義外スコアを算出することにしてもよい。ただし、Naは、操作プロファイルテーブル230における操作aの出現頻度を示す。Wkaは、操作プロファイルテーブル230における業務kにおける操作aの重みを示す。 More specifically, for example, the setting unit 1304 may calculate an undefined score for each operation using the following formula (1). However, N a indicates the appearance frequency of the operation a in the operation profile table 230. W ka indicates the weight of the operation a in the operation k in the operation profile table 230.

Figure 2018081655
Figure 2018081655

算出された各操作の定義外スコアは、例えば、各操作の操作名(定義外操作名)、出現頻度Naおよび重み平均と対応付けて、図6に示した定義外操作テーブル240に記憶される。重み平均は、上記式(1)の重みの平均値に相当する。これにより、端末装置Tiにおいて行われる各操作の定義外スコアを設定することができる。 The calculated undefined score of each operation is stored in, for example, the undefined operation table 240 shown in FIG. 6 in association with the operation name (undefined operation name), appearance frequency N a, and weight average of each operation. The The weight average is equivalent to the average value of the weights in the above formula (1). Thereby, the undefined score of each operation performed in the terminal device Ti can be set.

判断部1305は、業務において不正操作が行われたか否かを判断する。具体的には、例えば、判断部1305は、操作情報が示す操作が適用業務に対応する操作ではない場合、その操作の第1の不正操作可能性の高さを示す値に基づいて、適用業務において不正操作が行われたか否かを判断する。   The determination unit 1305 determines whether an unauthorized operation has been performed in the business. Specifically, for example, if the operation indicated by the operation information is not an operation corresponding to the application, the determination unit 1305 applies the application based on a value indicating the first possibility of the unauthorized operation of the operation. It is determined whether or not an illegal operation has been performed.

ここで、第1の不正操作可能性の高さを示す値とは、端末装置Tiのユーザが行う複数の操作のうちの適用業務とは異なる他の業務で、操作情報が示す操作が行われる頻度に応じて増減する値である。また、第1の不正操作可能性の高さを示す値は、操作情報が示す操作が行われる業務と当該操作との組合せに応じて設定される重みに応じてさらに増減することにしてもよい。   Here, the value indicating the high possibility of the first unauthorized operation means that the operation indicated by the operation information is performed in another business different from the applied business among the plurality of operations performed by the user of the terminal device Ti. It is a value that increases or decreases according to the frequency. Further, the value indicating the high possibility of the first unauthorized operation may be further increased or decreased according to the weight set according to the combination of the operation for which the operation indicated by the operation information is performed and the operation. .

より詳細に説明すると、判断部1305は、例えば、定義外操作テーブル240から、操作情報が示す操作に対応する定義外スコアを取得する。操作情報が示す操作に対応する定義外スコアとは、操作情報が示す操作の操作名(例えば、操作名から「回数」を除いた残余の文字列)が、定義外操作名に設定された定義外操作情報の定義外スコアである。なお、「回数」の表記がない操作名の操作については、定義外スコアの取得対象外としてもよい。   More specifically, for example, the determination unit 1305 acquires an undefined score corresponding to the operation indicated by the operation information from the undefined operation table 240. The undefined score corresponding to the operation indicated by the operation information is a definition in which the operation name of the operation indicated by the operation information (for example, the remaining character string obtained by removing “number of times” from the operation name) is set as the undefined operation name. This is a score outside the definition of external operation information. It should be noted that operations with operation names that do not have the “number of times” notation may be excluded from acquisition targets of undefined scores.

ただし、操作情報が示す操作の操作名(例えば、操作名から「回数」を除いた残余の文字列)が、定義外操作名に設定された定義外操作情報が存在しない場合がある。この場合、判断部1305は、定義外操作テーブル240から、定義外操作名に「その他操作」が設定された定義外操作情報(例えば、定義外操作情報600−x)の定義外スコアを取得する。   However, the operation name of the operation indicated by the operation information (for example, the remaining character string obtained by removing “number of times” from the operation name) may not include the undefined operation information set in the undefined operation name. In this case, the determination unit 1305 acquires, from the undefined operation table 240, an undefined score of undefined operation information (for example, undefined operation information 600-x) in which “other operation” is set as the undefined operation name. .

つぎに、判断部1305は、取得した定義外スコアを、図11に示したスコアテーブル290内の適用業務に対応するスコア情報のスコアに加算する。ここで、適用業務に対応するスコア情報とは、適用業務の業務名が、業務名に設定されたスコア情報である。適用業務の業務名が設定されたスコア情報としては、複数の業務をまとめた業務の業務名の一部に、適用業務の業務名が含まれるものもある。また、適用業務に対応するスコア情報には、「業務全体」が業務名に設定されたスコア情報も含まれる。   Next, the determination unit 1305 adds the acquired undefined score to the score of the score information corresponding to the application in the score table 290 illustrated in FIG. Here, the score information corresponding to the applied business is score information in which the business name of the applied business is set to the business name. The score information in which the business name of the applied business is set includes the business name of the applied business as part of the business name of the business in which a plurality of business operations are combined. Further, the score information corresponding to the application business includes score information in which “business overall” is set as the business name.

そして、判断部1305は、スコアテーブル290内の適用業務に対応するスコア情報のスコアが、業務プロファイルテーブル220内の対応するブロック閾値を超えているか否かを判断する。ブロック閾値は、不正操作が行われたか否かを判断するために業務に応じて設定される閾値である。なお、業務プロファイルテーブル220内の対応するブロック閾値とは、スコア情報と業務名が一致する業務プロファイル情報のブロック閾値である。   Then, the determination unit 1305 determines whether the score of the score information corresponding to the application business in the score table 290 exceeds the corresponding block threshold value in the business profile table 220. The block threshold value is a threshold value that is set according to the job in order to determine whether or not an unauthorized operation has been performed. The corresponding block threshold value in the business profile table 220 is a block threshold value of business profile information whose score information and business name match.

ここで、適用業務に対応するスコア情報のスコアがブロック閾値を超える場合、判断部1305は、そのスコア情報の業務名の業務において不正操作が行われたと判断する。一方、適用業務に対応するスコア情報のスコアがブロック閾値以下の場合、判断部1305は、そのスコア情報の業務名の業務において不正操作が行われていないと判断する。   Here, when the score of the score information corresponding to the application job exceeds the block threshold, the determination unit 1305 determines that an unauthorized operation has been performed in the job having the job name of the score information. On the other hand, when the score of the score information corresponding to the application job is equal to or less than the block threshold, the determination unit 1305 determines that an unauthorized operation is not performed in the job with the job name of the score information.

また、判断部1305は、操作情報が示す操作が適用業務に対応する操作である場合、算出部1303によって算出された適用業務において該当操作が行われた頻度を、適用業務と該当操作との組合せに応じて設定される閾値と比較する。   In addition, when the operation indicated by the operation information is an operation corresponding to the application, the determination unit 1305 determines the frequency of the corresponding operation performed in the application calculated by the calculation unit 1303 as a combination of the application and the corresponding operation. It compares with the threshold value set according to.

より詳細に説明すると、判断部1305は、例えば、実操作テーブル270を参照して、適用業務の業務名と該当操作の操作名とに対応する累計を特定する。つぎに、判断部1305は、操作プロファイルテーブル230を参照して、適用業務の業務名と該当操作の操作名とに対応する閾値を特定する。   More specifically, the determining unit 1305 refers to the actual operation table 270, for example, and identifies the total corresponding to the business name of the application and the operation name of the corresponding operation. Next, the determination unit 1305 refers to the operation profile table 230 and specifies a threshold value corresponding to the business name of the application and the operation name of the corresponding operation.

そして、判断部1305は、特定した累計が、特定した閾値を超えているか否かを判断する。なお、累計が閾値を超えるとは、例えば、累計が、閾値が示す値より大きい、あるいは、閾値が示す範囲外となることに相当する。ここで、累計が閾値を超えていない場合、判断部1305は、適用業務において不正操作が行われていないと判断することにしてもよい。   Then, the determination unit 1305 determines whether the specified cumulative total exceeds the specified threshold value. The cumulative total exceeding the threshold corresponds to, for example, the cumulative total being larger than the value indicated by the threshold or out of the range indicated by the threshold. Here, when the cumulative total does not exceed the threshold value, the determination unit 1305 may determine that an unauthorized operation is not performed in the application.

一方、累計が閾値を超えている場合、判断部1305は、適用業務と該当操作との組合せに応じて設定される第2の不正操作可能性の高さを示す値に基づいて、適用業務において不正操作が行われたか否かを判断することにしてもよい。   On the other hand, when the cumulative total exceeds the threshold value, the determination unit 1305 determines whether the application operation is based on the value indicating the second high possibility of unauthorized operation set according to the combination of the application operation and the corresponding operation. It may be determined whether an unauthorized operation has been performed.

ここで、第2の不正操作可能性の高さを示す値は、適用業務において該当操作についての不正が行われた可能性の高さを示す値である。第2の不正操作可能性の高さを示す値は、例えば、該当操作についての不正が行われた際の影響度合いの大きさや、適用業務において該当操作が正常な範囲で行われていないときに不正であるといえる妥当性の高さに応じて設定される。   Here, the second value indicating the high possibility of the unauthorized operation is a value indicating the high possibility that the unauthorized operation has been performed in the application. The value indicating the second high possibility of unauthorized operation is, for example, the degree of influence when an unauthorized operation is performed on the corresponding operation, or when the corresponding operation is not performed in a normal range in the application. It is set according to the level of validity that can be said to be fraudulent.

具体的には、例えば、第2の不正操作可能性の高さを示す値は、操作プロファイルテーブル230内の適用業務と該当操作との組合せに対応する重みである。このため、判断部1305は、例えば、操作プロファイルテーブル230から、適用業務の業務名と該当操作の操作名との組合せに対応する重みを取得する。   Specifically, for example, the value indicating the second possibility of unauthorized operation is a weight corresponding to the combination of the application and the corresponding operation in the operation profile table 230. Therefore, for example, the determination unit 1305 acquires the weight corresponding to the combination of the business name of the application and the operation name of the corresponding operation from the operation profile table 230.

つぎに、判断部1305は、取得した重みを、スコアテーブル290内の適用業務に対応するスコア情報のスコアに加算する。すなわち、スコアテーブル290内の適用業務に対応するスコア情報のスコアは、上述した第1の不正操作可能性の高さを示す値(定義外スコア)と、第2の不正操作可能性の高さを示す値(重み)とを累計した累計値となる。   Next, the determination unit 1305 adds the acquired weight to the score of the score information corresponding to the application in the score table 290. That is, the score of the score information corresponding to the application in the score table 290 includes the above-described value indicating the high possibility of the first unauthorized operation (non-definition score) and the second high possibility of the unauthorized operation. Is a cumulative value obtained by accumulating values (weights) indicating.

そして、判断部1305は、スコアテーブル290内の適用業務に対応するスコア情報のスコアが、業務プロファイルテーブル220内の対応するブロック閾値を超えているか否かを判断する。ここで、適用業務に対応するスコア情報のスコアがブロック閾値を超える場合、判断部1305は、そのスコア情報の業務名の業務において不正操作が行われたと判断する。一方、適用業務に対応するスコア情報のスコアがブロック閾値以下の場合、判断部1305は、そのスコア情報の業務名の業務において不正操作が行われていないと判断する。   Then, the determination unit 1305 determines whether the score of the score information corresponding to the application business in the score table 290 exceeds the corresponding block threshold value in the business profile table 220. Here, when the score of the score information corresponding to the application job exceeds the block threshold, the determination unit 1305 determines that an unauthorized operation has been performed in the job having the job name of the score information. On the other hand, when the score of the score information corresponding to the application job is equal to or less than the block threshold, the determination unit 1305 determines that an unauthorized operation is not performed in the job with the job name of the score information.

制御処理部1306は、業務において不正操作が行われたと判断された場合、制御処理を実行する。制御処理の処理内容は、任意に設定可能である。具体的には、例えば、制御処理部1306は、適用業務において不正操作が行われたと判断された場合、端末装置Tiにおける操作を制限するように制御することにしてもよい。端末装置Tiにおける操作を制限するとは、例えば、端末装置TiからのサーバSV1〜SVmの一部または全部に対する操作を遮断することであってもよい。   The control processing unit 1306 executes control processing when it is determined that an unauthorized operation has been performed in the business. The processing content of the control processing can be arbitrarily set. Specifically, for example, when it is determined that an unauthorized operation has been performed in the application, the control processing unit 1306 may perform control so as to limit the operation on the terminal device Ti. Restricting the operation in the terminal device Ti may be, for example, blocking an operation on part or all of the servers SV1 to SVm from the terminal device Ti.

また、制御処理部1306は、適用業務において不正操作が行われたと判断された場合、アラートを出力することにしてもよい。アラートは、端末装置Tiにおいて不正操作が行われた可能性が高いことを示す警告である。アラートには、端末装置Tiを識別する情報や適用業務の業務名などが含まれる。アラートの出力先は、例えば、不正操作監視システム200の管理者のコンピュータであってもよく、また、メモリ302、ディスク305などの記憶装置であってもよい。   The control processing unit 1306 may output an alert when it is determined that an unauthorized operation has been performed in the application. The alert is a warning indicating that there is a high possibility that an unauthorized operation has been performed in the terminal device Ti. The alert includes information for identifying the terminal device Ti, a business name of an applied business, and the like. The output destination of the alert may be, for example, a computer of an administrator of the unauthorized operation monitoring system 200, or may be a storage device such as the memory 302 and the disk 305.

(不正操作の判断例)
つぎに、端末装置Tiにおいて行われる不正操作の判断例について説明する。 (Illegal operation judgment example)
Next, an example of determining an unauthorized operation performed in the terminal device Ti will be described.

図14および図15は、不正操作の判断例を示す説明図である。図14において、操作ログLGは、操作情報1401〜1403を含む。操作情報1401〜1403は、端末装置Tiにおいて、業務名「見積もり」の業務で順次行われた操作を示す情報である。   FIG. 14 and FIG. 15 are explanatory diagrams illustrating an example of determining an unauthorized operation. In FIG. 14, the operation log LG includes operation information 1401 to 1403. The operation information 1401 to 1403 is information indicating operations sequentially performed in the business with the business name “estimate” in the terminal device Ti.

まず、操作情報1401が取得された場合、実操作テーブル270内に実操作情報1411が新たなレコードとして記憶される。ただし、この時点では、ログイン時刻のみが記録されるため、実操作情報1411の累計は「−」である。操作情報1401が示す操作は、操作名が「システムA操作時間」であり、適用業務(業務名:見積もり)に対応する操作である。   First, when the operation information 1401 is acquired, the actual operation information 1411 is stored in the actual operation table 270 as a new record. However, since only the login time is recorded at this time, the cumulative total of the actual operation information 1411 is “−”. The operation indicated by the operation information 1401 has an operation name “System A operation time” and corresponds to an application (operation name: estimate).

この場合、判断部1305は、操作プロファイルテーブル230を参照して、実操作情報1411の累計「−」が、業務名「見積もり」と操作名「システムA操作時間」との組合せに対応する閾値「5〜20分」を超えているか否かを判断する。ここでは、閾値「5〜20分」を超えていないと判断される。したがって、スコアテーブル290内の適用業務に対応するスコア情報1421のスコアは「0」のままである。   In this case, the determination unit 1305 refers to the operation profile table 230, and the cumulative “−” of the actual operation information 1411 indicates that the threshold value “corresponding to the combination of the business name“ estimate ”and the operation name“ system A operation time ”is“ It is determined whether or not “5 to 20 minutes” is exceeded. Here, it is determined that the threshold value “5 to 20 minutes” is not exceeded. Accordingly, the score of the score information 1421 corresponding to the application in the score table 290 remains “0”.

つぎに、操作情報1402が取得された場合、実操作テーブル270内に実操作情報1412が新たなレコードとして記憶される。この時点では、実操作情報1412の累計は「1回」である。操作情報1402が示す操作は、操作名が「システムAアクセス回数」であり、適用業務(業務名:見積もり)に対応する操作である。   Next, when the operation information 1402 is acquired, the actual operation information 1412 is stored in the actual operation table 270 as a new record. At this time, the total of the actual operation information 1412 is “once”. The operation indicated by the operation information 1402 is an operation corresponding to the application (operation name: estimate) whose operation name is “system A access count”.

この場合、判断部1305は、操作プロファイルテーブル230を参照して、実操作情報1412の累計「1回」が、業務名「見積もり」と操作名「システムAアクセス回数」との組合せに対応する閾値「3〜10回」を超えているか否かを判断する。ここでは、閾値「3〜10回」を超えていないと判断される。したがって、スコアテーブル290内の適用業務に対応するスコア情報1421のスコアは「0」のままである。   In this case, the determination unit 1305 refers to the operation profile table 230, and the cumulative “one time” of the actual operation information 1412 is a threshold corresponding to the combination of the business name “estimate” and the operation name “system A access count”. It is determined whether or not “3 to 10 times” is exceeded. Here, it is determined that the threshold value “3 to 10 times” is not exceeded. Accordingly, the score of the score information 1421 corresponding to the application in the score table 290 remains “0”.

つぎに、操作情報1403が取得された場合、実操作テーブル270内の実操作情報1412の累計がインクリメントされる。この時点では、実操作情報1412の累計は「2回」である。操作情報1402が示す操作は、操作名が「システムAアクセス回数」であり、適用業務(業務名:見積もり)に対応する操作である。   Next, when the operation information 1403 is acquired, the cumulative total of the actual operation information 1412 in the actual operation table 270 is incremented. At this time, the total of the actual operation information 1412 is “twice”. The operation indicated by the operation information 1402 is an operation corresponding to the application (operation name: estimate) whose operation name is “system A access count”.

この場合、判断部1305は、操作プロファイルテーブル230を参照して、実操作情報1412の累計「2回」が、業務名「見積もり」と操作名「システムAアクセス回数」との組合せに対応する閾値「3〜10回」を超えているか否かを判断する。ここでは、閾値「3〜10回」を超えていないと判断される。したがって、スコアテーブル290内の適用業務に対応するスコア情報1421のスコアは「0」のままである。   In this case, the determination unit 1305 refers to the operation profile table 230, and the cumulative “twice” of the actual operation information 1412 is a threshold corresponding to the combination of the business name “estimate” and the operation name “system A access count”. It is determined whether or not “3 to 10 times” is exceeded. Here, it is determined that the threshold value “3 to 10 times” is not exceeded. Accordingly, the score of the score information 1421 corresponding to the application in the score table 290 remains “0”.

図15において、操作ログLGに、操作情報1404〜1406が追加されている。操作情報1404〜1406は、端末装置Tiにおいて、業務名「見積もり」の業務で順次行われた操作を示す情報である。   In FIG. 15, operation information 1404 to 1406 is added to the operation log LG. The operation information 1404 to 1406 is information indicating operations sequentially performed in the business with the business name “estimate” in the terminal device Ti.

まず、操作情報1404が取得された場合、実操作テーブル270内に実操作情報1413が新たなレコードとして記憶される。この時点では、実操作情報1413の累計は「1回」である。操作情報1404が示す操作は、操作名が「サーバCアクセス回数」であり、適用業務(業務名:見積もり)に対応する操作ではない。   First, when the operation information 1404 is acquired, the actual operation information 1413 is stored in the actual operation table 270 as a new record. At this time, the total of the actual operation information 1413 is “once”. The operation indicated by the operation information 1404 has an operation name “server C access count” and is not an operation corresponding to an application (operation name: estimate).

この場合、判断部1305は、定義外操作テーブル240から、操作情報が示す操作の操作名「サーバCアクセス回数」から「回数」を除いた残余の文字列「サーバCアクセス」に対応する定義外スコア「3」を取得する。そして、判断部1305は、取得した定義外スコアを、スコアテーブル290内の適用名「見積もり」に対応するスコア情報1421のスコアに加算する。   In this case, the determination unit 1305 excludes from the undefined operation table 240 an undefined corresponding to the remaining character string “server C access” obtained by removing “number of times” from the operation name “server C access count” of the operation indicated by the operation information. Score “3” is acquired. Then, the determination unit 1305 adds the acquired undefined score to the score of the score information 1421 corresponding to the application name “estimation” in the score table 290.

つぎに、判断部1305は、スコア情報1421のスコアが、業務プロファイルテーブル220内の業務名「見積もり」に対応するブロック閾値「8」を超えているか否かを判断する。この時点では、スコア情報1421のスコアは「3」である。したがって、判断部1305は、スコア情報1421のスコア「3」がブロック閾値「8」を超えていないと判断する。   Next, the determination unit 1305 determines whether or not the score of the score information 1421 exceeds the block threshold “8” corresponding to the business name “estimation” in the business profile table 220. At this time, the score of the score information 1421 is “3”. Therefore, the determination unit 1305 determines that the score “3” of the score information 1421 does not exceed the block threshold “8”.

つぎに、操作情報1405が取得された場合、実操作テーブル270内の実操作情報1413の累計がインクリメントされる。この時点では、実操作情報1413の累計は「2回」である。操作情報1405が示す操作は、操作名が「サーバCアクセス回数」であり、適用業務(業務名:見積もり)に対応する操作ではない。   Next, when the operation information 1405 is acquired, the total of the actual operation information 1413 in the actual operation table 270 is incremented. At this time, the total of the actual operation information 1413 is “twice”. The operation indicated by the operation information 1405 has an operation name “server C access count” and is not an operation corresponding to the application (operation name: estimate).

この場合、判断部1305は、定義外操作テーブル240から、操作情報が示す操作の操作名「サーバCアクセス回数」から「回数」を除いた残余の文字列「サーバCアクセス」に対応する定義外スコア「3」を取得する。そして、判断部1305は、取得した定義外スコアを、スコアテーブル290内の適用名「見積もり」に対応するスコア情報1421のスコアに加算する。   In this case, the determination unit 1305 excludes from the undefined operation table 240 an undefined corresponding to the remaining character string “server C access” obtained by removing “number of times” from the operation name “server C access count” of the operation indicated by the operation information. Score “3” is acquired. Then, the determination unit 1305 adds the acquired undefined score to the score of the score information 1421 corresponding to the application name “estimation” in the score table 290.

つぎに、判断部1305は、スコア情報1421のスコアが、業務プロファイルテーブル220内の業務名「見積もり」に対応するブロック閾値「8」を超えているか否かを判断する。この時点では、スコア情報1421のスコアは「6」である。したがって、判断部1305は、スコア情報1421のスコア「3」がブロック閾値「8」を超えていないと判断する。   Next, the determination unit 1305 determines whether or not the score of the score information 1421 exceeds the block threshold “8” corresponding to the business name “estimation” in the business profile table 220. At this time, the score of the score information 1421 is “6”. Therefore, the determination unit 1305 determines that the score “3” of the score information 1421 does not exceed the block threshold “8”.

つぎに、操作情報1406が取得された場合、実操作テーブル270内の実操作情報1413の累計がインクリメントされる。この時点では、実操作情報1413の累計は「3回」である。操作情報1406が示す操作は、操作名が「サーバCアクセス回数」であり、適用業務(業務名:見積もり)に対応する操作ではない。   Next, when the operation information 1406 is acquired, the total of the actual operation information 1413 in the actual operation table 270 is incremented. At this time, the total of the actual operation information 1413 is “3 times”. The operation indicated by the operation information 1406 has an operation name “server C access count” and is not an operation corresponding to an application (operation name: estimate).

この場合、判断部1305は、定義外操作テーブル240から、操作情報が示す操作の操作名「サーバCアクセス回数」から「回数」を除いた残余の文字列「サーバCアクセス」に対応する定義外スコア「3」を取得する。そして、判断部1305は、取得した定義外スコアを、スコアテーブル290内の適用名「見積もり」に対応するスコア情報1421のスコアに加算する。   In this case, the determination unit 1305 excludes from the undefined operation table 240 an undefined corresponding to the remaining character string “server C access” obtained by removing “number of times” from the operation name “server C access count” of the operation indicated by the operation information. Score “3” is acquired. Then, the determination unit 1305 adds the acquired undefined score to the score of the score information 1421 corresponding to the application name “estimation” in the score table 290.

つぎに、判断部1305は、スコア情報1421のスコアが、業務プロファイルテーブル220内の業務名「見積もり」に対応するブロック閾値「8」を超えているか否かを判断する。この時点では、スコア情報1421のスコアは「9」である。判断部1305は、スコア情報1421のスコアが「9」であるので、ブロック閾値「8」を超えていると判断する。そして、判断部1305は、業務名「見積もり」の業務において不正操作が行われたと判断する。   Next, the determination unit 1305 determines whether or not the score of the score information 1421 exceeds the block threshold “8” corresponding to the business name “estimation” in the business profile table 220. At this time, the score of the score information 1421 is “9”. Since the score of the score information 1421 is “9”, the determination unit 1305 determines that the block threshold “8” is exceeded. Then, the determination unit 1305 determines that an unauthorized operation has been performed in the business with the business name “estimate”.

このように、新たな操作情報が取得されると、その都度、不正操作の可能性を判断してスコア情報のスコアを更新することができ、端末装置Tiにおける不正操作をリアルタイムに検出することが可能となる。   Thus, whenever new operation information is acquired, the possibility of an unauthorized operation can be determined and the score information score can be updated, and an unauthorized operation in the terminal device Ti can be detected in real time. It becomes possible.

(不正操作監視装置101の各種処理手順)
つぎに、不正操作監視装置101の各種処理手順について説明する。まず、不正操作監視装置101のプロファイル作成処理手順について説明する。プロファイル作成処理は、例えば、端末装置Tiのユーザの一日の業務開始前に実行される。 (Various processing procedures of the unauthorized operation monitoring apparatus 101)
Next, various processing procedures of the unauthorized operation monitoring apparatus 101 will be described. First, the profile creation processing procedure of the unauthorized operation monitoring apparatus 101 will be described. The profile creation process is executed, for example, before the start of a day of work for the user of the terminal device Ti.

図16および図17は、不正操作監視装置101のプロファイル作成処理手順の一例を示すフローチャートである。図16のフローチャートにおいて、まず、不正操作監視装置101は、端末装置Tiから業務プロファイル情報の入力を受け付けたか否かを判断する(ステップS1601)。業務プロファイル情報は、端末装置Tiのユーザが担当する業務の業務名およびブロック閾値を含む。   16 and 17 are flowcharts illustrating an example of a profile creation processing procedure of the unauthorized operation monitoring apparatus 101. In the flowchart of FIG. 16, first, the unauthorized operation monitoring apparatus 101 determines whether or not input of business profile information has been received from the terminal apparatus Ti (step S1601). The business profile information includes a business name and a block threshold value of a business handled by the user of the terminal device Ti.

ここで、不正操作監視装置101は、業務プロファイル情報の入力を待つ(ステップS1601:No)。そして、不正操作監視装置101は、業務プロファイル情報の入力を受け付けた場合(ステップS1601:Yes)、入力された業務プロファイル情報を、業務プロファイルテーブル220に登録する(ステップS1602)。   Here, the unauthorized operation monitoring apparatus 101 waits for input of business profile information (step S1601: No). If the unauthorized operation monitoring apparatus 101 receives input of business profile information (step S1601: Yes), the input business profile information is registered in the business profile table 220 (step S1602).

つぎに、不正操作監視装置101は、操作履歴テーブル280を参照して、端末装置Tiのディスプレイ(不図示)に、端末装置Tiのユーザの操作履歴を表示する(ステップS1603)。そして、不正操作監視装置101は、端末装置Tiから操作プロファイル情報の入力を受け付けたか否かを判断する(ステップS1604)。操作プロファイル情報は、端末装置Tiのユーザが担当する業務の業務名、その業務において行われる操作の操作名、閾値および重みを含む。   Next, the unauthorized operation monitoring apparatus 101 refers to the operation history table 280 and displays the operation history of the user of the terminal device Ti on the display (not shown) of the terminal device Ti (step S1603). Then, the unauthorized operation monitoring apparatus 101 determines whether or not input of operation profile information has been received from the terminal apparatus Ti (step S1604). The operation profile information includes the business name of the business handled by the user of the terminal device Ti, the name of the operation performed in the business, the threshold value, and the weight.

ここで、不正操作監視装置101は、操作プロファイル情報の入力を待つ(ステップS1604:No)。そして、不正操作監視装置101は、操作プロファイル情報の入力を受け付けた場合(ステップS1604:Yes)、入力された操作プロファイル情報を、操作プロファイルテーブル230に登録する(ステップS1605)。   Here, the unauthorized operation monitoring apparatus 101 waits for input of operation profile information (step S1604: No). When the unauthorized operation monitoring apparatus 101 receives input of operation profile information (step S1604: Yes), it registers the input operation profile information in the operation profile table 230 (step S1605).

つぎに、不正操作監視装置101は、操作プロファイルテーブル230を参照して、操作プロファイルテーブル230に設定された各操作の出現頻度および重み平均を算出する(ステップS1606)。そして、不正操作監視装置101は、算出した各操作の出現頻度および重み平均に基づいて、上記式(1)を用いて、各操作の定義外スコアを算出する(ステップS1607)。   Next, the unauthorized operation monitoring apparatus 101 refers to the operation profile table 230 and calculates the appearance frequency and the weighted average of each operation set in the operation profile table 230 (step S1606). The unauthorized operation monitoring apparatus 101 calculates an undefined score for each operation using the above equation (1) based on the calculated appearance frequency and weighted average of each operation (step S1607).

つぎに、不正操作監視装置101は、算出した各操作の定義外スコアを、各操作の操作名(定義外操作名)、出現頻度および重み平均と対応付けて、定義外操作テーブル240に登録して(ステップS1608)、図17に示すステップS1701に移行する。   Next, the unauthorized operation monitoring apparatus 101 registers the calculated undefined score of each operation in the undefined operation table 240 in association with the operation name (undefined operation name), appearance frequency, and weight average of each operation. (Step S1608), the process proceeds to step S1701 shown in FIG.

図17のフローチャートにおいて、まず、不正操作監視装置101は、定義外操作テーブル240を参照して、端末装置Tiのディスプレイ(不図示)に定義外操作確認画面1200を表示する(ステップS1701)。そして、不正操作監視装置101は、定義外操作確認画面1200において定義外操作の内容が変更されたか否かを判断する(ステップS1702)。   In the flowchart of FIG. 17, the unauthorized operation monitoring apparatus 101 first displays the undefined operation confirmation screen 1200 on the display (not shown) of the terminal device Ti with reference to the undefined operation table 240 (step S1701). Then, the unauthorized operation monitoring apparatus 101 determines whether or not the content of the undefined operation has been changed on the undefined operation confirmation screen 1200 (step S1702).

ここで、定義外操作の内容が変更されていない場合(ステップS1702:No)、不正操作監視装置101は、ステップS1704に移行する。一方、定義外操作の内容が変更された場合(ステップS1702:Yes)、不正操作監視装置101は、変更された定義外操作の内容に基づいて、定義外操作テーブル240を更新する(ステップS1703)。   If the contents of the undefined operation have not been changed (step S1702: No), the unauthorized operation monitoring apparatus 101 proceeds to step S1704. On the other hand, when the contents of the undefined operation are changed (step S1702: Yes), the unauthorized operation monitoring apparatus 101 updates the undefined operation table 240 based on the changed contents of the undefined operation (step S1703). .

つぎに、不正操作監視装置101は、端末装置Tiのユーザのスケジュールの入力を受け付けたか否かを判断する(ステップS1704)。スケジュールは、端末装置Tiのユーザが行う各業務の業務名、開始時刻および終了時刻を含む。ここで、不正操作監視装置101は、スケジュールの入力を待つ(ステップS1704:No)。   Next, the unauthorized operation monitoring apparatus 101 determines whether or not the user's schedule input of the terminal apparatus Ti has been accepted (step S1704). The schedule includes a work name, a start time, and an end time of each work performed by the user of the terminal device Ti. Here, the unauthorized operation monitoring apparatus 101 waits for an input of a schedule (step S1704: No).

そして、不正操作監視装置101は、スケジュールの入力を受け付けた場合(ステップS1704:Yes)、入力されたスケジュールをスケジュールプロファイルテーブル250に登録して(ステップS1705)、本フローチャートによる一連の処理を終了する。これにより、端末装置Tiのユーザの各種プロファイルを作成することができる。   When the unauthorized operation monitoring apparatus 101 receives an input of a schedule (step S1704: YES), the unauthorized operation monitoring apparatus 101 registers the input schedule in the schedule profile table 250 (step S1705), and ends a series of processes according to this flowchart. . Thereby, various profiles of the user of the terminal device Ti can be created.

(不正操作監視装置101の不正操作監視処理手順)
つぎに、不正操作監視装置101の不正操作監視処理手順について説明する。 (Unauthorized operation monitoring processing procedure of the unauthorized operation monitoring apparatus 101)
Next, an unauthorized operation monitoring process procedure of the unauthorized operation monitoring apparatus 101 will be described.

図18および図19は、不正操作監視装置101の不正操作監視処理手順の一例を示すフローチャートである。図18のフローチャートにおいて、まず、不正操作監視装置101は、端末装置Tiにおいて行われた操作を示す操作情報を取得したか否かを判断する(ステップS1801)。   18 and 19 are flowcharts illustrating an example of the unauthorized operation monitoring processing procedure of the unauthorized operation monitoring apparatus 101. In the flowchart of FIG. 18, first, the unauthorized operation monitoring apparatus 101 determines whether operation information indicating an operation performed on the terminal apparatus Ti has been acquired (step S1801).

ここで、不正操作監視装置101は、操作情報を取得するのを待つ(ステップS1801:No)。そして、不正操作監視装置101は、操作情報を取得した場合(ステップS1801:Yes)、スケジュールプロファイルテーブル250にスケジュールが登録済みか否かを判断する(ステップS1802)。   Here, the unauthorized operation monitoring apparatus 101 waits for acquisition of operation information (step S1801: No). Then, when the operation information is acquired (step S1801: Yes), the unauthorized operation monitoring apparatus 101 determines whether the schedule is registered in the schedule profile table 250 (step S1802).

ここで、スケジュールが未登録の場合(ステップS1802:No)、不正操作監視装置101は、端末装置Tiのユーザにプロファイル作成要求を通知して(ステップS1803)、本フローチャートによる一連の処理を終了する。   Here, when the schedule is not registered (step S1802: No), the unauthorized operation monitoring apparatus 101 notifies the user of the terminal apparatus Ti of a profile creation request (step S1803), and ends the series of processes according to this flowchart. .

一方、スケジュールが登録済みの場合(ステップS1802:Yes)、不正操作監視装置101は、スケジュールプロファイルテーブル250を参照して、取得した操作情報に含まれる操作時刻が、開始時刻から終了時刻までの時間帯に含まれる適用業務の業務名を特定する(ステップS1804)。   On the other hand, when the schedule has been registered (step S1802: Yes), the unauthorized operation monitoring apparatus 101 refers to the schedule profile table 250, and the operation time included in the acquired operation information is the time from the start time to the end time. The business name of the applied business included in the band is specified (step S1804).

そして、不正操作監視装置101は、特定した適用業務の業務名を適用プロファイルテーブル260に設定する(ステップS1805)。つぎに、不正操作監視装置101は、操作履歴更新処理を実行して(ステップS1806)、図19に示すステップS1901に移行する。なお、操作履歴更新処理の具体的な処理手順については、図20を用いて後述する。   Then, the unauthorized operation monitoring apparatus 101 sets the business name of the identified application business in the application profile table 260 (step S1805). Next, the unauthorized operation monitoring apparatus 101 executes an operation history update process (step S1806), and proceeds to step S1901 shown in FIG. Note that a specific processing procedure of the operation history update process will be described later with reference to FIG.

図19のフローチャートにおいて、まず、不正操作監視装置101は、操作プロファイルテーブル230を参照して、取得した操作情報が示す操作が適用業務に対応する操作であるか否かを判定する(ステップS1901)。   In the flowchart of FIG. 19, first, the unauthorized operation monitoring apparatus 101 refers to the operation profile table 230 to determine whether or not the operation indicated by the acquired operation information is an operation corresponding to an application (step S1901). .

ここで、適用業務に対応する操作である場合(ステップS1901:Yes)、不正操作監視装置101は、適用業務において操作情報が示す操作が行われた頻度(累計)を算出して実操作テーブル270を更新する(ステップS1902)。そして、不正操作監視装置101は、実操作テーブル270を参照して、適用業務の業務名と操作情報が示す操作の操作名とに対応する累計が、操作プロファイルテーブル230内の対応する閾値を超えているか否かを判断する(ステップS1903)。   If the operation corresponds to the application (step S1901: Yes), the unauthorized operation monitoring apparatus 101 calculates the frequency (total) of operations indicated by the operation information in the application and calculates the actual operation table 270. Is updated (step S1902). Then, the unauthorized operation monitoring apparatus 101 refers to the actual operation table 270, and the total corresponding to the application name of the application and the operation name of the operation indicated by the operation information exceeds the corresponding threshold value in the operation profile table 230. It is determined whether or not (step S1903).

ここで、累計が閾値を超えていない場合(ステップS1903:No)、不正操作監視装置101は、本フローチャートによる一連の処理を終了する。一方、累計が閾値を超えている場合(ステップS1903:Yes)、不正操作監視装置101は、操作プロファイルテーブル230から、適用業務の業務名と操作情報が示す操作名との組合せに対応する重みを取得する(ステップS1904)。   Here, when the cumulative total does not exceed the threshold value (step S1903: No), the unauthorized operation monitoring apparatus 101 ends the series of processes according to this flowchart. On the other hand, when the cumulative total exceeds the threshold value (step S1903: Yes), the unauthorized operation monitoring apparatus 101 sets the weight corresponding to the combination of the business name of the applied business and the operation name indicated by the operation information from the operation profile table 230. Obtain (step S1904).

そして、不正操作監視装置101は、取得した重みを、スコアテーブル290内の適用業務に対応するスコア情報のスコアに加算して(ステップS1905)、ステップS1908に移行する。   The unauthorized operation monitoring apparatus 101 adds the acquired weight to the score of the score information corresponding to the application in the score table 290 (step S1905), and proceeds to step S1908.

また、ステップS1901において、適用業務に対応する操作ではない場合(ステップS1901:No)、不正操作監視装置101は、定義外操作テーブル240から、操作情報が示す操作に対応する定義外スコアを取得する(ステップS1906)。そして、不正操作監視装置101は、取得した定義外スコアを、スコアテーブル290内の適用業務に対応するスコア情報のスコアに加算する(ステップS1907)。   In step S1901, if the operation does not correspond to the application (step S1901: No), the unauthorized operation monitoring apparatus 101 acquires an undefined score corresponding to the operation indicated by the operation information from the undefined operation table 240. (Step S1906). Then, the unauthorized operation monitoring apparatus 101 adds the acquired non-definition score to the score of the score information corresponding to the application in the score table 290 (step S1907).

そして、不正操作監視装置101は、スコアテーブル290内の適用業務に対応するスコア情報のスコアが、業務プロファイルテーブル220内の対応するブロック閾値を超えているか否かを判断する(ステップS1908)。   Then, the unauthorized operation monitoring apparatus 101 determines whether the score of the score information corresponding to the application business in the score table 290 exceeds the corresponding block threshold in the business profile table 220 (step S1908).

ここで、スコアがブロック閾値を超えていない場合(ステップS1908:No)、不正操作監視装置101は、本フローチャートによる一連の処理を終了する。一方、スコアがブロック閾値を超えている場合(ステップS1908:Yes)、不正操作監視装置101は、端末装置Tiにおける操作を制限する制御処理を実行して(ステップS1909)、本フローチャートによる一連の処理を終了する。   Here, when the score does not exceed the block threshold (step S1908: No), the unauthorized operation monitoring apparatus 101 ends the series of processes according to this flowchart. On the other hand, when the score exceeds the block threshold (step S1908: Yes), the unauthorized operation monitoring apparatus 101 executes a control process for restricting the operation in the terminal apparatus Ti (step S1909), and a series of processes according to this flowchart. Exit.

これにより、端末装置Tiにおいて行われた操作をリアルタイムに監視して、端末装置Tiにおいて不正操作が行われたと判断できる状態となったら、その時点で端末装置Tiにおける操作を制限することができる。   Thereby, the operation performed in the terminal device Ti can be monitored in real time, and when it can be determined that the unauthorized operation is performed in the terminal device Ti, the operation in the terminal device Ti can be restricted at that time.

つぎに、図18に示したステップS1806の操作履歴更新処理の具体的な処理手順について説明する。   Next, a specific processing procedure of the operation history update process in step S1806 shown in FIG. 18 will be described.

図20は、操作履歴更新処理の具体的処理手順の一例を示すフローチャートである。図20のフローチャートにおいて、まず、不正操作監視装置101は、適用業務の業務名と対応付けて、取得した操作情報を操作履歴テーブル280に保存する(ステップS2001)。   FIG. 20 is a flowchart illustrating an example of a specific processing procedure of the operation history update process. In the flowchart of FIG. 20, first, the unauthorized operation monitoring apparatus 101 stores the acquired operation information in the operation history table 280 in association with the application name of the application (step S2001).

つぎに、不正操作監視装置101は、適用業務の業務名と、取得した操作情報が示す操作の操作名の組合せを特定する(ステップS2002)。そして、不正操作監視装置101は、操作履歴テーブル280から、特定した業務名と操作名との組合せに対応する過去の一定期間T分の操作情報を取得する(ステップS2003)。   Next, the unauthorized operation monitoring apparatus 101 identifies a combination of the application name of the application and the operation name of the operation indicated by the acquired operation information (step S2002). Then, the unauthorized operation monitoring apparatus 101 acquires operation information for a predetermined period T corresponding to the combination of the specified business name and operation name from the operation history table 280 (step S2003).

つぎに、不正操作監視装置101は、取得した操作情報に基づいて、適用業務における操作情報が示す操作の日ごとの累計時間または累計回数の平均を算出する(ステップS2004)。そして、不正操作監視装置101は、適用業務の業務名と、操作情報が示す操作の操作名との組合せに対応付けて、算出した平均を操作履歴テーブル280に登録して(ステップS2005)、本フローチャートによる一連の処理を終了する。   Next, based on the acquired operation information, the unauthorized operation monitoring apparatus 101 calculates the accumulated time or the average number of operations for each day indicated by the operation information in the application (step S2004). The unauthorized operation monitoring apparatus 101 registers the calculated average in the operation history table 280 in association with the combination of the application name of the application and the operation name indicated by the operation information (step S2005). A series of processes according to the flowchart ends.

これにより、端末装置Tiにおいて行われた操作情報を取得する度に、操作履歴テーブル280の記憶内容を更新することができる。   Thereby, whenever the operation information performed in the terminal device Ti is acquired, the storage content of the operation history table 280 can be updated.

以上説明したように、実施の形態にかかる不正操作監視装置101によれば、端末装置Tiにおいて行われた操作を示す操作情報を取得することができる。また、不正操作監視装置101によれば、スケジュールプロファイルテーブル250を参照して、取得した操作情報に含まれる操作時刻から、操作情報が示す操作が行われた適用業務を特定することができる。これにより、端末装置Tiにおいて操作情報が示す操作が行われたときに、端末装置Tiのユーザが実施していた業務(適用業務)を特定することができる。   As described above, according to the unauthorized operation monitoring apparatus 101 according to the embodiment, operation information indicating an operation performed on the terminal device Ti can be acquired. Further, according to the unauthorized operation monitoring apparatus 101, it is possible to identify the application for which the operation indicated by the operation information has been performed from the operation time included in the acquired operation information with reference to the schedule profile table 250. Thereby, when the operation indicated by the operation information is performed in the terminal device Ti, it is possible to specify the task (applied task) performed by the user of the terminal device Ti.

また、不正操作監視装置101によれば、操作プロファイルテーブル230を参照して、取得した操作情報が示す操作が適用業務に対応する操作であるか否かを判定することができる。これにより、端末装置Tiにおいて行われた操作が、適用業務において行われると想定された操作とは異なる定義外操作であるか否かを判定することができる。   Further, the unauthorized operation monitoring apparatus 101 can determine whether or not the operation indicated by the acquired operation information is an operation corresponding to the application, with reference to the operation profile table 230. Thereby, it is possible to determine whether or not the operation performed in the terminal device Ti is an undefined operation different from the operation assumed to be performed in the application.

また、不正操作監視装置101によれば、適用業務に対応する操作ではない場合、定義外操作テーブル240を参照して、操作情報が示す操作に対応する定義外スコアに基づいて、適用業務において不正操作が行われたか否かを判断することができる。定義外スコアは、端末装置Tiのユーザが行う複数の業務のうちの適用業務とは異なる他の業務で操作情報が示す操作が行われる頻度に応じて増減する不正操作可能性の高さを示す値である。   Further, according to the unauthorized operation monitoring apparatus 101, if the operation does not correspond to the application, the unauthorized operation is illegal in the application based on the undefined score corresponding to the operation indicated by the operation information with reference to the undefined operation table 240. It can be determined whether or not an operation has been performed. The non-definition score indicates the level of possibility of unauthorized operation that increases or decreases depending on the frequency of operations indicated by the operation information in other tasks different from the applied tasks among the plurality of tasks performed by the user of the terminal device Ti. Value.

これにより、操作情報が示す操作が様々な業務で行われる業務横断数の多い操作であれば、適用業務において定義外操作として行われたとしても正常な操作である可能性が高いとして、不正操作であると判断される確度を低くすることができる。   As a result, if the operation indicated by the operation information is an operation with a large number of cross-business operations performed in various business operations, it is likely that the operation is a normal operation even if it is performed as an undefined operation in the applied business. It is possible to reduce the accuracy with which it is determined that.

また、不正操作監視装置101によれば、適用業務とは異なる他の業務と操作情報が示す操作との組合せに応じて設定される重み(第2の不正操作可能性の高さを示す値)に応じてさらに増減する定義外スコアに基づいて、適用業務において不正操作が行われたか否かを判断することができる。これにより、例えば、他の業務において不正が行われた際の影響度合いが大きい操作が定義外操作として行われたときは、不正操作であると判断される確度を高くすることができる。   Further, according to the unauthorized operation monitoring apparatus 101, a weight (a value indicating the second possibility of unauthorized operation) set in accordance with a combination of another business different from the applied business and the operation indicated by the operation information Based on the undefined score that further increases / decreases in response to this, it is possible to determine whether an unauthorized operation has been performed in the application. As a result, for example, when an operation having a large influence when fraud is performed in another business is performed as an undefined operation, it is possible to increase the accuracy with which the fraudulent operation is determined.

また、不正操作監視装置101によれば、適用業務に対応する操作である場合には、操作情報が示す操作が適用業務において行われた頻度を算出することができる。また、不正操作監視装置101によれば、操作プロファイルテーブル230を参照して、算出した頻度が、適用業務と操作情報が示す操作との組合せに応じて設定される閾値を超えるか否かを判断することができる。そして、不正操作監視装置101によれば、算出した頻度が閾値を超える場合に、適用業務と操作情報が示す操作との組合せに応じて設定される重み(第2の不正操作可能性の高さを示す値)に基づいて、適用業務において不正操作が行われたか否かを判断することができる。   Further, according to the unauthorized operation monitoring apparatus 101, in the case of an operation corresponding to an application, the frequency at which the operation indicated by the operation information is performed in the application can be calculated. Further, the unauthorized operation monitoring apparatus 101 refers to the operation profile table 230 to determine whether the calculated frequency exceeds a threshold set according to the combination of the application and the operation indicated by the operation information. can do. Then, according to the unauthorized operation monitoring apparatus 101, when the calculated frequency exceeds the threshold value, the weight set according to the combination of the application and the operation indicated by the operation information (second high possibility of unauthorized operation). It is possible to determine whether or not an unauthorized operation has been performed in the application.

これにより、適用業務において操作情報が示す操作が正常な範囲で行われていないとき、さらには、その操作の不正が行われた際の影響度合いが大きいときは、不正操作であると判断される確度を高くすることができる。   As a result, when the operation indicated by the operation information in the application is not performed within the normal range, and when the degree of influence when the operation is illegal is large, it is determined that the operation is an unauthorized operation. Accuracy can be increased.

また、不正操作監視装置101によれば、適用業務について、定義外スコアと重みとを累計した累計値が、適用業務に応じて設定されるブロック閾値を超える場合に、適用業務において不正操作が行われたと判断することができる。これにより、正常な操作が不正であると扱われるのを防ぎつつ、あらかじめ想定した範囲内で行われていない操作を検出して不正操作可能性を高めることができる。   Also, according to the unauthorized operation monitoring apparatus 101, when the cumulative value of the undefined score and the weight for the application is greater than the block threshold set according to the application, the unauthorized operation is performed in the application. It can be judged that it was broken. Accordingly, it is possible to increase the possibility of an unauthorized operation by detecting an operation that has not been performed within a previously assumed range while preventing a normal operation from being treated as an unauthorized operation.

また、不正操作監視装置101によれば、適用業務において不正操作が行われたと判断した場合、操作情報が示す操作が行われた端末装置Tiにおける操作を制限することができる。これにより、マルウェア感染して外部から容易に操作可能となった端末装置Tiから社内システム等への操作を遮断して、情報漏洩等の被害を抑えることができる。   Further, according to the unauthorized operation monitoring device 101, when it is determined that an unauthorized operation has been performed in the application, it is possible to limit operations in the terminal device Ti where the operation indicated by the operation information has been performed. As a result, it is possible to block damage to information leakage and the like by blocking the operation from the terminal device Ti, which has been infected with malware and easily operated from the outside, to the in-house system or the like.

また、不正操作監視装置101によれば、適用業務において不正操作が行われたと判断した場合、アラートを出力することができる。これにより、不正操作監視システム200の管理者等に対して端末装置Tiにおいて不正操作が行われた可能性が高いことを報知することができ、マルウェア感染した端末装置Tiへの迅速な対応を可能にすることができる。   Further, the unauthorized operation monitoring apparatus 101 can output an alert when it is determined that an unauthorized operation has been performed in the application. Thereby, it is possible to notify the administrator of the unauthorized operation monitoring system 200 that there is a high possibility that the unauthorized operation has been performed in the terminal device Ti, and it is possible to quickly cope with the malware-infected terminal device Ti. Can be.

これらのことから、実施の形態にかかる不正操作監視装置、不正操作監視方法、不正操作監視プログラム、および不正操作監視システムによれば、正常な操作が不正の可能性がある操作として扱われるのを防いで、不正操作の検出精度の向上を図ることができる。   For these reasons, according to the unauthorized operation monitoring device, the unauthorized operation monitoring method, the unauthorized operation monitoring program, and the unauthorized operation monitoring system according to the embodiment, a normal operation is treated as a potentially unauthorized operation. Therefore, the detection accuracy of unauthorized operations can be improved.

なお、本実施の形態で説明した不正操作監視方法は、あらかじめ用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。本不正操作監視プログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO(Magneto−Optical disk)、DVD(Digital Versatile Disk)、USB(Universal Serial Bus)メモリ等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また、本不正操作監視プログラムは、インターネット等のネットワークを介して配布してもよい。   The unauthorized operation monitoring method described in this embodiment can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. The unauthorized operation monitoring program is recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM, an MO (Magneto-Optical disk), a DVD (Digital Versatile Disk), or a USB (Universal Serial Bus) memory. This is executed by being read from the recording medium by the computer. The unauthorized operation monitoring program may be distributed via a network such as the Internet.

上述した実施の形態に関し、さらに以下の付記を開示する。   The following additional notes are disclosed with respect to the embodiment described above.

(付記1)情報処理システムに対する操作の種類を示す操作種類と操作時刻とを含む操作履歴情報を取得する取得部と、
前記操作種類の1以上の組み合わせである操作グループと時間との対応を示すスケジュール情報を記憶する記憶部と、
前記操作履歴情報の操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれていない場合、特定の時間の前記スケジュール情報に含まれる前記操作種類の頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する制御部と、
を有することを特徴とする不正操作監視装置。 (Supplementary Note 1) An acquisition unit that acquires operation history information including an operation type indicating an operation type for the information processing system and an operation time;
A storage unit that stores schedule information indicating a correspondence between an operation group that is one or more combinations of the operation types and time;
If the operation group corresponding to the operation time of the operation history information does not include the operation type corresponding to the operation time, the fraud increases or decreases depending on the frequency of the operation type included in the schedule information at a specific time A control unit that determines whether an unauthorized operation has been performed based on a value indicating a high degree of operation possibility;
An unauthorized operation monitoring device comprising:

(付記2)前記不正操作可能性の高さを示す値は、前記操作時刻に対応する操作グループとは異なる他の操作グループと前記操作履歴情報の操作種類との組合せに応じて設定される重みに応じてさらに増減する、ことを特徴とする付記1に記載の不正操作監視装置。 (Supplementary note 2) The value indicating the high possibility of unauthorized operation is a weight set according to a combination of another operation group different from the operation group corresponding to the operation time and the operation type of the operation history information The unauthorized operation monitoring device according to appendix 1, wherein the number is further increased or decreased in accordance with.

(付記3)前記制御部は、
前記操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれる場合には、前記操作種類の操作が前記操作グループに対応する時間において行われた頻度を算出し、
算出した前記頻度が閾値を超える場合に、前記操作グループと前記操作種類との組合せに応じて設定される第2の不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する、
ことを特徴とする付記1または2に記載の不正操作監視装置。 (Appendix 3) The control unit
When the operation group corresponding to the operation time includes the operation type corresponding to the operation time, the frequency of the operation of the operation type performed in the time corresponding to the operation group is calculated,
If the calculated frequency exceeds a threshold value, whether an unauthorized operation has been performed based on a value indicating the second highest possibility of unauthorized operation set according to the combination of the operation group and the operation type Determine whether or not
The unauthorized operation monitoring device according to appendix 1 or 2, characterized by:

(付記4)前記制御部は、
前記不正操作可能性の高さを示す値と、前記第2の不正操作可能性の高さを示す値とを累計した累計値が、前記操作グループに応じて設定される閾値を超える場合に、不正操作が行われたと判断する、
ことを特徴とする付記3に記載の不正操作監視装置。 (Appendix 4) The control unit
When a cumulative value obtained by accumulating the value indicating the high possibility of unauthorized operation and the value indicating the second high possibility of unauthorized operation exceeds a threshold set according to the operation group, Determine that an unauthorized operation has been performed,
The unauthorized operation monitoring device according to Supplementary Note 3, wherein

(付記5)前記制御部は、
不正操作が行われたと判断した場合、前記操作履歴情報の操作が行われた端末装置における操作を制限する、ことを特徴とする付記1〜4のいずれか一つに記載の不正操作監視装置。 (Supplementary Note 5) The control unit
The unauthorized operation monitoring device according to any one of appendices 1 to 4, wherein when it is determined that an unauthorized operation has been performed, operations on the terminal device on which the operation history information has been operated are restricted.

(付記6)不正操作が行われたと判断した場合、アラートを出力する、ことを特徴とする付記1〜5のいずれか一つに記載の不正操作監視装置。 (Appendix 6) The unauthorized operation monitoring device according to any one of appendices 1 to 5, wherein an alert is output when it is determined that an unauthorized operation has been performed.

(付記7)情報処理システムに対する操作の種類を示す操作種類と操作時刻とを含む操作履歴情報を取得し、
前記操作種類の1以上の組み合わせである操作グループと時間との対応を示すスケジュール情報を記憶する記憶部を参照して、前記操作履歴情報の操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれていない場合に、特定の時間の前記スケジュール情報に含まれる前記操作種類の頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する、
処理をコンピュータが実行することを特徴とする不正操作監視方法。 (Supplementary Note 7) Acquire operation history information including an operation type indicating an operation type for the information processing system and an operation time,
Referring to a storage unit that stores schedule information indicating a correspondence between an operation group that is one or more combinations of the operation types and time, the operation group corresponding to the operation time of the operation history information corresponds to the operation time When the operation type to be performed is not included, the unauthorized operation is performed based on a value indicating the level of possibility of the unauthorized operation that increases or decreases according to the frequency of the operation type included in the schedule information at a specific time. To determine whether or not
An unauthorized operation monitoring method, wherein a computer executes a process.

(付記8)情報処理システムに対する操作の種類を示す操作種類と操作時刻とを含む操作履歴情報を取得し、
前記操作種類の1以上の組み合わせである操作グループと時間との対応を示すスケジュール情報を記憶する記憶部を参照して、前記操作履歴情報の操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれていない場合に、特定の時間の前記スケジュール情報に含まれる前記操作種類の頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する、
処理をコンピュータに実行させることを特徴とする不正操作監視プログラム。 (Supplementary Note 8) Acquire operation history information including an operation type indicating an operation type for the information processing system and an operation time,
Referring to a storage unit that stores schedule information indicating a correspondence between an operation group that is one or more combinations of the operation types and time, the operation group corresponding to the operation time of the operation history information corresponds to the operation time When the operation type to be performed is not included, the unauthorized operation is performed based on a value indicating the level of possibility of the unauthorized operation that increases or decreases according to the frequency of the operation type included in the schedule information at a specific time. To determine whether or not
An unauthorized operation monitoring program for causing a computer to execute processing.

(付記9)端末装置と、
情報処理システムに対する前記端末装置上の操作の種類を示す操作種類と操作時刻とを含む操作履歴情報を取得し、前記操作種類の1以上の組み合わせである操作グループと時間との対応を示すスケジュール情報を記憶する記憶部を参照して、前記操作履歴情報の操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれていない場合に、特定の時間の前記スケジュール情報に含まれる前記操作種類の頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する不正操作監視装置と、
を含むことを特徴とする不正操作監視システム。 (Supplementary note 9) a terminal device;
Operation history information including an operation type indicating an operation type on the terminal device for the information processing system and an operation time is acquired, and schedule information indicating a correspondence between an operation group and one or more combinations of the operation types Is included in the schedule information at a specific time when the operation group corresponding to the operation time of the operation history information does not include the operation type corresponding to the operation time. An unauthorized operation monitoring device that determines whether or not an unauthorized operation has been performed based on a value indicating a high possibility of an unauthorized operation that increases or decreases according to the frequency of the operation type;
An unauthorized operation monitoring system comprising:

101 不正操作監視装置
102 T1〜Tn,Ti 端末装置
110 操作情報
120 対応情報
200 不正操作監視システム
220 業務プロファイルテーブル
230 操作プロファイルテーブル
240 定義外操作テーブル
250 スケジュールプロファイルテーブル
260 適用プロファイルテーブル
270 実操作テーブル
280 操作履歴テーブル
290 スコアテーブル
1200 定義外操作確認画面
1301 取得部
1302 判定部
1303 算出部
1304 設定部
1305 判断部
1306 制御処理部 101 Unauthorized Operation Monitoring Device 102 T1 to Tn, Ti Terminal Device 110 Operation Information 120 Corresponding Information 200 Unauthorized Operation Monitoring System 220 Business Profile Table 230 Operation Profile Table 240 Undefined Operation Table 250 Schedule Profile Table 260 Applied Profile Table 270 Actual Operation Table 280 Operation history table 290 Score table 1200 Undefined operation confirmation screen 1301 Acquisition unit 1302 Determination unit 1303 Calculation unit 1304 Setting unit 1305 Determination unit 1306 Control processing unit

Claims (7)

情報処理システムに対する操作の種類を示す操作種類と操作時刻とを含む操作履歴情報を取得する取得部と、
前記操作種類の1以上の組み合わせである操作グループと時間との対応を示すスケジュール情報を記憶する記憶部と、
前記操作履歴情報の操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれていない場合、特定の時間の前記スケジュール情報に含まれる前記操作種類の頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する制御部と、
を有することを特徴とする不正操作監視装置。 An acquisition unit that acquires operation history information including an operation type indicating an operation type for the information processing system and an operation time;
A storage unit that stores schedule information indicating a correspondence between an operation group that is one or more combinations of the operation types and time;
If the operation group corresponding to the operation time of the operation history information does not include the operation type corresponding to the operation time, the fraud increases or decreases depending on the frequency of the operation type included in the schedule information at a specific time A control unit that determines whether an unauthorized operation has been performed based on a value indicating a high degree of operation possibility;
An unauthorized operation monitoring device comprising: 前記不正操作可能性の高さを示す値は、前記操作時刻に対応する操作グループとは異なる他の操作グループと前記操作履歴情報の操作種類との組合せに応じて設定される重みに応じてさらに増減する、ことを特徴とする請求項1に記載の不正操作監視装置。   The value indicating the high possibility of unauthorized operation is further set according to a weight set according to a combination of another operation group different from the operation group corresponding to the operation time and the operation type of the operation history information. The unauthorized operation monitoring apparatus according to claim 1, wherein the unauthorized operation monitoring apparatus increases or decreases. 前記制御部は、
前記操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれる場合には、前記操作種類の操作が前記操作グループに対応する時間において行われた頻度を算出し、
算出した前記頻度が閾値を超える場合に、前記操作グループと前記操作種類との組合せに応じて設定される第2の不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する、
ことを特徴とする請求項1または2に記載の不正操作監視装置。 The controller is
When the operation group corresponding to the operation time includes the operation type corresponding to the operation time, the frequency of the operation of the operation type performed in the time corresponding to the operation group is calculated,
If the calculated frequency exceeds a threshold value, whether an unauthorized operation has been performed based on a value indicating the second highest possibility of unauthorized operation set according to the combination of the operation group and the operation type Determine whether or not
The unauthorized operation monitoring apparatus according to claim 1 or 2, wherein 前記制御部は、
前記不正操作可能性の高さを示す値と、前記第2の不正操作可能性の高さを示す値とを累計した累計値が、前記操作グループに応じて設定される閾値を超える場合に、不正操作が行われたと判断する、
ことを特徴とする請求項3に記載の不正操作監視装置。 The controller is
When a cumulative value obtained by accumulating the value indicating the high possibility of unauthorized operation and the value indicating the second high possibility of unauthorized operation exceeds a threshold set according to the operation group, Determine that an unauthorized operation has been performed,
The unauthorized operation monitoring device according to claim 3. 情報処理システムに対する操作の種類を示す操作種類と操作時刻とを含む操作履歴情報を取得し、
前記操作種類の1以上の組み合わせである操作グループと時間との対応を示すスケジュール情報を記憶する記憶部を参照して、前記操作履歴情報の操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれていない場合に、特定の時間の前記スケジュール情報に含まれる前記操作種類の頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する、
処理をコンピュータが実行することを特徴とする不正操作監視方法。 Acquire operation history information including an operation type indicating an operation type for the information processing system and an operation time,
Referring to a storage unit that stores schedule information indicating a correspondence between an operation group that is one or more combinations of the operation types and time, the operation group corresponding to the operation time of the operation history information corresponds to the operation time When the operation type to be performed is not included, the unauthorized operation is performed based on a value indicating the level of possibility of the unauthorized operation that increases or decreases according to the frequency of the operation type included in the schedule information at a specific time. To determine whether or not
An unauthorized operation monitoring method, wherein a computer executes a process. 情報処理システムに対する操作の種類を示す操作種類と操作時刻とを含む操作履歴情報を取得し、
前記操作種類の1以上の組み合わせである操作グループと時間との対応を示すスケジュール情報を記憶する記憶部を参照して、前記操作履歴情報の操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれていない場合に、特定の時間の前記スケジュール情報に含まれる前記操作種類の頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する、
処理をコンピュータに実行させることを特徴とする不正操作監視プログラム。 Acquire operation history information including an operation type indicating an operation type for the information processing system and an operation time,
Referring to a storage unit that stores schedule information indicating a correspondence between an operation group that is one or more combinations of the operation types and time, the operation group corresponding to the operation time of the operation history information corresponds to the operation time When the operation type to be performed is not included, the unauthorized operation is performed based on a value indicating the level of possibility of the unauthorized operation that increases or decreases according to the frequency of the operation type included in the schedule information at a specific time. To determine whether or not
An unauthorized operation monitoring program for causing a computer to execute processing. 端末装置と、
情報処理システムに対する前記端末装置上の操作の種類を示す操作種類と操作時刻とを含む操作履歴情報を取得し、前記操作種類の1以上の組み合わせである操作グループと時間との対応を示すスケジュール情報を記憶する記憶部を参照して、前記操作履歴情報の操作時刻に対応する操作グループに、前記操作時刻に対応する操作種類が含まれていない場合に、特定の時間の前記スケジュール情報に含まれる前記操作種類の頻度に応じて増減する不正操作可能性の高さを示す値に基づいて、不正操作が行われたか否かを判断する不正操作監視装置と、
を含むことを特徴とする不正操作監視システム。 A terminal device;
Operation history information including an operation type indicating an operation type on the terminal device for the information processing system and an operation time is acquired, and schedule information indicating a correspondence between an operation group and one or more combinations of the operation types Is included in the schedule information at a specific time when the operation group corresponding to the operation time of the operation history information does not include the operation type corresponding to the operation time. An unauthorized operation monitoring device that determines whether or not an unauthorized operation has been performed based on a value indicating a high possibility of an unauthorized operation that increases or decreases according to the frequency of the operation type;
An unauthorized operation monitoring system comprising:
JP2016225530A 2016-11-18 2016-11-18 Unauthorized operation monitoring device, unauthorized operation monitoring method, unauthorized operation monitoring program, and unauthorized operation monitoring system Pending JP2018081655A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016225530A JP2018081655A (en) 2016-11-18 2016-11-18 Unauthorized operation monitoring device, unauthorized operation monitoring method, unauthorized operation monitoring program, and unauthorized operation monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016225530A JP2018081655A (en) 2016-11-18 2016-11-18 Unauthorized operation monitoring device, unauthorized operation monitoring method, unauthorized operation monitoring program, and unauthorized operation monitoring system

Publications (1)

Publication Number Publication Date
JP2018081655A true JP2018081655A (en) 2018-05-24

Family

ID=62199047

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016225530A Pending JP2018081655A (en) 2016-11-18 2016-11-18 Unauthorized operation monitoring device, unauthorized operation monitoring method, unauthorized operation monitoring program, and unauthorized operation monitoring system

Country Status (1)

Country Link
JP (1) JP2018081655A (en)

Similar Documents

Publication Publication Date Title
JP5972401B2 (en) Attack analysis system, linkage device, attack analysis linkage method, and program
TWI573036B (en) Risk scoring for threat assessment
US20180293377A1 (en) Suspicious behavior detection system, information-processing device, method, and program
US8739290B1 (en) Generating alerts in event management systems
US10887325B1 (en) Behavior analytics system for determining the cybersecurity risk associated with first-time, user-to-entity access alerts
US9443082B2 (en) User evaluation
EP3068095A2 (en) Monitoring apparatus and method
CN106233297A (en) To adjustment based on the protection to the prediction of Malware tendency activity and warning
US20200045064A1 (en) Systems and methods for monitoring security of an organization based on a normalized risk score
JP2009020812A (en) Operation detecting system
JP6523582B2 (en) INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND INFORMATION PROCESSING PROGRAM
JP7311350B2 (en) MONITORING DEVICE, MONITORING METHOD, AND MONITORING PROGRAM
US9292675B2 (en) System and method for creating a core cognitive fingerprint
US9818060B2 (en) System and method for generation of a heuristic
KR20170056876A (en) Method, Apparatus and System for Security Monitoring Based On Log Analysis
CN110798428A (en) Detection method, system and related device for violent cracking behavior of account
US10075454B1 (en) Using telemetry data to detect false positives
He et al. Healthcare security incident response strategy-a proactive incident response (ir) procedure
JP2017010258A (en) Unauthorized operation monitor, unauthorized operation monitoring method, and unauthorized operation monitoring system
JP2018142197A (en) Information processing device, method, and program
KR20150133370A (en) System and method for web service access control
US10614225B2 (en) System and method for tracing data access and detecting abnormality in the same
JP2014153736A (en) Fault symptom detection method, program and device
CN113872959B (en) Method, device and equipment for judging risk asset level and dynamically degrading risk asset level
JP2018081655A (en) Unauthorized operation monitoring device, unauthorized operation monitoring method, unauthorized operation monitoring program, and unauthorized operation monitoring system