JP2018109795A - アクセス管理装置、アクセス管理方法およびコンピュータプログラム - Google Patents

アクセス管理装置、アクセス管理方法およびコンピュータプログラム Download PDF

Info

Publication number
JP2018109795A
JP2018109795A JP2015100042A JP2015100042A JP2018109795A JP 2018109795 A JP2018109795 A JP 2018109795A JP 2015100042 A JP2015100042 A JP 2015100042A JP 2015100042 A JP2015100042 A JP 2015100042A JP 2018109795 A JP2018109795 A JP 2018109795A
Authority
JP
Japan
Prior art keywords
file
information
important information
log
recorded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015100042A
Other languages
English (en)
Inventor
祐輔 小出
yusuke Koide
祐輔 小出
橋本 淳
Atsushi Hashimoto
淳 橋本
謙介 岸
Kensuke KISHI
謙介 岸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2015100042A priority Critical patent/JP2018109795A/ja
Priority to PCT/JP2016/063711 priority patent/WO2016185922A1/ja
Publication of JP2018109795A publication Critical patent/JP2018109795A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Abstract

【課題】膨大な操作記録の中から不正な情報持ち出しを発見するアクセス管理装置、アクセス管理方法およびコンピュータプログラムを提供する。【解決手段】ログ保持部32は、所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを保持する。重要情報検出部42は、ユーザの端末がサーバから取得したファイルである特定ファイルに重要情報が記録されている場合、そのことを検出する。アラート通知部44は、特定ファイルに重要情報が記録されていることが検出された場合に、特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知する。【選択図】図2

Description

この発明は、データ処理技術に関し、特にアクセス管理装置、アクセス管理方法およびコンピュータプログラムに関する。
本出願人は、情報処理装置のセキュリティ上のリスクを低減するための技術を提案している(例えば特許文献1参照)。特許文献1の情報処理システムでは、作業対象装置へのログインを運用者や開発者に代わってアクセス管理装置が行う。これにより、作業対象装置のアカウントを運用者や開発者から秘匿でき、作業対象装置のセキュリティ上のリスクを低減する。
特開2013−45278号公報
ところで、自社や委託先の社員といった内部関係者の不正行為による企業・組織の情報漏洩事件が発生することがあり、その防止対策が社会的に重要になっている。しかし、正規の情報アクセス権限を与えられた社員が行った操作に関する記録(ログ等)は膨大な量にのぼり、膨大な操作記録の中から、不正な情報持ち出しを見つけ出すことは容易ではなかった。
本発明は、上記課題を鑑みてなされたものであり、主たる目的は、膨大な操作記録の中から不正な情報持ち出しを発見することを支援することである。
上記課題を解決するために、本発明のある態様のアクセス管理装置は、所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを保持するログ保持部と、ユーザの端末がサーバから取得したファイルである特定ファイルに重要情報が記録されている場合、そのことを検出する検出部と、特定ファイルに重要情報が記録されていることが検出部により検出された場合に、特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知する通知部と、を備える。
本発明の別の態様は、アクセス管理方法である。この方法は、所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを所定の記憶領域へ格納するステップと、ユーザの端末がサーバから取得したファイルである特定ファイルに重要情報が記録されている場合、そのことを検出するステップと、特定ファイルに重要情報が記録されていることを検出するステップで検出した場合に、特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知するステップと、をコンピュータが実行する。
なお、以上の構成要素の任意の組合せ、本発明の表現を、システム、コンピュータプログラム、コンピュータプログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、膨大な操作記録の中から不正な情報持ち出しを発見することを支援できる。
実施の形態のエンタープライズシステムの構成を示す図である。 図1のアクセス管理装置の構成を示すブロック図である。 ログ保持部に蓄積されるログの構成を示す図である。 実施の形態のアクセス管理装置の動作を示すフローチャートである。 図4のS24の重要情報検出処理を詳細に示すフローチャートである。
実施の形態のアクセス管理装置は、情報システムに対するユーザ端末のアクセスを管理し、情報システムに対するユーザ端末による操作記録を蓄積する。このアクセス管理装置は、蓄積した操作記録を自動分析し、企業や組織が保有する重要情報の持ち出し検知および通知機能を実現する。これにより、企業や組織における操作記録のモニタリングおよびその分析に関わる負荷を軽減し、また不正行為の早期発見を支援する。
実施の形態の重要情報は、持ち出し監視対象として予め定められた項目の情報であり、いわゆる個人情報を含む。実施の形態の重要情報は、具体的には人名、メールアドレス、電話番号、郵便番号、住所、クレジットカード番号を含む。また操作記録は監査証跡とも言え、実施の形態ではログと呼ぶ。
図1は、実施の形態のエンタープライズシステムの構成を示す。エンタープライズシステム10は、企業に構築された情報システムであり、図1の各装置はLAN・WAN・インターネットを含む通信網を介して接続される。エンタープライズシステム10は、ユーザ端末12で総称されるユーザ端末12a、ユーザ端末12b、ユーザ端末12c、情報提供サーバ14で総称される情報提供サーバ14a、情報提供サーバ14b、情報提供サーバ14c、アクセス管理装置16、監査者端末18を備える。
複数の情報提供サーバ14のそれぞれは、重要情報を記憶し、管理する情報処理装置である。具体的には情報提供サーバ14はファイルサーバとも言え、重要情報を含むファイルがストレージやメモリ等の記憶装置に格納されうる装置である。ファイルは、情報処理装置がデータを扱うときの基本単位となるデータのまとまりであり、任意の電子媒体のコンテンツと言え、データセットとも言える。
複数のユーザ端末12のそれぞれは、企業の社員や組織のメンバー等、エンタープライズシステム10の利用者(以下「ユーザ」と呼ぶ。)により操作される情報端末であり、例えばPC、スマートフォン、タブレット端末である。ユーザ端末12は、TELNET、SSH、FTP、SCP、SFTP、CIFS等の公知の手段により情報提供サーバ14へアクセスする。
アクセス管理装置16は、複数のユーザ端末12のそれぞれが、複数の情報提供サーバ14のいずれかへアクセスする場合に、ユーザ端末12〜情報提供サーバ14間で送受される要求やレスポンスを中継する情報処理装置である。アクセス管理装置16は、複数の情報提供サーバ14のリバースプロキシとも言え、踏み台装置とも言える。アクセス管理装置16は、複数のユーザ端末12から複数の情報提供サーバ14へのアクセスに関する複数のログを、エンタープライズシステム10の中で集中的に一括して蓄積する。
監査者端末18は、企業や組織において予め定められた監査者により操作される情報端末である。監査者は、企業や組織における情報セキュリティの担当者、責任者とも言える。監査者は、アクセス管理装置16に蓄積されたログを参照して重要情報の不正な持ち出しがあったかを確認する。監査者は、重要情報の不正な持ち出しがあった場合、企業や組織のセキュリティポリシに則して適切な対応、例えば重要情報を持ち出したユーザへの問い合わせ等を実施する責任を負う。
図2は、図1のアクセス管理装置16の構成を示すブロック図である。アクセス管理装置16は、制御部20、記憶部22、通信部24を備える。制御部20は、各種データ処理を実行する。記憶部22は、制御部20により参照され、また更新されるデータを記憶する記憶領域である。通信部24は、種々の通信プロトコルにしたがって外部装置と通信する。制御部20は、通信部24を介して、ユーザ端末12、情報提供サーバ14、監査者端末18とデータを送受する。
本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。
例えば、制御部20内の各ブロックに対応するモジュールを含むアクセス管理プログラムがDVD等の記録媒体に格納され、アクセス管理装置16にインストールされてもよい。そして、アクセス管理装置16のストレージに格納されたアクセス管理プログラムをアクセス管理装置16のプロセッサ(CPU等)が実行することで、アクセス管理装置16は制御部20内の各ブロックの機能を発揮してもよい。記憶部22は、アクセス管理装置16のストレージやメモリがデータを記憶することで実現されてよい。
記憶部22は、辞書保持部30、ログ保持部32、申請情報保持部34を含む。辞書保持部30は、ユーザが持ち出したファイルに記録された文字列と照合すべき文字列であり、重要情報を示す文字列を定めた辞書データを保持する。辞書保持部30は、都道府県名市町村名、人名、メールアドレス用ローマ字人名、電話番号、郵便番号、クレジットカード番号それぞれの辞書データを保持する。辞書データで定義される重要情報を示す文字列は正規表現の文字列を含んでもよい。例えば郵便番号は、ハイフン区切りの3桁・4桁の数列パターンとして定義されてもよい。またクレジットカード番号は、ハイフン区切りの4桁・6桁・4桁の数列パターン、4桁・6桁・5桁の数列パターン、4桁・4桁・4桁・4桁の数列パターンとして定義されてもよい。
ログ保持部32は、複数のユーザ端末12から複数の情報提供サーバ14へのアクセスに関する複数のログであり、複数のタイミングでなされた複数の操作に関する複数のログを蓄積する記憶領域である。図3は、ログ保持部32に蓄積されるログの構成を示す。ログ保持部32はアクセスログテーブルを含む。アクセスログテーブルの1レコードは、特定のユーザが特定のタイミングで行った情報提供サーバ14に対する一連の操作に対応する。例えば、ユーザ端末12aのユーザが、情報提供サーバ14aに対してFTPでログインし、ファイルを取得し、ログアウトするまでの、1つのFTPセッションでなされた1つ以上の操作に対応する。
アクセスログテーブルのユーザ名は、ユーザ端末12のユーザ名であり、情報提供サーバ14に対して操作を入力したユーザ名、言い換えれば操作者名を示す。操作開始時刻と操作終了時刻は、情報提供サーバ14に対する一連の操作の開始タイミングと終了タイミングを示し、例えばFTPによるログイン日時とログアウト日時を示す。重要情報フラグは、監査者へのアラート通知トリガとなるフラグである。重要情報フラグの初期値はオフであり、ユーザが持ち出したファイルが重要情報を含む場合、またはそれに準ずる場合にオンに切り替えられる。
ZIPファイル名は、後述のZIPファイルの名称(フルパス名)であり、言い換えれば、ZIPファイルへのポインタである。申請外ファイル名は、ユーザが情報提供サーバ14から取得したファイルのうち、予め取得することを申請したファイル以外のファイル名である。重要情報検出ファイル名は、重要情報を含むことが検出されたファイル名である。重要情報不明ファイル名は、重要情報の検索ができなかったファイル名であり、言い換えれば、重要情報を含むか否か不明のファイル名である。典型的には暗号化されたファイルであり、例えばパスワード付きZIPファイルが該当する。
ZIPファイルは、アクセスログテーブルの1レコードに対応し、すなわち特定のユーザが特定のタイミングで行った情報提供サーバ14に対する一連の操作に対応する。コマンドデータファイルには、ユーザの一連の操作に対応する1つ以上のコマンドの情報が記録される。またZIPファイルは、ユーザが情報提供サーバ14から取得した1つ以上のファイル(取得ファイル#1、取得ファイル#2)の実データを含む。言い換えれば、ユーザの操作に応じて、情報提供サーバ14がユーザ端末12へ提供したファイルそのものを含む。
図2に戻り、申請情報保持部34は、ユーザ端末12のユーザがアクセス管理装置16に対して事前に申請した取得予定のファイル名を保持する。なお、ユーザは、ファイルの取得予定日時や、情報提供サーバ14へログインして操作を行う時間帯をさらに申請してもよく、これらの情報も申請情報保持部34に保持されてよい。
制御部20は、アクセス中継部36、ログ記録部38、申請情報受付部40、重要情報検出部42、アラート通知部44、ログ検索部46を含む。アクセス中継部36は、ユーザ端末12から情報提供サーバ14へのアクセスを中継する。例えば、TELNET、SSH、FTP、SCP、SFTP、CIFS等のプロトコルに基づいて、ユーザ端末12から送信された要求を情報提供サーバ14へ転送し、その要求に対する情報提供サーバ14のレスポンスをユーザ端末12へ転送する。
例えば、ユーザ端末12が特定のファイル名を指定したファイル取得要求を送信した場合、アクセス中継部36はそのファイル取得要求を受け付け、情報提供サーバ14へ転送する。また、当該ファイル取得要求に対して情報提供サーバ14が送信したレスポンス(ファイルデータを含む)を受け付け、そのレスポンスをユーザ端末12へ転送する。
ログ記録部38は、複数のユーザ端末12から複数の情報提供サーバ14へのアクセスに関する複数のログであり、複数のタイミングでなされた複数の操作に関する複数のログをログ保持部32へ記録する。ログ記録部38は、ユーザ端末12から情報提供サーバ14へのアクセスをアクセス中継部36が中継する場合に、アクセス中継部36が中継したコマンドやファイルをアクセス中継部36から取得する。図3で示したように、ログ記録部38は、アクセス元のユーザ情報や、操作日時、コマンド、ファイル等のデータをログ保持部32へ格納する。
なお、ユーザ端末12から情報提供サーバ14へのアクセスに係るログは、ユーザ端末12および/または情報提供サーバ14が記録してもよい。この場合、ユーザ端末12および/または情報提供サーバ14にはアクセス管理装置16のエージェントアプリケーションがインストールされてもよく、このエージェントはローカルで記録されたログデータをアクセス管理装置16へ送信してもよい。ログ記録部38は、アクセス中継部36が中継したコマンドやファイル等データに代えて、もしくはこれらのデータとともに、エージェントから送信されたログデータをログ保持部32へ格納してもよい。
申請情報受付部40は、ユーザ端末12から送信された申請情報であり、将来取得予定のファイル名を含む申請情報を受け付ける。申請情報受付部40は、申請元のユーザ端末12のユーザ名と対応付けて申請情報を申請情報保持部34へ格納する。なお申請情報受付部40は、ユーザ端末12から送信された申請情報を、ユーザの上司や監査者、システム管理者等、所定の権限を有する他のユーザの端末へ転送してもよい。そして、上記の他のユーザが承認したことを条件として、申請情報を申請情報保持部34へ格納してもよい。すなわち、所定の権限を有するユーザにより承認された申請情報を申請情報保持部34へ格納してもよい。
重要情報検出部42は、監査者へアラートを通知すべき条件(以下「アラート通知条件」とも呼ぶ。)を保持し、ユーザ端末12が情報提供サーバ14からファイルを取得した場合に、アラート通知条件が満たされたか否かを判定する。アラート通知条件は、以下の3つのケースにおいて充足される。
(ケースA)事前に申請されたファイル以外が取得された。言い換えれば、未申請のファイルが取得された。
(ケースB)重要情報を含むファイルが取得された。
(ケースC)重要情報の検索ができないように構成されたファイルが取得された。
重要情報検出部42は、アクセス中継部36が中継したファイルの名称であり、ユーザ端末12が情報提供サーバ14から取得したファイルの名称(「取得ファイル名称」と呼ぶ。)をアクセス中継部36から取得する。または、ログ記録部38がログ保持部32に格納した取得ファイルの名称を取得、参照してもよい。重要情報検出部42は、申請情報保持部34を参照して、ユーザ端末12のユーザが事前に申請した取得予定のファイルの名称であり、ユーザ端末12のユーザ名に対応付けて保持されたファイル名称(「申請ファイル名称」と呼ぶ。)を識別する。重要情報検出部42は、取得ファイル名称と申請ファイル名称を照合し、両者が異なる場合、その事実を検出する。
重要情報検出部42は、取得ファイル名称と申請ファイル名称が異なる場合、アラート通知条件が充足されたと判定する(上記のケースA)。このとき重要情報検出部42は、ログ保持部32のアクセスログテーブルにおける重要情報フラグをオンに設定する。それとともに、アクセスログテーブルにおける申請外ファイル名に、取得ファイル名称を記録する。
また重要情報検出部42は、アクセス中継部36が中継したファイルであり、ユーザ端末12が情報提供サーバ14から取得したファイルの実データ(「取得ファイルデータ」と呼ぶ。)をアクセス中継部36から取得する。または、ログ記録部38がログ保持部32に格納した取得ファイルの実データを取得、参照してもよい。重要情報検出部42は、辞書保持部30に保持された複数種類の辞書のそれぞれで定められた重要情報を取得ファイルデータから検索する。言い換えれば、取得ファイルデータの中に重要情報が記録されているか否かを判定する。
重要情報検出部42は、事前申請の有無に関わらず、取得ファイルデータの中に重要情報が記録されている場合、その事実を検出し、アラート通知条件が充足したと判定する(上記のケースB)。このとき重要情報検出部42は、ログ保持部32のアクセスログテーブルにおける重要情報フラグをオンに設定する。それとともに、アクセスログテーブルにおける重要情報検出ファイル名に、取得ファイルの名称(すなわちファイル名)を記録する。実施の形態では、辞書が定める重要情報と完全一致する文字列を含む場合にアラート通知条件が充足したと判定するが、変形例として、辞書が定める重要情報と部分一致する文字列があればアラート通知条件が充足したと判定してもよい。
また重要情報検出部42は、取得ファイルデータが重要情報の検索ができないように構成されている場合、その事実を検出し、アラート通知条件が充足したと判定する(上記のケースC)。言い換えれば、取得ファイルデータが重要情報の検索ができないように加工されたものである場合にアラート通知条件が充足したと判定する。このとき重要情報検出部42は、ログ保持部32のアクセスログテーブルにおける重要情報フラグをオンに設定する。それとともに、アクセスログテーブルにおける重要情報不明ファイル名に、取得ファイルの名称を記録する。
重要情報検出部42は、取得ファイルデータのメタデータを参照して、予め定められた暗号化フラグがオンであることを検出した場合、すなわち取得ファイルデータが暗号化されていることを検出した場合に、アラート通知条件が充足したと判定してもよい。また、取得ファイルデータに対する重要情報の検索が異常終了した場合、例えばファイルデータが暗号化されている結果、検索処理の中でエラーが発生した場合に、アラート通知条件が充足したと判定してもよい。
アラート通知部44は、重要情報検出部42によりアラート通知条件が充足したと判定された場合に、または、ログ保持部32のアクセスログテーブルにおける重要情報フラグがオンに設定されたことを検出した場合に、監査者へアラートを通知する。具体的には、アラート通知部44は、重要情報検出部42によりアラート通知条件が充足したと判定されたファイル取得操作に関するログであり、重要情報フラグがオンに設定されたアクセスログテーブルのレコード(すなわちログ)を特定ログとして識別する。そして、ログ保持部32に格納された複数のログの中から特定ログを識別するための情報を含む電子メール(以下「アラートメール」とも呼ぶ。)を監査者端末18へ送信する。
アラート通知部44は、監査者宛のアラートメールの本文に、アラート文章(重要情報が検出された、申請外ファイルが取得された等)とともに、特定ログの識別情報を設定する。特定ログの識別情報は、特定ログを検索するためのキーワードとも言え、具体的には特定ログに記録されたユーザ名、操作開始時刻、操作終了時刻を含む。ログに操作の識別情報(操作ID等)が設定される場合は、その操作IDを特定ログの識別情報に含めてもよい。なお、アラート通知部44は、アラートメールの送信に代えて、アラートメッセージを監査者端末18へプッシュ通知する等、他の手段によりアラートを通知してもよい。
ログ検索部46は、監査者端末18からログを識別するための情報が入力された場合に、ログ保持部32に保持された複数のログのうち入力情報に合致するログに関する情報を監査者端末18へ提供する。具体的には、ログ検索部46は、監査者端末18の要求に応じて、ログを検索するための検索画面(ウェブページ等)を監査者端末18へ送信し、表示させる。ログ検索部46は、検索画面に対して監査者が入力した検索条件を監査者端末18から受信し、ログ保持部32に格納された複数のログの中からその検索条件に整合するログを検索する。そして、検索条件に整合するログがあれば、そのログの情報を設定した検索結果画面(ウェブページ等)を監査者端末18へ送信し、表示させる。
例えば監査者は、アラートメールで通知された、ユーザ名、操作開始時刻、操作終了時刻を検索条件として検索画面に入力し、さらに重要情報フラグがオンであることを条件に設定した上で検索画面の検索実行ボタンを押下する。ログ検索部46は、検索画面で指定されたユーザ名、操作開始時刻、操作終了時刻、重要情報フラグがオンに合致するアクセスログテーブルのレコードを識別し、そのレコードのデータを設定した検索結果画面を監査者端末18へ送信し、表示させる。
検索結果画面は、図3のアクセスログテーブルの情報項目を含み、すなわちZIPファイル名、申請外ファイル名、重要情報検出ファイル名、重要情報不明ファイル名を含む。監査者が検索結果画面でZIPファイルを選択すると、アクセス管理装置16のログ提供部(不図示)は、選択されたZIPファイルをログ保持部32から取得し、監査者端末18へ送信する。監査者は、コマンドデータファイルや取得ファイルを参照して、ユーザによる不正なファイル取得の有無や、重要情報の漏洩有無を判断することができる。
なお、図2に示した各機能ブロックの機能は、複数の情報処理装置で分散して実行されてもよい。例えば、ログ保持部32、申請情報保持部34は、他の機能ブロックを含む装置から独立した装置(データベースサーバ等)により実現されてもよい。また、ユーザ端末12〜情報提供サーバ14間のアクセス中継処理と、ログの保存、分析、通知の処理は別の情報処理装置により実現されてもよい。すなわち、複数の情報処理装置が連携して、実施の形態のアクセス管理装置16を実現してもよいことはもちろんである。
以上の構成によるエンタープライズシステム10の動作を説明する。
図4は、図1のアクセス管理装置16の動作を示すフローチャートである。ここでは、ユーザ端末12aのユーザが、情報提供サーバ14aにログインし、情報提供サーバ14aからファイルを取得(例えばFTP−GET)することとする。
ユーザ端末12aは、ユーザの操作に応じて、取得予定のファイル名の申請画面(ウェブページ等)をアクセス管理装置16から取得し、ディスプレイに表示させる。申請画面に対してユーザが取得予定のファイルの名称(例えば「hoge.doc」「hoge.xls」)を入力し、申請ボタンを選択すると、ユーザ端末12aは申請画面に入力されたファイル名を含む申請情報をアクセス管理装置16へ送信する。アクセス管理装置16の申請情報受付部40は、申請情報を受信すると(S10のY)、その申請情報を申請者名(ユーザ名)に対応付けて申請情報保持部34へ格納する(S12)。申請情報を未受信であれば(S10のN)、S12をスキップする。
ユーザ端末12aは、ユーザの操作に応じて、情報提供サーバ14aへの要求電文、例えばログインやファイル取得を要求する電文を情報提供サーバ14aへ送信する。アクセス管理装置16のアクセス中継部36は、ユーザ端末12aから送信された情報提供サーバ14aへの要求電文を受信すると(S14のY)、その要求電文を情報提供サーバ14aへ転送する(S16)。アクセス中継部36は、情報提供サーバ14aから送信されたユーザ端末12aへの応答電文をユーザ端末12aへ転送する(S18)。ログ記録部38は、ユーザの1回のログインセッション中に、ユーザ端末12aから情報提供サーバ14aへ送信された一連の操作に関する複数の操作を示すログをログ保持部32に格納する(S20)。ユーザ端末12aが情報提供サーバ14aからファイルを取得した場合、ログ記録部38は、当該ファイルの実データもログとして保存する。
ユーザ端末12aが情報提供サーバ14aからファイルを取得した場合、言い換えれば、情報提供サーバ14aに対する一連の操作の中にファイル取得操作が含まれる場合(S22のY)、重要情報検出部42は重要情報検出処理を実行する(S24)。重要情報検出処理でアラート条件が充足され、重要情報フラグがオンに設定されると(S26のY)、アラート通知部44は、アラート条件を充足したファイル取得操作に関するログを識別する情報を含むアラートメールを監査者端末18へ送信する(S28)。重要情報検出処理でアラート条件が満たされず、重要情報フラグがオフであれば(S26のN)、S28をスキップする。また、情報提供サーバ14aに対する一連の操作の中にファイル取得操作がなければ(S22のN)、S24以降をスキップする。また、ユーザ端末12aから送信された情報提供サーバ14aへの要求電文を未受信であれば(S14のN)、S16以降をスキップする。
図5は、図4のS24の重要情報検出処理を詳細に示すフローチャートである。ユーザ端末12aが実際に取得したファイルの名称が、ユーザ端末12aのユーザが事前に申請したファイルの名称と異なる場合(S30のN)、アラート通知条件が充足されたと判定し、重要情報フラグをオンに切り替える(S32)。ユーザ端末12aが実際に取得したファイルの名称が、ユーザ端末12aのユーザが事前に申請したファイルの名称と一致すれば(S30のY)、S32をスキップする。さらに重要情報検出部42は、ユーザ端末12aが実際に取得したファイルのデータから重要情報を検索する(S34)。重要情報の検索が可能なようにファイルが構成されており(S36のN)、ファイルに重要情報が記録されていることを検出すると(S38のY)、アラート通知条件が充足されたと判定し、重要情報フラグをオンに切り替える(S40)。
重要情報を検索した結果、ユーザ端末12aが実際に取得したファイルに重要情報が含まれていなければ(S38のN)、S40をスキップする。ユーザ端末12aが取得したファイルが暗号化されている場合等、重要情報の検索ができないように構成されている場合(S36のY)、重要情報を検索できないものの、アラート通知条件が充足されたと判定し、重要情報フラグをオンに切り替える(S40)。図4、図5のフローチャートには不図示だが、アクセス管理装置16はログ検索のためのユーザインタフェースを提供する。監査者は、アラートメールに設定されたログ識別情報をキーとしてアクセス管理装置16が保持するログを検索する。そして検索結果に基づいて、企業・組織におけるセキュリティポリシに則り適切なアクションを実施する。
これまでも監査者は各情報提供サーバ14へのアクセスログを定期的に監査することがあったが、膨大なアクセスログの中から不正なファイル取得操作を見つける必要があり、作業に多大な時間を要していた。実施の形態のアクセス管理装置16によると、ユーザのファイル取得操作に情報セキュリティ上のリスクが存在しうるか否かを自動で判定し、リスクが存在するファイル取得操作に係るログの情報を監査者へ自動通知する。これにより、情報セキュリティ上のリスクが存在しうるファイル取得操作を示すログを監査者が早期かつ効率的に確認できるよう支援し、早期かつ効率的に適切なアクションを実施できるよう支援できる。
またアクセス管理装置16によると、ユーザが取得したファイルの名称が、そのユーザが事前申請したファイルの名称に一致するかをチェックすることで、情報セキュリティ上のリスクを低減する。ただしファイル名は変更可能であり、偽装される可能性もある。そこでアクセス管理装置16は、申請の有無にかかわらず、ユーザが取得したファイルを全て重要情報検索の対象とし、重要情報が含まれれば監査者へアラートを通知する。重要情報の検索精度は辞書に依存し、重要情報の完璧な検出は難しい可能性があるが、形式的なファイル名チェックと実質的な重要情報検索の両方を並行して実行することで、情報セキュリティ上のリスクを効果的に低減することができる。
さらにまたアクセス管理装置16によると、ユーザが取得したファイルに対して重要情報の検索ができない場合に監査者へアラートを通知する。いわば、重要情報が含まれるか否かが不明の場合も、安全の観点から監査者へアラートを通知することで、情報セキュリティ上のリスクを一層低減することができる。
以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
第1変形例を説明する。第1変形例はアラート通知条件に関する。実施の形態の重要情報検出部42は、申請の有無にかかわらず、ユーザが取得したファイルを全て重要情報検索の対象とした。変形例として、ユーザにより事前申請され、かつ、所定の権限を有する他のユーザにより承認されたファイル名に合致するファイルであれば、重要情報検索の対象外としてもよい。承認されたファイル名に合致するため、情報セキュリティ上のリスクは低いと想定されるためである。また、この態様によると、アクセス管理装置16の処理負荷を低減することができる。
第2変形例を説明する。重要情報検出部42は、ユーザの一連の操作の中で、ファイル名の変更や、パスワード付きまたはパスワードなしのZIPファイルの作成等、ファイルの属性を変更する所定操作が未実行であることを、アクセス中継部36が中継したコマンドやログ保持部32のログに基づいて判定してもよい。ファイルの属性を変更する所定操作が未実行とは、ファイル名の偽装や、重要情報検索を妨害するための加工が未実施であることと言える。重要情報検出部42は、このような所定操作が未実行である場合に、事前申請されたファイル名に合致するファイルであれば重要情報検索の対象外としてもよい。この態様によると、情報セキュリティの低下を一層抑制できる。なお重要情報検索の対象外にすることは、取得ファイルに重要情報が含まれる場合のアラート通知のスキップ、重要情報検索が不可の場合のアラート通知のスキップを含む。
第3変形例を説明する。実施の形態ではファイル取得の例としてファイル転送(FTP)を例示した。しかし、アクセス管理装置16による重要情報検索はこの例に限定されない。例えばリモートデスクトップによってファイルを表示させる場合等、様々なプロトコルに基づき実質的にファイルデータが情報提供サーバ14からユーザ端末12へ提供される場合全般に適用可能であることはもちろんである。
第4変形例を説明する。アクセス管理装置16は、比較的短い間隔でログを出力し、各ログに重要情報が含まれるか否かをリアルタイムに検知してもよい。またアクセス管理装置16は、ログ保存時に、保存対象のログに重要情報が含まれるか否かをリアルタイムに検知してもよい。ログに重要情報がログに含まれる場合、アクセス管理装置16は、ユーザ端末12から情報提供サーバ14へのアクセスを制限してもよい。この態様によると、情報提供サーバ14の操作権限を有する内部関係者が情報提供サーバ14に対して不正な操作を行う場合も、情報提供サーバ14から重要情報を不正に取得すること、すなわち情報提供サーバ14が保持する重要情報の漏洩を水際で防止しやすくなる。
第4変形例のアクセス中継部36は、ユーザ端末12と情報提供サーバ14の間で操作に関する情報を中継し、その操作に関するログ(以下「中継ログ」と呼ぶ。)を出力する。アクセス中継部36は、ユーザ端末12から送信された操作情報(コマンド等)を情報提供サーバ14へ転送する場合に、その操作に関する中継ログを所定間隔で出力してもよい。中継ログは、ログ記録部38とともに重要情報検出部42へ出力される。中継ログは、操作内容を示す情報(コマンド情報)や操作結果を示す情報を含んでもよい。中継ログの出力間隔は、1つのコマンドを転送する都度、操作結果を転送する都度、または予め定められた時間(数秒〜10秒程度)が経過する都度でもよい。
辞書保持部30は、中継ログから検索すべきキーワードやキーフレーズを重要情報として定めた辞書を保持する。この辞書には、個人情報に該当する単語やフレーズが記録されてよく、また不正な操作や危険な操作に該当するコマンドの情報が記録されてもよい。重要情報検出部42は、アクセス中継部36が中継ログを出力する都度、中継ログの中から辞書保持部30の辞書で示される重要情報を検索する。そして、中継ログに重要情報が記録されている場合、その事実を検出する。
アクセス中継部36は、中継ログに重要情報が記録されていることが重要情報検出部42により検出された場合、ユーザ端末12と情報提供サーバ14の間での情報の中継を停止する。例えば、情報中継を停止するために、不図示のセッション管理部に、ユーザ端末12と情報提供サーバ14間のセッションを強制的に切断させてもよく、また、ユーザ端末12とアクセス管理装置16とのセッションを強制的に切断させてもよい。なお、中継ログから重要情報が検出された場合、実施の形態と同様に、アラート通知部44はその事実を示すアラートを監査者端末18へ通知してもよい。
重要情報検出部42による重要情報検知の例を説明する。ここではアクセス中継部36は「1234567890123456789ABCD4567890123456789012」というログを出力する。重要情報検出部42は20バイトの間隔でログを検知し、重要情報を示すキーワードは「ABCD」とする。重要情報検出部42は、キーワードの長さに応じてログを一部重複させて重要情報を検索する。
例えば、1回目の重要情報検索では、先頭から20バイトの「1234567890123456789A」を対象として重要情報を検索する。2回目の重要情報検索では、直前のログの末尾3バイト+20バイトの「89ABCD45678901234567890」を対象として重要情報を検索する。この例では2回目の検索で「ABCD」が検出される。この態様によると、重要情報検出部42は、アクセス中継部36から刻々と出力されたログを逐次検索し、重要情報の存在を迅速に検出できる。なお重要情報の長さが数文字〜数十文字程度の場合、例えば100文字程度のログを1回の検索対象とし、最長の重要情報(数十文字程度)の長さにあわせて重複させたログを検索してもよい。
請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。
10 エンタープライズシステム、 12 ユーザ端末、 14 情報提供サーバ、 16 アクセス管理装置、 18 監査者端末、 30 辞書保持部、 32 ログ保持部、 34 申請情報保持部、 36 アクセス中継部、 38 ログ記録部、 40 申請情報受付部、 42 重要情報検出部、 44 アラート通知部。

Claims (6)

  1. 所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを保持するログ保持部と、
    前記ユーザの端末が前記サーバから取得したファイルである特定ファイルに前記重要情報が記録されている場合、そのことを検出する検出部と、
    前記特定ファイルに前記重要情報が記録されていることが前記検出部により検出された場合に、前記特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知する通知部と、
    を備えることを特徴とするアクセス管理装置。
  2. ユーザから予め申請された取得予定のファイルの名称を保持する申請情報保持部をさらに備え、
    前記検出部は、前記特定ファイルの名称が前記取得予定のファイルの名称と異なる場合、そのことをさらに検出し、
    前記通知部は、前記特定ファイルの名称が前記取得予定のファイルの名称と異なることが検出された場合も、前記特定ファイルの取得操作に関するログを識別するための情報を監査者へ通知することを特徴とする請求項1に記載のアクセス管理装置。
  3. 前記検出部は、前記特定ファイルが前記重要情報の検索ができないように構成されている場合、そのことをさらに検出し、
    前記通知部は、前記特定ファイルが前記重要情報の検索ができないように構成されていることが検出された場合も、前記特定ファイルの取得操作に関するログを識別するための情報を監査者へ通知することを特徴とする請求項1または2に記載のアクセス管理装置。
  4. 前記ユーザの端末と前記サーバの間で操作に関する情報を中継し、その操作に関するログを出力する中継部をさらに備え、
    前記検出部は、前記中継部から出力されたログに所定の重要情報が記録されている場合、そのことを検出し、
    前記中継部は、前記ログに所定の重要情報が記録されていることが検出された場合に、前記ユーザの端末と前記サーバの間での情報の中継を停止することを特徴とする請求項1から3のいずれかに記載のアクセス管理装置。
  5. 所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを所定の記憶領域へ格納するステップと、
    前記ユーザの端末が前記サーバから取得したファイルである特定ファイルに前記重要情報が記録されている場合、そのことを検出するステップと、
    前記特定ファイルに前記重要情報が記録されていることが前記検出するステップで検出された場合に、前記特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知するステップと、
    をコンピュータが実行することを特徴とするアクセス管理方法。
  6. 所定の重要情報が記録されたファイルが記憶されうるサーバに対してユーザの端末からなされた複数の操作に関する複数のログを所定の記憶領域へ格納する機能と、
    前記ユーザの端末が前記サーバから取得したファイルである特定ファイルに前記重要情報が記録されている場合、そのことを検出する機能と、
    前記特定ファイルに前記重要情報が記録されていることが前記検出する機能により検出された場合に、前記特定ファイルの取得操作に関するログを識別するための情報を予め定められた監査者へ通知する機能と、
    をコンピュータに実現させるためのコンピュータプログラム。
JP2015100042A 2015-05-15 2015-05-15 アクセス管理装置、アクセス管理方法およびコンピュータプログラム Pending JP2018109795A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015100042A JP2018109795A (ja) 2015-05-15 2015-05-15 アクセス管理装置、アクセス管理方法およびコンピュータプログラム
PCT/JP2016/063711 WO2016185922A1 (ja) 2015-05-15 2016-05-09 アクセス管理装置、アクセス管理方法およびコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015100042A JP2018109795A (ja) 2015-05-15 2015-05-15 アクセス管理装置、アクセス管理方法およびコンピュータプログラム

Publications (1)

Publication Number Publication Date
JP2018109795A true JP2018109795A (ja) 2018-07-12

Family

ID=57320153

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015100042A Pending JP2018109795A (ja) 2015-05-15 2015-05-15 アクセス管理装置、アクセス管理方法およびコンピュータプログラム

Country Status (2)

Country Link
JP (1) JP2018109795A (ja)
WO (1) WO2016185922A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6811639B2 (ja) * 2017-02-20 2021-01-13 三菱スペース・ソフトウエア株式会社 ファイル監視装置およびファイル監視プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
JP2008287609A (ja) * 2007-05-21 2008-11-27 Oki Electric Ind Co Ltd メール管理システム
JP2009116616A (ja) * 2007-11-06 2009-05-28 Sky Kk 電子メール監視システム
JP5789390B2 (ja) * 2011-03-25 2015-10-07 株式会社野村総合研究所 業務情報防護装置および業務情報防護方法、並びにプログラム
JP5651516B2 (ja) * 2011-03-29 2015-01-14 株式会社日立ソリューションズ 電子メール保留システム及び方法

Also Published As

Publication number Publication date
WO2016185922A1 (ja) 2016-11-24

Similar Documents

Publication Publication Date Title
van Baar et al. Digital forensics as a service: A game changer
US9507936B2 (en) Systems, methods, apparatuses, and computer program products for forensic monitoring
US9654510B1 (en) Match signature recognition for detecting false positive incidents and improving post-incident remediation
US20190028557A1 (en) Predictive human behavioral analysis of psychometric features on a computer network
US10366129B2 (en) Data security threat control monitoring system
CN110417718B (zh) 处理网站中的风险数据的方法、装置、设备及存储介质
US11308206B2 (en) Audit log enrichment
CN107209831A (zh) 用于识别网络攻击的系统和方法
US11941138B2 (en) Data deletion and obfuscation system
US20210133742A1 (en) Detection of security threats in a network environment
US20160191553A1 (en) Alert transmission method, computer-readable recording medium, and alert transmission apparatus
CN112613029A (zh) 一种弱口令检测方法、装置、计算机存储介质以及设备
CN111274276A (zh) 操作审计方法、装置及电子设备和计算机可读存储介质
CN109657462B (zh) 数据检测方法、系统、电子设备和存储介质
Cha et al. A blockchain-enabled IoT auditing management system complying with ISO/IEC 15408-2
US20180295145A1 (en) Multicomputer Digital Data Processing to Provide Information Security Control
JP5341695B2 (ja) 情報処理システム、情報処理方法、およびプログラム
WO2016185922A1 (ja) アクセス管理装置、アクセス管理方法およびコンピュータプログラム
KR102516819B1 (ko) 빅데이터를 기반으로 위협 이벤트를 분석하고 대응하도록 지원하는 방법 및 이를 이용한 서버
US9910874B1 (en) Scalable alerter for security information and event management
GB2505529A (en) Protecting a user from compromised web resources
CN113032842B (zh) 基于云平台的网页防篡改系统及方法
US11886229B1 (en) System and method for generating a global dictionary and performing similarity search queries in a network
Millett et al. Analysis of Computer Audit Data to Create Indicators of Compromise for Intrusion Detection
US20220255962A1 (en) Systems and methods for creation, management, and storage of honeyrecords