JP2018532217A - 活動記録を匿名化する方法及びシステム - Google Patents

活動記録を匿名化する方法及びシステム Download PDF

Info

Publication number
JP2018532217A
JP2018532217A JP2018536699A JP2018536699A JP2018532217A JP 2018532217 A JP2018532217 A JP 2018532217A JP 2018536699 A JP2018536699 A JP 2018536699A JP 2018536699 A JP2018536699 A JP 2018536699A JP 2018532217 A JP2018532217 A JP 2018532217A
Authority
JP
Japan
Prior art keywords
anonymous
anonymization
activity
activity record
target entities
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018536699A
Other languages
English (en)
Other versions
JP6549328B2 (ja
Inventor
ラジャン ペン キアット クー
ラジャン ペン キアット クー
ラッセル アラン ブリューヘルト
ラッセル アラン ブリューヘルト
ロデリック ダンカン スタンプ
ロデリック ダンカン スタンプ
アルン ナラシムハ スワミ
アルン ナラシムハ スワミ
ヴァムシ クリシュナ アッキネニ
ヴァムシ クリシュナ アッキネニ
Original Assignee
ディーテックス システムズ インコーポレイテッド
ディーテックス システムズ インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ディーテックス システムズ インコーポレイテッド, ディーテックス システムズ インコーポレイテッド filed Critical ディーテックス システムズ インコーポレイテッド
Publication of JP2018532217A publication Critical patent/JP2018532217A/ja
Application granted granted Critical
Publication of JP6549328B2 publication Critical patent/JP6549328B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

活動記録の処理方法。この方法は、活動記録を取得するステップと、匿名化辞書を生成するステップとを含む。匿名化辞書を生成するステップは、活動記録において、匿名化すべき一連の標的エンティティを検出するステップと、あるリソースが一連の標的エンティティのうちの一部の標的エンティティに関連している旨の判定を行うステップと、判定を行った後に、一部の標的エンティティに匿名アイデンティティを割り当てるステップと、一部の標的エンティティの各標的エンティティの匿名化識別子を生成して、それぞれが匿名アイデンティティを含む一連の匿名化識別子を取得するステップとを含む。この方法は、匿名化辞書を用いて活動記録を処理して匿名活動記録を取得するステップと、匿名活動記録を記憶するステップとをさらに含む。
【選択図】図1C

Description

脅威をもたらし得る挙動を検出するために、企業のコンピュータ装置における活動を追跡することができる。
一般に本発明は、1つの態様では、活動記録の処理方法に関する。この方法は、活動記録を取得するステップと、匿名化辞書を生成するステップとを含む。匿名化辞書を生成するステップは、活動記録において、匿名化すべき一連の標的エンティティを検出するステップと、あるリソースが一連の標的エンティティのうちの一部の標的エンティティに関連している旨の判定を行うステップと、判定を行った後に、一部の標的エンティティに匿名アイデンティティを割り当てるステップと、一部の標的エンティティの各標的エンティティの匿名化識別子を生成して、それぞれが匿名アイデンティティを含む一連の匿名化識別子を取得するステップとを含む。この方法は、匿名化辞書を用いて活動記録を処理して匿名活動記録を取得するステップと、匿名活動記録を記憶するステップとをさらに含む。
一般に本発明は、1つの態様では、活動記録の処理方法に関する。この方法は、活動記録を取得するステップと、匿名化辞書を生成するステップとを含む。匿名化辞書を生成するステップは、活動記録において、匿名化すべき一連の標的エンティティを検出するステップと、一連の標的エンティティの各一意の標的エンティティに匿名アイデンティティを割り当てるステップと、一連の標的エンティティの辞書エントリを生成するステップとを含む。各辞書エントリは、標的エンティティと、標的エンティティの匿名アイデンティティを含む対応する匿名識別子とを含む。この方法は、等価マップを生成するステップをさらに含む。等価マップを生成するステップは、あるリソースが一連の標的エンティティのうちの一部の標的エンティティに関連している旨の判定を行うステップと、一部の標的エンティティがリソースに関連している旨を指定するアイデンティティ関係を等価マップに記憶するステップとを含む。この方法は、匿名化辞書を用いて活動記録を処理して匿名活動記録を取得するステップと、匿名記録を記憶するステップとをさらに含む。
一般に本発明は、1つの態様では、活動記録を処理するシステムに関する。このシステムは、活動記録を取得して匿名化辞書を生成するようにプログラムされた匿名化エンジンを含む。匿名化辞書の生成は、活動記録において、匿名化すべき一連の標的エンティティを検出することと、あるリソースが一連の標的エンティティのうちの一部の標的エンティティに関連している旨の判定を行うことと、一部の標的エンティティに匿名識別子を割り当てることとを含む。匿名化エンジンは、匿名化辞書を用いて活動記録を処理して匿名活動記録を取得するようにさらにプログラムされる。このシステムは、匿名活動記録を記憶するように構成されたリポジトリも含む。
一般に本発明は、1つの態様では、活動記録を処理するシステムに関する。このシステムは、活動記録を取得して匿名化辞書を生成するようにプログラムされた匿名化エンジンを含む。匿名化辞書の生成は、活動記録において、匿名化すべき一連の標的エンティティを検出することと、一連の標的エンティティの各一意の標的エンティティに匿名アイデンティティを割り当てることと、一連の標的エンティティの辞書エントリを生成することとを含む。各辞書エントリは、標的エンティティと、標的エンティティの匿名アイデンティティを含む対応する匿名識別子とを含む。匿名化エンジンは、等価マップを生成するようにさらにプログラムされる。等価マップの生成は、あるリソースが一連の標的エンティティのうちの一部の標的エンティティに関連している旨の判定を行うことと、一部の標的エンティティがリソースに関連している旨を指定するアイデンティティ関係を等価マップに記憶することとを含む。等価マップの生成は、匿名化辞書を用いて活動記録を処理して匿名活動記録を取得することをさらに含む。このシステムは、匿名活動記録を記憶するように構成されたリポジトリをさらに含む。
一般に本発明は、1つの態様では、活動記録の処理方法に関する。この方法は、一連の活動記録を取得するステップと、一連の活動記録のうちの少なくとも1つを一連の作業者の各々に提供するステップと、一連の作業者の各々から一連の標的エンティティを受け取るステップと、一連の標的エンティティを用いて匿名化辞書を生成するステップと、一連の作業者の各々に匿名化辞書のコピーを提供するステップと、一連の作業者の各々から、匿名化辞書のコピーを用いて生成された少なくとも1つの匿名活動記録を受け取るステップと、匿名活動記録を記憶するステップとを含む。
一般に本発明は、1つの態様では、活動記録の処理方法に関する。この方法は、第1のエンドポイントエージェントから第1の一連の匿名活動記録と第1のローカル匿名化辞書とを取得するステップと、第2のエンドポイントエージェントから第2の一連の匿名活動記録と第2のローカル匿名化辞書とを取得するステップとを含む。この方法は、第1の一連の匿名活動記録と、第1のローカル匿名化辞書と、第2の一連の匿名活動記録と、第2のローカル匿名化辞書とを記憶するステップと、第1の一連の匿名活動記録と、第1のローカル匿名化辞書と、第2の一連の匿名活動記録と、第2のローカル匿名化辞書とを用いて脅威分析を実行するステップとをさらに含む。
本発明の他の態様は、以下の説明及び添付の特許請求の範囲から明らかになるであろう。
本発明の1又は2以上の実施形態によるシステムを示す図である。 本発明の1又は2以上の実施形態によるシステムを示す図である。 本発明の1又は2以上の実施形態によるシステムを示す図である。 本発明の1又は2以上の実施形態によるシステムを示す図である。 本発明の1又は2以上の実施形態によるフローチャートである。 本発明の1又は2以上の実施形態によるフローチャートである。 本発明の1又は2以上の実施形態によるフローチャートである。 本発明の1又は2以上の実施形態によるフローチャートである。 本発明の1又は2以上の実施形態による活動記録サンプルと匿名された活動記録サンプルとを示す図である。
以下、添付図を参照しながら本発明の具体的な実施形態を詳細に説明する。以下の本発明の実施形態の詳細な説明では、本発明を完全に理解できるように数多くの具体的な詳細を示す。しかしながら、当業者には、これらの具体的な詳細を伴わずに本発明を実施できることが明らかであろう。場合によっては、説明を不必要に複雑にしないように周知の特徴については詳細に説明していない。
以下の図1A〜図4の説明では、本発明の様々な実施形態において図に関して説明するあらゆる構成要素が、他のいずれかの図に関して説明する1又は2以上の類似名の構成要素に相当することができる。簡潔にするために、これらの構成要素の説明を各図に関して繰り返すことはない。従って、各図の構成要素のありとあらゆる実施形態は参照することによって盛り込まれ、1又は2以上の類似名の構成要素を有する他の全ての図にも任意に存在すると想定する。また、本発明の様々な実施形態によれば、図の構成要素についてのあらゆる説明は、他のいずれかの図における対応する類似名の構成要素に関して説明する実施形態に加えて、そのような実施形態と共に、又はそのような実施形態の代わりに実装できる任意の実施形態として解釈されたい。
本出願全体を通じ、序数(例えば、第1の、第2の、第3の、など)は、要素(すなわち、本出願におけるあらゆる名詞)の形容詞として使用することができる。序数の使用は、「〜の前の(before)」、「〜の後の(after)」、「単一の(single)」という用語及びその他のこのような用語を使用することなどによって明確に開示していない限り、要素のいずれかの特定の順序付けを示唆又は形成するものでも、いずれかの要素を単一の要素のみに限定するものでもない。むしろ、序数の使用は、要素同士を区別するためのものである。一例として、第1の要素は第2の要素と異なり、第1の要素は複数の要素を含み、要素の順序付けにおいて第2の要素に後続(又は先行)することができる。
一般に、本発明の実施形態は、活動記録を匿名化する方法及びシステムに関する。本発明の1又は2以上の実施形態では、企業内及び企業外脅威を含むサイバー攻撃脅威の検出に使用されるシステムが、脅威分析を実行する目的で活動記録を取得することができる。企業内脅威は、例えば企業の従業員が企業のコンピュータ装置を用いて不正操作を実行することによって引き起こされる恐れがある。例えば、従業員(又は、一般に企業が所有及び/又は運用するコンピュータ装置を操作するユーザ)が、適正な許可を伴わずに機密情報にアクセスしたり、機密情報をコピーして配布したり、ウェブページ上の違法コンテンツ又は非倫理的コンテンツなどにアクセスしたりする可能性がある。企業外脅威は、コンピュータ装置、ネットワークインフラ、データストレージなどの企業が所有するリソースを標的にしたサイバー攻撃とすることができる。本発明の1又は2以上の実施形態によるサイバー攻撃脅威の検出方法及びシステムは、このような脅威及び/又は潜在的脅威を識別して警告を発するために使用することができる。本発明の1又は2以上の実施形態では、企業のコンピュータ装置によって活動がログ記録される。結果として得られる活動記録を、脅威を示し得る活動が存在するかどうかについて分析することができる。
活動記録の分析は、自動化又は部分的に自動化することができ、例えば脅威をもたらし得る活動の兆候が存在するかどうかについて活動記録を解析する脅威分析アルゴリズムによって実行することができる。脅威分析アルゴリズムは、非安全な活動が見つかった場合に(単複の)警告を発することができる。本発明の1又は2以上の実施形態では、活動記録の匿名化が行われる。具体的には、活動記録を匿名化して、たとえ活動記録において確認された活動に関連するリソース(例えば、人的リソース、すなわちユーザ、又はドメイン名、IPアドレス、ポート番号、ホスト名などを含む他のいずれかのタイプのリソース)を活動記録から識別できない場合でも脅威分析を実行できるようにすることができる。さらに、リソースのアイデンティティが必要な場合には、許可された活動記録閲覧者がリソースを識別することができる。許可された閲覧者は、例えば従業員管理者、人事部の従業員、企業内及び/又は企業外のセキュリティ分析者などとすることができる。許可された閲覧者は、許可のレベルに応じて、匿名性を完全に解除した(すなわち、オリジナルの)活動記録、又は様々な設定可能な程度に匿名化されたままの活動記録を再調査することができる。
検出された非安全な活動に基づいて脅威分析アルゴリズムが脅威警告を発した時には、管理者に通知することができる。管理者は、匿名活動記録にアクセスして、脅威警告を引き起こした活動を再調査することができる。活動記録は、管理者の特権に応じて部分的に又は完全に匿名性を解除して、管理者による活動の脅威の可能性評価を可能にすることができる。
活動記録の匿名化を使用すると、例えば企業内で使用されているドメイン名及びIPアドレスなどの、ユーザのアイデンティティのみならず企業関連情報も含むリソースのアイデンティティを保護することができる。例えば、活動記録を第三者と共有する場合には、ITインフラの詳細などの企業内情報が意図せず開示されるのを避けるために、このような企業内情報を匿名化することが必要になり得る。匿名活動記録は、例えば脅威のモニタリング及び分析を提供するサービスプロバイダなどによって脅威の分析が外部的に行われる場合には外部の第三者と共有することができる。さらに、匿名活動記録は、脅威検出アルゴリズム及び/又は匿名化アルゴリズムの外部開発者と共有することもできる。
図1Aに、本発明の1又は2以上の実施形態によるシステムを示す。このシステムは、コンピュータ装置A〜N(104A〜104N)と相互作用できる1又は2以上のユーザ(102)を含むことができる。各コンピュータ装置(104A〜104N)は、ユーザとコンピュータ装置との相互作用に基づいて活動記録を生成できるエンドポイントエージェント(106A〜106N)をホストすることができる。本発明の1又は2以上の実施形態によるシステムは、以下で図1B及び図2A、図2B、図3A及び図3Bを参照しながらさらに説明するように、エンドポイントエージェントA〜N(106A〜106N)から受け取られた活動記録を脅威が存在するかどうかについて分析することができる活動モニタリングエンジン(108)をさらに含む。本発明の1又は2以上の実施形態によるこのシステムは、以下でさらに説明するような脅威の検出及び分析に寄与することができる第三者システム(110)を含むこともできる。以下、これらの構成要素の各々について説明する。
本発明の1又は2以上の実施形態では、ユーザ(102)が、コンピュータ装置A〜N(104A〜104N)のうちの1つ又は2つ以上を操作する。ユーザは、例えば接続先の企業サーバに記憶されたコンテンツやソフトウェアアプリケーションなどの特定のリソースへのアクセス権を認めることができるユーザアカウントを有することができる。ユーザアカウントは、ユーザのニーズに基づいて個別化することができる。例えば、設計エンジニアは、機械部品ライブラリなどの技術設計リソースにアクセスできる一方で販売データにはアクセスすることができず、人事部の従業員は、個人データにアクセスできる一方で技術設計リソース及び販売データにはアクセスすることができない。
ユーザ(102)は、コンピュータ装置(104A〜104N)を使用して業務関連タスクを実行することができる。しかしながら、コンピュータ装置は、例えばユーザが不正な形でデータにアクセスしたり、セキュリティ対策を迂回したり、海賊版のアプリケーション及び/又は媒体を使用したり、外部の取り外し可能記憶媒体などに機密情報をコピーしたりすることによって悪用される可能性もある。また、コンピュータ装置は、例えばハッキング攻撃及びマルウェアによって引き起こされる企業外脅威に直面する恐れもある。コンピュータ装置(104A〜104N)は、例えば、モバイル装置(例えば、ラップトップコンピュータ、スマートフォン、携帯情報端末、タブレットコンピュータ又はその他のモバイル装置)、デスクトップコンピュータ、サーバ、サーバシャーシのブレード、或いは本発明の1又は2以上の実施形態を実行するように少なくとも最小処理能力と、メモリと、入出力装置とを含む他のいずれかのタイプの1又は複数のコンピュータ装置とすることができる。コンピュータ装置は、1又は2以上のコンピュータプロセッサと、関連するメモリ(例えば、ランダムアクセスメモリ(RAM)、キャッシュメモリ、フラッシュメモリなど)と、1又は2以上の記憶装置(例えば、ハードディスク、コンパクトディスク(CD)ドライブ又はデジタル多機能ディスク(DVD)ドライブなどの光学ドライブ、フラッシュメモリスティックなど)と、ユーザとコンピュータ装置との相互作用を可能にする入出力装置などの他の数多くの要素及び機能とを含むことができる。コンピュータ装置は、ネットワークインターフェイス接続を介してネットワーク(例えば、企業のローカルエリアネットワーク(LAN)、インターネットなどのワイドエリアネットワーク(WAN)、モバイルネットワーク、又は他のいずれかのタイプのネットワーク)にさらに接続することができる。
本発明の1又は2以上の実施形態では、コンピュータ装置(104A〜104N)の各々が、エンドポイントエージェント(106A〜106N)をホストする。エンドポイントエージェントは、エンドポイントエージェントをホストするコンピュータ装置上の活動をモニタすることによって、活動を記録した活動記録を作成するために使用することができる。活動記録は、設定可能な詳細レベルで活動を記録することができる。例えば、活動記録は、アプリケーションウィンドウが開かれた日時、ユーザによって使用されたアプリケーション名、アプリケーションのタイトルバーにおける情報、アプリケーションウィンドウにおける設定可能なコンテンツの量、アプリケーションへのアクセスに使用されたユーザアカウント、コンテンツが記憶されたファイルシステムパス、アクセスを受けたデータ、ネットワーク接続を介して転送された情報、などのメタデータのうちの1つ又は2つ以上を記録することができる。従って、活動記録は、ユーザ活動を記録したメタデータを含む1つ又は一連の文字列とすることができる(図4を参照)。エンドポイントエージェント(106A〜106N)は、活動モニタリングエンジン(108)に動作可能に接続することができる。例えば、コンピュータ装置(104A〜104N)には、ローカルエリアネットワーク(LAN)などのコンピュータネットワークを介して、企業が所有する及び/又は企業が運用するサーバ上で実行できる活動モニタリングエンジン(108)を接続し、従ってエンドポイントエージェント(106A〜106N)が脅威の検出及び分析のために活動モニタリングエンジン(108)に活動記録を提供できるようにすることができる。本発明の1又は2以上の実施形態では、エンドポイントエージェント(106A〜106N)を、例えばコンピュータ装置(104A〜104N)上のバックグラウンドプロセスとしてとして実行されるソフトウェア、又は上記のタスクを実行できるソフトウェアとハードウェアの組み合わせとすることができる。
本発明の1又は2以上の実施形態では、以下で図1Bを参照しながら詳述する活動モニタリングエンジンが、コンピュータ装置A〜N(104A〜104N)から活動記録を取得し、脅威をもたらし得るユーザ行動などの活動が存在するかどうかについて活動記録を分析することができる。本発明の1又は2以上の実施形態では、活動モニタリングエンジン(108)が活動記録の匿名化を実行する。以下で図1B、図2A、図2B、図3A及び図3Bを参照しながら詳述するように、匿名化は、脅威の検出を損なうことなくリソースのアイデンティティを保護するように行うことができる。本発明の1又は2以上の実施形態では、活動モニタリングエンジンを、例えばサーバをコンピュータ装置A〜N(104A〜104N)に接続するコンピュータネットワークを介してエンドポイントエージェント(106A〜106N)に動作可能に接続されたサーバなどのコンピュータ装置(図示せず)上で実行され、従って活動モニタリングエンジンがエンドポイントエージェントから活動記録を取得できるようにする1つ又は一連のソフトウェアモジュールとすることができる。活動モニタリングエンジン(108)をホストするコンピュータ装置は、企業のITインフラの一部とすることができる、企業が所有する及び/又は企業が運用する物理又は仮想サーバとすることも、或いは、例えば脅威の検出をサービスとして提供する第三者などの第三者が所有して運用できるクラウドベースの又は遠隔に配置されたサーバなどの、構外に位置する第三者の物理又は仮想サーバとすることもできる。本発明の1つの実施形態では、以下で図1Bを参照しながら詳述するように、活動モニタリングエンジン(108)のソフトウェアモジュールを分散方式で実装することができる。
図1Aの説明を続けると、本発明の1つの実施形態では、システムが第三者システム(110)をさらに含む。第三者システムは、以下で図1B、図2及び図3を参照しながらさらに詳細に説明するように、例えば匿名化、脅威検出及び脅威分析を提供するサービスとすることができる。第三者システムは、脅威検出をサービスとして提供する企業によって提供することができる。さらに、第三者システムは、脅威分析及び検出アルゴリズム、及び/又は活動記録の匿名化を実行する匿名化エンジンの開発及び共有のためのプラットフォーム及び/又は市場とすることもできる。従って、第三者システム(110)は、活動モニタリングエンジンと相互作用することができる。活動記録を第三者システムと共有する場合には、以下で詳細に説明するように、リソースアイデンティティ及び/又は企業内情報の漏洩を避けるために、活動記録の共有前に、共有される活動記録を本発明の1又は2以上の実施形態に従って匿名化することができる。
図1Bに、本発明の1又は2以上の実施形態による活動モニタリングエンジンを示す。活動モニタリングエンジン(108)は、匿名化エンジン(112)と、匿名化対応リポジトリ(114)と、匿名活動記録リポジトリ(120)と、脅威分析エンジン(122)と、脅威分析者インターフェイス(124)とを含むことができる。以下、これらの構成要素の各々について説明する。
本発明の1又は2以上の実施形態による匿名化エンジン(112)は、エンドポイントエージェントA〜N(106A〜106N)から取得した活動記録を匿名化し、匿名活動記録リポジトリ(120)に匿名活動記録を書き込む。以下で図1C及び図1D、図2A、図2B、図3A及び図3Bを参照しながらさらに説明するように、匿名化エンジン(112)は、匿名化対応リポジトリ(114)のエントリに基づいて匿名化を実行することができる。本発明の1又は2以上の実施形態では、匿名化エンジン(112)を、図2A、図2B、図3A及び図3Bに示す方法のステップの少なくとも一部を実行するように設計されたソフトウェアとすることができる。本発明の1つの実施形態では、匿名化エンジンを、(例えばサーバをコンピュータ装置A〜N(104A〜104N)に接続するコンピュータネットワークを介して)例えばエンドポイントエージェント(106A〜106N)に動作可能に接続され、従って活動モニタリングエンジンがエンドポイントエージェントから活動記録を取得できるようにするサーバなどの単一のコンピュータ装置上で実行することができる。或いは、匿名化エンジンは、別個の作業者、すなわち別個のコンピュータ装置によって匿名化が行われる分散システムとすることもできる。これらの作業者は、例えばコンピュータ装置A〜N(104A−104)とすることができる。このようなシナリオでは、コンピュータ装置A〜N(104A〜104N)によってホストされるエンドポイントエージェント(106A〜106N)に、活動記録を分散して匿名化するように構成されたバージョンの匿名化エンジンを含めることができる。或いは、作業者は、例えばAmazon Web Service(登録商標)などによってホストされるクラウドベースとすることも、又は脅威検出をサービスとして実行する第三者によって提供することもできる。
本発明の別の実施形態では、エンドポイントエージェントがローカルで匿名化を実行することも、或いはエンドポイントエージェントが実行されている同じコンピュータ装置上で実行される関連プロセスによって匿名化を実行することもできる。このようなシナリオでは、エンドポイントエージェント(又は関連プロセス)が、図2A〜図3Bに示す方法を実行した後に、結果として得られる匿名活動記録をローカル匿名化辞書(及び、存在する場合にはローカル等価マップ(local equivalence map))と共に活動モニタリングエンジンに提供することができる。その後、活動モニタリングエンジンは、活動記録、ローカル匿名化辞書、及び存在する場合にはローカル等価マップを記憶することができる。
さらに、本発明の1つの実施形態では、システムが、例えば異なる程度の匿名化を取得するために、複数の匿名化エンジン、及び/又は複数の匿名化段階を含む単一の匿名化エンジンを採用することができる。匿名化エンジン又は匿名化エンジンの段階は、直列に接続されることにより、様々な匿名化エンジン又は段階によって活動記録が連続的に処理されるにつれて活動記録の匿名化の程度を増分的に高めることができる。或いは、匿名化エンジン又は匿名化エンジンの段階が活動記録に対して同時に作用して、各匿名化エンジン又は段階が活動記録を異なる程度に匿名化することもできる。活動記録の匿名化を行う詳細については、以下で図2A、図2B、図3A及び図3Bを参照しながら示す。
本発明の1又は2以上の実施形態では、匿名化エンジン(112)が、活動記録を匿名化するために匿名化対応リポジトリ(114)に依拠する。匿名化対応リポジトリは、以前に匿名化された活動記録の匿名性を解除するためにさらに使用することができる。匿名化対応リポジトリ(114)を用いた匿名化及び匿名性の解除は、匿名化対応リポジトリに含まれる匿名化辞書(116)及び/又は等価マップ(118)のエントリに基づくことができる。匿名化辞書(116)は、標的エンティティ(すなわち、匿名化すべきリソース関連用語)と匿名識別子との間の関係性を構築することができる。匿名化エンジンは、例えば活動記録の匿名化中に標的エンティティに出くわした時に、匿名化辞書に問い合わせることができる。標的エンティティについての匿名化辞書エントリが存在する場合、匿名化エンジンは、活動記録における匿名化すべき標的エンティティを、対応する匿名識別子に置き換えることができる。標的エンティティについての匿名化辞書エントリが存在しない場合、匿名化エンジンは、標的エンティティと匿名識別子とを匿名化辞書に追加することができる。本発明の1つの実施形態では、匿名化辞書をアクセス保護されたデータベースとし、すなわち許可されたユーザしか匿名化辞書にアクセスできないようにすることにより、匿名性が解除されたバージョンの匿名活動記録を閲覧することが許可されたユーザしか匿名活動記録のリソースアイデンティティを再構築できないように保証することができる。このようなユーザは、例えば人事部によって認められたセキュリティ分析者とすることができる。匿名化辞書に使用されるデータベースは、標的エンティティと匿名識別子との間の対応を構築するエントリを記憶するのに適したいずれかのフォーマットを用いて実装することができる。データベースは、例えばテキストファイル、スプレッドシート、SQLデータベースなどとすることができる。匿名化辞書は、例えばハードディスクドライブ又はRAMなどの不揮発性メモリ又は揮発性メモリに記憶することができる。
本発明の実施形態は、等価マップ(118)をさらに含むことができる。以下で図1Dを参照しながら詳細に説明する等価マップは、匿名化辞書のエントリ間の関係性を、例えば匿名化辞書の複数のエントリに関与する同じアイデンティティ(例えば、ユーザ又は企業)との関連性に基づいて定めることができる。或いは、匿名化エンジンによってエントリ間の関係性が検出及び/又は考慮されない場合、或いは以下で図1Cを参照しながら詳細に説明するように匿名化辞書(116)内でエントリ間の関係性が構築されている場合には、等価マップを使用しなくてもよい。等価マップは、アクセス保護することも又はしないこともできるデータベースとすることができる。等価マップに使用されるデータベースは、匿名化辞書の関連するエントリ間の対応を構築するエントリを記憶するのに適したいずれかのフォーマットを用いて実装することができる。データベースは、例えばテキストファイル、スプレッドシート、SQLデータベースなどとすることができる。等価マップに使用されるデータベースは、匿名化辞書にも使用されるデータベース、又は別個のデータベースとすることができる。等価性は、例えばハードディスクドライブ又はRAMなどの不揮発性メモリ又は揮発性メモリに記憶することができる。本発明の1つの実施形態では、匿名化対応リポジトリ(114)が、例えば匿名化エンジンを実行するサーバなどの中心位置に記憶される。さらに、例えば複数の匿名化エンジン又は匿名化エンジンの段階を用いて分散匿名化を実行する場合には、匿名化対応リポジトリのコピー、或いは匿名化対応リポジトリから導出された及び/又は匿名化対応リポジトリと同期したさらなる匿名化対応リポジトリを他のコンピュータ装置に記憶することもできる。匿名化対応リポジトリ(114)に関するさらなる詳細については、以下で図1C及び図1Dを参照しながら説明する。
本発明の1又は2以上の実施形態では、匿名化エンジンによって生成された匿名活動記録が、匿名活動記録リポジトリ(120)に記憶される。匿名活動記録リポジトリは、最新の一連の匿名活動記録のみを含むことも、或いは長期にわたって取得された匿名活動記録の累積履歴を含むこともできる。本発明の1つの実施形態では、匿名活動記録リポジトリが、匿名化エンジンによって生成された全ての匿名活動記録を受け取る。或いは、複数の匿名活動記録リポジトリが存在し、匿名化されたユーザ活動記録が、活動記録の起点に応じて特定の活動記録リポジトリに記憶されるようにすることもできる。例えば、ある活動記録リポジトリは、特定の企業分割に由来する匿名活動記録のみを記憶することができる。本発明の1つの実施形態では、異なる程度に匿名活動記録を記憶するために、複数の匿名活動記録リポジトリを採用する。例えば、1つの匿名活動記録リポジトリは、ユーザ名のみが匿名化された匿名活動記録を記憶できるのに対し、別個の匿名活動記録リポジトリは、あらゆるタイプの企業リソース関連情報が匿名化された匿名活動記録を記憶することができる。匿名活動記録リポジトリは、匿名化の程度に応じて様々な程度にアクセス保護することができる。例えば、ユーザ名のみが匿名化された活動記録を含む匿名活動記録リポジトリには、限られた一群の許可された閲覧者しかアクセスできず、従って強力なアクセス保護が必要であるのに対し、全ての企業リソース関連情報が匿名化された活動記録を含む匿名活動記録リポジトリには、より多くの一群の許可された閲覧者がアクセスすることができ、従って基本的なアクセス保護しか必要でない。本発明の1つの実施形態では、匿名活動記録、或いは全体的又は部分的な匿名活動記録リポジトリを、例えば脅威分析を実行する第三者などの第三者と、及び/又は脅威分析アルゴリズム及び/又は匿名化エンジンの開発者と共有することができる。このような場合には、不注意による機密情報の開示を避けるように、ほとんど又は全ての企業リソース関連情報を匿名化することができる。
本発明の1つの実施形態では、活動記録を記憶するのに適したいずれかのフォーマットを用いて匿名活動記録リポジトリを実装することができる。活動記録リポジトリは、例えばテキストファイル、スプレッドシート、SQLデータベースなどとすることができる。本発明の1又は2以上の実施形態では、活動記録リポジトリが、例えば匿名化エンジンを実行するサーバなどの中心位置に記憶される。さらに、活動記録リポジトリは、例えばクラウドストレージなどに遠隔的に記憶することもできる。
本発明の1又は2以上の実施形態では、脅威分析エンジンが、匿名活動記録リポジトリ(120)から匿名活動記録を取得して、取得した匿名活動記録を潜在的な脅威があるかどうかについて分析することができる。本発明の1つの実施形態では、脅威分析エンジンが存在する場合、脅威分析エンジンが、等価マップの少なくとも一部を使用して脅威分析を実行することができる。本発明の1つの実施形態では、脅威分析エンジンが、脅威検出アルゴリズムを用いて、匿名活動記録が脅威の兆候を含むかどうかを判定する。脅威検出アルゴリズムは、匿名活動記録に記憶された活動を評価し、異常な活動が検出された場合には警告を発することができる。脅威検出アルゴリズムは、異常な活動によってもたらされるリスクをさらに定量化することができる。高リスクスコアはリスクが高いことを示し、従って警告を必要とし得るのに対し、低スコアは、必ずしも直ぐに警告を引き起こさなくてもよい。異常な活動の検出は、典型的な、すなわち予想される活動との比較に基づくことができる。例えば、活動記録に記憶されたユーザ活動を、企業内でのユーザの役割通りの典型的なユーザの行動と比較することができる。ユーザの役割に適合しない異常なユーザ行動の例としては、エンジニアが顧客リストを外部記憶装置にコピーすることや、セールスマンが機密技術記録を外部記憶装置にコピーすることなどが挙げられる。これとは別に、又はこれに加えて、異常なユーザ行動の検出は、過去のユーザ行動、及び/又は既知の以前の内部脅威事例からのデータとの比較に基づくこともできる。例えば、主にサプライヤの製品を研究するためにインターネットに依拠していた企業従業員が、最近では企業の直接競合他社に接触するためにインターネットを使用し始めたことも疑わしいと考えることができる。さらに、脅威検出は、活動記録に記憶されているリソース活動を、過去の及び/又は典型的なリソース活動と比較することもできる。例えば、これまでほとんどアイドル状態だったハードドライブに継続的にアクセスが行われている場合は疑わしいと考えられる。脅威分析エンジンは、本発明から逸脱することなく他の脅威検出方法を実行することもできる。脅威検出では、例えばこれに加えて、セキュリティ専門家などの人間のオペレータが、手動脅威検出及び/又は脅威分析エンジンによって検出された脅威の手動再調査を行うこともできる。
脅威分析エンジンは、例えば匿名活動記録を第三者と共有し、第三者によって開発された脅威分析アルゴリズム及び/又は匿名化エンジンにアクセスし、第三者によって開発された脅威分析アルゴリズム及び/又は匿名化エンジンをダウンロードし、現在使用しているアルゴリズムに置き換えて潜在的にこれらを設定するような第三者システム(110)との相互作用を可能にする1又は2以上のアプリケーションプログラミングインターフェイス(API)を含むことができる。
脅威分析エンジン(122)は、例えば匿名化エンジンを実行するサーバなどの単一のコンピュータ装置上で実行することができる。他の実装では、脅威分析エンジンを別個のコンピュータ装置上で局所的に又は遠隔的に実行することができ、例えばクラウドサーバ上にホストすることができる。さらに、複数の脅威分析エンジンを用いて分散脅威分析を実行することもできる。
本発明の1又は2以上の実施形態では、脅威分析者インターフェイスが、サイバー攻撃の脅威を検出するための様々なシステム機能へのアクセスを提供するユーザインターフェイスとして機能することができる。例えば、脅威分析者インターフェイスは、検出された脅威又は潜在的な脅威によって引き起こされた警告を表示することができる。脅威分析者インターフェイスは、例えば脅威警告を引き起こした匿名活動記録を含むこともできる脅威関連情報をさらに表示することができる。脅威分析者インターフェイスは、脅威、潜在的脅威及び脅威関連情報の選択的な表示を可能にする設定可能なフィルタをさらに含むことができる。例えば、フィルタを使用して、特定のユーザ又は一群のユーザの活動に関する脅威関連情報のみを表示することができる。また、脅威分析エンジンによって計算されたリスクスコアが設定閾値を超えない場合には異常な活動に対する警告を抑制するようにフィルタを構成することもできる。本発明の1つの実施形態では、脅威分析者インターフェイスが、匿名性を解除した又は部分的に匿名性を解除したバージョンの匿名活動記録をさらに表示することができる。匿名性解除の量は、オペレータの許可レベルに依存することができ、機密ユーザデータを見ることが完全に許可されているオペレータの場合の完全な匿名性解除から、オペレータが基本的な閲覧特権しか有していない場合の匿名性非解除にまで及ぶことができる。
本発明の1つの実施形態では、脅威分析者インターフェイス(124)をさらに使用して、活動モニタリングエンジン(108)の様々な構成要素を構成することができる。例えば、脅威分析者インターフェイスを使用して、匿名化エンジン(112)及び脅威分析エンジン(122)をパラメータ化することができる。例えば、脅威分析者インターフェイスを使用して、匿名化エンジン(112)によって実行される匿名化の程度を設定し、及び/又は脅威分析エンジン(122)が使用すべき特定の脅威検出アルゴリズムを選択してパラメータ化することができる。また、脅威分析者インターフェイス(124)は、匿名化対応リポジトリ(114)へのアクセスを提供して、匿名化対応リポジトリコンテンツの閲覧及び編集を可能にすることもできる。
本発明の1又は2以上の実施形態では、脅威分析者インターフェイス(124)が、匿名化エンジン(112)及び脅威分析エンジン(122)に動作可能に接続されるとともに匿名化対応リポジトリ(114)及び匿名活動記録リポジトリ(120)にさらに動作可能に接続できるグラフィカルユーザインターフェイス(GUI)である。脅威分析者インターフェイス(124)は、オペレータが脅威分析者インターフェイスと相互作用するために必要な入出力インターフェイスを提供するいずれかのコンピュータ装置上で実行することができる。例えば、好適なコンピュータ装置は、デスクトップコンピュータ、サーバ、又はモバイル装置(例えば、ラップトップコンピュータ、スマートフォン、携帯情報端末、タブレットコンピュータ又はその他のモバイル装置)とすることができる。
図1Cに、本発明の1又は2以上の実施形態による匿名化対応リポジトリ(114)を示す。匿名化対応リポジトリは、匿名化辞書(116)を含む。匿名化辞書(116)は、リソースプロファイル(150.1〜150.Z)を含む。リソースプロファイルは、例えば特定のユーザ又は特定の企業などの特定のリソースに起因し得る情報を構造化するために使用することができる。例えば、あるユーザは、匿名化辞書が同じリソースプロファイル下にエントリを含む複数の電子メールアドレスを有するリソースとすることができ、及び/又はある企業は、匿名化辞書が同じリソースプロファイル下にエントリを含むIPアドレス、ドメイン名などの複数のリソースを有することができる。従って、必要に応じてリソースをグループ化するために別個のリソースプロファイルが存在することができる。各リソースプロファイルに含まれるエントリの各々は、標的エンティティ(152.1.1〜152.2.2)と、対応する匿名識別子(154.1.1〜154.2.2)とを含むことができる。匿名識別子(154.1.1〜154.2.2)は、匿名アイデンティティ(ID)(156.1、156.2)と、エンティティタイプ(158.1.1〜158.2.2)と、インスタンスID(160.1.1〜160.2.2)とを含むことができる。以下、これらの各要素について説明する。特定のリソースプロファイルとの関連性が未知である標的エンティティ識別子及び対応する匿名識別子は、グループ化されずに辞書内の共通リソースプロファイル下に存在することができる。
匿名化辞書(116)における標的エンティティと匿名識別子との対は、匿名化すべき活動記録における標的エンティティ(152.1.1〜152.2.2)と、活動記録の匿名化中に標的エンティティに取って代わって使用される匿名識別子(154.1.1〜154.2.2)との間の関係性を構築することによって、活動記録の匿名化及び匿名性解除に使用される情報を記憶することができる。標的エンティティは、活動記録における、標的エンティティに関連するリソースのアイデンティティ、又は機密企業情報(すなわち、リソースに関連する企業(又は法人)に関する機密情報)を露呈する可能性がある、従ってリソースのアイデンティティ及び/又は機密企業情報を保護するために匿名化する必要がある用語とすることができる。例えば、標的エンティティは、ユーザ名、ログイン名、電子メールアドレス、企業名、パートナ名、IPアドレス、ドメイン名、ホスト名などとすることができる。匿名識別子は、匿名化辞書において匿名識別子と標的エンティティとの関係性を調べない限りリソース又は機密企業情報を識別できないような記述子とすることができる。匿名識別子は、匿名アイデンティティ(ID)(156.1、156.2)と、エンティティタイプ(158.1.1〜158.2.2)と、インスタンスID(160.1.1〜160.2.2)とを含むことができる。リソースプロファイルに固有の一意的な匿名ID(156.1、156.2)は、例えばいずれかのタイプの文字列、数字、記号、又はこれらのいずれかの組み合わせとすることができる。匿名IDは、ランダムに又は系統的に選択することができる。例えば、辞書内で使用されるユーザ識別子は、「USER1」「USER2」「USER3」など、又は「000」「001」「002」などとすることができる。
本発明の1又は2以上の実施形態では、匿名識別子(154.1.1〜154.2.2)が、標的エンティティを分類するためのエンティティタイプ(158.1.1〜158.2.2)をさらに含むことができる。例えば、分類は、「ユーザ名」、「電子メールアドレス」、「企業名」、「ドメイン名」、「ホスト名」、「IPアドレス」、及び機密データと見なされる他の選択的文字列のための「その他」を含むことができる。
本発明の1又は2以上の実施形態では、匿名化辞書が、同じエンティティタイプの複数の標的エンティティを含むことができる。John Smithというユーザが「j.smith@gmail.com」、「john_smith@yahoo.com」及び「john.smith@company.com」という電子メールアカウントを使用するシナリオについて検討する。これらの電子メールアドレスは、活動記録に記憶されている場合、いずれも匿名化エンジンによって標的エンティティとして検出することができる。従って、匿名化辞書は、「John Smith」というユーザの3つの電子メールアドレスのための3つのエントリを含むことができる。3つの標的エンティティは、全て「電子メールアドレス」というエンティティタイプである。さらに、3つのエントリは、同じリソース(ユーザである「John Smith」)に関連するので、全て単一のリソースプロファイルに編成される。
従って、匿名化辞書の同じリソースプロファイル下に、同じエンティティタイプを有する複数のエントリを作成することができる。これらの匿名識別子を区別するために、匿名識別子(154.11−154.2.2)の各々は、インスタンスID(160.1.1〜160.2.2)を含むことができる。上記の例では、標的エンティティ「j.smith@gmail.com」について作成されたエントリにインスタンスID「1」を使用することができ、標的エンティティ「john_smith@yahoo.com」について作成されたエントリにインスタンスID「2」を使用することができる。インスタンスIDは、リソースプロファイル内で一意のもの、或いは匿名化辞書内でグローバルに一意のものとすることにより、リソースプロファイル内における匿名識別子の区別を可能にすることができる。本発明の1つの実施形態では、インスタンスIDを匿名ID(156.1〜156.2)に含めることもできる。この場合、匿名識別子(154.1.1〜154.2.2)は、インスタンスID専用の別個のエントリを含まなくてもよい。
別の実施形態では、匿名化辞書エントリ、すなわち標的エンティティと匿名識別子との対が、リソースプロファイル内でグループ化されない。従って、匿名化辞書における匿名化辞書エントリを、これらのエントリの生成に関与するリソースに基づいて構造化しなくてもよい。図1Dに、本発明の実施形態による、匿名化辞書(116)がリソースプロファイルの所属に基づいてエントリを構造化しない匿名化対応リポジトリ(114)を示す。代わりに、匿名化対応リポジトリに含まれる等価マップ(118)を用いて、匿名化辞書(116)のエントリ間の関係性を構築する。本発明の1つの実施形態では、脅威分析エンジン(122)が匿名識別子間の関係性(すなわち、特定の匿名識別子が同じリソースに関連し得るという事実)を活用して脅威検出性能を改善できるようにするために、匿名化辞書(116)ではなく等価マップ(118)を脅威分析エンジン(122)と共有することができる。
図1Dに示す匿名化辞書(116)は、図1Cを参照して上述したエントリと同様のエントリを含む。しかしながら、これらのエントリは、リソースプロファイルの所属に基づいて構造化されていない。エントリは、図1Cを参照して上述したように、標的エンティティ(152.1〜152.Z)と、対応する匿名識別子(154.1〜154.Z)とを含む。さらに、匿名識別子は、図1Cを参照して上述したように、匿名アイデンティティ(156.1〜156.Z)と、エンティティタイプ(158.1〜158.Z)とを含む。
本発明の1又は2以上の実施形態では、図1Dに示す等価マップ(118)を用いて、匿名化辞書エントリの生成に関与するリソースに基づいて匿名化辞書エントリ間の関係性を構築することができる。例えば、ユーザ又は企業などの同じリソースに関連することが分かっているエントリは、等価マップ(118)におけるアイデンティティ関係(162.1〜162.Z)によって互いにリンクすることができる。例えば、アイデンティティ関係は、同じリソースに関連する匿名化辞書内の匿名化識別子のリスト、同じリソースに関連する匿名化辞書内のエントリを示す一連のポインタ、又は匿名化辞書内の関連するエントリを識別するのに適した他のいずれかの構造とすることができる。
「John Smith」というユーザが「j.smith@gmail.com」、「john_smith@yahoo.com」及び「john.smith@company.com」という電子メールアカウントを使用する上述したシナリオについて検討する。匿名化辞書は、3つの電子メールアドレスのための3つのエントリを含むことができる。3つの標的エンティティは、全て「電子メールアドレス」というエンティティタイプである。しかしながら、匿名化辞書には、これらのエントリの共通リソース(ユーザである「John Smith」)との関連性が定められていない。等価マップは、3つのエントリ全ての共通リソースとの関連性を構築するために、3つの匿名化辞書エントリをリンクするアイデンティティ関係を含む。
本発明の別の実施形態では、匿名化辞書エントリとリソースグループとの間の関連性を記録しなくてもよい。従って、匿名化辞書エントリは、共通のリソースに由来するかどうかに関わらず互いに無関係とすることができる。従って、この実施形態では、匿名化リポジトリが、リソースプロファイルの所属に基づいてエントリを構造化しない匿名化辞書(116)を含むことができる。この実施形態における匿名化識別子は、辞書内でグローバルに一意の匿名IDを含むことはできるが、インスタンスIDは含まなくてもよい。
「John Smith」というユーザが「j.smith@gmail.com、「john_smith@yahoo.com」及び「john.smith@company.com」という電子メールアカウントを使用する上述したシナリオに戻ると、匿名化辞書は、3つの電子メールアドレスのための3つのエントリを含むことができる。3つの標的エンティティは、全て「電子メールアドレス」というエンティティタイプである。しかしながら、匿名化辞書には、これらのエントリの共通リソース(ユーザである「John Smith」)との関連性が定められていない。従って、本発明のこの特定の実施形態によれば、匿名化辞書は、共通リソースとの関連性を記録しなくてもよい。匿名化エンジンは、活動記録において検出された標的エンティティの匿名化を実行するために、標的エンティティを求めて匿名化辞書を検索することができる。その後、匿名化エンジンは、標的エンティティを、匿名化辞書内の標的エンティティに対応する匿名識別子に置き換えることができる。匿名化辞書が標的エンティティのエントリを含まない場合、匿名化エンジンは、このようなエントリを匿名化辞書に追加することができる。
当業者であれば、活動記録を匿名化するシステムは、図1A〜図1Dに示す構成要素に限定されるものではないと認識するであろう。例えば、匿名化エンジン、匿名化辞書、匿名活動記録リポジトリ及び脅威分析エンジンを含む様々な構成要素は、繰り返しローカルに存在することも、或いは、例えば活動記録の分散匿名化を実行するために、構内、構外及び/又はクラウドベースの複数のコンピュータ装置にわたって分散することもできる。さらに、匿名化は、同時に又は連続して異なる程度に実行することができる。また、匿名化すべき活動記録は、必ずしもエンドポイントエージェントを備えたコンピュータ装置からのものでなくてもよい。例えば、活動記録は、第三者アプリケーションから、又は匿名化を必要とする活動記録を提供し得る他のいずれかのソースから、アプリケーションプログラミングインターフェイス(API)を介して取得することもできる。また、図1C及び図1Dには匿名化対応リポジトリの特定の構造を示しているが、匿名化リポジトリに含まれる匿名化辞書が標的エンティティと匿名識別子との間の関係性を構築する限り、匿名化対応リポジトリは、他のいずれかの方法で構造化することもできる。
図2A、図2B、図3A及び図3Bは、本発明の1又は2以上の実施形態によるフローチャートである。フローチャートの様々なステップを順に示して説明するが、当業者であれば、これらのステップの一部又は全部を異なる順序で実行することも、組み合わせ又は省略を行うことも、同時に実行することもできると理解するであろう。本発明の1つの実施形態では、本発明から逸脱することなく、図2A、図2B、図3A及び図3Bに示すステップを、図2A、図2B、図3A及び図3Bに示す他のいずれかのステップと同時に実行することができる。
図2A及び図2Bには、活動記録を匿名化する方法を示す。活動記録の匿名化中には、匿名化すべき標的エンティティを識別した後に、これらの標的エンティティを匿名識別子に置き換えることができる。標的エンティティとの置き換えに使用される匿名識別子は、匿名化辞書から取得することができる。匿名化辞書内に標的エンティティのエントリが存在しない場合、又は匿名化辞書自体が存在しない場合には、標的エンティティを匿名識別子に置き換える前に、匿名化辞書のエントリ又は匿名化辞書自体をそれぞれ生成することができる。置き換えるべき標的エンティティを構成するものは、構成可能とすることができる。例えば、結果として得られる匿名活動記録が企業内に留まる場合には、例えばユーザ名、電子メールアドレスなどのユーザアイデンティティに関するエンティティのみを匿名化すればよい。或いは、結果として得られる匿名活動記録を外部の第三者と共有する場合には、例えばユーザ名、電子メールアドレス、ドメイン名、IPアドレスなどの、一般に企業リソースに関する標的エンティティを匿名化することができる。従って、図2A及び図2Bに示す方法は、同じ活動記録が異なる程度の匿名化を取得するように、繰り返し、連続して又は同時に実行することができる。この方法は、1つ又は一連の活動記録をエンドポイントエージェントから取得した際に必ず実行することができる。或いは、特定の1つ又は一群のエンドポイントエージェントから活動記録が受け取られた時にのみこの方法を実行し、他のエンドポイントエージェントからの活動記録を無視することもできる。本発明の1又は2以上の実施形態では、図2A及び図2Bに示す方法のいくつかのステップを分散方式で実行することができる。以下、これらのステップの分散的実行の詳細と局所的実行の詳細とを対比して説明する。
以下の図2A及び図2Bの説明では、(単複の)活動記録にわたる1回目のパス(pass)で辞書を生成した後に(単複の)活動記録にわたる2回目のパスで活動記録を匿名化できる本発明の実施形態を図2Aに示し、(単複の)匿名化記録にわたる1回のパスで辞書の生成と活動記録の匿名化とを実行できる本発明の実施形態を図2Bに示す。本発明の1つの実施形態では、1つ又は一連の活動記録が受け取られる毎にこれらの方法を単独で実行することができ、すなわち次のさらなる活動記録を受け取ると、以前の実行とは無関係にこれらの方法を新たに実行することができる。従って、これらの方法を反復的に実行すると、導出元の活動記録のみに適用できる別個の独立した匿名化対応リポジトリを生成することができる。別の実施形態では、新たに受け取られたユーザ活動記録に対するこれらの方法の後続の実行が、以前に受け取られたユーザ活動記録に対する方法の以前の実行に依存することができる。従って、以前に受け取られた活動記録の処理時に構築された匿名化対応リポジトリを用いて、後から受け取られた活動記録を匿名化することができる。後から受け取られた活動記録の処理中には、後から受け取られた活動記録が匿名化対応リポジトリに未だ含まれていない標的エンティティを含む場合、匿名化対応リポジトリにさらなるエントリを追加することができる。
図2Aを参照すると、ステップ200において、活動モニタリングエンジンの匿名化エンジンが、エンドポイントエージェントから活動記録を取得する。活動記録は、例えば利用可能になった時にエンドポイントエージェントが活動記録をプッシュ配信することによって、又は活動モニタリングエンジンが新たな活動記録についてエンドポイントエージェントにポーリングを行うことによって取得することができる。活動記録は、エンドポイントエージェントによって生成された時に連続して取得することも、或いは、例えばエンドポイントエージェントが活動記録を蓄積して一定の時間間隔で匿名化エンジンに提供するシナリオでは、バッチで取得することもできる。本発明の1つの実施形態では、例えば暗号化を使用して、エンドポイントエージェントから匿名化エンジンへの送信について活動記録をアクセス保護することができる。
ステップ202において、匿名化対応リポジトリが存在するかどうかに関する判定を行う。匿名化辞書が存在しない場合、方法はステップ204に進むことができる。
ステップ204において、匿名化すべき標的エンティティが存在するかどうかについて、ステップ200で取得された活動記録をスキャンする。標的エンティティを検出する方法は、様々なものを利用することができる。以下、標的エンティティを検出する例示的な方法について説明する。これらの例示的な方法は、本発明の範囲を限定するものではない。
例示的な方法1−標的エンティティに関する情報を提供することができる。
例えば、IT管理者が、ユーザ名、電子メールアドレス、企業名、ホスト名及び/又はドメイン名などのリストを提供することができる。これに加えて、又はこれとは別に、機密と見なされる任意の文字列を提供することもできる。従って、提供された標的エンティティに基づいて活動記録のスキャンを行うことができる。
例示的な方法2−匿名化エンジンがアクセスできる情報から、標的エンティティに関する情報を推測することができる。
例えば、匿名化エンジンは、標的エンティティに関する情報を露呈し得るユーザプロファイルが存在するかどうかについて、サーバ及びユーザのコンピュータ装置のローカルディレクトリを解析することができる。例えば、Microsoft Windows(登録商標)オペレーティングシステムを使用するコンピュータ装置について検討する。このようなシステムでは、「\Users」ディレクトリ、及び/又はシステムのユーザのログイン名を含むことができる「\Documents and Setting」ディレクトリを調べることによって、システムのユーザに関する情報を取得することができる。「domain\username」のフォーマットのユーザ名も、ドメイン名の抽出を可能にすることができる。
例示的な方法3−標的エンティティに関する情報を導出することができる。
「John Smith」というユーザが既に分かっているシナリオについて検討する。既知のユーザ名「John Smith」を用いて、潜在的なさらなる標的エンティティを導出することができる。例えば、様々な潜在的電子メール識別子を予測することができる。これらの識別子は、例えば「john.smith」、「j.smith」、「j_smith」などを含むことができる。
例示的な方法4−活動記録内の構造的特徴を分析し、従って典型的な認識できる特徴に基づいて標的エンティティの識別を可能にすることによって、標的エンティティに関する情報を抽出することができる。
例えば、活動記録が「john.smith@gmail.com」を含む場合、このコンテンツは、特徴的な電子メールアドレスフォーマットに基づいて電子メールアドレスとして識別することができる。「john.smith」は、電子メール識別子として識別することができ、「gmail.com」は、電子メールプロバイダのドメイン名として識別することができる。また、電子メール識別子からユーザ名を導出することもできる。同様に、IPアドレスなどの他の標的アイデンティティも、その特徴的なフォーマットに基づいて識別することができる。
例示的な方法5−統計的方法及び人工知能法を用いて標的エンティティに関する情報を取得することができる。
例えば、機械学習、自然言語処理などを使用することができる。これにより、例えばある用語が、匿名化すべき標的エンティティ又は非標的エンティティ用語のいずれの可能性もある場合の曖昧性の除去が可能になる。例えば、「Stamp」という名字のユーザが郵便切手をインターネット検索したことに関する情報が活動記録に含まれているシナリオについて検討する。この時、活動において検出された「stamp」というインスタンスは、活動記録における関連情報に照らしてその曖昧性を除去することができる。例えば「joe Stamp」は、標的エンティティの可能性があるユーザ名として識別できるのに対し、「postage Stamp」及び/又は「rubber stamp」は、標的エンティティと見なされない。
当業者であれば、上述の方法を組み合わせて使用することもできると理解するであろう。さらに、本発明は、上述した匿名化すべき標的エンティティの検出方法に限定されるものではない。
標的エンティティが存在するかどうかについての活動記録のスキャン完了後に、検出された標的エンティティを妥当性について分析することができる。妥当でない標的エンティティは排除することができる。例えば、出現頻度が高過ぎる標的エンティティを排除することができる。「高過ぎる」を定義する閾値は構成可能とすることができ、特定の標的エンティティについて検出されたインスタンスの数と活動記録における全体的な単語数とを比べたものなどの比率とすることができる。他のルールを使用して、検出された標的エンティティをフォーマット及び/又は文脈に基づいて排除することもでき、例えば単語内に標的エンティティが出現するインスタンスを排除することができる。
さらに、検出された標的エンティティに基づいて、さらなる関連エンティティを識別することもできる。例えば、標的エンティティと共に一意的に出現する表現が一貫して現れる場合には、その表現も匿名化する必要がある目安とすることができる。この場合、この表現も、匿名化すべき標的エンティティに追加することができる。
ステップ206において、匿名化辞書を含む匿名化対応リポジトリを実装/更新する。ステップ206の詳細については、図3A及び図3Bに示す。使用する匿名化対応リポジトリのタイプに応じて、図3Aに示す方法又は図3Bに示す方法のいずれかを実行する。匿名化対応リポジトリが図1Cに示すタイプのものである場合には、図3Aに示す方法を実行することができ、匿名化対応リポジトリが図1Dに示すタイプのものである場合には、図3Bに示す方法を実行することができる。ステップ206の完了は、第1のパス、すなわち匿名化対応リポジトリの実装又は更新の完了を示す。
ステップ202を参照して、匿名化対応リポジトリが存在すると判定された場合、方法はステップ208に進むことができる。ステップ208において、匿名化すべき標的エンティティが存在するかどうかについて、ステップ200で取得された活動記録をスキャンする。このスキャンは、ステップ204に示すように実行することができる。なお、既存の匿名化対応リポジトリを用いて後から受け取られた活動記録を匿名化する実施形態では、匿名化対応リポジトリの存在のみをチェックすればよい(ステップ202)。後から受け取られた活動記録のために別個の匿名化対応リポジトリを生成する本発明の実施形態では、ステップ202及び204が存在しなくてもよく、すなわち方法は、ステップ202からステップ204及び206を経由してステップ210に進むことができる。
図2Aの説明を続けると、ステップ210において、匿名化すべき標的エンティティを、匿名化対応リポジトリの匿名化辞書から取得された匿名IDを含むことができる対応する匿名識別子に置き換える。ステップ210の完了は、第2のパス、すなわち活動記録の匿名化の完了を示す。
本発明の1つの実施形態では、匿名化エンジンが、エンティティタイプに特定の順序でランク付けすることができる。このランク付けは、特定のエンティティタイプが提供する情報の程度に基づくことができる。例えば、ユーザ名は、企業のコンピュータ装置にログオンできるユーザアカウントを有するユーザについてのみ検出されるのに対し、電子メールアドレスは、企業内ユーザ又は企業外ユーザの電子メールアドレスの可能性があるので、「ユーザ名」というエンティティタイプが提供する標的タイプに関する情報は、「電子メールアドレス」というエンティティタイプが提供するものよりも多くなり得る。従って、「ユーザ名」という標的エンティティによって提供される情報は、「電子メールアドレス」という標的エンティティによって提供される情報よりも高い固有性を有することができる。本発明の1つの実施形態では、置き換えられる標的エンティティに関連するエンティティタイプではなく、むしろエントリの最高ランクのエンティティタイプを匿名識別子と共に挿入することができる。例えば、ユーザ名と4つの電子メールアドレスとを含む匿名化辞書エントリが存在するシナリオについて検討する。従って、5つの標的エンティティが存在する(ユーザ名に関するものが1つと、電子メールに関するものが4つ)。この匿名化辞書エントリを用いて標的エンティティを置き換える際には、たとえ置き換えられる標的エンティティがエンティティタイプ「電子メールアドレス」のものである場合にも、エンティティタイプ「ユーザ名」が最高ランクであることに基づいて、標的を匿名識別子とエンティティタイプ「ユーザ名」とに置き換える。
標的エンティティを対応する匿名識別子とエンティティタイプとに置き換える説明例については、図4及び以下の関連する説明を参照されたい。
図2Aの説明を続けると、ステップ212において、匿名化すべき標的エンティティが残っているかどうかに関する判定を行う。標的エンティティは、残りの標的エンティティを導出するのに必要なエントリが匿名化辞書に含まれていなかった場合に残っていることがある。これは、例えば匿名化対応リポジトリが最初の1つ又は一連の活動記録に基づく場合、及び匿名化対応リポジトリ内に存在しない標的エンティティを含む新たに受け取られた活動記録を処理する際に発生することがある。標的エンティティが残っていれば、方法はステップ214に進むことができる。
ステップ214において、残りの標的エンティティによって匿名化対応リポジトリを更新する。エントリの追加については、以下で図3A及び図3Bを参照しながら詳細に説明する。
図2Aの説明を続けると、ステップ216において、匿名化すべき残りの標的エンティティを、ステップ214で匿名化対応リポジトリに追加された対応する匿名識別子に置き換える。
シナリオによっては、図2Aに示す方法を用いて、以前の活動記録に基づいて生成された匿名化対応リポジトリを使用して活動記録を匿名化する場合、匿名化すべき標的エンティティがステップ210の実行後にしか残っていないこともある。後から受け取られた活動記録のために別個の匿名化対応リポジトリを生成する本発明の実施形態ではステップ212〜216を適用しなくてもよく、すなわち方法は、常にステップ210から直接ステップ218に進むことができる。
ステップ212に戻り、匿名化すべき標的エンティティが残っていないと判定された場合、方法はステップ218に進むことができる。
ステップ218において、匿名活動記録を記憶する。本発明の1又は2以上の実施形態では、匿名活動記録を、上述した匿名活動記録リポジトリに記憶することができる。本発明の1又は2以上の実施形態によれば、脅威分析エンジンは、匿名活動記録リポジトリに記憶されている活動を脅威の兆候が存在するかどうかについて分析するために、記憶されている匿名活動記録にアクセスすることができる。
以下の図2Bの説明は、辞書の生成と(単複の)活動記録の匿名化とを(単複の)匿名化記録にわたる1回のパスで続けて実行することができる、すなわち標的エンティティの検出後に標的エンティティと対応する匿名識別子とを匿名化対応リポジトリに追加して標的エンティティを匿名識別子に置き換えた後に、(単複の)匿名化記録において検出された次の標的エンティティについてこれらのステップを繰り返す本発明の実施形態を対象とする。図2Bに示す方法は、図2Aに示す方法と同様に、1つ又は一連の活動記録が受け取られる毎に単独で実行され、従って生成元の活動記録に固有の別個の匿名化辞書を生成することができる。別の実施形態では、以前に生成された匿名化辞書を使用して、図2Bに示す方法のその後の実行において処理されるさらなる活動記録を匿名化することができる。この場合、単一の匿名化辞書を用いて複数組の活動記録の匿名化及び/又は匿名性解除を行うことができる。
図2Bを参照すると、ステップ250において、活動モニタリングエンジンの匿名化エンジンが、エンドポイントエージェントから活動記録を取得する。活動記録は、例えば利用可能になった時にエンドポイントエージェントが活動記録をプッシュ配信することによって、又は活動モニタリングエンジンが新たな活動記録についてエンドポイントエージェントにポーリングを行うことによって取得することができる。活動記録は、エンドポイントエージェントによって生成された時に連続して取得することも、或いは、例えばエンドポイントエージェントが活動記録を蓄積して一定の時間間隔で匿名化エンジンに提供するシナリオでは、バッチで取得することもできる。本発明の1つの実施形態では、例えば暗号化を使用して、エンドポイントエージェントから匿名化エンジンへの送信について活動記録をアクセス保護することができる。
ステップ252において、ステップ250で取得されたユーザ活動記録において匿名化すべき標的エンティティを検出する。最初に、ユーザ活動記録において匿名化すべき最初のエンティティを検出することができる。検出後、検出された標的エンティティに対してステップ254〜262を実行することができる。その後、ユーザ活動記録において次の標的エンティティを検出し、この検出された次の標的エンティティに対してステップ254〜262を繰り返すことができる。標的エンティティの検出方法は、図2Aのステップ204を参照して上述したような様々なものを使用することができる。当業者であれば、上述した方法を組み合わせて使用することもできると理解するであろう。さらに、本発明は、上述した匿名化すべき標的エンティティの検出方法に限定されるものではない。
ステップ254において、標的エンティティの匿名化対応リポジトリにエントリが存在するかどうかに関する判定を行う。活動記録において標的エンティティの別のインスタンスが以前に検出されており、従って匿名化対応リポジトリの匿名化辞書に標的エンティティのエントリの追加が引き起こされていた場合には、エントリが存在し得る。匿名化すべき標的エンティティのエントリが匿名化辞書に存在する場合、方法はステップ256に進むことができる。
ステップ256において、匿名化すべき標的エンティティを、匿名化対応リポジトリの匿名化辞書から取得された対応する匿名識別子に置き換える。この置き換えに関するさらなる詳細は、図2Aのステップ210の説明で示した通りである。
ステップ254に戻り、匿名化すべき標的エンティティのエントリが匿名化辞書内に存在しないと判定された場合、方法はステップ258に進むことができる。
ステップ258において、匿名化辞書を含む匿名化対応リポジトリを生成する。ステップ258の詳細については、図3A及び図3Bに示す。使用する匿名化対応リポジトリのタイプに応じて、図3Aに示す方法又は図3Bに示す方法のいずれかを実行する。匿名化対応リポジトリが図1Cに示すタイプのものである場合には、図3Aに示す方法を実行することができ、匿名化対応リポジトリが図1Dに示すタイプのものである場合には、図3Bに示す方法を実行することができる。
ステップ260において、匿名化すべき標的エンティティを、ステップ258で匿名化対応リポジトリに追加された対応する匿名識別子に置き換える。
ステップ262において、処理中の活動記録内に標的エンティティが残っているかどうかに関する判定を行う。標的エンティティが残っている場合、方法は、活動記録において匿名化すべき次の標的エンティティを検出するためにステップ252に戻ることができる。匿名化すべき標的エンティティが残っていないと判定された場合、方法はステップ264に進むことができる。
ステップ264において、匿名活動記録を記憶する。本発明の1又は2以上の実施形態では、匿名活動記録を、上述した匿名活動記録リポジトリに記憶することができる。本発明の1又は2以上の実施形態によれば、脅威分析エンジンは、匿名活動記録リポジトリに記憶されている活動を脅威の兆候が存在するかどうかについて分析するために、記憶されている匿名活動記録にアクセスすることができる。
上述した図2A及び図2Bのステップの1つ又は2つ以上は、分散方式で実行することもできる。例えば、複数の作業者によって匿名化を実行することができる。作業者は、例えばエンドポイントエージェントを含むコンピュータ装置のうちの1つ、或いは図2A及び図2Bに示すステップを実行するソフトウェアを実行できる他のいずれかのコンピュータ装置とすることができる。本発明の1つの実施形態では、作業者が、匿名化を実行するために、中央に維持された匿名化対応リポジトリ、又は中央に維持された匿名化リポジトリに同期する中央に維持された匿名化対応リポジトリのローカルコピーに依拠することができる。匿名化すべき活動記録は、作業者に分配することができる。作業者は、作業者に分配された活動記録を匿名化した後に、中央に維持された匿名活動記録リポジトリに戻すことができる。
本発明の別の実施形態では、各作業者が、別個の独立した匿名化辞書(及び使用する場合には等価マップ)を生成して維持することができる。作業者は、ローカルな独立した匿名化辞書を用いて活動記録の匿名化を実行することができる。その後、作業者は、中央に維持された匿名活動記録リポジトリに匿名活動記録を提供してそこに記憶することができる。さらに、作業者は、ローカルな独立した匿名化辞書(及び使用する場合には等価マップ)も匿名化対応リポジトリに提供してそこに記憶することができる。このシナリオでは、匿名化辞書が、(単複の)同じ匿名化すべき活動記録から匿名化辞書と共に生成された匿名活動記録に対してのみ有効となり得る。従って、後で匿名性の解除を可能にするために、一方で匿名化対応リポジトリに記憶される匿名化辞書と、他方で匿名活動記録リポジトリに記憶される活動記録との間の関係性を維持しなければならない。本発明の1つの実施形態では、匿名化対応リポジトリにおける一群の辞書を、匿名活動記録を同じ匿名化すべきエントリのための同じ匿名識別子に依拠する共通フォーマットに変換するのに適した共通フォーマットに転写することができる。本発明の1つの実施形態では、作業者によって提供されたローカル辞書を転写して統合することにより、共通の匿名化辞書が生成される。その後、この共通の匿名化辞書を作業者と共有することにより、全ての作業者が共通の辞書を用いて、将来的に受け取られる活動記録を匿名化できるようになる。
本発明の別の実施形態では、ステップ206を実行するために活動記録が一連の作業者に分配され、ステップ206を実行した結果が匿名化エンジンに戻される。次に、匿名化エンジンは、作業者によって識別された標的エンティティを用いて匿名化辞書を作成することができる。次に、匿名化エンジンは、各作業者に匿名化辞書のコピーを提供することができる。その後、作業者は、匿名化エンジンから最初に受け取られた一連の活動記録に対してステップ208を実行することができる。その後、作業者から匿名化エンジンに匿名化活動記録を送信することができる。
図3A及び図3Bに、匿名化辞書を含む匿名化対応リポジトリの生成方法を示す。匿名化辞書は、図2A及び図2Bを参照して詳述したように活動記録の匿名化の実行に備えて作成することができる。図3A及び図3Bに示す方法を実行すると、例えば図1C及び図1Dにそれぞれ示す構造を有する匿名化対応リポジトリを得ることができる。
図3Aには、本発明の1又は2以上の実施形態による、単一のリソース(例えば、同じユーザ又は同じ企業)まで遡って追跡できる標的エンティティのエントリをリソースプロファイルを用いてグループ化する匿名化対応リポジトリの生成方法を示す。例えば、あるユーザが複数の電子メールアドレスを使用している場合、これらの電子メールアドレスが活動記録において標的エンティティとして検出された時に、例えば同じ匿名アイデンティティ(ID)を割り当てることによってこれらの電子メールアドレスをグループ化することができる。このようなシナリオでは、電子メールアドレスについて生成された各エントリが異なるインスタンスIDを含み、従って同じ匿名IDを有しているにも関わらずエントリの区別を可能にすることができる。
図3Aを参照すると、ステップ300において、匿名化対応リポジトリの匿名化辞書に追加すべき標的エンティティを選択する。図3Aに示す方法を図2Aに示す方法から呼び出す場合には、匿名化辞書に追加すべき標的エンティティが複数存在することができる。この場合、最初に第1の標的エンティティを選択し、第1の標的エンティティに対するステップ302〜312の完了後に次の標的エンティティを選択することができ、以下同様である。図3Aに示す方法を図2Bに示す方法から呼び出す場合には、匿名化辞書に追加すべき標的エンティティが1つのみ存在することができる。この場合、ステップ302〜312を一回だけ実行すればよい。
ステップ302において、匿名化辞書に追加すべき標的エンティティのマッチングリソースプロファイルを特定する。例えば、活動記録において「JohnSmith」という第1の標的エンティティと「john.smith@gmail.com」という第2の標的エンティティとが識別されている場合、両標的エンティティは同じユーザに関連し、すなわち同じリソースプロファイルに関連すると考えることができる。同様に、ある法人(例えば企業)について、その企業に関連することが分かっているドメイン名、IPアドレスなどのグループ化を可能にすることができるリソースプロファイルが存在することもある。本発明の1又は2以上の実施形態では、標的エンティティの背後にあるリソースを識別するために様々な方法を使用することができる。以下、標的エンティティに関連するリソースを識別するために使用できる例示的な方法を列挙する。
例示的な方法1−例えばシステム管理者が、ユーザ名、ユーザの電子メールアドレス及び/又はその他のユーザ関連情報を提供した場合、予備知識を用いて標的エンティティに関連するリソースを識別することができる。
例示的な方法2−異なる標的エンティティ間の類似性を活用して共通の関連ユーザを識別することができる。例えば、あるユーザについて「JohnSmith」という標的エンティティが存在する場合には、「john.Smith@google.com」という別の標的エンティティを同じユーザに関連するものとして識別することができる。「j.smith」、「j_smith」、「smith_j」などのさらなる標的エンティティも、同じ共通の関連ユーザに関連するものと考えることができる。
例示的な方法3−匿名化エンジンがアクセスできる情報から標的エンティティに関する情報を推測することができる。例えば、匿名化エンジンは、標的エンティティに関する情報を露呈し得るユーザプロファイルが存在するかどうかについてサーバ及びユーザのコンピュータ装置のローカルディレクトリを解析することができる。あるユーザのプロファイルディレクトリに編成された特定の電子メールアドレスの電子メールアカウントは、例えばその電子メールアドレスがユーザに関連する旨を示すことができる。
例示的な方法4−同じリソースに関連する関連標的エンティティに関する情報を活動記録自体から導出することができる。例えば、活動記録がユーザによる電子メールの送信を記録するシナリオについて検討する。活動記録のメタデータには、ユーザ名を記録した標的エンティティが存在する。このユーザ名は、エンドポイントエージェントが電子メールアプリケーションのウィンドウのタイトルバーから取得したものである。さらに、エンドポイントエージェントは、電子メールの送信中に、電子メールを送信したユーザの電子メールアドレス、電子メールの編集に使用されたコンピュータ装置のホスト名及びIPアドレスを取り込むことができる。これらのエントリは、単一の活動記録内又は連続生成された活動記録内に接近して存在することができる。従って、(単複の)活動記録を受け取る匿名化エンジンは、全ての電子メールアドレスが同じユーザに関連するものであると判断することができる。
当業者であれば、本発明は、上述した標的エンティティに関連するリソースの識別方法に限定されるものではないと理解するであろう。さらに、上述した方法を組み合わせて使用して標的エンティティに関連するリソースを識別することもできる。
本発明の1つの実施形態では、同じリソースに異なる標的エンティティが関連している尤度を求めることができる。この尤度が閾値を上回る場合には、標的エンティティが同じリソースに関連していると考えることができる。尤度に影響し得る非限定的な一連の要因としては、以下を挙げることができる。
(a)複数のユーザアカウントによって特定の電子メールアカウントにアクセスが行われ、このアクセスの統計的有意性がこれらのユーザアカウントによる他の電子メールアカウントへのアクセスと比べて高い。例えば、「james_smith」及び「admin_james」というアカウントによって「jsmith@company.com」という電子メールアドレスに頻繁にアクセスが行われている場合には、アカウント「james_smith」及び「admin_james」が同じユーザに属する尤度が高くなり得る。
(b)複数のユーザアカウントによって特定の装置に定期的にアクセスが行われている。例えば、「james_smith」及び「adin_james」という両アカウントがコンピュータ装置「PC1」に定期的にログオンしている場合、アカウント「james_smith」及び「admin_james」が同じユーザに属する尤度が高くなり得る。
(c)複数のユーザアカウントを使用する同じローカルコンピュータ装置からリモートコンピュータ装置に定期的にアクセスが行われている。例えば、「james_smith」及び「admin_james」という2つのアカウントがローカルコンピュータ装置「PC1」からリモートコンピュータ装置「PC2」に定期的にアクセスしている場合、アカウント「james_smith」及び「admin_james」が同じユーザに属する尤度が高くなり得る。
(d)特定の利用パラメータ(例えば、使用されたソフトウェアアプリケーション、作業時間、訪問されたウェブサイト、タスク切り換え動作など)のクラスタ分析を行うことができる。複数のユーザアカウントについて同様のクラスタが取得された場合、これらのアカウントが同じユーザに属する尤度が高くなり得る。
(e)特定のユーザアカウントについてのみ共通のファイル及び/又はファイルパスが生じる。この場合、これらのアカウントが同じユーザに属する尤度が高くなり得る。
本発明の1つの実施形態では、匿名化辞書に追加すべき標的エンティティのマッチングリソースプロファイルが導出されない。この場合、ステップ302をスキップすることができる。匿名化辞書がリソースプロファイルを導出しないように構成されている場合、マッチングリソースプロファイルは導出されないことがある。また、標的エンティティに関する利用可能な情報が、標的エンティティに関連するリソースを識別するのに十分でない場合にも、匿名化辞書がリソースプロファイルを導出するように構成されていてもマッチングリソースプロファイルが導出されないことがある。例えば、「JohnSmith」というユーザと、「JoeSmith」というさらなるユーザとが存在することが分かっているシナリオについて検討する。追加情報が無ければ、「j.smith@google.com」という電子メールアドレスが「JohnSmith」というユーザ又は「JoeSmith」というユーザのいずれに関連するものであるかを判断することはできない。
図3Aの説明を続けると、ステップ304において、匿名化辞書に追加すべき標的エンティティについて、図1Cを参照して詳述した匿名アイデンティティ(ID)を生成する。本発明の1つの実施形態では、あるリソースプロファイルに関連する全てのエントリに同じ匿名IDを使用することができる。従って、匿名化辞書に追加すべき標的エンティティについてステップ302でマッチングリソースプロファイルが識別された場合には、そのリソースプロファイルに関連する既存のエントリに既に使用されている匿名IDを割り当てることができる。匿名化辞書内に同じリソースプロファイルのエントリが存在しない場合には、匿名化辞書内の他の全ての匿名IDとは異なる新たな匿名IDを割り当てることができる。本発明の実施形態では、リソースプロファイルが導出されない場合、すなわちステップ302がスキップされた場合、又はステップ302のリソースプロファイル識別が上手くいかなかった場合、匿名化辞書の他の全ての匿名IDとは異なる新たな匿名IDを割り当てることができる。
ステップ306において、標的エンティティのエンティティタイプを決定する。検出される標的エンティティのエンティティタイプは、例えば「ユーザ名」、「電子メールアドレス」、「企業名」、「ドメイン名」、「IPアドレス」、「ホスト名」及び「その他」とすることができる。標的エンティティのエンティティタイプは、様々な方法を用いて決定することができる。以下、標的エンティティのエンティティタイプを識別するために使用できる例示的な方法を列挙する。
例示的な方法1−「ユーザ名」というエンティティタイプの場合、管理者によって提供された情報に基づいて決定を行うことができる。例えば、管理者は、「John Smith」及び「Joe Smith」がユーザ名であることを示すことができる。これとは別に、及び/又はこれに加えて、「\User」ディレクトリ及び/又は「\Documents and Settings」ディレクトリなどのユーザプロファイルが存在するかどうかについてサーバ及び/又はユーザのコンピュータ装置のローカルディレクトリを解析することによってユーザ名を取得することもできる。
例示的な方法2−「電子メールアドレス」というエンティティタイプの場合、特徴的な電子メールアドレスフォーマット(email_identity@email_provider)に基づいて決定を行うことができる。
例示的な方法3−「企業名」というエンティティタイプ、及び機密データと見なされるその他の文字列(例えば、協力パートナの名称、すなわちパートナ名)の場合、管理者によって提供された情報に基づいて決定を行うことができ、すなわち関連するエンティティタイプを含む用語のリストを提供することができる。
例示的な方法4−「ドメイン名」及び「IPアドレス」というエンティティタイプの場合、特徴的なドメイン名及びIPアドレスフォーマットに基づいて決定を行うことができる。例えば、IPv4アドレスは、「.」符号によって区切られた4バイトによって表現することができる。ドメイン名は、「domain\username」又は「username@domain」などのフォーマットで表現することができる。
例示的な方法5−「ホスト名」というエンティティタイプの場合、エンドポイントエージェントが活動記録の生成時に特定のフィールドを用いてホスト名を記録したことに基づいて決定を行うことができる。当業者であれば、本発明は、上述した標的エンティティに関連するエンティティタイプの決定方法に限定されるものではないと理解するであろう。
図3Aの説明を続けると、ステップ308において、標的エンティティのインスタンスIDを決定する。図1Cを参照して上述したように、異なる標的エンティティについて生成されたエントリに割り当てられるインスタンスIDは、リソースプロファイル内で一意のもの又は匿名化辞書内でグローバルに一意のものとすることができる。本発明の1つの実施形態では、インスタンスIDを匿名IDに含めることができる。この場合、匿名識別子は、インスタンスID専用の別個のエントリを含まなくてもよい。さらに、匿名化辞書に追加すべき標的エンティティについてマッチングリソースプロファイルが導出されない本発明の別の実施形態ではインスタンスIDが存在しなくてもよく、従ってステップ308をスキップすることができる。
ステップ310において、(ステップ304で割り当てられる)匿名IDと、(ステップ306で割り当てられる)エンティティタイプと、(使用する場合には匿名化辞書の実装によってステップ308で割り当てられる)インスタンスIDとを組み合わせて、図1Cを参照して上述した匿名識別子を形成する。
ステップ312において、標的エンティティと、ステップ310で構築された対応する匿名IDとを含むエントリを匿名化辞書に記憶する。
ステップ314において、匿名化辞書に追加すべき標的エンティティが残っているかどうかに関する判定を行う。匿名化辞書に追加すべき標的エンティティが残っている場合、方法はステップ300に戻ることができる。
図3Bには、本発明の1又は2以上の実施形態による、単一のリソース(例えば、同じユーザ又は同じ企業)まで遡って追跡できる標的エンティティのエントリを等価マップを用いてグループ化する匿名化対応リポジトリの生成方法を示す。等価マップは、匿名化辞書に加えて匿名化対応リポジトリに含めることができる。
図3Bを参照すると、ステップ350において、匿名化対応リポジトリの匿名化辞書に追加すべき標的エンティティを選択する。図3Bに示す方法を図2Aに示す方法から呼び出す場合には、匿名化辞書に追加すべき標的エンティティが複数存在することができる。この場合、最初に第1の標的エンティティを選択し、第1の標的エンティティに対するステップ352〜358の完了後に次の標的エンティティを選択することができ、以下同様である。図3Bに示す方法を図2Bに示す方法から呼び出す場合には、匿名化辞書に追加すべき標的エンティティが1つのみ存在することができる。この場合、ステップ352〜358を一回だけ実行すればよい。
ステップ352において、匿名化辞書に追加すべき標的エンティティについて、図1Cを参照して詳述した匿名アイデンティティ(ID)を生成する。匿名化辞書の他の全ての匿名IDとは異なる新たな匿名IDを割り当てることができる。
ステップ354において、標的エンティティのエンティティタイプを決定する。検出される標的エンティティのエンティティタイプは、例えば「ユーザ名」、「電子メールアドレス」、「企業名」、「ドメイン名」、「IPアドレス」、「ホスト名」及び「その他」とすることができる。標的エンティティのエンティティタイプは、図3Aのステップ306を参照して上述した様々な方法を用いて決定することができる。
ステップ356において、(ステップ352で割り当てられる)匿名IDと(ステップ354で割り当てられる)エンティティタイプを組み合わせて、図1Dを参照して上述した匿名識別子を形成する。
ステップ358において、標的エンティティと、ステップ356で構築された対応する匿名IDとを含むエントリを匿名化辞書に記憶する。
ステップ360において、匿名化辞書に追加すべき標的エンティティが残っているかどうかに関する判定を行う。匿名化辞書に追加すべき標的エンティティが残っている場合、方法はステップ350に戻ることができる。匿名化辞書に追加すべき標的エンティティが残っていないと判定された場合、方法はステップ362に進むことができる。
ステップ362において、匿名化対応リポジトリ内に等価マップを生成する。この等価マップを用いて、標的エンティティが所属するリソースに基づいて、標的エンティティのエントリと対応する匿名化識別子とを匿名化辞書内でグループ化することができる。最初に、エントリの標的エンティティに関連するリソースを特定するために、匿名化辞書内の各エントリについて図3Aのステップ302に示す方法を使用することができる。当業者であれば、本発明は、これらの上述した標的エンティティに関連するリソースの識別方法に限定されるものではないと理解するであろう。さらに、上述した方法を組み合わせて使用して標的エンティティに関連するリソースを識別することもできる。次に、標的エンティティに関連するリソースが識別されると、各リソースと匿名化辞書の複数の関連エントリとのアイデンティティ関係を等価マップ内で構築し、従ってリソース(例えば、ユーザ又は法人)に関連する標的エンティティのエントリをリンクさせることができる。その後、これらのアイデンティティ関係を等価マップに記憶することができる。
本発明の1つの実施形態では、1つ又は一連の活動記録についての匿名化辞書が完成した後に等価マップを生成することができる。或いは、等価マップは、例えば等価マップに記憶されている情報を必要とするアプリケーション又は分析エンジンによる要求時などの特定のトリガイベントによって引き起こされる予定時刻に、及び/又は例えばシステム負荷が低い時間中などの特定の条件下で、例えばバックグラウンドプロセスにおいて非同期的に生成することもできる。さらに、それまで利用可能であった情報が、関連リソースの識別を実行するのに十分なものでない場合、等価マップを定期的に、或いは特定の標的エンティティに関連するリソースの識別を可能にできるさらなる情報が利用可能になった時点で更新することもできる。本発明の別の実施形態では、等価マップが生成されず、すなわちステップ362が完全にスキップされる。
図4に、本発明の1又は2以上の実施形態によって行われる活動記録の匿名化の例を示す。図4に示す例は、本発明を限定するものではない。上側のパネルには、匿名化すべき活動記録サンプルを示し、下側のパネルには、結果として得られる匿名活動記録を示す。匿名化すべき活動記録(上側パネル)では、匿名化エンジンによって検出された全ての標的エンティティに破線の矩形でマーキングしている。全部で7つの標的エンティティが検出されている。第1の標的エンティティは、ユーザ名「mark.thawley」である。第2の標的アイデンティティは、電子メールアドレス「pavel.sherbakov@ggmmaaiill.com」であり、すなわち電子メールアイデンティティは「pavel.sherbakov」である。第3の標的エンティティは、これもユーザ名「mark.thawley」である。第4の標的エンティティは、これも電子メールアドレス「pavel.sherbakov@ggmmaaiill.com」である。第5の標的エンティティは、ドメイン名「DS\WIN81RS」である。第6の標的エンティティは、IPアドレス「192.168.1.20」である。第7の標的エンティティは、これもユーザ名「mark.thawley」である。
図4に示す例では、匿名化エンジンが、上記の標的エンティティを全て匿名化するように構成されている。匿名化後に標的エンティティに取って代わるエントリのフォーマットは、[}1−エンティティタイプ−匿名識別子{]である。ユーザmark.thawleyの匿名識別子は「9」であり、エンティティタイプは、企業ユーザアカウントを有するユーザを示す「USER」である。電子メールアイデンティティ「pavel.sherbakov」の匿名識別子は「5」であり、エンティティタイプは、電子メール識別子を示す「EMAIL」である。なお、名前の下に企業ユーザアカウントが存在する場合、電子メールアイデンティティ「pavel.sherbakov」のエンティティタイプは「USER」になる。ドメイン名「DS\WIN81RS」の匿名識別子は「6」であり、エンティティタイプは、ドメイン名を示す「DOMAIN」である。IPアドレス「192.168.1.20」の匿名識別子は「2」であり、エンティティタイプは、IPアドレスを示す「AIP」である。
従って、この活動記録の標的エンティティは、図4の匿名活動記録(下側パネル)に示すように置き換えられる。
本発明の1又は2以上の実施形態では、匿名活動記録の匿名識別子に関連するリソースを識別するために、上述した方法を用いて取得された匿名活動記録の匿名性を解除することができる。匿名性の解除は、例えば脅威分析エンジンが脅威警告を発した時に必要となり得る。脅威を評価して脅威軽減対策を取るには、警告を引き起こした匿名活動記録内の活動に関連するリソースを識別することが必要になり得る。本発明の1又は2以上の実施形態では、匿名化辞書を用いた匿名性の解除、すなわち(単複の)匿名識別子から(単複の)リソースへの変換を行うことができる。匿名性の解除は、必要に応じて、すなわち脅威警告の性質に応じて行うことができ、例えば特定のエンティティタイプについては部分的にしな行わないこともできる。例えば、脅威が従業員に由来すると思われる場合には、ユーザ名のみを匿名性解除することができる。脅威警告の性質が未知である別の例では、全てのエンティティタイプを匿名性解除する必要があり、すなわち全ての匿名活動記録における全ての匿名識別子の完全な匿名性解除を実行することができる。
本発明の実施形態は、活動記録の匿名化を可能にすることにより、活動記録に含まれる活動に脅威が存在するかどうかについての分析を制限することなく、リソースアイデンティティを保護することができる。従って、匿名活動記録を用いて脅威検出を実行することができる。さらに、匿名化される各標的エンティティのエンティティタイプを分類することによって活動記録を匿名化することにより、脅威検出を改善及び/又は支援できる構造が活動記録に加わる。また、様々な構成可能なレベルの匿名化により、企業内の脅威モニタリングに使用される匿名化から匿名活動記録を公的に共有する前の匿名化にまで及ぶ様々な異なるシナリオの要件を活動モニタリングによって満たすこともでき、開発者は、これらの匿名化を用いて脅威検出アルゴリズム及び匿名化エンジンの設計及び妥当性確認を行うことができる。全般的に見ると、本発明の実施形態によって行われる匿名化は、ユーザアイデンティティの保護を必要とする企業内指針及び国内法令の遵守を容易にすることができる。
限られた数の実施形態に関して本発明を説明したが、本開示の恩恵を受ける当業者であれば、本明細書に開示したような本発明の範囲から逸脱しない他の実施形態を考案することもできると理解するであろう。従って、本発明の範囲は、添付の特許請求の範囲のみによって限定されるべきものである。
114 匿名化対応リポジトリ
116 匿名化辞書
150.1〜Z リソースプロファイル
152.1.1〜2.2 標的エンティティ
154.1.1〜2.2 匿名識別子
156.1 匿名アイデンティティ(ID)
156.2 匿名ID
158.1.1〜2.2 エンティティタイプ
160.1.1〜2.2 インスタンスID

Claims (26)

  1. 活動記録の処理方法であって、
    活動記録を取得するステップと、
    匿名化辞書を生成するステップと、
    を含み、前記匿名化辞書を生成するステップは、
    前記活動記録において、匿名化すべき複数の標的エンティティを検出するステップと、
    あるリソースが前記複数の標的エンティティのうちの一連の標的エンティティに関連している旨の判定を行うステップと、
    前記判定を行った後に、
    前記一連の標的エンティティに匿名アイデンティティを割り当てるステップと、
    前記一連の標的エンティティの各標的エンティティの匿名化識別子を生成して、それぞれが前記匿名アイデンティティを含む複数の匿名化識別子を取得するステップと、
    を含み、前記方法は、
    前記匿名化辞書を用いて前記活動記録を処理して匿名活動記録を取得するステップと、
    前記匿名活動記録を記憶するステップと、
    をさらに含むことを特徴とする方法。
  2. 前記匿名化辞書を生成するステップは、前記一連の標的エンティティの各標的エンティティについて、前記標的エンティティのエンティティタイプを割り当てるステップをさらに含み、
    各標的エンティティの前記匿名化識別子を生成するステップは、前記匿名識別子に前記エンティティタイプを記憶するステップを含む、
    請求項1に記載の方法。
  3. 前記エンティティタイプは、ユーザ名、電子メールアドレス、ドメイン名、IPアドレス、ポート番号、ホスト名、企業名及びパートナ名から成る前記群から選択された少なくとも1つである、
    請求項2に記載の方法。
  4. 前記一連の標的エンティティのうちの少なくとも2つの標的エンティティについて、前記エンティティタイプは同一であり、
    前記少なくとも2つの標的エンティティの各々に一意のインスタンス識別子が割り当てられ、
    前記一意のインスタンス識別子は、前記少なくとも2つの標的エンティティの前記匿名識別子に含まれる、
    請求項2に記載の方法。
  5. 前記一意のインスタンス識別子は、グローバル一意識別子である、
    請求項4に記載の方法。
  6. 前記活動記録を処理して前記匿名活動記録を取得するステップは、
    前記辞書において、前記匿名化すべき複数の標的エンティティのうちの1つの標的エンティティの匿名識別子を識別するステップと、
    前記活動記録において、前記標的エンティティを前記匿名識別子に置き換えるステップと、
    を含む、請求項1に記載の方法。
  7. さらなる活動記録を受け取るステップと、
    前記さらなる活動記録を処理して第2の複数の標的エンティティを取得するステップと、
    前記匿名化辞書が、前記第2の複数の標的エンティティのうちの少なくとも1つを匿名化するためのエントリを有していない旨の第2の判定を行うステップと、
    前記第2の判定に基づいて、更新された匿名化辞書を取得するために、前記匿名化辞書を少なくとも1つのさらなるエントリを含むように更新するステップと、
    前記更新された匿名化辞書を用いて前記さらなる活動記録を処理して第2の匿名活動記録を取得するステップと、
    をさらに含む、請求項1に記載の方法。
  8. さらなる活動記録を受け取るステップと、
    前記さらなる活動記録を処理して第2の複数の標的エンティティを取得するステップと、
    前記匿名化辞書が、前記第2の複数の標的エンティティのうちの少なくとも1つを匿名化するためのエントリを有している旨の第2の判定を行うステップと、
    前記第2の判定に基づいて、前記匿名化辞書を用いて前記さらなる活動記録を処理して第2の匿名活動記録を取得するステップと、
    をさらに含む、請求項1に記載の方法。
  9. 前記複数の標的エンティティの各々は、電子メールアドレス、ドメイン名、IPアドレス、ポート番号、ホスト名、企業名及びパートナ名から成る群から選択された少なくとも1つを含む、
    請求項1に記載の方法。
  10. 前記匿名化辞書は、アクセス保護されたデータベースである、
    請求項1に記載の方法。
  11. 脅威検出アルゴリズムを用いて前記少なくとも1つの匿名活動記録を分析するステップをさらに含む、
    請求項1に記載の方法。
  12. 前記リソースは、ユーザである、
    請求項1に記載の方法。
  13. 活動記録の処理方法であって、
    活動記録を取得するステップと、
    匿名化辞書を生成するステップと、
    等価マップを生成するステップと、
    を含み、前記匿名化辞書を生成するステップは、
    前記活動記録において、匿名化すべき複数の標的エンティティを検出するステップと、
    前記複数の標的エンティティの各一意の標的エンティティに匿名アイデンティティを割り当てるステップと、
    標的エンティティと、該標的エンティティの前記匿名アイデンティティを含む対応する匿名識別子とをそれぞれが含む、前記複数の標的エンティティの辞書エントリを生成するステップと、
    を含み、前記等価マップを生成するステップは、
    あるリソースが前記複数の標的エンティティのうちの一連の標的エンティティに関連している旨の判定を行うステップと、
    前記一連の標的エンティティが前記リソースに関連している旨を指定するアイデンティティ関係を前記等価マップに記憶するステップと、
    を含み、前記方法は、
    前記匿名化辞書を用いて前記活動記録を処理して匿名活動記録を取得するステップと、
    前記匿名記録を記憶するステップと、
    をさらに含むことを特徴とする方法。
  14. 前記等価マップを生成するステップは、前記匿名記録を記憶する前に実行することができる、
    請求項13に記載の方法。
  15. 前記等価マップを生成するステップは、前記匿名記録を記憶した後に実行することができる、
    請求項13に記載の方法。
  16. システムであって、
    活動記録を取得し、
    前記活動記録において、匿名化すべき複数の標的エンティティを検出することと、
    あるリソースが前記複数の標的エンティティのうちの一連の標的エンティティに関連している旨の判定を行うことと、
    前記一連の標的エンティティに匿名識別子を割り当てることと、
    を含めて匿名化辞書を生成し、
    前記匿名化辞書を用いて前記活動記録を処理して匿名活動記録を取得する、
    ようにプログラムされた匿名化エンジンと、
    前記匿名活動記録を記憶するように構成されたリポジトリと、
    を備えることを特徴とするシステム。
  17. 前記匿名化エンジンは、
    前記活動記録を求める要求を第三者システムから受け取り、
    前記要求に応答して、
    前記匿名活動記録を識別し、
    前記匿名活動記録において、匿名化すべき第2の複数の標的エンティティを検出し、
    第2の匿名活動記録を取得するために、前記第2の複数の標的エンティティを前記匿名化辞書からの対応する匿名識別子に置き換え、
    前記第2の匿名活動記録を前記第三者システムに提供する、
    ようにさらにプログラムされる、請求項16に記載のシステム。
  18. 前記匿名化エンジンは、
    前記匿名活動記録を求める要求を第三者システムから受け取り、
    前記要求に応答して、
    前記匿名活動記録において、匿名化すべき第2の複数の標的エンティティを検出し、
    第2の匿名活動記録を取得するために、前記第2の複数の標的エンティティを前記匿名化辞書からの対応する匿名識別子に置き換え、
    前記第2の匿名活動記録を前記第三者システムに提供する、
    ようにさらにプログラムされる、請求項16に記載のシステム。
  19. 脅威検出アルゴリズムを用いて前記少なくとも1つの匿名活動記録を分析するようにプログラムされた脅威分析エンジンをさらに備える、
    請求項16に記載のシステム。
  20. システムであって、
    活動記録を取得し、
    前記活動記録において、匿名化すべき複数の標的エンティティを検出することと、
    前記複数の標的エンティティの各一意の標的エンティティに匿名アイデンティティを割り当てることと、
    標的エンティティと、該標的エンティティの前記匿名アイデンティティを含む対応する匿名識別子とをそれぞれが含む、前記複数の標的エンティティの辞書エントリを生成することと、
    を含めて匿名化辞書を生成し、
    あるリソースが前記複数の標的エンティティのうちの一連の標的エンティティに関連している旨の判定を行うことと、
    前記一連の標的エンティティが前記リソースに関連している旨を指定するアイデンティティ関係を等価マップに記憶することと、
    前記匿名化辞書を用いて前記活動記録を処理して匿名活動記録を取得することと、
    を含めて前記等価マップを生成する、
    ようにプログラムされた匿名化エンジンと、
    前記匿名活動記録を記憶するように構成されたリポジトリと、
    を備えることを特徴とするシステム。
  21. 脅威検出アルゴリズムと前記等価マップとを用いて前記少なくとも1つの匿名活動記録を分析するようにプログラムされた脅威分析エンジンをさらに備える、
    請求項16に記載のシステム。
  22. 活動記録の処理方法であって、
    複数の活動記録を取得するステップと、
    前記複数の活動記録のうちの少なくとも1つを複数の作業者の各々に提供するステップと、
    前記複数の作業者の各々から一連の標的エンティティを受け取るステップと、
    前記一連の標的エンティティを用いて匿名化辞書を生成するステップと、
    前記複数の作業者の各々に前記匿名化辞書のコピーを提供するステップと、
    前記複数の作業者の各々から、前記匿名化辞書のコピーを用いて生成された少なくとも1つの匿名活動記録を受け取るステップと、
    前記匿名活動記録を記憶するステップと、
    を含むことを特徴とする方法。
  23. 前記匿名化辞書を生成するステップは、
    あるリソースが前記複数の標的エンティティのうちの一連の標的エンティティに関連している旨の判定を行い、前記複数の作業者のうちの第1の作業者から第1の標的エンティティを取得し、前記複数の作業者のうちの前記第2の作業者から前記第2の標的エンティティを取得するステップと、
    前記複数の標的エンティティに匿名アイデンティティを割り当てるステップと、
    を含む、請求項22に記載の方法。
  24. 脅威検出アルゴリズムを用いて前記少なくとも1つの匿名活動記録を分析するステップをさらに含む、
    請求項22に記載の方法。
  25. 前記複数の活動記録は、複数のエンドポイントエージェントから取得される、
    請求項22に記載の方法。
  26. 活動記録の処理方法であって、
    第1のエンドポイントエージェントから第1の複数の匿名活動記録と第1のローカル匿名化辞書とを取得するステップと、
    第2のエンドポイントエージェントから第2の複数の匿名活動記録と第2のローカル匿名化辞書とを取得するステップと、
    前記第1の複数の匿名活動記録と、前記第1のローカル匿名化辞書と、前記第2の複数の匿名活動記録と、前記第2のローカル匿名化辞書とを記憶するステップと、
    前記第1の複数の匿名活動記録と、前記第1のローカル匿名化辞書と、前記第2の複数の匿名活動記録と、前記第2のローカル匿名化辞書とを用いて脅威分析を実行するステップと、
    を含むことを特徴とする方法。
JP2018536699A 2015-10-02 2016-09-30 活動記録を匿名化する方法及びシステム Active JP6549328B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/874,265 US9953176B2 (en) 2015-10-02 2015-10-02 Method and system for anonymizing activity records
US14/874,265 2015-10-02
PCT/US2016/054678 WO2017059200A1 (en) 2015-10-02 2016-09-30 Method and system for anonymizing activity records

Publications (2)

Publication Number Publication Date
JP2018532217A true JP2018532217A (ja) 2018-11-01
JP6549328B2 JP6549328B2 (ja) 2019-07-24

Family

ID=57130472

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018536699A Active JP6549328B2 (ja) 2015-10-02 2016-09-30 活動記録を匿名化する方法及びシステム

Country Status (4)

Country Link
US (2) US9953176B2 (ja)
EP (1) EP3356984B1 (ja)
JP (1) JP6549328B2 (ja)
WO (1) WO2017059200A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7438607B2 (ja) 2019-02-15 2024-02-27 インターナショナル・ビジネス・マシーンズ・コーポレーション アナリティクスのための難読化データへのセキュアなマルチレベル・アクセス

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10200808B2 (en) * 2015-04-14 2019-02-05 At&T Mobility Ii Llc Anonymization of location datasets for travel studies
EP3128479A1 (en) * 2015-08-06 2017-02-08 Tata Consultancy Services Limited Methods and systems for transaction processing
US9953176B2 (en) * 2015-10-02 2018-04-24 Dtex Systems Inc. Method and system for anonymizing activity records
US10417435B2 (en) * 2015-12-01 2019-09-17 Oracle International Corporation Replacing a token with a mask value for display at an interface
CN106909811B (zh) * 2015-12-23 2020-07-03 腾讯科技(深圳)有限公司 用户标识处理的方法和装置
US11030651B2 (en) * 2016-05-06 2021-06-08 Adp, Llc Segmented user profiles
US10120746B1 (en) 2016-06-14 2018-11-06 Amazon Technologies, Inc. Throttling system and method
US10581886B1 (en) * 2016-06-14 2020-03-03 Amazon Technologies, Inc. Computer system anomaly detection
CN109983467B (zh) * 2016-11-28 2020-09-29 西门子股份公司 用于匿名化数据集的系统和方法
US10318763B2 (en) 2016-12-20 2019-06-11 Privacy Analytics Inc. Smart de-identification using date jittering
US10963590B1 (en) * 2018-04-27 2021-03-30 Cisco Technology, Inc. Automated data anonymization
US11615208B2 (en) * 2018-07-06 2023-03-28 Capital One Services, Llc Systems and methods for synthetic data generation
US11157651B2 (en) * 2018-11-29 2021-10-26 Delphix Corporation Synchronizing masking jobs between different masking engines in a data processing system
US11503047B2 (en) * 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format
US11455587B2 (en) * 2020-04-20 2022-09-27 Equifax Inc. Continuous and anonymous risk evaluation
US20210397638A1 (en) * 2020-06-23 2021-12-23 Samsung Electronics Co., Ltd. System and method for cyberbullying detection
US11907319B2 (en) * 2020-08-06 2024-02-20 Gary Manuel Jackson Internet accessible behavior observation workplace assessment method and system to identify insider threat
EP4376356A1 (en) * 2022-11-24 2024-05-29 Abb Schweiz Ag Anonymous data exchange

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090132575A1 (en) * 2007-11-19 2009-05-21 William Kroeschel Masking related sensitive data in groups
US20090198746A1 (en) * 2008-02-01 2009-08-06 Microsoft Corporation Generating anonymous log entries
JP2011065635A (ja) * 2009-08-31 2011-03-31 Accenture Global Services Gmbh クロスチャネル操作を駆動するウェブサイトトリガ最適化システム
US20130097706A1 (en) * 2011-09-16 2013-04-18 Veracode, Inc. Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
US20140215607A1 (en) * 2013-01-31 2014-07-31 Hewlett-Packard Development Company, L.P. Threat exchange information protection
JP2015032086A (ja) * 2013-08-01 2015-02-16 Kddi株式会社 端末および状況推定システム
JP2015049648A (ja) * 2013-08-30 2015-03-16 ニフティ株式会社 匿名化システム
US20150172311A1 (en) * 2013-12-13 2015-06-18 Comilion Mobile Ltd. Collaborative system for cyber security analysis

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6275824B1 (en) * 1998-10-02 2001-08-14 Ncr Corporation System and method for managing data privacy in a database management system
US7437550B2 (en) * 1999-12-02 2008-10-14 Ponoi Corp. System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data
US20090077163A1 (en) * 2007-09-14 2009-03-19 Phorm Uk, Inc. Approach for identifying and providing targeted content to a network client with reduced impact to the service provider
US20090132419A1 (en) 2007-11-15 2009-05-21 Garland Grammer Obfuscating sensitive data while preserving data usability
US20120046995A1 (en) * 2009-04-29 2012-02-23 Waldeck Technology, Llc Anonymous crowd comparison
JP2011065364A (ja) 2009-09-16 2011-03-31 Konica Minolta Business Technologies Inc ログ管理装置、ログ管理方法、およびコンピュータプログラム
US20140063237A1 (en) * 2012-09-03 2014-03-06 Transportation Security Enterprises, Inc.(TSE), a Delaware corporation System and method for anonymous object identifier generation and usage for tracking
EP2926308B1 (en) * 2012-11-28 2019-07-17 Telefónica Germany GmbH & Co. OHG Method for anonymisation by transmitting data set between different entities
US9047488B2 (en) * 2013-03-15 2015-06-02 International Business Machines Corporation Anonymizing sensitive identifying information based on relational context across a group
US20140324908A1 (en) * 2013-04-29 2014-10-30 General Electric Company Method and system for increasing accuracy and completeness of acquired data
US9195703B1 (en) * 2013-06-27 2015-11-24 Google Inc. Providing context-relevant information to users
WO2015066523A2 (en) * 2013-11-01 2015-05-07 Anonos Inc. Dynamic de-identification and anonymity
US9503465B2 (en) * 2013-11-14 2016-11-22 At&T Intellectual Property I, L.P. Methods and apparatus to identify malicious activity in a network
US9836623B2 (en) * 2015-01-30 2017-12-05 Splunk Inc. Anonymizing machine data events
US9824236B2 (en) * 2015-05-19 2017-11-21 Accenture Global Services Limited System for anonymizing and aggregating protected information
US10083322B2 (en) * 2015-07-30 2018-09-25 International Business Machines Corporation Obscuring user web usage patterns
WO2017027030A1 (en) * 2015-08-12 2017-02-16 Hewlett Packard Enterprise Development Lp Retraining a machine classifier based on audited issue data
US9953176B2 (en) * 2015-10-02 2018-04-24 Dtex Systems Inc. Method and system for anonymizing activity records

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090132575A1 (en) * 2007-11-19 2009-05-21 William Kroeschel Masking related sensitive data in groups
US20090198746A1 (en) * 2008-02-01 2009-08-06 Microsoft Corporation Generating anonymous log entries
JP2011065635A (ja) * 2009-08-31 2011-03-31 Accenture Global Services Gmbh クロスチャネル操作を駆動するウェブサイトトリガ最適化システム
US20130097706A1 (en) * 2011-09-16 2013-04-18 Veracode, Inc. Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
US20140215607A1 (en) * 2013-01-31 2014-07-31 Hewlett-Packard Development Company, L.P. Threat exchange information protection
JP2015032086A (ja) * 2013-08-01 2015-02-16 Kddi株式会社 端末および状況推定システム
JP2015049648A (ja) * 2013-08-30 2015-03-16 ニフティ株式会社 匿名化システム
US20150172311A1 (en) * 2013-12-13 2015-06-18 Comilion Mobile Ltd. Collaborative system for cyber security analysis

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7438607B2 (ja) 2019-02-15 2024-02-27 インターナショナル・ビジネス・マシーンズ・コーポレーション アナリティクスのための難読化データへのセキュアなマルチレベル・アクセス

Also Published As

Publication number Publication date
EP3356984A1 (en) 2018-08-08
US20170098093A1 (en) 2017-04-06
EP3356984B1 (en) 2019-08-07
US9953176B2 (en) 2018-04-24
US20180239918A1 (en) 2018-08-23
WO2017059200A1 (en) 2017-04-06
JP6549328B2 (ja) 2019-07-24
US10387667B2 (en) 2019-08-20

Similar Documents

Publication Publication Date Title
US10387667B2 (en) Method and system for anonymizing activity records
Catak et al. A benchmark API call dataset for windows PE malware classification
EP3262815B1 (en) System and method for securing an enterprise computing environment
US10554736B2 (en) Mobile URL categorization
US9800606B1 (en) Systems and methods for evaluating network security
EP3195560B1 (en) Lateral movement detection
US9652597B2 (en) Systems and methods for detecting information leakage by an organizational insider
US7996374B1 (en) Method and apparatus for automatically correlating related incidents of policy violations
US9998443B2 (en) Retrospective discovery of shared credentials
JP2019500679A (ja) ログエントリを匿名化するシステム及び方法
US9369478B2 (en) OWL-based intelligent security audit
US20120174228A1 (en) Methods and systems for integrating reconnaissance with security assessments for computing networks
US10360271B2 (en) Mining security vulnerabilities available from social media
US11803481B2 (en) Data anonymization for a document editor
US11003790B2 (en) Preventing data leakage via version control systems
WO2023078074A1 (zh) 数据访问控制的方法和装置
Ismail et al. Mitigation strategies for unintentional insider threats on information leaks
KR101320515B1 (ko) SaaS 기반 서비스에서 개인정보 보호를 위한 보안정책 관리 시스템 및 그 방법
Manikandakumar et al. Security and Privacy Challenges in Big Data Environment
US20210256089A1 (en) Identifying and monitoring relevant enterprise data stored in software development repositories
Niu et al. Security analysis model, system architecture and relational model of enterprise cloud services
Kuehn et al. The Notion of Relevance in Cybersecurity: A Categorization of Security Tools and Deduction of Relevance Notions
Bo et al. Tom: A threat operating model for early warning of cyber security threats
US20240039918A1 (en) Data dependent restrictions
Fernandes et al. ScrapeIOC: Designing a Web-scraping Tool for Malware Detection based on Indicators of Compromise

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190610

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190626

R150 Certificate of patent or registration of utility model

Ref document number: 6549328

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250