以下に、図面を参照して、本発明にかかる判定プログラム、判定方法、および判定装置の実施の形態を詳細に説明する。
(実施の形態にかかる判定方法の一実施例)
図1は、実施の形態にかかる判定方法の一実施例を示す説明図である。図1において、判定装置100は、ユーザによる特定の操作が、ユーザによる特定の操作に関する評価基準を満たすか否かを判定するコンピュータである。ユーザは、判定装置100とは異なる装置を利用する人間である。判定装置100とは異なる装置は、例えば、PCである。ユーザは、例えば、企業や役所などのような組織に所属する職員である。
特定の操作は、セキュリティ上監視することが好ましい操作である。特定の操作は、例えば、業務上不正な操作である場合がある。特定の操作は、具体的には、情報の持ち出しの操作である。特定の操作は、具体的には、暗号化された情報の復号化の操作であってもよい。特定の操作は、具体的には、ネットワークを介した情報に対するアクセスの操作、または、社外での情報の取り扱いの操作などであってもよい。評価基準は、特定の操作の正当性を評価するための基準である。評価基準は、例えば、特定の操作が、ユーザの業務上正当な操作であるか、または、不当な操作であるかを評価するための基準である。
ここで、組織に所属するユーザにより、機密情報の持ち出しの操作などのような特定の操作が業務上不正に行われると、組織の損害が発生したり、組織の信用が毀損したりする恐れがある。このため、業務上不正な特定の操作について、事前的または事後的に対策を実施し、セキュリティの向上を図ることが望まれる傾向がある。
これに対して、ユーザによる特定の操作を、根本的に禁止してしまう場合が考えられる。例えば、ユーザによるPC上での特定の操作を、ソフトウェアを用いて禁止してしまい、セキュリティの向上を図る場合が考えられる。しかしながら、この場合、業務形態や業務環境の多様化に伴い、一部のユーザが業務上正式に特定の操作を行うことが望まれる状況については適用することができず、ユーザの利便性の低下を招いてしまう。
これに対して、基本的にユーザによる特定の操作を禁止し、例外的に一部のユーザによる特定の操作については一律で許可してしまう場合が考えられる。しかしながら、この場合、一部のユーザにより業務上不正に特定の操作が行われると、業務上不正な特定の操作について、事前的または事後的に対策を実施することが難しくなり、セキュリティの低下を招いてしまう。
このため、セキュリティ管理者が、ユーザがPC上で行った操作の履歴を収集し、収集した操作の履歴に基づいて、ユーザによる特定の操作が業務上正当であるか否かを評価し、不正な特定の操作を発見すると対策を実施する場合が考えられる。評価は、例えば、ユーザへの聞き取り調査に基づいて行われる。しかしながら、この場合、セキュリティ管理者の負担の増大化を招いてしまう。
例えば、一部のユーザが業務上正式に特定の操作を行うことがあるため、収集した操作の履歴は、正式な特定の操作に関するレコードと、不正な特定の操作に関するレコードとを混在して含むことになる。そして、セキュリティ管理者は、正式な特定の操作についても評価することになり、ユーザへの聞き取り調査を実施することになり、セキュリティ管理者の負担の増大化を招いてしまう。また、聞き取り調査を実施されるユーザの負担の増大化も招いてしまう。
そこで、本実施の形態では、ユーザの操作履歴に基づきユーザの属性ごとに特定の操作に関する評価基準を生成し、特定のユーザによる特定の操作があると、特定のユーザの属性から特定される評価基準を満たすか判定することができる判定方法について説明する。これによれば、判定方法は、セキュリティ管理者による特定の操作に対する評価を支援することができ、特定の操作に関する評価負担の低減化を図ることができる。
(1−1)判定装置100は、記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成する。属性は、例えば、職責、所属、および、勤務形態などである。特定の操作は、例えば、機密情報の持ち出しの操作などである。評価基準は、特定の操作の正当性を評価するための基準である。評価基準は、例えば、特定の操作が許可される時間帯を表す。
記憶部は、ユーザによる操作の履歴110をユーザの属性と対応付けて記憶する。操作の履歴は、操作ごとのレコードを集めたDB(Data Base)である。記憶部は、例えば、図13に後述する操作履歴1300を記憶する。レコードは、ユーザによる操作に関する情報が設定される。ユーザによる操作に関する情報は、例えば、ユーザによる操作が行われた時点を表す情報を含む。判定装置100は、例えば、1以上の評価基準120を生成して記憶する。
(1−2)判定装置100は、いずれかのユーザの属性に基づいて、生成した評価基準のうち、いずれかのユーザによる特定の操作に関する評価基準を特定する。判定装置100は、例えば、いずれかのユーザによる特定の操作を検出した場合、いずれかのユーザの属性ごとに対応付けられた、特定の操作に関する評価基準を特定する。判定装置100は、具体的には、評価基準120のうち、いずれかのユーザの属性に対応付けられた、特定の操作が許可された時間帯を表す評価基準を特定する。
(1−3)判定装置100は、いずれかのユーザによる特定の操作を検出した場合、いずれかのユーザによる特定の操作が、特定した評価基準を満たすか否かを判定する。判定装置100は、例えば、記憶部に記憶されたユーザによる特定の操作の履歴130を抽出する。そして、判定装置100は、抽出したユーザによる特定の操作の履歴130から、いずれかのユーザによる特定の操作に関するレコードを検出した場合、いずれかのユーザによる特定の操作が評価基準を満たすか否かを判定する。
判定装置100は、具体的には、ユーザ「Bさん」による特定の操作が行われた時点が、評価基準が表す特定の操作が許可された時間帯に含まれるか否かを判定する。図1の例では、判定装置100は、ユーザ「Bさん」による特定の操作が行われた時点が、評価基準が表す特定の操作が許可された時間帯に含まれないと判定し、ユーザ「Bさん」による特定の操作が、業務上不正な操作であると判断する。
その後、判定装置100は、判定した結果を出力してもよい。出力形式は、例えば、ディスプレイへの表示、プリンタへの印刷出力、外部装置への送信、または、記憶領域への記憶などである。判定装置100は、例えば、判定した結果をユーザによる操作の履歴と対応付けてディスプレイに表示し、判定した結果をユーザによる操作の履歴と対応付けてセキュリティ管理者が把握可能にする。
これにより、判定装置100は、特定の操作に関する評価負担の低減化を図ることができる。判定装置100は、例えば、特定の操作の正当性を評価した結果を表す、特定の操作が評価基準を満たすか否かを判定した結果を、セキュリティ管理者が参照可能にすることができる。このため、セキュリティ管理者は、複数のユーザによる特定の操作のうち、いずれの特定の操作が、不正に行われた可能性が相対的に大きく、優先して調査して正当性を評価することが好ましいかを把握することができる。
結果として、セキュリティ管理者は、複数のユーザによる特定の操作についての評価負担の低減化を図ることができる。また、セキュリティ管理者は、業務上不正な特定の操作があれば、業務上不正な特定の操作について対策を実施し、効率よくセキュリティの向上を図ることができる。また、セキュリティ管理者は、複数のユーザによる特定の操作についての評価負担が低減されると、不正に行われた可能性が相対的に大きい特定の操作について、重点的に評価しやすくなり、評価精度の向上を図ることができ、不正な操作を見落としにくくできる。
また、判定装置100は、業務形態や業務環境の多様化に伴い、一部のユーザが業務上正式に特定の操作を行うことが望まれる状況についても適用することができ、ユーザの利便性を維持することができる。また、判定装置100は、業務上正式に特定の操作を行った一部のユーザに対して、セキュリティ管理者から聞き取り調査が実施される可能性の低減化を図ることができる。このため、判定装置100は、聞き取り調査を実施されるユーザについても負担の低減化を図ることができる。
ここでは、判定装置100が、ユーザの属性ごとに特定の操作に関する評価基準を生成する場合について説明したが、これに限らない。例えば、判定装置100が、予め、ユーザの属性ごとの特定の操作に関する評価基準を記憶しておく場合があってもよい。具体的には、判定装置100は、ユーザの属性ごとの特定の操作に関する評価基準の入力を受け付け、ユーザの属性ごとの特定の操作に関する評価基準を記憶しておく。また、判定装置100が、生成した評価基準と予め記憶された評価基準とを両方とも用いる場合があってもよい。
ここでは、判定装置100が、いずれかのユーザによる特定の操作を検出する前か後かに限らず、ユーザの属性ごとに特定の操作に関する評価基準を生成する場合について説明したが、これに限らない。例えば、判定装置100が、いずれかのユーザによる特定の操作を検出した後、いずれかのユーザの属性ごとに特定の操作に関する評価基準を生成する場合があってもよい。
(判定システム200の一例)
次に、図2を用いて、図1に示した判定装置100を適用した、判定システム200の一例について説明する。
図2は、判定システム200の一例を示す説明図である。図2において、判定システム200は、判定装置100と、情報蓄積装置203と、セキュリティ管理者の端末装置201と、ユーザの端末装置202とを含む。
判定システム200において、判定装置100と情報蓄積装置203とセキュリティ管理者の端末装置201とユーザの端末装置202とは、有線または無線のネットワーク210を介して接続される。ネットワーク210は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、または、インターネットなどである。
判定装置100は、情報蓄積装置203に蓄積されたユーザによる操作に関する情報を参照し、ユーザによる特定の操作が評価基準を満たすか否かを判定するコンピュータである。判定装置100は、判定した結果を、セキュリティ管理者の端末装置201に出力する。判定装置100は、例えば、サーバやPCなどである。
情報蓄積装置203は、端末装置202におけるユーザによる操作に関する情報を収集し、図13に後述する操作履歴1300を用いて蓄積するコンピュータである。情報蓄積装置203は、端末装置202におけるユーザによる操作に関する情報を、判定装置100に参照可能にする。情報蓄積装置203は、例えば、サーバやPCなどである。
セキュリティ管理者の端末装置201は、判定システム200のセキュリティ管理者により利用されるコンピュータである。セキュリティ管理者は、例えば、企業や役所などのような組織に所属する人間である。セキュリティ管理者の端末装置201は、判定装置100が判定した結果を受け付け、判定装置100が判定した結果をセキュリティ管理者が参照可能にする。セキュリティ管理者の端末装置201は、例えば、PC、タブレット端末、および、スマートフォンなどである。
ユーザの端末装置202は、ユーザの操作を受け付け、ユーザの操作に関する情報を情報蓄積装置203に出力するコンピュータである。ユーザは、例えば、企業や役所などのような組織に所属する人間である。ユーザは、具体的には、セキュリティ管理者と同じ組織に所属する。ユーザの端末装置202は、例えば、PC、タブレット端末、および、スマートフォンなどである。
ここでは、セキュリティ管理者とユーザとが同じ組織に所属する場合について説明したが、これに限らない。例えば、セキュリティ管理者が、ユーザとは異なる組織に所属し、組織から依頼を受けて、組織のセキュリティの向上を図る人間であってもよい。
ここでは、判定装置100が、情報蓄積装置203、セキュリティ管理者の端末装置201、ユーザの端末装置202などとは異なる装置である場合について説明したが、これに限らない。例えば、判定装置100が、情報蓄積装置203と一体である場合があってもよい。また、例えば、判定装置100が、セキュリティ管理者の端末装置201と一体である場合があってもよい。また、例えば、判定装置100が、ユーザの端末装置202と一体である場合があってもよい。
(判定装置100のハードウェア構成例)
次に、図3を用いて、図2に示した判定システム200に含まれる判定装置100のハードウェア構成例について説明する。
図3は、判定装置100のハードウェア構成例を示すブロック図である。図3において、判定装置100は、CPU(Central Processing Unit)301と、メモリ302と、ネットワークI/F(Interface)303と、記録媒体I/F304と、記録媒体305とを有する。また、各構成部は、バス300によってそれぞれ接続される。
ここで、CPU301は、判定装置100の全体の制御を司る。メモリ302は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)およびフラッシュROMなどを有する。具体的には、例えば、フラッシュROMやROMが各種プログラムを記憶し、RAMがCPU301のワークエリアとして使用される。メモリ302に記憶されるプログラムは、CPU301にロードされることで、コーディングされている処理をCPU301に実行させる。メモリ302は、図4〜図13に後述する各種テーブルを記憶する。
ネットワークI/F303は、通信回線を通じてネットワーク210に接続され、ネットワーク210を介して他のコンピュータに接続される。そして、ネットワークI/F303は、ネットワーク210と内部のインターフェースを司り、他のコンピュータからのデータの入出力を制御する。ネットワークI/F303には、例えば、モデムやLANアダプタなどを採用することができる。
記録媒体I/F304は、CPU301の制御に従って記録媒体305に対するデータのリード/ライトを制御する。記録媒体I/F304は、例えば、ディスクドライブ、SSD(Solid State Drive)、USB(Universal Serial Bus)ポートなどである。記録媒体305は、記録媒体I/F304の制御で書き込まれたデータを記憶する不揮発メモリである。記録媒体305は、例えば、ディスク、半導体メモリ、USBメモリなどである。記録媒体305は、判定装置100から着脱可能であってもよい。記録媒体305は、図4〜図13に後述する各種テーブルを記憶してもよい。
判定装置100は、上述した構成部のほか、例えば、キーボード、マウス、ディスプレイ、プリンタ、スキャナ、マイク、スピーカーなどを有してもよい。また、判定装置100は、記録媒体I/F304や記録媒体305を複数有していてもよい。また、判定装置100は、記録媒体I/F304や記録媒体305を有していなくてもよい。
(人事情報DB400の記憶内容)
次に、図4を用いて、人事情報DB400の記憶内容の一例について説明する。人事情報DB400は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図4は、人事情報DB400の記憶内容の一例を示す説明図である。図4に示すように、人事情報DB400は、ユーザと、職責と、所属と、勤務形態とのフィールドを有する。人事情報DB400は、各フィールドに情報を設定することにより、人事情報が記憶される。
ユーザのフィールドには、ユーザを識別する情報が設定される。職責のフィールドには、ユーザの属性である職責を表す情報が設定される。職責を表す情報は、例えば、部長、課長、一般などである。所属のフィールドには、ユーザの属性である所属を表す情報が設定される。所属を表す情報は、例えば、総務部、営業部、開発部などである。勤務形態のフィールドには、ユーザの属性である勤務形態を表す情報が設定される。
ここでは、人事情報DB400が、ユーザと、職責と、所属と、勤務形態とのフィールドを有する場合について説明したが、これに限らない。例えば、人事情報DB400が、さらに、職種や担当業務のフィールドを有する場合があってもよい。また、例えば、人事情報DB400が、職責と、所属と、勤務形態と、職種と、担当業務との少なくともいずれかのフィールドを有さない場合があってもよい。
職種のフィールドには、ユーザの属性である職種を表す情報が設定される。職種を表す情報は、例えば、営業職、CE(Customer Engineer)、開発職などである。担当業務のフィールドには、ユーザの担当業務を表す情報が設定される。担当業務を表す情報は、例えば、プロジェクトの名称である。担当業務を表す情報は、具体的には、製造業A様Prj、海外B様Prj、官庁C様Prjなどである。
(職責に対する業務行動パターン情報DB500の記憶内容)
次に、図5を用いて、職責に対する業務行動パターン情報DB500の記憶内容の一例について説明する。職責に対する業務行動パターン情報DB500は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図5は、職責に対する業務行動パターン情報DB500の記憶内容の一例を示す説明図である。図5に示すように、職責に対する業務行動パターン情報DB500は、職責と、業務時間外持ち出しとのフィールドを有する。職責に対する業務行動パターン情報DB500は、各フィールドに情報を設定することにより、職責に対する業務行動パターン情報が記憶される。
職責のフィールドには、ユーザの職責を表す情報が設定される。職責を表す情報は、例えば、部長、課長、一般などである。業務時間外持ち出しのフィールドには、業務時間外における情報の持ち出しの操作の多さを表す情報が設定される。業務時間は、例えば、9:00〜18:00である。業務時間外は、例えば、18:00〜翌9:00である。持ち出しの操作の多さを表す情報は、例えば、多い、少ない、または、なしである。持ち出しの操作の多さを表す情報は、例えば、あり、または、なしであってもよい。
(所属に対する業務行動パターン情報DB600の記憶内容)
次に、図6を用いて、所属に対する業務行動パターン情報DB600の記憶内容の一例について説明する。所属に対する業務行動パターン情報DB600は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図6は、所属に対する業務行動パターン情報DB600の記憶内容の一例を示す説明図である。図6に示すように、所属に対する業務行動パターン情報DB600は、所属と、機密情報の持ち出しとのフィールドを有する。所属に対する業務行動パターン情報DB600は、各フィールドに情報を設定することにより、所属に対する業務行動パターン情報が記憶される。
所属のフィールドには、ユーザの所属を表す情報が設定される。所属を表す情報は、例えば、総務部、営業部、開発部などである。機密情報の持ち出しのフィールドには、機密情報の持ち出しの操作の多さを表す情報が設定される。持ち出しの操作の多さを表す情報は、例えば、多い、少ない、または、なしである。持ち出しの操作の多さを表す情報は、例えば、あり、または、なしであってもよい。
(勤務形態に対する業務行動パターン情報DB700の記憶内容)
次に、図7を用いて、勤務形態に対する業務行動パターン情報DB700の記憶内容の一例について説明する。勤務形態に対する業務行動パターン情報DB700は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図7は、勤務形態に対する業務行動パターン情報DB700の記憶内容の一例を示す説明図である。図7に示すように、勤務形態に対する業務行動パターン情報DB700は、勤務形態と、アクセス許可とのフィールドを有する。勤務形態に対する業務行動パターン情報DB700は、各フィールドに情報を設定することにより、勤務形態に対する業務行動パターン情報が記憶される。
勤務形態のフィールドには、ユーザの勤務形態を表す情報が設定される。勤務形態を表す情報は、例えば、通常勤務、社外常駐勤務、テレワーク勤務などである。アクセス許可のフィールドには、ユーザによるアクセスが許可された記憶領域を表す情報が設定される。記憶領域を表す情報は、例えば、全ファイルサーバ、常駐用ファイルサーバ、テレワーク用ファイルサーバなどである。
(職種に対する業務行動パターン情報DB800の記憶内容)
次に、図8を用いて、職種に対する業務行動パターン情報DB800の記憶内容の一例について説明する。職種に対する業務行動パターン情報DB800は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図8は、職種に対する業務行動パターン情報DB800の記憶内容の一例を示す説明図である。図8に示すように、職種に対する業務行動パターン情報DB800は、職種と、持ち出し手段とのフィールドを有する。職種に対する業務行動パターン情報DB800は、各フィールドに情報を設定することにより、職種に対する業務行動パターン情報が記憶される。
職種のフィールドには、ユーザの職種を表す情報が設定される。職種を表す情報は、例えば、営業職、CE、開発職などである。持ち出し手段のフィールドには、情報の持ち出しの操作についての利用が許可された記録媒体を表す情報が設定される。記録媒体を表す情報は、例えば、DVD(Digital Versatile Disc)、HDD(Hard Disk Drive)、USBメモリなどである。
(担当に対する業務行動パターン情報DB900の記憶内容)
次に、図9を用いて、担当に対する業務行動パターン情報DB900の記憶内容の一例について説明する。担当に対する業務行動パターン情報DB900は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図9は、担当に対する業務行動パターン情報DB900の記憶内容の一例を示す説明図である。図9に示すように、担当に対する業務行動パターン情報DB900は、担当業務と、持ち出し可能期間とのフィールドを有する。担当に対する業務行動パターン情報DB900は、各フィールドに情報を設定することにより、担当に対する業務行動パターン情報が記憶される。
担当業務のフィールドには、ユーザの担当業務を表す情報が設定される。担当業務を表す情報は、例えば、プロジェクトの名称である。担当業務を表す情報は、具体的には、製造業A様Prj、海外B様Prj、官庁C様Prjなどである。持ち出し可能期間のフィールドには、担当業務に関する情報の持ち出しの操作を行うことが可能である期間を表す情報が設定される。
(資産情報DB1000の記憶内容)
次に、図10を用いて、資産情報DB1000の記憶内容の一例について説明する。資産情報DB1000は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図10は、資産情報DB1000の記憶内容の一例を示す説明図である。図10に示すように、資産情報DB1000は、資産名と、設置箇所と、パッチ適用状態と、HDD暗号化とのフィールドを有する。資産情報DB1000は、各フィールドに情報を設定することにより、資産情報が記憶される。
資産名のフィールドには、資産である端末装置202を識別する情報が設定される。端末装置202を識別する情報は、例えば、PC001などである。設置箇所は、端末装置202が設置された箇所を表す情報が設定される。箇所を表す情報は、例えば、自宅や事務所内などである。パッチ適用状態のフィールドには、端末装置202に対するセキュリティパッチの適用状態を表す情報が設定される。HDD暗号化は、端末装置202が有するHDD内の情報が暗号化されているか否かを表す情報が設定される。
(所属に対する業務環境パターン情報DB1100の記憶内容)
次に、図11を用いて、所属に対する業務環境パターン情報DB1100の記憶内容の一例について説明する。所属に対する業務環境パターン情報DB1100は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図11は、所属に対する業務環境パターン情報DB1100の記憶内容の一例を示す説明図である。図11に示すように、所属に対する業務環境パターン情報DB1100は、所属と、設置箇所とのフィールドを有する。所属に対する業務環境パターン情報DB1100は、各フィールドに情報を設定することにより、所属に対する業務環境パターン情報が記憶される。
所属のフィールドには、ユーザの所属を表す情報が設定される。所属を表す情報は、例えば、総務部、営業部、開発部などである。設置箇所には、ユーザによる利用が許可された端末装置202が設置された箇所を表す情報が設定される。箇所を表す情報は、例えば、自宅や事務所内などである。
(勤務形態に対する業務環境パターン情報DB1200の記憶内容)
次に、図12を用いて、勤務形態に対する業務環境パターン情報DB1200の記憶内容の一例について説明する。勤務形態に対する業務環境パターン情報DB1200は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図12は、勤務形態に対する業務環境パターン情報DB1200の記憶内容の一例を示す説明図である。図12に示すように、勤務形態に対する業務環境パターン情報DB1200は、勤務形態と、操作環境(パッチ適用状態)と、操作環境(HDD暗号化)とのフィールドを有する。勤務形態に対する業務環境パターン情報DB1200は、各フィールドに情報を設定することにより、勤務形態に対する業務環境パターン情報が記憶される。
勤務形態のフィールドには、ユーザの勤務形態を表す情報が設定される。勤務形態を表す情報は、例えば、通常勤務、社外常駐勤務、テレワーク勤務などである。操作環境(パッチ適用状態)のフィールドには、ユーザによる操作が許可される条件として、端末装置202に対するセキュリティパッチの適用状態を表す情報が設定される。操作環境(HDD暗号化)のフィールドには、ユーザによる操作が許可される条件として、端末装置202が有するHDD内の情報の暗号化の有無を表す情報が設定される。
(操作履歴1300の記憶内容)
次に、図13を用いて、操作履歴1300の記憶内容の一例について説明する。操作履歴1300は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図13は、操作履歴1300の記憶内容の一例を示す説明図である。図13に示すように、操作履歴1300は、ユーザ名と、資産名と、日時と、操作ログとのフィールドを有する。操作履歴1300は、各フィールドに情報を設定することにより、操作情報が記憶される。
ユーザ名のフィールドには、ユーザを識別する情報としてユーザ名が設定される。資産名のフィールドには、資産である端末装置202を識別する情報として資産名が設定される。日時のフィールドには、ユーザにより端末装置202の操作が行われた日時が設定される。操作ログのフィールドには、ユーザにより行われた操作の内容が設定される。
(情報蓄積装置203のハードウェア構成例)
図2に示した判定システム200に含まれる情報蓄積装置203のハードウェア構成例は、図3に示した判定装置100のハードウェア構成例と同様であるため、説明を省略する。図13に示した操作履歴1300は、例えば、情報蓄積装置203により生成され、情報蓄積装置203から判定装置100に送信され、判定装置100に記憶される。
(端末装置201,202のハードウェア構成例)
次に、図14を用いて、図2に示した教育システムに含まれる端末装置201,202のハードウェア構成例について説明する。図14の例では、具体的には、端末装置201,202のうち、端末装置201を一例として説明する。
図14は、端末装置201のハードウェア構成例を示すブロック図である。図14において、端末装置201は、CPU1401と、メモリ1402と、ネットワークI/F1403と、記録媒体I/F1404と、記録媒体1405と、ディスプレイ1406と、入力装置1407とを有する。また、各構成部は、バス1400によってそれぞれ接続される。
ここで、CPU1401は、端末装置201の全体の制御を司る。メモリ1402は、例えば、ROM、RAMおよびフラッシュROMなどを有する。具体的には、例えば、フラッシュROMやROMが各種プログラムを記憶し、RAMがCPU1401のワークエリアとして使用される。メモリ1402に記憶されるプログラムは、CPU1401にロードされることで、コーディングされている処理をCPU1401に実行させる。
ネットワークI/F1403は、通信回線を通じてネットワーク210に接続され、ネットワーク210を介して他のコンピュータに接続される。そして、ネットワークI/F1403は、ネットワーク210と内部のインターフェースを司り、他のコンピュータからのデータの入出力を制御する。ネットワークI/F1403には、例えば、モデムやLANアダプタなどを採用することができる。
記録媒体I/F1404は、CPU1401の制御に従って記録媒体1405に対するデータのリード/ライトを制御する。記録媒体I/F1404は、例えば、ディスクドライブ、SSD、USBポートなどである。記録媒体1405は、記録媒体I/F1404の制御で書き込まれたデータを記憶する不揮発メモリである。記録媒体1405は、例えば、ディスク、半導体メモリ、USBメモリなどである。記録媒体1405は、端末装置201から着脱可能であってもよい。
ディスプレイ1406は、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する。ディスプレイ1406は、例えば、CRT(Cathode Ray Tube)、液晶ディスプレイ、有機EL(Electroluminescence)ディスプレイなどを採用することができる。入力装置1407は、文字、数字、各種指示などの入力のためのキーを有し、データの入力を行う。入力装置1407は、キーボードやマウスなどであってもよく、また、タッチパネル式の入力パッドやテンキーなどであってもよい。
端末装置201は、上述した構成部のほか、例えば、プリンタ、スキャナ、マイク、スピーカーなどを有してもよい。また、端末装置201は、記録媒体I/F1404や記録媒体1405を複数有していてもよい。また、端末装置201は、記録媒体I/F1404や記録媒体1405を有していなくてもよい。
(判定装置100の機能的構成例)
次に、図15を用いて、判定装置100の機能的構成例について説明する。
図15は、判定装置100の機能的構成例を示すブロック図である。判定装置100は、記憶部1500と、取得部1501と、生成部1502と、特定部1503と、判定部1504と、出力部1505とを含む。
記憶部1500は、例えば、図3に示したメモリ302や記録媒体305などの記憶領域によって実現される。以下では、記憶部1500が、判定装置100に含まれる場合について説明するが、これに限らない。例えば、記憶部1500が、判定装置100とは異なる装置に含まれ、記憶部1500の記憶内容が判定装置100から参照可能である場合があってもよい。
取得部1501〜出力部1505は、制御部の一例として機能する。取得部1501〜出力部1505は、具体的には、例えば、図3に示したメモリ302や記録媒体305などの記憶領域に記憶されたプログラムをCPU301に実行させることにより、または、ネットワークI/F303により、その機能を実現する。各機能部の処理結果は、例えば、図3に示したメモリ302や記録媒体305などの記憶領域に記憶される。
記憶部1500は、各機能部の処理において参照され、または更新される各種情報を記憶する。記憶部1500は、例えば、ユーザによる操作の履歴をユーザの属性と対応付けて記憶する。操作の履歴は、操作ごとのレコードを集めたDBである。レコードは、ユーザによる操作に関する情報が設定される。ユーザによる操作に関する情報は、例えば、ユーザによる操作が行われた時点を表す情報を含む。ユーザは、それぞれ種別が異なる複数の属性を有してもよい。記憶部1500は、具体的には、図13に示した操作履歴1300を記憶する。
記憶部1500は、例えば、ユーザの属性を表す情報を記憶する。記憶部1500は、例えば、特定の操作に関する評価基準を記憶する。評価基準は、特定の操作の正当性を評価するための基準である。評価基準は、例えば、特定の操作が、ユーザの業務上正当な操作であるか、または、不当な操作であるかを評価するための基準である。評価基準は、具体的には、生成部1502によって生成され、または、予め記憶される。記憶部1500は、具体的には、図4〜図12に示した各種テーブルを記憶する。
取得部1501は、各機能部の処理に用いられる各種情報を記憶部1500から取得し、各機能部に出力する。取得部1501は、例えば、各機能部の処理に用いられる各種情報を記憶部1500から取得し、各機能部に出力してもよい。取得部1501は、例えば、各機能部の処理に用いられる各種情報を、判定装置100とは異なる装置から取得し、各機能部に出力してもよい。取得部1501は、具体的には、情報蓄積装置203から操作履歴1300を取得し、記憶部1500に記憶する。
生成部1502は、特定の操作に関する評価基準を生成する。生成部1502は、例えば、記憶部1500を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成する。生成部1502は、具体的には、第1種別の属性ごとに特定の操作が許可される時間帯を表す評価基準を生成する。第1種別は、例えば、職責である。生成部1502は、具体的には、図16に後述するように、職責に関する業務行動パターン情報DBを生成する。
生成部1502は、具体的には、第2種別の属性ごとに特定の操作が許可される対象種別を表す情報を生成してもよい。第2種別は、例えば、所属である。生成部1502は、具体的には、図16に後述するように、所属に関する業務行動パターン情報DBを生成する。これにより、生成部1502は、ユーザによる特定の操作の正当性を評価可能にすることができる。
生成部1502は、例えば、いずれかのユーザによる特定の操作を監視し、いずれかのユーザによる特定の操作を検出してもよい。そして、生成部1502は、いずれかのユーザによる特定の操作を検出した場合、記憶部1500を参照し、いずれかのユーザの属性ごとに特定の操作に関する評価基準を生成する。
生成部1502は、具体的には、いずれかのユーザによる特定の操作に関するレコードを記憶部1500から検索することにより、いずれかのユーザによる特定の操作を検出する。そして、生成部1502は、いずれかのユーザによる特定の操作を検出したことに応じて、記憶部1500を参照し、いずれかのユーザの属性ごとに特定の操作に関する評価基準を生成する。
これにより、生成部1502は、検出した特定の操作に関する評価基準を、判定システム200の最新の状態に対応するようにし、判定部1504の判定精度の向上を図ることができる。また、生成部1502は、すべての属性について評価基準を生成しなくてもよいため、生成処理にかかる負担の低減化を図ることができる。
特定部1503は、いずれかのユーザの属性に基づいて、生成した評価基準のうち、いずれかのユーザによる特定の操作に関する評価基準を特定する。これにより、特定部1503は、特定の操作の正当性の判定に利用する評価基準を特定し、判定部1504に提供することができる。
判定部1504は、いずれかのユーザによる特定の操作が評価基準を満たすか否かを判定する。判定部1504は、例えば、いずれかのユーザによる特定の操作を検出した場合、いずれかのユーザによる特定の操作が、特定部1503が特定した評価基準を満たすか否かを判定する。
判定部1504は、具体的には、いずれかのユーザによる特定の操作に関するレコードを記憶部1500から検索することにより、いずれかのユーザによる特定の操作を検出する。そして、判定部1504は、いずれかのユーザによる特定の操作を検出したことに応じて、検出した特定の操作のレコードが、いずれかのユーザの属性ごとの評価基準を満たすか否かを判定する。
これにより、判定部1504は、特定の操作に関する評価負担の低減化を図ることができる。判定部1504は、例えば、特定の操作の正当性を評価した結果を表す、特定の操作が評価基準を満たすか否かを判定した結果を、セキュリティ管理者が参照可能にすることができる。
判定部1504は、例えば、いずれかのユーザによる操作の履歴を参照し、いずれかのユーザによる特定の操作の前または後に行われた、いずれかのユーザによる他の操作に基づいて、評価基準を満たすか否かを判定してもよい。他の操作は、例えば、特定の操作が情報の持ち出しの操作であれば、持ち出される情報を記憶領域から読み出す操作である。他の操作は、例えば、持ち出す情報を改変する操作であってもよい。判定部1504は、具体的には、図23に後述するように、評価基準を満たすか否かを判定する。これにより、判定部1504は、判定精度の向上を図ることができる。
出力部1505は、判定部1504が判定した結果を出力する。出力形式は、例えば、ディスプレイへの表示、プリンタへの印刷出力、ネットワークI/F303による外部装置への送信、または、メモリ302や記録媒体305などの記憶領域への記憶である。出力部1505は、例えば、判定部1504が判定した結果を、特定の端末に出力する。特定の端末は、例えば、セキュリティ管理者の端末装置201である。
出力部1505は、各機能部の処理結果を出力してもよい。出力部1505は、例えば、各機能部の処理結果を、特定の端末に出力する。これにより、出力部1505は、各機能部の処理結果を利用者に通知可能にし、判定装置100の管理や運用、例えば、判定装置100の設定値の更新などを支援することができ、判定装置100の利便性の向上を図ることができる。
(判定システム200の実施例)
次に、図16〜図26を用いて、判定システム200の実施例について説明する。
図16〜図26は、判定システム200の実施例を示す説明図である。図16において、判定装置100は、学習用の操作履歴1600に基づいて、ユーザによる特定の操作の正当性を評価する評価基準を表す、職責に対する業務行動パターン情報DB500と所属に対する業務行動パターン情報DB600とを生成する。
学習用の操作履歴1600は、情報の持ち出しの操作の正当性を評価する対象である操作履歴1300と同様の情報である。学習用の操作履歴1600は、例えば、セキュリティ管理者によって、不正な操作がないことが確認されたユーザa〜fによる操作の履歴である。また、判定装置100が、学習用の操作履歴1600として、操作履歴1300自体を用いる場合があってもよい。
判定装置100は、例えば、人事情報DB400を参照し、操作履歴1600のうち、同一の職責であるユーザのレコードを抽出する。次に、判定装置100は、抽出したレコードに基づいて、業務時間外持ち出しの多さを評価する。そして、判定装置100は、評価した結果を、職責に対する業務行動パターン情報DB500に記憶する。
図16の例では、判定装置100は、同じ職責「課長」であるユーザcとユーザeとのレコードを抽出する。判定装置100は、抽出した職責「課長」であるユーザcとユーザeとのレコードのうち、業務時間外持ち出しの操作に関するレコードの比率が閾値以下であるため、業務時間外持ち出しの操作は「少ない」と評価する。そして、判定装置100は、評価した結果を、職責に対する業務行動パターン情報DB500に記憶する。
これにより、判定装置100は、以降、職責「課長」であるユーザの情報持ち出しの操作についての正当性を評価することができる。判定装置100は、例えば、職責「課長」であるいずれかのユーザのレコードのうち、業務時間外持ち出しの操作に関するレコードの比率が閾値より大きければ、業務時間外持ち出しの操作が「多い」と評価する。そして、判定装置100は、業務時間外持ち出しの操作が「少ない」傾向があるユーザについて、業務時間外持ち出しの操作が「多い」と評価されたため、不正な操作である可能性が比較的大きいと評価することができる。
判定装置100は、同様に、人事情報DB400を参照し、操作履歴1600のうち、同一の所属であるユーザのレコードを抽出する。次に、判定装置100は、抽出したレコードに基づいて、機密情報の持ち出しの多さを評価する。判定装置100は、評価した結果を、所属に対する業務行動パターン情報DB600に記憶する。
判定装置100は、職責に対する業務行動パターン情報DB500や所属に対する業務行動パターン情報DB600を生成する際、統計的処理により、業務時間外持ち出しの多さや機密情報の持ち出しの多さを評価してもよい。判定装置100は、例えば、業務時間外持ち出しの操作が一定以上少ない場合は、業務時間外持ち出しの操作が「なし」と評価してもよい。
判定装置100は、一定期間ごとに職責に対する業務行動パターン情報DB500と所属に対する業務行動パターン情報DB600とを更新してもよい。これにより、判定装置100は、職責に対する業務行動パターン情報DB500と所属に対する業務行動パターン情報DB600とを最新の状態にすることができる。
また、判定装置100は、同様に、職責に対する業務行動パターン情報DB500と所属に対する業務行動パターン情報DB600と以外の各種業務行動パターン情報DBを生成してもよい。次に、図17〜図25の説明に移行し、判定装置100が、ユーザによる特定の操作が評価基準を満たすか否かを判定する一例について説明する。以下では、判定装置100は、具体的には、操作履歴1300に基づき、ユーザa〜fとは異なるユーザA〜Fによる特定の操作が評価基準を満たすか否かを判定する。
図17において、判定装置100は、操作履歴1300から、情報の持ち出しの操作に関する操作履歴1700を抽出する。以下では、例えば、操作履歴1700のレコード1701〜1703が、不正な情報の持ち出しの操作である場合について説明する。これにより、判定装置100は、ユーザにより情報の持ち出しの操作が行われたことを検出することができる。次に、図18の説明に移行する。
図18において、判定装置100は、操作履歴1700から、特定の操作を行ったユーザを表すユーザ名と、特定の操作が行われた端末装置202を表す資産名とを組み合わせた情報を記憶する組み合わせ一覧1800を特定する。次に、図19の説明に移行する。
図19において、判定装置100は、人事情報DB400を参照し、組み合わせ一覧1800にユーザ名が記憶されたユーザの属性を抽出し、属性一覧1900を用いて記憶する。これにより、判定装置100は、評価基準を特定するための情報を取得することができる。次に、図20の説明に移行する。
図20において、判定装置100は、職責に対する業務行動パターン情報DB500、所属に対する業務行動パターン情報DB600、および、勤務形態に対する業務行動パターン情報DB700を取得する。各種業務行動パターン情報DBは、例えば、判定装置100によって生成される。各種業務行動パターン情報DBは、例えば、セキュリティ管理者によって予め作成され、判定装置100に記憶されてもよい。
判定装置100は、属性一覧1900を参照し、取得した各種業務行動パターン情報DBに、ユーザごとの属性に対応付けて記憶されている情報を纏めて、業務行動評価基準一覧2000を用いて記憶する。これにより、判定装置100は、情報の持ち出しの操作の正当性を評価するための、業務行動の観点からの評価基準を取得することができる。次に、図21の説明に移行する。
図21において、判定装置100は、所属に対する業務環境パターン情報DB1100、および、勤務形態に対する業務環境パターン情報DB1200を取得する。各種業務環境パターン情報DBは、例えば、判定装置100によって生成される。各種業務環境パターン情報DBは、例えば、セキュリティ管理者によって予め作成され、判定装置100に記憶されてもよい。
判定装置100は、属性一覧1900を参照し、取得した各種業務環境パターン情報DBにユーザごとの属性に対応付けて記憶されている情報を纏めて、業務環境評価基準一覧2100を用いて記憶する。これにより、判定装置100は、情報の持ち出しの操作の正当性を評価するための、業務環境の観点からの評価基準を取得することができる。次に、図22の説明に移行する。
図22において、判定装置100は、資産情報DB1000を参照し、組み合わせ一覧1800に資産名が記憶された端末装置202に関する情報を抽出し、業務環境一覧2200を用いて記憶する。これにより、判定装置100は、情報の持ち出しの操作が行われた業務環境を特定可能にすることができる。次に、図23の説明に移行する。
図23において、判定装置100は、業務行動評価基準一覧2000を参照し、操作履歴1700のうち、業務行動の観点からの評価基準を満たさないレコードを特定する。ここで、例えば、ユーザAの評価基準は、機密情報の持ち出し「なし」を表す。一方で、ユーザAのレコード1701は、機密情報の持ち出しを表す。このため、判定装置100は、評価基準を満たさない業務行動外での操作に関するレコードとして、ユーザAのレコード1701を特定する。
また、判定装置100は、例えば、操作履歴1300から、ユーザDによる情報の持ち出しの操作のレコード1703の直前および直後に、同一のユーザDにより行われた操作のレコード2301,2302を取得する。ここで、ユーザDの評価基準は、アクセスの許可対象として「テレワーク用ファイルサーバ」を表す。一方で、直前の操作のレコード2301は、持ち出した情報を読み出した際のアクセスの対象として「社内ファイルサーバ」を表す。このため、判定装置100は、評価基準を満たさない業務行動外での操作に関するレコードとして、ユーザDのレコード1703を特定する。
ここでは、直前の操作のレコードが、持ち出した情報を読み出した際のアクセスの対象として、アクセスが不許可の記憶領域を表しているため、評価基準を満たさないと判定される場合について説明したが、これに限らない。例えば、持ち出した情報が、ユーザによる変更が不許可の情報であるのに、直後の操作のレコードが、持ち出した情報を変更したことを表しているため、評価基準を満たさないと判定される場合などがあってもよい。
ここで、いずれかのユーザの評価基準は、機密情報の持ち出し「少ない」を表すが、同じユーザの複数のレコードのうち、機密情報の持ち出しを表すレコードの割合が、閾値以上である場合などが考えられる。このような場合に、判定装置100は、評価基準を満たさないと判定してもよい。次に、図24の説明に移行する。
図24において、判定装置100は、情報の持ち出しの操作に関する操作履歴1700と、業務環境一覧2200とを参照し、情報の持ち出しの操作ごとの業務環境を表す操作環境一覧2400を生成する。次に、判定装置100は、業務環境評価基準一覧2100を参照し、操作環境一覧2400のうち、業務環境の観点からの評価基準を満たさないレコードを特定する。
例えば、ユーザAの評価基準は、端末装置202の設置箇所「社内のみ」を表す。一方で、ユーザAのレコード1701が表す情報の持ち出しに対応する業務環境を表すレコード2401は、ユーザAの利用した端末装置202の設置箇所「自宅」を表す。
また、ユーザAの評価基準は、端末装置202のHDD暗号化「あり」を表す。一方で、レコード2401は、ユーザAの利用した端末装置202のHDD暗号化「なし」を表す。このため、判定装置100は、評価基準を満たさない業務環境外での操作に関するレコードとして、ユーザAのレコード1701を特定する。
例えば、ユーザCの評価基準は、端末装置202のパッチ適用状態「すべて適用」を表す。一方で、ユーザCのレコード1702が表す情報の持ち出しに対応する業務環境を表すレコード2402は、ユーザCの利用した端末装置202のパッチ適用状態「未適用あり」を表す。このため、判定装置100は、評価基準を満たさない業務環境外での操作に関するレコードとして、ユーザCのレコード1702を特定する。
例えば、ユーザDの評価基準は、端末装置202のHDD暗号化「あり」を表す。一方で、ユーザDのレコード1703が表す情報の持ち出しに対応する業務環境を表すレコード2403は、ユーザDの利用した端末装置202のHDD暗号化「なし」を表す。このため、判定装置100は、評価基準を満たさない業務環境外での操作に関するレコードとして、ユーザDのレコード1703を特定する。次に、図25の説明に移行する。
図25において、判定装置100は、図23および図24において特定した結果を纏め、特定結果一覧2500を用いて記憶する。判定装置100は、例えば、それぞれのユーザが、評価基準を満たさない業務行動外での操作を行ったか、および、評価基準を満たさない業務環境外での操作を行ったかを纏めて記憶する。これにより、判定装置100は、いずれの情報の持ち出しの操作が、不正な操作である可能性が相対的に大きく、優先して調査して正当性を評価することが好ましいかを評価することができる。次に、図26の説明に移行する。
図26において、判定装置100は、特定したレコード1701〜1703に「不審な持ち出し」のマークが付与された操作履歴1700を含む通知画面2600を、セキュリティ管理者の端末装置201のディスプレイ1406に表示させる。判定装置100は、特定したレコード1701〜1703に、業務行動の観点からの評価基準を満たすか否か、および、業務環境の観点からの評価基準を満たすか否かの判定結果を付与して表示させてもよい。
これにより、判定装置100は、セキュリティ管理者が見落としやすく、不正に行われた可能性が相対的に大きい操作があっても、様々な観点からの評価基準に基づき評価することができる。そして、判定装置100は、様々な観点からの評価基準に基づき、不正に行われた可能性が相対的に大きい操作を、セキュリティ管理者が把握可能にすることができる。
このため、セキュリティ管理者は、複数のユーザによる情報の持ち出しの操作のうち、いずれの情報の持ち出しの操作が、不正に行われた可能性が相対的に大きく、優先して調査して正当性を評価することが好ましいかを把握することができる。また、セキュリティ管理者は、不正に行われた可能性が相対的に大きい操作を見落とす可能性を低減することができる。結果として、セキュリティ管理者は、効率よくセキュリティの向上を図ることができる。
(全体処理手順)
次に、図27を用いて、判定装置100が実行する、全体処理手順の一例について説明する。全体処理は、例えば、図3に示したCPU301と、メモリ302や記録媒体305などの記憶領域と、ネットワークI/F303とによって実現される。
図27は、全体処理手順の一例を示すフローチャートである。図27において、判定装置100は、端末装置202の操作履歴1300から情報の持ち出しに関する操作履歴1300を抽出する(ステップS2701)。
次に、判定装置100は、人事情報DB400、業務行動パターン情報DB、業務環境パターン情報DB、資産情報DB1000を取得する(ステップS2702)。そして、判定装置100は、取得した各種DBを参照し、情報の持ち出しの操作を行ったユーザの業務行動パターン評価基準、および、業務環境パターン評価基準を生成する(ステップS2703)。
次に、判定装置100は、取得した情報の持ち出しに関する操作履歴1300から、情報の持ち出しの操作のレコードを選択する(ステップS2704)。そして、判定装置100は、選択したレコードが、生成した業務行動パターン評価基準、および、業務環境パターン評価基準を満たすか否かを判定する(ステップS2705)。
ここで、レコードが、業務行動パターン評価基準、または、業務環境パターン評価基準を満たさない場合(ステップS2705:No)、判定装置100は、ステップS2706の処理に移行する。一方で、レコードが、業務行動パターン評価基準、および、業務環境パターン評価基準を満たす場合(ステップS2705:Yes)、判定装置100は、ステップS2707の処理に移行する。
ステップS2706では、判定装置100は、選択したレコードに、不正操作の可能性ありを表す情報を対応付けて記憶する(ステップS2706)。そして、判定装置100は、ステップS2708の処理に移行する。
ステップS2707では、判定装置100は、選択したレコードに、正常操作を表す情報を対応付けて記憶する(ステップS2707)。そして、判定装置100は、ステップS2708の処理に移行する。
ステップS2708では、判定装置100は、すべてのレコードを選択したか否かを判定する(ステップS2708)。ここで、未選択のレコードがある場合(ステップS2708:No)、判定装置100は、ステップS2704の処理に戻る。一方で、すべてのレコードを選択している場合(ステップS2708:Yes)、判定装置100は、ステップS2709の処理に移行する。
ステップS2709では、判定装置100は、情報の持ち出しの操作のレコードと、情報の持ち出しの操作のレコードに対応付けて記憶した、不正操作の可能性ありを表す情報、または、正常操作を表す情報とを対応付けて表示する(ステップS2709)。そして、判定装置100は、全体処理を終了する。
ここでは、判定装置100が、業務行動パターン評価基準、および、業務環境パターン評価基準を満たすか否かを判定する場合について説明した。この場合、ステップS2703〜S2708の処理は、具体的には、図28に後述する業務行動判定処理、および、図29に後述する業務環境判定処理を組み合わせることによって実現される。
一方で、例えば、判定装置100が、業務行動パターン評価基準、および、業務環境パターン評価基準のいずれかを用いない場合があってもよい。この場合、ステップS2703〜S2708の処理は、具体的には、図28に後述する業務行動判定処理、または、図29に後述する業務環境判定処理によって実現される。
(業務行動判定処理手順)
次に、図28を用いて、判定装置100が実行する、業務行動判定処理手順の一例について説明する。業務行動判定処理は、例えば、図3に示したCPU301と、メモリ302や記録媒体305などの記憶領域と、ネットワークI/F303とによって実現される。
図28は、業務行動判定処理手順の一例を示すフローチャートである。図28において、判定装置100は、人事情報DB400から、情報の持ち出しの操作を行ったユーザごとの職責、所属、および、勤務形態を取得する(ステップS2801)。
次に、判定装置100は、業務行動パターン情報DBを参照し、情報の持ち出しの操作を行ったユーザごとに、取得した職責、所属、および、勤務形態に対応する業務行動パターン情報を取得する(ステップS2802)。そして、判定装置100は、情報の持ち出しの操作を行ったユーザごとに取得した業務行動パターン情報に基づいて、業務行動パターン評価基準を生成する(ステップS2803)。
次に、判定装置100は、情報の持ち出しに関する操作履歴1700から、情報の持ち出しの操作のレコードを選択する(ステップS2804)。そして、判定装置100は、選択したレコードが、選択したレコードに対応する業務行動パターン評価基準を満たすか否かを判定する(ステップS2805)。
ここで、業務行動パターン評価基準を満たさない場合(ステップS2805:No)、判定装置100は、ステップS2806の処理に移行する。一方で、業務行動パターン評価基準を満たす場合(ステップS2805:Yes)、判定装置100は、ステップS2807の処理に移行する。
ステップS2806では、判定装置100は、選択したレコードに、不正操作の可能性ありを表す情報を対応付けて記憶する(ステップS2806)。そして、判定装置100は、ステップS2808の処理に移行する。
ステップS2807では、判定装置100は、選択したレコードに、正常操作を表す情報を対応付けて記憶する(ステップS2807)。そして、判定装置100は、ステップS2808の処理に移行する。
ステップS2808では、判定装置100は、すべてのレコードを選択したか否かを判定する(ステップS2808)。ここで、未選択のレコードがある場合(ステップS2808:No)、判定装置100は、ステップS2804の処理に戻る。一方で、すべてのレコードを選択している場合(ステップS2808:Yes)、判定装置100は、業務行動判定処理を終了する。
(業務環境判定処理手順)
次に、図29を用いて、判定装置100が実行する、業務環境判定処理手順の一例について説明する。業務環境判定処理は、例えば、図3に示したCPU301と、メモリ302や記録媒体305などの記憶領域と、ネットワークI/F303とによって実現される。
図29は、業務環境判定処理手順の一例を示すフローチャートである。図29において、判定装置100は、人事情報DB400から、情報の持ち出しの操作を行ったユーザごとの所属、および、勤務形態を取得する(ステップS2901)。
次に、判定装置100は、資産情報DB1000を参照し、情報の持ち出しの操作が行われた業務環境ごとに、資産情報を取得する(ステップS2902)。そして、判定装置100は、業務環境パターン情報DBを参照し、情報の持ち出しの操作を行ったユーザごとに、取得した所属、および、勤務形態に対応する業務環境パターン情報を取得する(ステップS2903)。
次に、判定装置100は、情報の持ち出しの操作を行ったユーザごとに取得した業務行動パターン情報に基づいて、業務行動パターン評価基準を生成する(ステップS2904)。そして、判定装置100は、情報の持ち出しに関する操作履歴1700から、情報の持ち出しの操作のレコードを選択する(ステップS2905)。
次に、判定装置100は、選択したレコードに対応する資産情報を参照し、選択したレコードが、選択したレコードに対応する業務環境パターン評価基準を満たすか否かを判定する(ステップS2906)。
ここで、業務環境パターン評価基準を満たさない場合(ステップS2906:No)、判定装置100は、ステップS2907の処理に移行する。一方で、業務環境パターン評価基準を満たす場合(ステップS2906:Yes)、判定装置100は、ステップS2908の処理に移行する。
ステップS2907では、判定装置100は、選択したレコードに、不正操作の可能性ありを表す情報を対応付けて記憶する(ステップS2907)。そして、判定装置100は、ステップS2909の処理に移行する。
ステップS2908では、判定装置100は、選択したレコードに、正常操作を表す情報を対応付けて記憶する(ステップS2908)。そして、判定装置100は、ステップS2909の処理に移行する。
ステップS2909では、判定装置100は、すべてのレコードを選択したか否かを判定する(ステップS2909)。ここで、未選択のレコードがある場合(ステップS2909:No)、判定装置100は、ステップS2905の処理に戻る。一方で、すべてのレコードを選択している場合(ステップS2909:Yes)、判定装置100は、業務環境判定処理を終了する。
以上説明したように、判定装置100によれば、ユーザによる操作の履歴をユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成することができる。判定装置100によれば、いずれかのユーザの属性に基づいて、生成した評価基準のうち、いずれかのユーザによる特定の操作に関する評価基準を特定することができる。判定装置100によれば、いずれかのユーザによる特定の操作を検出した場合、いずれかのユーザによる特定の操作が、特定した評価基準を満たすか否かを判定することができる。これにより、判定装置100は、特定の操作に関する評価負担の低減化を図ることができる。判定装置100は、例えば、特定の操作の正当性を評価した結果を表す、特定の操作が評価基準を満たすか否かを判定した結果を、セキュリティ管理者が参照可能にすることができる。
判定装置100によれば、ユーザによる操作の履歴をユーザのそれぞれ種別が異なる複数の属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成することができる。これにより、判定装置100は、それぞれ種別が異なる複数の属性のそれぞれの属性について評価基準を生成し、複数の観点から操作の正当性を評価可能にすることができる。
判定装置100によれば、第1種別の属性ごとに特定の操作が許可される時間帯を表す評価基準を生成することができる。これにより、判定装置100は、特定の操作が行われた時点から、特定の操作の正当性を評価可能にすることができる。
判定装置100によれば、第2種別の属性ごとに特定の操作が許可される対象種別を表す情報を生成することができる。これにより、判定装置100は、特定の操作が行われた対象種別から、特定の操作の正当性を評価可能にすることができる。
判定装置100によれば、いずれかのユーザによる操作の履歴を参照し、いずれかのユーザによる特定の操作の前または後に行われた、いずれかのユーザによる他の操作に基づいて、評価基準を満たすか否かを判定することができる。これにより、判定装置100は、特定の操作に関する他の操作を考慮し、特定の操作の正当性の評価精度の向上を図ることができる。
判定装置100によれば、特定した評価基準を満たすか否かを判定した結果を特定の端末に出力することができる。これにより、判定装置100は、セキュリティ管理者が判定装置100以外で、特定の操作の正当性を評価した結果を参照可能にすることができる。
判定装置100によれば、いずれかのユーザによる特定の操作を検出した場合、記憶部を参照し、いずれかのユーザの属性ごとに特定の操作に関する評価基準を生成することができる。これにより、判定装置100は、検出した特定の操作に関する評価基準を、判定システム200の最新の状態に対応するようにし、判定精度の向上を図ることができる。また、判定装置100は、すべての属性について評価基準を生成しなくてもよいため、生成処理にかかる負担の低減化を図ることができる。
判定装置100によれば、いずれかのユーザの属性に基づいて、ユーザの属性ごとに生成された特定の操作に関する評価基準のうち、いずれかのユーザによる特定の操作に関する評価基準を特定することができる。判定装置100によれば、いずれかのユーザによる特定の操作を検出した場合、いずれかのユーザによる特定の操作が、特定した評価基準を満たすか否かを判定することができる。これにより、判定装置100は、評価基準を生成しなくてもよく、処理量の低減化を図ることができる。
なお、本実施の形態で説明した判定方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。本実施の形態で説明した判定プログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また、本実施の形態で説明した判定プログラムは、インターネット等のネットワークを介して配布してもよい。
上述した実施の形態に関し、さらに以下の付記を開示する。
(付記1)コンピュータに、
ユーザによる操作の履歴を前記ユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成し、
いずれかのユーザの属性に基づいて、生成した前記評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
処理を実行させることを特徴とする判定プログラム。
(付記2)前記生成する処理は、ユーザによる操作の履歴を前記ユーザのそれぞれ種別が異なる複数の属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成する、ことを特徴とする付記1に記載の判定プログラム。
(付記3)前記生成する処理は、第1種別の属性ごとに前記特定の操作が許可される時間帯を表す評価基準を生成する、ことを特徴とする付記1または2に記載の判定プログラム。
(付記4)前記生成する処理は、第2種別の属性ごとに前記特定の操作が許可される対象種別を表す情報を生成する、ことを特徴とする付記1〜3のいずれか一つに記載の判定プログラム。
(付記5)前記判定する処理は、前記いずれかのユーザによる操作の履歴を参照し、前記いずれかのユーザによる前記特定の操作の前または後に行われた、前記いずれかのユーザによる他の操作に基づいて、前記評価基準を満たすか否かを判定する、ことを特徴とする付記1〜4のいずれか一つに記載の判定プログラム。
(付記6)前記コンピュータに、
特定した前記評価基準を満たすか否かを判定した結果を特定の端末に出力する、処理を実行させることを特徴とする付記1〜5のいずれか一つに記載の判定プログラム。
(付記7)前記生成する処理は、前記いずれかのユーザによる前記特定の操作を検出した場合、前記記憶部を参照し、前記いずれかのユーザの属性ごとに前記特定の操作に関する評価基準を生成する、ことを特徴とする付記1〜6のいずれか一つに記載の判定プログラム。
(付記8)コンピュータが、
ユーザによる操作の履歴を前記ユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成し、
いずれかのユーザの属性に基づいて、生成した前記評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
処理を実行することを特徴とする判定方法。
(付記9)ユーザによる操作の履歴を前記ユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成し、
いずれかのユーザの属性に基づいて、生成した前記評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
制御部を有することを特徴とする判定装置。
(付記10)コンピュータに、
いずれかのユーザの属性に基づいて、ユーザの属性ごとに生成された特定の操作に関する評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
処理を実行させることを特徴とする判定プログラム。
(付記11)コンピュータが、
いずれかのユーザの属性に基づいて、ユーザの属性ごとに生成された特定の操作に関する評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
処理を実行することを特徴とする判定方法。
(付記12)いずれかのユーザの属性に基づいて、ユーザの属性ごとに生成された特定の操作に関する評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
制御部を有することを特徴とする判定装置。