JP2020086978A - Information processing system and information processing method - Google Patents

Information processing system and information processing method Download PDF

Info

Publication number
JP2020086978A
JP2020086978A JP2018220814A JP2018220814A JP2020086978A JP 2020086978 A JP2020086978 A JP 2020086978A JP 2018220814 A JP2018220814 A JP 2018220814A JP 2018220814 A JP2018220814 A JP 2018220814A JP 2020086978 A JP2020086978 A JP 2020086978A
Authority
JP
Japan
Prior art keywords
incident
information processing
log
information
processing terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018220814A
Other languages
Japanese (ja)
Inventor
大典 若山
Daisuke Wakayama
大典 若山
尊博 山田
Takahiro Yamada
尊博 山田
賢志 村中
Kenji Muranaka
賢志 村中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hammock Corp
Original Assignee
Hammock Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hammock Corp filed Critical Hammock Corp
Priority to JP2018220814A priority Critical patent/JP2020086978A/en
Publication of JP2020086978A publication Critical patent/JP2020086978A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

To improve security by taking sufficient and appropriate measures against incidents such as virus infection, data leakage, and unauthorized access that may occur on an information processing terminal.SOLUTION: A management device 1 includes detection means 11 that detects a preset incident that has occurred in an information processing terminal 2, and log acquisition means 13 that acquires log information representing an operation status of the information processing terminal 2. The log acquisition means extracts information corresponding to the detected incident from the log information.SELECTED DRAWING: Figure 2

Description

本発明は、コンピュータセキュリティ対策を行う情報処理システム及び情報処理方法に関する。 The present invention relates to an information processing system and an information processing method that take computer security measures.

企業などの組織では、所属する各ユーザが操作するためのコンピュータが多数使用されている。このような状況において、組織は、組織全体のセキュリティを確保すべく、各コンピュータにおけるセキュリティ対策を取る必要がある。ここで、セキュリティ対策すべきインシデントとして、ウィルス感染、データ流出、不正アクセス、などがある。 In an organization such as a company, many computers are used by each user who belongs to the computer. In such a situation, the organization needs to take security measures in each computer in order to ensure the security of the entire organization. Here, incidents that require security measures include virus infection, data leakage, and unauthorized access.

組織によるセキュリティ対策では、主に、インシデントの検出と、検出したインシデントに対する対処、が重要となる。例えば、コンピュータがウィルスに感染したことを検出すると、ウィルスを駆除したり感染したコンピュータを他のコンピュータから隔離するなどの対処を行う。また、例えば、コンピュータからのデータ流出やコンピュータへの不正アクセスを検出すると、かかるコンピュータをロックしたり、ネットワーク遮断を行うなどの対処を行う。一例として、特許文献1では、マルウェアを検出して削除することが記載されている。 In security measures by an organization, it is mainly important to detect incidents and deal with the detected incidents. For example, when it detects that a computer is infected with a virus, it takes measures such as eliminating the virus and isolating the infected computer from other computers. Further, for example, when data leakage from a computer or unauthorized access to the computer is detected, the computer is locked or the network is shut down. As an example, Patent Document 1 describes that malware is detected and deleted.

特開2018−073423号公報JP, 2008-073423, A

ここで、組織によるコンピュータセキュリティ対策では、上述したようにインシデント検出時における対処は行っているものの、インシデントが発生したことによる影響や原因の追求までは行っていない。従って、インシデントの発生による被害を把握できないことから適切な対応を取ることができず、また、インシデントに対する事前の適切な対策を取ることもできない。その結果、組織としてのセキュリティの向上を図ることができない、という問題が生じる。 Here, in the computer security measures by the organization, although the measures are taken when the incident is detected as described above, the influence and the cause of the occurrence of the incident are not pursued. Therefore, it is not possible to take appropriate measures because the damage caused by the occurrence of the incident cannot be grasped, and it is also impossible to take appropriate measures against the incident in advance. As a result, there arises a problem that the security of the organization cannot be improved.

このため、本発明の目的は、上述した課題である、情報処理端末に生じうるインシデントに対する十分かつ適切な対応を取ることができないことによるセキュリティの向上を図ることができないこと、を解決することにある。 Therefore, an object of the present invention is to solve the above-mentioned problem that it is not possible to improve security due to inability to take sufficient and appropriate response to an incident that may occur in an information processing terminal. is there.

本発明の一形態である情報処理システムは、
情報処理端末に生じた予め設定されたインシデントを検出する検出手段と、
前記情報処理端末の作動状況を表すログ情報を取得するログ取得手段と、を備え、
前記ログ取得手段は、前記ログ情報から、検出した前記インシデントに対応する情報を抽出する、
という構成をとる。 An information processing system which is one form of the present invention,
Detection means for detecting a preset incident that has occurred in the information processing terminal,
Log acquisition means for acquiring log information indicating the operation status of the information processing terminal,
The log acquisition unit extracts information corresponding to the detected incident from the log information,
Take the configuration.

そして、上記情報処理システムでは、
前記ログ取得手段は、前記インシデントの発生後と発生前とに区別して、前記ログ情報から当該インシデントに対応する情報を抽出する、
という構成をとる。 And in the above information processing system,
The log acquisition unit distinguishes between the occurrence of the incident and the occurrence thereof, and extracts information corresponding to the incident from the log information,
Take the configuration.

また、上記情報処理システムでは、
前記ログ取得手段は、前記インシデントの発生後と発生前とに区別して、抽出した情報を表示出力する、
という構成をとる。 Further, in the above information processing system,
The log acquisition unit distinguishes between the occurrence of the incident and the occurrence of the incident, and outputs and outputs the extracted information.
Take the configuration.

また、上記情報処理システムでは、
前記ログ取得手段は、前記インシデントが発生したとき、発生前、または、発生後の前記情報処理端末の画面情報を、前記ログ情報として取得する、
という構成をとる。 Further, in the above information processing system,
When the incident occurs, the log acquisition unit acquires screen information of the information processing terminal before the occurrence or after the occurrence as the log information,
Take the configuration.

また、上記情報処理システムでは、
前記検出手段は、検出した前記インシデントに応じて設定された対処処理を前記情報処理端末に対して行う、
という構成をとる。 Further, in the above information processing system,
The detection means performs a coping process set according to the detected incident on the information processing terminal,
Take the configuration.

また、本発明の他の形態である情報処理システムは、
情報処理端末と、当該情報処理端末を管理する管理装置と、を備えた情報処理システムであって、
前記情報処理端末は、
当該情報処理端末に生じた予め設定されたインシデントを検出して、前記管理装置に対して、前記インシデントの発生を通知すると共に、当該情報処理端末の作動状況を表すログ情報を送信するインシデント検知手段を備え、
前記管理装置は、前記情報処理端末からの通知により当該情報処理端末に生じた前記インシデントを検出する検出手段と、
前記情報処理端末から前記ログ情報を取得するログ取得手段と、を備え、
前記ログ取得手段は、前記ログ情報から、検出した前記インシデントに対応する情報を抽出する、
という構成をとる。 Further, an information processing system which is another mode of the present invention,
An information processing system including an information processing terminal and a management device that manages the information processing terminal,
The information processing terminal,
Incident detection means that detects a preset incident that has occurred in the information processing terminal, notifies the management device of the occurrence of the incident, and transmits log information that indicates the operating status of the information processing terminal. Equipped with
The management device, detection means for detecting the incident that occurred in the information processing terminal by the notification from the information processing terminal,
Log acquisition means for acquiring the log information from the information processing terminal,
The log acquisition unit extracts information corresponding to the detected incident from the log information,
Take the configuration.

また、本発明の他の形態である情報処理方法は、
情報処理端末に生じた予め設定されたインシデントを検出し、
前記情報処理端末の作動状況を表すログ情報を取得して、当該ログ情報から、検出した前記インシデントに対応する情報を抽出する、
という構成をとる。 Further, an information processing method which is another embodiment of the present invention is
Detects a preset incident that has occurred in the information processing terminal,
Obtaining log information indicating the operation status of the information processing terminal, and extracting information corresponding to the detected incident from the log information,
Take the configuration.

また、本発明の他の形態であるプログラムは、
情報処理装置に、
情報処理端末に生じた予め設定されたインシデントを検出する検出手段と、
前記情報処理端末の作動状況を表すログ情報を取得して、当該ログ情報から、検出した前記インシデントに対応する情報を抽出するログ取得手段と、
を実現させる、
という構成をとる。 In addition, a program that is another embodiment of the present invention is
In the information processing device,
Detection means for detecting a preset incident that has occurred in the information processing terminal,
Log acquisition means for acquiring log information indicating the operation status of the information processing terminal, and extracting information corresponding to the detected incident from the log information,
To realize
Take the configuration.

本発明は、以上のように構成されることにより、情報処理端末に生じうるインシデントに対する十分かつ適切な対応を取ることができ、セキュリティの向上を図ることができる。 With the above-described configuration, the present invention can take a sufficient and appropriate response to an incident that may occur in the information processing terminal, and can improve security.

本発明の実施形態1における情報処理システム全体の構成を示すブロック図である。It is a block diagram showing the composition of the whole information processing system in Embodiment 1 of the present invention. 図1に開示した管理装置及びユーザ端末の構成を示す図である。It is a figure which shows the structure of the management apparatus and user terminal which were disclosed by FIG. 図1に開示した管理装置に表示される画面の一例を示す図である。It is a figure which shows an example of the screen displayed on the management apparatus disclosed by FIG. 図1に開示した管理装置に表示される画面の一例を示す図である。It is a figure which shows an example of the screen displayed on the management apparatus disclosed by FIG. 図1に開示した管理装置に表示される画面の一例を示す図である。It is a figure which shows an example of the screen displayed on the management apparatus disclosed by FIG. 図1に開示した管理装置におけるインシデント毎の動作の一例を示す図である。It is a figure which shows an example of operation|movement for every incident in the management apparatus disclosed by FIG. 図1に開示した管理装置における動作を示すフローチャートである。3 is a flowchart showing an operation in the management device disclosed in FIG. 1.

<実施形態1>
本発明の第1の実施形態を、図1乃至図7を参照して説明する。図1乃至図5は、情報処理システムの構成を説明するための図である。図6乃至図7は、情報処理システムの動作を説明するための図である。 <Embodiment 1>
A first embodiment of the present invention will be described with reference to FIGS. 1 to 5 are diagrams for explaining the configuration of the information processing system. 6 to 7 are diagrams for explaining the operation of the information processing system.

[構成]
図1は、本発明における情報処理システムの全体構成を示している。この図に示すように、情報処理システムは、ネットワークNを介して接続された管理装置1と複数のユーザ端末2とを備えている。例えば、本実施形態では、管理装置1とユーザ端末2とは、ある企業Gなどの組織内に設置されており、イントラネットなどの有線又は無線で構成されたネットワークを介して接続されていることとする。 [Constitution]
FIG. 1 shows the overall configuration of an information processing system according to the present invention. As shown in this figure, the information processing system includes a management device 1 and a plurality of user terminals 2 connected via a network N. For example, in the present embodiment, the management device 1 and the user terminal 2 are installed in an organization such as a company G, and are connected via a wired or wireless network such as an intranet. To do.

ここで、上記ユーザ端末2は、企業Gの従業員が操作する情報処理端末であり、オペレーティングシステムをはじめとする種々のソフトウェアがインストールされており、種々のデータが記憶されている。また、管理装置1は、企業Gの管理者が操作する情報処理装置であり、企業G内に設置されているユーザ端末2の構成や状態を管理する。以下、各構成について詳述する。 Here, the user terminal 2 is an information processing terminal operated by an employee of the company G, in which various software such as an operating system is installed and various data is stored. The management device 1 is an information processing device operated by an administrator of the company G, and manages the configuration and state of the user terminal 2 installed in the company G. Hereinafter, each configuration will be described in detail.

上記ユーザ端末2は、演算装置及び記憶装置を備えた情報処理端末である。そして、ユーザ端末2は、図2に示すように、演算装置にプログラムが実行されることで構築されたインシデント検知部21を備えている。また、ユーザ端末2は、記憶装置に形成されたログデータ記憶部25を備えている。 The user terminal 2 is an information processing terminal including a computing device and a storage device. As shown in FIG. 2, the user terminal 2 includes an incident detection unit 21 constructed by executing a program on a computing device. The user terminal 2 also includes a log data storage unit 25 formed in the storage device.

ユーザ端末2の上記インシデント検知部21(インシデント検知手段、検出手段)は、例えば、セキュリティ対策ソフトウェアで構成されており、ユーザ端末2にセキュリティ対策すべきインシデントが発生したことを検出する機能を有する。例えば、本実施形態において検知するインシデントは、不正なソフトウェアやコードといったマルウェアに感染する「ウィルス感染」、不正にデータが外部に流出する「データ流出」、不正な外部からのアクセスである「内部不正」、がある。インシデント検知部21は、例えば、組み込まれるデータをパターンマッチングすることによりウィルス感染を検知したり、操作ログやログインログといったログデータからデータ流出や内部不正を検出する。 The incident detection unit 21 (incident detection means, detection means) of the user terminal 2 is composed of, for example, security countermeasure software, and has a function of detecting that an incident for which a security countermeasure should be taken has occurred in the user terminal 2. For example, the incidents detected in this embodiment are “virus infection” that infects malware such as malicious software or code, “data leakage” that illegally leaks data to the outside, and “internal fraudulent access from outside”. , There is. The incident detection unit 21 detects, for example, virus infection by pattern matching the data to be incorporated, and detects data leakage and internal fraud from log data such as operation logs and login logs.

但し、インシデント検知部21によるインシデントの検知方法は任意であり、検知するインシデントは上述したものに限定されない。なお、本発明におけるインシデントは、上述したウィルス感染などが生じた状態のみならず、生じうる状態も含むこととする。例えば、コンピュータウィルスを受信した状態や、不正なウェブサイトにアクセスした状態、外部から不正アクセスなどの不正攻撃を受けている状態なども、インシデントに含まれる。 However, the incident detection method by the incident detection unit 21 is arbitrary, and the incidents to be detected are not limited to those described above. It should be noted that the incident in the present invention includes not only the state in which the virus infection described above has occurred, but also the state in which it can occur. For example, a state of receiving a computer virus, a state of accessing a fraudulent website, a state of being fraudulently attacked from the outside, and the like are included in the incident.

なお、上述したようにインシデントの検知を行うためや、後述するようにインシデントの発生を分析するために、インシデント検知部21は、ユーザ端末2の作動状況を表す種々のログデータ(ログ情報)を取得して、ログデータ記憶部25に記憶している。例えば、ログデータとしては、端末に対するユーザへのアクセス権の付与の状況を表すアクセス権ログ、端末にログインしたユーザの履歴を表すログインログ、端末の操作履歴を表す操作ログ、メール送受信の履歴を表すメール送信ログやメール受信ログ、導入したソフトウェアの履歴を表す導入ソフトウェアログ、アプリケーションの利用履歴を表すアプリ利用ログ、ウィルス感染の検知を表すウィルス検知ログ、端末の画面表示の履歴を表す画面ログ、などがある。なお、ログデータ記憶部25に記憶されるログデータは、ユーザ端末2のオペレーティングシステム自体や当該オペレーティングシステムに組み込まれている他のソフトウェアで取得されたものであってもよい。また、ログデータ記憶部25に記憶されるログデータは上述したものに限定されない。 In addition, in order to detect the incident as described above and to analyze the occurrence of the incident as described later, the incident detection unit 21 collects various log data (log information) indicating the operation status of the user terminal 2. It is acquired and stored in the log data storage unit 25. For example, as the log data, an access right log indicating the status of granting the access right to the user to the terminal, a login log indicating the history of the user who has logged in to the terminal, an operation log indicating the operation history of the terminal, and a history of mail transmission/reception. Representing email sending log and email receiving log, installed software log showing installed software history, application usage log showing application usage history, virus detection log showing virus infection detection, screen log showing terminal screen display history ,and so on. The log data stored in the log data storage unit 25 may be acquired by the operating system itself of the user terminal 2 or other software installed in the operating system. Further, the log data stored in the log data storage unit 25 is not limited to the above.

また、インシデント検知部21は、上述したようにインシデントが発生したことを検知すると、発生したインシデントの内容(ウィルス感染、データ流出、内部不正など)を管理装置1に通知する。このとき、通知部22は、併せて、ユーザ端末2自身の端末情報や、インシデントが発生した日時の情報も通知する。 When the incident detection unit 21 detects that an incident has occurred as described above, the incident detection unit 21 notifies the management device 1 of the content of the incident that has occurred (virus infection, data leakage, internal fraud, etc.). At this time, the notification unit 22 also notifies the terminal information of the user terminal 2 itself and the information on the date and time when the incident occurred.

また、インシデント検知部21は、インシデントの内容に応じて、予め設定された暫定的なセキュリティ対処処理を対して行う。例えば、インシデント検知部21は、ウィルス駆除やネットワーク切断、ファイル暗号化、デバイスロックなどのインシデントの内容に応じた対処処理を行う。なお、インシデント検知部21によるセキュリティ対処処理は、後述するように、インシデントの内容を通知したことにより管理装置1から制御されることで実行されてもよい。 Further, the incident detection unit 21 performs preset provisional security countermeasure processing according to the content of the incident. For example, the incident detection unit 21 performs countermeasure processing according to the content of the incident, such as virus removal, network disconnection, file encryption, and device lock. The security coping process by the incident detection unit 21 may be executed under the control of the management device 1 by notifying the content of the incident, as described later.

さらに、インシデント検知部21は、ログデータ記憶部25に記憶しているログデータを管理装置1に送信する機能を有する。このとき、インシデント検知部21は、発生したインシデントの内容に対応した種類のみのログデータを管理装置1に送信してもよい。さらに、インシデント検知部21は、発生したインシデントの内容に応じて、インシデントが発生したときのログデータ、それ以前のログデータ、その後のログデータを選別して管理装置1に送信してもよい。このとき、インシデント検知部21は、インシデントを検知したときに自らログデータを管理装置1に送信してもよく、後述するように管理装置1からの要求に応じてログデータを送信してもよい。 Furthermore, the incident detection unit 21 has a function of transmitting the log data stored in the log data storage unit 25 to the management device 1. At this time, the incident detection unit 21 may transmit only log data of a type corresponding to the content of the incident that has occurred to the management device 1. Furthermore, the incident detection unit 21 may select the log data at the time of the incident, the log data before the incident, and the log data after that, according to the content of the incident, and send it to the management device 1. At this time, the incident detection unit 21 may itself transmit the log data to the management device 1 when detecting the incident, or may transmit the log data in response to a request from the management device 1 as described later. ..

次に、上記管理装置1の構成について説明する。管理装置1は、図2に示すように、演算装置にプログラムが実行されることで構築された、検出部11、対処部12、ログ取得部13、出力部14、を備えている。また、管理装置1は、記憶装置に形成された、管理データ記憶部15、ログデータ記憶部16、を備えている。 Next, the configuration of the management device 1 will be described. As shown in FIG. 2, the management device 1 includes a detection unit 11, a coping unit 12, a log acquisition unit 13, and an output unit 14, which are constructed by executing a program on an arithmetic device. The management device 1 also includes a management data storage unit 15 and a log data storage unit 16 formed in the storage device.

まず、管理装置1は、基本的な機能として、企業G内に設置されているユーザ端末2の構成や状態を管理する機能を有する。例えば、管理装置1は、ユーザ端末2の固有のIPアドレスに関連付けた、当該ユーザ端末2が所属するグループ、ユーザ名、ログインパスワードといった端末情報や、ユーザ端末2を構成するハードウェア情報、インストールされているソフトウェア情報、などを含む管理データを管理する。そして、管理装置1は、ユーザ端末2に関する管理データを管理データ記憶部15に記憶して管理する。 First, the management device 1 has, as a basic function, a function of managing the configuration and state of the user terminal 2 installed in the company G. For example, the management device 1 is associated with a unique IP address of the user terminal 2, terminal information such as a group to which the user terminal 2 belongs, a user name, and a login password, hardware information that configures the user terminal 2, and installed information. Manage management data including software information, etc. Then, the management device 1 stores the management data regarding the user terminal 2 in the management data storage unit 15 and manages it.

管理装置1の上記検出部11(検出手段)は、ユーザ端末2からのインシデントの内容の通知により、当該ユーザ端末2にインシデントが発生したことを検出する。特に、検出部11は、ユーザ端末2からの通知により、インシデントが発生したユーザ端末2を特定すると共に、インシデントの内容、つまり、ウィルス感染、データ流出、内部不正、のいずれのインシデントが発生したか、ということと、インシデントが発生した日時を検出する。そして、検出部11は、検出した情報を、対処部12及びログ取得部13に通知する。 The detection unit 11 (detection unit) of the management device 1 detects that an incident has occurred in the user terminal 2 by notifying the content of the incident from the user terminal 2. In particular, the detection unit 11 identifies the user terminal 2 in which the incident has occurred based on the notification from the user terminal 2 and determines the content of the incident, that is, which of the virus infection, the data leakage, and the internal fraud incident has occurred. , And the date and time when the incident occurred. Then, the detection unit 11 notifies the coping unit 12 and the log acquisition unit 13 of the detected information.

なお、管理装置1の検出部11は、管理しているユーザ端末2の作動状況を表すログデータを取得して、かかるログデータから、ユーザ端末2にインシデントが発生したことを検出してもよい。例えば、検出部11は、常にユーザ端末2の作動状況を監視して操作ログやメールログ、アプリ利用ログなどのログデータを取得し、かかるログデータに基づいてユーザ端末2にインシデントが発生したことを検出してもよい。このとき、検出部11は、常に取得しているユーザ端末2のログデータを、管理装置1のログデータ記憶部16に記憶して蓄積してもよい。 Note that the detection unit 11 of the management device 1 may acquire log data indicating the operating status of the user terminal 2 that is being managed, and detect from the log data that an incident has occurred in the user terminal 2. .. For example, the detection unit 11 constantly monitors the operation status of the user terminal 2 to acquire log data such as an operation log, a mail log, and an application usage log, and an incident has occurred in the user terminal 2 based on the log data. May be detected. At this time, the detection unit 11 may store and accumulate the log data of the user terminal 2 that is constantly acquired in the log data storage unit 16 of the management device 1.

管理装置1の上記対処部12(検出手段)は、検出したユーザ端末2のインシデントの内容に応じて、予め設定された暫定的なセキュリティ対処処理を、ユーザ端末2に対して行う。例えば、ウィルス感染のユーザ端末2に対しては、ウィルス駆除やネットワーク切断を行い、データ流出のユーザ端末2に対しては、ファイル暗号化やデバイスロックを行い、内部不正のユーザ端末2に対しては、ネットワーク切断を行う。なお、対処部12によりセキュリティ対処処理は、管理装置1のみで処理できる場合もあれば、ユーザ端末2や通信機器などの他の装置に対して指示することで処理できる場合もあり、さらには、ユーザ端末自らが処理する場合もある。 The coping unit 12 (detection unit) of the management device 1 performs a provisional security coping process set in advance on the user terminal 2 according to the detected incident content of the user terminal 2. For example, the virus-infected user terminal 2 is cleaned and the network is disconnected, and the data-leaked user terminal 2 is encrypted with a file or device-locked. Disconnects from the network. Note that the security coping process by the coping unit 12 may be processed only by the management device 1 or may be processed by instructing another device such as the user terminal 2 or a communication device. In some cases, the user terminal itself handles the processing.

管理装置1の上記ログ取得部13(ログ取得手段)は、インシデントを検出したユーザ端末2のログデータを取得して、ログデータ記憶部16に記憶して蓄積する。例えば、ログ取得部13は、ユーザ端末2が自ら送信してきたログデータを取得してもよく、ユーザ端末2に対して要求して当該ユーザ端末2からログデータを取得してもよい。あるいは、ログ取得部13は、管理装置1のログデータ記憶部16に蓄積されているユーザ端末2のログデータを取得してもよい。 The log acquisition unit 13 (log acquisition unit) of the management device 1 acquires the log data of the user terminal 2 that has detected the incident, and stores and stores the log data in the log data storage unit 16. For example, the log acquisition unit 13 may acquire the log data transmitted by the user terminal 2 itself, or may request the user terminal 2 to acquire the log data from the user terminal 2. Alternatively, the log acquisition unit 13 may acquire the log data of the user terminal 2 accumulated in the log data storage unit 16 of the management device 1.

そして、ログ取得部13は、取得したユーザ端末2のログデータの中から、発生したインシデントの内容に応じた種類のログデータを抽出する。例えば、ウィルス感染の場合は、ウィルス検知ログ、メール送信ログ、導入ソフトウェアログ、画面ログを抽出する。また、データ流出の場合は、操作ログ、導入ソフトウェアログ、アプリ利用ログ、ログインログ、画面ログ、を抽出する。また、内部不正の場合は、アクセス権ログ、ログインログ、画面ログ、を抽出する。なお、インシデントの内容に応じて抽出するログデータの種類は、インシデントの内容に関連するものであり、例えば、予め設定されて管理データ記憶部15に記憶されている。 Then, the log acquisition unit 13 extracts, from the acquired log data of the user terminal 2, log data of a type corresponding to the content of the incident that has occurred. For example, in the case of virus infection, the virus detection log, mail transmission log, installed software log, and screen log are extracted. In the case of data leakage, the operation log, installed software log, application usage log, login log, screen log are extracted. In the case of internal fraud, the access right log, login log, and screen log are extracted. The type of log data extracted according to the content of the incident is related to the content of the incident, and is set in advance and stored in the management data storage unit 15, for example.

また、ログ取得部13は、インシデントの発生後と発生前とに区別して、ログデータを抽出する。つまり、上述したようにインシデントの内容に応じて抽出したログデータを、さらに、インシデントの発生日時の後と前のものに区別する。このとき、ログ取得部13は、インシデントの内容に応じて、当該インシデントの発生後と発生前のもので必要なデータのみを抽出する。例えば、ウィルス感染においては、メール送信ログは発生後のみで必要であるため、発生後のものとして抽出し、導入ソフトウェアログは発生前のみで必要であるため、発生前のものとして抽出する。なお、インシデントの内容に応じて、当該インシデントの発生前か発生後のいずれのログデータを抽出するかについては、例えば、予め設定されて管理データ記憶部15に記憶されている。 Further, the log acquisition unit 13 distinguishes between the occurrence of the incident and the occurrence thereof, and extracts the log data. That is, the log data extracted according to the content of the incident as described above is further distinguished into the log data after the incident occurrence date and the log data before the incident occurrence date and time. At this time, the log acquisition unit 13 extracts only the necessary data after and before the occurrence of the incident according to the content of the incident. For example, in the case of virus infection, the mail transmission log is necessary only after the occurrence, so it is extracted as the post-occurrence, and the installed software log is necessary only before the occurrence, so it is extracted as the pre-occurrence log. Note that which log data before or after the occurrence of the incident is extracted according to the content of the incident is set in advance and stored in the management data storage unit 15, for example.

なお、上記では、ログ取得部13は、ユーザ端末2から取得したログデータの中から、インシデントの内容に応じた種類に限定して、かつ、発生前後を区別してログデータを抽出しているが、抽出するログデータの種類や発生前後の区別を指定して、ユーザ端末2に要求して取得してもよい。例えば、発生したインシデントがウィルス感染である場合には、インシデント発生後のメール送信ログ、というようにログデータを指定してユーザ端末2に要求して、かかるログデータを取得してもよい。 In the above description, the log acquisition unit 13 extracts log data from the log data acquired from the user terminal 2 by limiting the type according to the content of the incident and by distinguishing before and after the occurrence. Alternatively, the type of the log data to be extracted and the distinction before and after the occurrence may be designated and requested to the user terminal 2 to obtain. For example, when the generated incident is a virus infection, the log data may be specified by requesting the log data such as the mail transmission log after the incident occurs and the log data may be acquired.

ここで、図6を参照して、インシデントの内容及び当該インシデントの発生の前後に対応して抽出されるログデータの一例について説明する。ここでは、「S3:影響調査」の列に表示されているログデータが、インシデントの発生後について抽出するログデータを示しており、「S4:原因追跡」の列に表示されているログデータが、インシデントの発生前について抽出するログデータを示している。例えば、ウィルス感染の場合、インシデントの発生後については、ウィルス検知ログ、操作ログ、メール送信ログを抽出し、インシデントの発生前については、操作ログ、導入ソフトウェアログ、画面ログを抽出する。また、データ流出の場合、インシデントの発生後については、操作ログ、画面ログ、アプリ利用ログを抽出し、インシデントの発生前については、操作ログ、導入ソフトウェアログ、ログインログを抽出する。また、内部不正の場合、インシデントの発生後については、ログインログ、画面ログを抽出し、インシデントの発生前については、ログインログ、アクセス権ログを抽出する。 Here, with reference to FIG. 6, an example of the content of the incident and the log data extracted corresponding to before and after the occurrence of the incident will be described. Here, the log data displayed in the column of "S3: Impact investigation" indicates the log data extracted after the occurrence of the incident, and the log data displayed in the column of "S4: Cause tracking" is , Shows the log data extracted before the occurrence of the incident. For example, in the case of virus infection, a virus detection log, an operation log, and a mail transmission log are extracted after an incident has occurred, and an operation log, an installed software log, and a screen log have been extracted before an incident has occurred. In the case of data outflow, the operation log, screen log, and application usage log are extracted after the incident has occurred, and the operation log, the installed software log, and the login log are extracted before the incident has occurred. In the case of internal fraud, the login log and the screen log are extracted after the incident has occurred, and the login log and the access right log are extracted before the incident has occurred.

管理装置1の上記出力部14(ログ取得手段)は、ユーザ端末2に発生したインシデントの状況や、上述したように取得して抽出したログデータを、管理装置1の表示装置や他の表示装置に表示出力する。例えば、出力部14は、図3に示すように、管理装置1が管理するいずれかのユーザ端末2に発生したインシデントの種類の表示C1,C2,C3を、日付と共に表示する。そして、出力部14は、発生したインシデントの種類の表示C1,C2,C3が選択されると、図4又は図5に示すように、選択されたインシデントの詳細を表示する。 The output unit 14 (log acquisition unit) of the management device 1 displays the status of incidents occurring in the user terminal 2 and the log data acquired and extracted as described above on the display device of the management device 1 or another display device. Display output to. For example, as shown in FIG. 3, the output unit 14 displays the indications C1, C2, and C3 of the types of incidents that have occurred in any of the user terminals 2 managed by the management device 1 together with the date. Then, when the display C1, C2, C3 of the type of incident that has occurred is selected, the output unit 14 displays the details of the selected incident, as shown in FIG. 4 or 5.

出力部14は、図4の上段に示すように、インシデントの詳細表示として、符号30に示す表示欄にインシデントの概要を表示する。ここでは、まず符号31に示すように、発生したインシデントの種類と現在時刻を表示する。また、符号32に示すように、インシデントが発生したユーザ端末2にログインしているユーザ名とユーザ端末自体を表すクライアント名を表示すると共に、上述した対処部12によってユーザ端末2に対して行われた暫定的なセキュリティ対処処理の内容を表示する。さらに、符号33に示すように、インシデントが発生したときのユーザ端末2の画面ログを表示する。なお、画面ログは、インシデントの発生前のものや発生後のものであってもよい。 As shown in the upper part of FIG. 4, the output unit 14 displays the outline of the incident in the display field indicated by reference numeral 30 as the detailed display of the incident. Here, first, as indicated by reference numeral 31, the type of incident that has occurred and the current time are displayed. Further, as indicated by reference numeral 32, the name of the user who is logged in to the user terminal 2 in which the incident has occurred and the client name representing the user terminal itself are displayed, and at the same time, the handling unit 12 described above performs the operation on the user terminal 2. Display the contents of the provisional security response processing. Further, as indicated by reference numeral 33, the screen log of the user terminal 2 when the incident occurs is displayed. The screen log may be before or after the occurrence of the incident.

また、出力部14は、図4の下段に示すように、上述したように抽出したログデータの一覧40を表示する。このとき、出力部14は、ログデータを、インシデントの発生後と発生前とに区別して表示する。例えば、この例では、表示画面に「影響調査」のタブ41と「原因追跡」のタブ42を表示し、図4に示すように「影響調査」のタブ41が選択されると、インシデントの発生後のログデータの一覧40が時系列で表示される。一方、図5に示すように「原因追跡」のタブ42が選択されると、インシデントの発生前のログデータの一覧40が時系列で表示される。 The output unit 14 also displays a list 40 of the log data extracted as described above, as shown in the lower part of FIG. At this time, the output unit 14 distinguishes and displays the log data before and after the occurrence of the incident. For example, in this example, when an “impact investigation” tab 41 and a “cause tracking” tab 42 are displayed on the display screen and the “impact investigation” tab 41 is selected as shown in FIG. 4, an incident occurs. The subsequent log data list 40 is displayed in time series. On the other hand, when the "cause tracking" tab 42 is selected as shown in FIG. 5, a list 40 of log data before the occurrence of the incident is displayed in time series.

[動作]
次に、上述した情報処理システム、特に、管理装置1の動作を、図6及び図7を参照して説明する。図6は、情報処理システム全体の動作を説明するための図であり、図7は、管理装置1の動作を示すフローチャートである。 [motion]
Next, the operation of the above-described information processing system, in particular, the management device 1 will be described with reference to FIGS. 6 and 7. FIG. 6 is a diagram for explaining the operation of the entire information processing system, and FIG. 7 is a flowchart showing the operation of the management device 1.

まず、ユーザ端末2は、自身の作動状況を監視して、インシデントが発生したか否かを調べる。例えば、ユーザ端末2は、図6に示すように、ウィルス検知ログ、操作ログ、ログインログなどを参照して、ウィルス感染、データ流出、内部不正といったインシデントが発生したか否かを調べる。そして、ユーザ端末2は、インシデントの発生を検知すると、発生したインシデントの内容(ウィルス感染、データ流出、内部不正)を管理装置1に通知する。このとき、通知部22は、併せて、ユーザ端末2自身の端末情報や、インシデントが発生した日時の情報も通知する。 First, the user terminal 2 monitors its own operating status and checks whether or not an incident has occurred. For example, as shown in FIG. 6, the user terminal 2 refers to a virus detection log, an operation log, a login log, and the like to check whether an incident such as virus infection, data leakage, or internal fraud has occurred. When the user terminal 2 detects the occurrence of the incident, the user terminal 2 notifies the management device 1 of the content of the incident (virus infection, data leakage, internal fraud). At this time, the notification unit 22 also notifies the terminal information of the user terminal 2 itself and the information on the date and time when the incident occurred.

管理装置1は、上述した通知を受けることで、ユーザ端末2にインシデントが発生したことを検出する(図6のステップS1、図7のステップS11)。すると、管理装置1は、検出したユーザ端末2のインシデントの内容に応じて、予め設定された暫定的なセキュリティ対処処理をユーザ端末2に対して行う(図6のステップS2、図7のステップS12)。なお、暫定的なセキュリティ対策処理は、ユーザ端末2自身が実行してもよい。 By receiving the above-mentioned notification, the management device 1 detects that an incident has occurred in the user terminal 2 (step S1 in FIG. 6, step S11 in FIG. 7). Then, the management device 1 performs a preset provisional security countermeasure process on the user terminal 2 according to the detected incident content of the user terminal 2 (step S2 in FIG. 6, step S12 in FIG. 7). ). The provisional security countermeasure process may be executed by the user terminal 2 itself.

続いて、管理装置1は、インシデントを検出したユーザ端末2のログデータを取得する(図7のステップS13)。そして、管理装置1は、ログデータの中から、発生したインシデントの内容に応じた種類のログデータを抽出すると共に、インシデントの内容に応じて当該インシデントの発生前あるいは発生後のログデータを抽出する(図7のステップS14)。例えば、図6の符号S3,S4に示すように、インシデント毎、かつ、当該インシデントの発生前後毎に、それぞれ設定された種類のログデータを抽出する。 Subsequently, the management device 1 acquires the log data of the user terminal 2 that has detected the incident (step S13 in FIG. 7). Then, the management device 1 extracts, from the log data, log data of a type corresponding to the content of the incident that has occurred, and also extracts log data before or after the occurrence of the incident, depending on the content of the incident. (Step S14 of FIG. 7). For example, as indicated by reference signs S3 and S4 in FIG. 6, log data of each set type is extracted for each incident and before and after the occurrence of the incident.

なお、上述したログデータの取得処理(図7のステップS13)と抽出処理(図7のステップS14)とは、セキュリティ対処処理(図7のステップS12)と前後して、あるいは、平行して行われてもよい。 The log data acquisition process (step S13 in FIG. 7) and the extraction process (step S14 in FIG. 7) described above are performed before or after the security countermeasure process (step S12 in FIG. 7), or in parallel. You may break.

その後、管理装置1は、図4又は図5に示すように、ユーザ端末2に発生したインシデントの詳細を表示装置に表示出力する(図7のステップS15)。このとき、管理装置1は、インシデントの発生後のログデータ(図4の影響調査タブ41:図6のステップS3)と、インシデントの発生前のログデータ(図5の原因調査タブ42:図6のステップS4)と、を区別して表示する。さらに、このとき表示するログデータの種類は、図6に示すように、発生したインシデントの内容に応じた種類のログデータ40である。また、符号33に示すように、インシデントが発生したときの画面ログも表示する。 After that, the management device 1 displays and outputs the details of the incident generated in the user terminal 2 on the display device, as shown in FIG. 4 or FIG. 5 (step S15 in FIG. 7). At this time, the management device 1 uses the log data after the incident has occurred (impact investigation tab 41 in FIG. 4: step S3 in FIG. 6) and the log data before the incident has occurred (cause investigation tab 42 in FIG. 5: FIG. 6). And step S4) are displayed separately. Further, as shown in FIG. 6, the type of log data displayed at this time is the type of log data 40 according to the content of the incident that has occurred. Further, as indicated by reference numeral 33, a screen log when the incident occurs is also displayed.

その後、管理装置1あるいは管理者は、インシデントの内容に応じて、インシデントの発生前と発生後とで区別されて抽出されたログデータに応じて、恒久的な対処処理を行う(図6のステップS5、図7のステップS16)。さらに、管理装置1あるいは管理者は、報告書を作成するなどして報告処理を行う(図6のステップS6、図7のステップS17)。 After that, the management device 1 or the administrator performs a permanent coping process according to the extracted log data that is distinguished before and after the occurrence of the incident according to the content of the incident (step of FIG. 6). S5, step S16 of FIG. 7). Further, the management device 1 or the manager performs a report process such as creating a report (step S6 in FIG. 6, step S17 in FIG. 7).

以上のように、本発明によると、ユーザ端末2にインシデントが発生した場合に、容易にインシデントの内容に応じたログデータを調べることができ、また、インシデントの発生前と発生後で区別してログデータを調べることができる。このため、発生したインシデントに対する影響や原因の追求を容易かつ迅速に行うことができ、十分かつ適切な対処を行うことができる。その結果、企業Gなどの組織全体におけるセキュリティの向上を図ることができる。 As described above, according to the present invention, when an incident occurs in the user terminal 2, the log data according to the content of the incident can be easily examined, and the log data can be distinguished before and after the occurrence of the incident. You can examine the data. Therefore, it is possible to easily and swiftly pursue the influence and cause of the incident that has occurred, and to take sufficient and appropriate measures. As a result, the security of the entire organization such as the company G can be improved.

なお、上記では、管理装置1とユーザ端末2とが協働して、インシデントの検知や対処、ログデータの抽出、表示などの処理を行っているが、上述した全ての機能が管理装置1のみ、あるいは、ユーザ端末2のみに装備され、いずれかの装置により全ての処理が行われてもよい。 In the above description, the management device 1 and the user terminal 2 cooperate with each other to perform processing such as incident detection and handling, log data extraction, and display, but all the functions described above are performed only by the management device 1. Alternatively, only the user terminal 2 may be equipped and any processing may be performed by any of the devices.

ここで、上述したプログラムは、記憶装置に記憶されていたり、コンピュータが読み取り可能な記録媒体に記録されている。例えば、記録媒体は、フレキシブルディスク、光ディスク、光磁気ディスク、及び、半導体メモリ等の可搬性を有する媒体である。 Here, the above-mentioned program is stored in a storage device or recorded in a computer-readable recording medium. For example, the recording medium is a portable medium such as a flexible disk, an optical disk, a magneto-optical disk, and a semiconductor memory.

以上、上記実施形態等を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明の範囲内で当業者が理解しうる様々な変更をすることができる。 Although the invention of the present application has been described with reference to the exemplary embodiments and the like, the invention of the present application is not limited to the above-described exemplary embodiments. Various modifications that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.

1 管理装置
11 検出部
12 対処部
13 ログ取得部
14 出力部
15 管理データ記憶部
16 ログデータ記憶部
2 ユーザ端末
21 インシデント検知部
25 ログデータ記憶部
DESCRIPTION OF SYMBOLS 1 management device 11 detection unit 12 handling unit 13 log acquisition unit 14 output unit 15 management data storage unit 16 log data storage unit 2 user terminal 21 incident detection unit 25 log data storage unit

Claims (7)

情報処理端末に生じた予め設定されたインシデントを検出する検出手段と、
前記情報処理端末の作動状況を表すログ情報を取得するログ取得手段と、を備え、
前記ログ取得手段は、前記ログ情報から、検出した前記インシデントに対応する情報を抽出する、
情報処理システム。 Detection means for detecting a preset incident that has occurred in the information processing terminal,
Log acquisition means for acquiring log information indicating the operation status of the information processing terminal,
The log acquisition unit extracts information corresponding to the detected incident from the log information,
Information processing system. 請求項1に記載の情報処理システムであって、
前記ログ取得手段は、前記インシデントの発生後と発生前とに区別して、前記ログ情報から当該インシデントに対応する情報を抽出する、
情報処理システム。 The information processing system according to claim 1, wherein
The log acquisition unit distinguishes between the occurrence of the incident and the occurrence thereof, and extracts information corresponding to the incident from the log information,
Information processing system. 請求項2に記載の情報処理システムであって、
前記ログ取得手段は、前記インシデントの発生後と発生前とに区別して、抽出した情報を表示出力する、
情報処理システム。 The information processing system according to claim 2, wherein
The log acquisition unit distinguishes between the occurrence of the incident and the occurrence of the incident, and outputs and outputs the extracted information.
Information processing system. 請求項1乃至3のいずれかに記載の情報処理システムであって、
前記ログ取得手段は、前記インシデントが発生したとき、発生前、または、発生後の前記情報処理端末の画面情報を、前記ログ情報として取得する、
情報処理システム。 The information processing system according to any one of claims 1 to 3,
When the incident occurs, the log acquisition unit acquires screen information of the information processing terminal before the occurrence or after the occurrence as the log information,
Information processing system. 請求項1乃至4のいずれかに記載の情報処理システムであって、
前記検出手段は、検出した前記インシデントに応じて設定された対処処理を前記情報処理端末に対して行う、
情報処理システム。 The information processing system according to any one of claims 1 to 4,
The detection means performs a coping process set according to the detected incident on the information processing terminal,
Information processing system. 情報処理端末と、当該情報処理端末を管理する管理装置と、を備えた情報処理システムであって、
前記情報処理端末は、
当該情報処理端末に生じた予め設定されたインシデントを検出して、前記管理装置に対して、前記インシデントの発生を通知すると共に、当該情報処理端末の作動状況を表すログ情報を送信するインシデント検知手段を備え、
前記管理装置は、前記情報処理端末からの通知により当該情報処理端末に生じた前記インシデントを検出する検出手段と、
前記情報処理端末から前記ログ情報を取得するログ取得手段と、を備え、
前記ログ取得手段は、前記ログ情報から、検出した前記インシデントに対応する情報を抽出する、
情報処理システム。 An information processing system including an information processing terminal and a management device that manages the information processing terminal,
The information processing terminal,
Incident detection means that detects a preset incident that has occurred in the information processing terminal, notifies the management device of the occurrence of the incident, and transmits log information that indicates the operating status of the information processing terminal. Equipped with
The management device, detection means for detecting the incident that occurred in the information processing terminal by the notification from the information processing terminal,
Log acquisition means for acquiring the log information from the information processing terminal,
The log acquisition unit extracts information corresponding to the detected incident from the log information,
Information processing system. 情報処理端末に生じた予め設定されたインシデントを検出し、
前記情報処理端末の作動状況を表すログ情報を取得して、当該ログ情報から、検出した前記インシデントに対応する情報を抽出する、
情報処理方法。
Detects a preset incident that has occurred in the information processing terminal,
Obtaining log information indicating the operation status of the information processing terminal, and extracting information corresponding to the detected incident from the log information,
Information processing method.
JP2018220814A 2018-11-27 2018-11-27 Information processing system and information processing method Pending JP2020086978A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018220814A JP2020086978A (en) 2018-11-27 2018-11-27 Information processing system and information processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018220814A JP2020086978A (en) 2018-11-27 2018-11-27 Information processing system and information processing method

Publications (1)

Publication Number Publication Date
JP2020086978A true JP2020086978A (en) 2020-06-04

Family

ID=70908251

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018220814A Pending JP2020086978A (en) 2018-11-27 2018-11-27 Information processing system and information processing method

Country Status (1)

Country Link
JP (1) JP2020086978A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023176217A1 (en) * 2022-03-17 2023-09-21 オムロン株式会社 Inspection device, inspection method, and program
JP7478085B2 (en) 2020-12-03 2024-05-02 フォルシアクラリオン・エレクトロニクス株式会社 In-vehicle security device, vehicle security system, and vehicle management method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7478085B2 (en) 2020-12-03 2024-05-02 フォルシアクラリオン・エレクトロニクス株式会社 In-vehicle security device, vehicle security system, and vehicle management method
WO2023176217A1 (en) * 2022-03-17 2023-09-21 オムロン株式会社 Inspection device, inspection method, and program

Similar Documents

Publication Publication Date Title
US10949534B2 (en) Method for predicting and characterizing cyber attacks
JP6334069B2 (en) System and method for accuracy assurance of detection of malicious code
US20200028876A1 (en) Phishing detection and targeted remediation system and method
KR101689297B1 (en) Automated verification method of security event and automated verification apparatus of security event
CN112217835B (en) Message data processing method and device, server and terminal equipment
US20160036849A1 (en) Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies
WO2015162985A1 (en) Illicit activity sensing network system and illicit activity sensing method
US20090125993A1 (en) Method for protecting against keylogging of user information via an alternative input device
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
JP2018530066A (en) Security incident detection due to unreliable security events
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
JP5987627B2 (en) Unauthorized access detection method, network monitoring device and program
JP7204247B2 (en) Threat Response Automation Methods
US20140195793A1 (en) Remotely Establishing Device Platform Integrity
CN109409045A (en) Browser automated log on account number safety guard method and device
CN112597462A (en) Industrial network safety system
US20160134646A1 (en) Method and apparatus for detecting malicious software using handshake information
CN107122685A (en) A kind of big data method for secure storing and equipment
JP2016143320A (en) Log monitoring method, log monitor, log monitoring system, and log monitoring program
JP2020086978A (en) Information processing system and information processing method
US10616245B2 (en) Real-time remediation respective of security incidents
JP2019075131A (en) Method for monitoring file access, program, and system
KR101423307B1 (en) Information-security ability management system
KR101551537B1 (en) Information spill prevention apparatus
JP5743822B2 (en) Information leakage prevention device and restriction information generation device