JP2020095459A - History monitoring method, monitoring processor and monitoring processing program - Google Patents

History monitoring method, monitoring processor and monitoring processing program Download PDF

Info

Publication number
JP2020095459A
JP2020095459A JP2018232673A JP2018232673A JP2020095459A JP 2020095459 A JP2020095459 A JP 2020095459A JP 2018232673 A JP2018232673 A JP 2018232673A JP 2018232673 A JP2018232673 A JP 2018232673A JP 2020095459 A JP2020095459 A JP 2020095459A
Authority
JP
Japan
Prior art keywords
data
monitoring
user
determination
history
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018232673A
Other languages
Japanese (ja)
Other versions
JP6636605B1 (en
Inventor
直哉 小泉
Naoya Koizumi
直哉 小泉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Midland It Solution Co Ltd
Original Assignee
Midland It Solution Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Midland It Solution Co Ltd filed Critical Midland It Solution Co Ltd
Priority to JP2018232673A priority Critical patent/JP6636605B1/en
Application granted granted Critical
Publication of JP6636605B1 publication Critical patent/JP6636605B1/en
Publication of JP2020095459A publication Critical patent/JP2020095459A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

To provide a history monitoring system capable of achieving highly efficient monitoring processing of a user terminal device according to a business category of a user, using existing log data obtained by a monitoring system.SOLUTION: A history monitoring system 1 is configured so that a monitoring processor 2 executes monitoring processing, using existing detection log data determined to be detection targets by a monitoring system (50, 51) for monitoring user terminal devices 3A and acquires as operation history data, history data including information concerning operation users and operation files or directory paths and operation contents, on the basis of the detection log data. Determination processing includes determination using: one or more of correspondence relation between a user and a computer used by the user, correspondence relation between an operation authority of a file or a directory and a user and correspondence relation between a customer and a user; and the operation history data. The determination processing is based on determination data for executing processing for determining whether or not each monitored user terminal device is a notification target.SELECTED DRAWING: Figure 1

Description

本発明は、クライアントコンピュータの操作履歴を監視する為の履歴監視方法、監視処理装置および監視処理プログラムに関する。 The present invention relates to a history monitoring method, a monitoring processing device, and a monitoring processing program for monitoring an operation history of a client computer.

従業員によっては、業務時間や休憩時間等に、業務用に貸与されたクライアントパソコンを使用し、下記に示す様な行為を行う。
・アダルト動画サイトにアクセスして不適切な動画を閲覧する。
・オンラインゲームをプレイする。
・掲示板やSNS等にアクセスして、書き込みを行う。
・ファイル交換ソフトを使って不正にファイルをやり取りする。
・顧客情報等の社外秘の機密データを、電子メールやクラウドストレージ等で外部に送信する。
・機密データを、CD/DVD−ROMやフラッシュメモリ等の補助記憶装置に保存して持ち出す。
・営業時間外にクライアントコンピュータを使用する。 Some employees use client PCs lent for business during business hours, breaks, etc. and perform the following actions.
・Access adult video sites to view inappropriate videos.
-Play an online game.
-Access the bulletin board, SNS, etc. to write.
・Illegally exchange files using file exchange software.
-Send confidential confidential data such as customer information to the outside by e-mail or cloud storage.
-Saving confidential data in an auxiliary storage device such as a CD/DVD-ROM or flash memory and taking it out.
· Use client computers during non-business hours.

この様な不正な行為を見つけ出すための技術を下記に示す。例えば、監視者コンピュータが、通信接続されている各クライアントコンピュータから音出力情報を受信する音出力情報受信手段と、前記受信した音出力情報を保存する音出力情報記憶手段と、前記音出力情報を参照し、通常業務における音出力形態との比較により、業務外のコンピュータ操作の可能性の有無を判定する判定手段とを備え、前記クライアントコンピュータが、音の出力に関する音出力情報を前記監視者コンピュータに対して送信する音出力情報送信手段を備え、業務外操作を検知でき、警告通知等を行うことが可能なコンピュータ操作監視技術を提供する為の技術が知られている(特許文献1)。 The techniques for finding such illegal acts are shown below. For example, the monitor computer may store sound output information receiving means for receiving sound output information from each client computer connected in communication, sound output information storage means for storing the received sound output information, and the sound output information. And a judgment means for judging whether or not there is a possibility of a computer operation outside the work by comparing with a sound output form in a normal work, and the client computer outputs sound output information related to sound output to the supervisor computer. There is known a technique for providing a computer operation monitoring technique capable of detecting a non-business operation and performing a warning notification or the like, which is provided with a sound output information transmitting unit for transmitting to a computer (Patent Document 1).

また、端末からキャプチャされた操作画面情報を取得するキャプチャ画像取得部と、端末から操作ログ情報を取得する操作ログ情報取得部と、操作ログ情報に含まれている操作イベントの操作評価値を算定する操作イベント評価部と、操作評価値に基づいて明示が必要であると判定された要明示操作イベントを明示する強調イメージを生成する操作イベント特殊画像化部と、操作画面情報に強調イメージを合成して監視画面として表示する監視画像表示部とを備える端末監視装置に関する技術が知られている(特許文献2)。 In addition, a captured image acquisition unit that acquires operation screen information captured from the terminal, an operation log information acquisition unit that acquires operation log information from the terminal, and an operation evaluation value of an operation event included in the operation log information are calculated. An operation event evaluation unit, an operation event special imaging unit that generates an emphasized image that clearly indicates an explicit operation event that is determined to be required to be displayed based on the operation evaluation value, and the emphasized image is combined with the operation screen information. There is known a technique related to a terminal monitoring device including a monitoring image display unit that displays a monitoring screen (Patent Document 2).

特許第3963278号Patent No. 3963278 特開2008−191858号公報JP, 2008-191858, A

従来技術では、監視装置を利用し、事前定義された判断条件に基づいて、クライアントコンピュータでの操作に対する許可/不可を判断し、不可時には操作自体をできなくしたり、管理者への通知を行う等することで、不正な操作を監視していた。 In the prior art, a monitoring device is used to determine permission/inhibition of an operation on a client computer based on a predetermined determination condition, and when the operation is not permitted, the operation itself is disabled or a notification is given to an administrator. By doing so, the unauthorized operation was monitored.

しかしながら、監視システムにて、不可の判断条件を緩めすぎると、不正なデータの利用や操作を見逃してしまうリスクがあり、不可の判断条件を厳しく設定しすぎた場合、実際には許可されるべき操作が頻発してしまい、担当者が意図した作業ができなくなったり、ログデータのチェック等、管理者側の運用のコストが増大してしまう。 However, in the monitoring system, if the unacceptable judgment condition is loosened too much, there is a risk of overlooking illegal data use or operation, and if the unacceptable judgment condition is set too severely, it should actually be permitted. Frequent operations occur, which makes it impossible for the person in charge to perform the work intended by the person in charge, and increases the operating cost of the administrator, such as checking log data.

そのため、従来技術のような既存の監視システムでは、クライアントの種別や事業形態の異なる各社が、自社の実情に合わせて細やかな設定を行い運用できるものではない。 Therefore, in the existing monitoring system such as the conventional technology, it is not possible for each company having a different client type or business form to make detailed settings according to the actual circumstances of the company.

また、業務効率化の観点から、顧客情報を既存のCRM(Customer Relationship Management)サービスやクラウドストレージサービスの業務上での利用が求められている。例えば、士業事務所のように、1の顧客に対して複数の担当者が作業をする業態であっても、関係者間での情報、データの共有によって、大幅に業務効率化を行うことができる。 Further, from the viewpoint of improving work efficiency, it is required to use customer information in the business of existing CRM (Customer Relationship Management) services and cloud storage services. For example, even in a business environment in which multiple staff members work on one customer, such as a professional office, it is possible to significantly improve work efficiency by sharing information and data among related parties. You can

一方で、このようなサービスの利用に際して、ネットワーク経由でデータに自由にアクセス可能となるため、顧客情報の持ち出しなど、データの不正な利用を発見できないリスクが生じると共に、不正なデータ持ち出しが行われた場合に、罰則規定を適用できるだけの十分な証拠を保全できないという課題がある。 On the other hand, when using such services, since data can be freely accessed via the network, there is a risk that unauthorized use of data, such as taking out customer information, cannot be found, and illegal data is taken out. In this case, there is a problem that it is not possible to preserve sufficient evidence to apply the penal regulations.

以上から、各企業の業務手順に則って、個別にチューニングされた監視処理装置、業務効率化のシステムを利用することが理想ではあるが、開発などのコストの点から現実的ではない。そのため、既存のシステムを利用する等して開発コストを抑えながら、実運用が可能な履歴の監視方法が求められていた。 From the above, it is ideal to use a monitor processing device and a system for improving work efficiency that have been individually tuned according to the work procedure of each company, but it is not realistic from the viewpoint of development costs. Therefore, there has been a demand for a history monitoring method that enables actual operation while suppressing development costs by using an existing system.

本発明は、上記のような実状に鑑みてなされたものであり、監視システムより得た既知のログデータデータを活用し、利用者の業態に応じて効率的に監視処理を実現するための履歴監視方法を提供することを解決すべき課題とする。 The present invention has been made in view of the above-mentioned circumstances, and utilizes known log data data obtained from a monitoring system, and a history for efficiently realizing monitoring processing according to the business condition of the user. The issue to be solved is to provide a monitoring method.

上記課題を解決するために、本発明は、クライアントコンピュータを監視する監視システムにて検出対象として判断された既知の検出ログデータを用いて、監視処理を行う為の履歴監視方法であって、
監視処理装置が、前記検出ログデータに基づいて、操作を行うユーザに関する情報並びに、操作されたファイル又はディレクトリのパス、操作内容を有する履歴データを、操作履歴データとして取得するステップと、
取得した履歴データを用いて、通知対象か否かの判断処理を行う為の判断データを格納するステップと、
前記判断データに基づいて判断処理を行うステップと、を備え、
前記判断処理は、ユーザ及び当該ユーザが利用するコンピュータの対応関係と、
ファイル又はディレクトリの操作権限並びにユーザとの対応関係と、
顧客及びユーザの対応関係と、の1又は複数並びに前記操作履歴データを用いた判断を含むことを特徴とする。 In order to solve the above problems, the present invention is a history monitoring method for performing a monitoring process using known detection log data determined as a detection target in a monitoring system that monitors a client computer,
A monitoring processing device, based on the detection log data, a step of acquiring, as operation history data, information regarding a user who performs an operation, a path of an operated file or directory, and history data having operation contents;
Using the acquired history data, a step of storing determination data for performing determination processing of whether or not to be a notification target,
A step of performing a judgment process based on the judgment data,
The determination process includes a correspondence relationship between a user and a computer used by the user,
File or directory operation authority and correspondence with users,
It is characterized by including one or a plurality of correspondences between customers and users and judgment using the operation history data.

また、本発明は、クライアントコンピュータを監視する監視システムにて検出対象として判断された既知の検出ログデータを用いて、監視処理を行う為の監視処理装置であって、
前記検出ログデータに基づいて、操作を行うユーザに関する情報並びに、操作されたファイル又はディレクトリのパス、操作内容を有する履歴データを、操作履歴データとして取得する手段と、
取得した履歴データを用いて、通知対象か否かの判断処理を行う為の判断データを格納する手段と、
前記判断データに基づいて判断処理を行う手段と、を備え、
前記判断処理は、ユーザ及び当該ユーザが利用するコンピュータの対応関係と、
ファイル又はディレクトリの操作権限並びにユーザとの対応関係と、
顧客及びユーザの対応関係と、の1又は複数並びに前記操作履歴データを用いた判断を含むことを特徴とする。 Further, the present invention is a monitoring processing device for performing a monitoring process using known detection log data determined as a detection target by a monitoring system for monitoring a client computer,
Means for acquiring, as operation history data, history data having information on a user who performs an operation, a path of an operated file or directory, and operation contents based on the detection log data.
Using the acquired history data, a means for storing determination data for performing determination processing as to whether or not to be a notification target,
Means for performing a judgment process based on the judgment data,
The determination process includes a correspondence relationship between a user and a computer used by the user,
File or directory operation authority and correspondence with users,
It is characterized by including one or a plurality of correspondences between customers and users and judgment using the operation history data.

また、本発明は、クライアントコンピュータを監視する監視システムにて検出対象として判断された既知の検出ログデータを用いて、監視処理を行う為の監視処理プログラムであって、
コンピュータを、前記検出ログデータに基づいて、操作を行うユーザに関する情報並びに、操作されたファイル又はディレクトリのパス、操作内容を有する履歴データを、操作履歴データとして取得する手段と、
取得した履歴データを用いて、通知対象か否かの判断処理を行う為の判断データを格納する手段と、
前記判断データに基づいて判断処理を行う手段と、として機能させ、
前記判断処理は、ユーザ及び当該ユーザが利用するコンピュータの対応関係と、
ファイル又はディレクトリの操作権限並びにユーザとの対応関係と、
顧客及びユーザの対応関係と、の1又は複数並びに前記操作履歴データを用いた判断を含むことを特徴とする。 Further, the present invention is a monitoring processing program for performing a monitoring process using known detection log data determined as a detection target by a monitoring system for monitoring a client computer,
A means for acquiring history data having information regarding a user who performs an operation, a path of an operated file or directory, and operation contents based on the detection log data, as operation history data;
Using the acquired history data, a means for storing determination data for performing determination processing as to whether or not to be a notification target,
A means for performing a judgment process based on the judgment data,
The determination process includes a correspondence relationship between a user and a computer used by the user,
File or directory operation authority and correspondence with users,
It is characterized by including one or a plurality of correspondences between customers and users and judgment using the operation history data.

このような構成とすることで、既存の監視システムによって提供されるログを、監視対象組織の業務手順に則ってより細かく通知対象か否かの判断処理を行うことができ、監視者に対するこれまでのような不必要な通知を排除すると共に、監視対象組織ごとのオーダーを満たした監視処理を、より低コストにて実現することができる。 With such a configuration, the log provided by the existing monitoring system can be more finely determined according to the business procedure of the monitored organization, and whether or not to be notified can be performed. It is possible to eliminate unnecessary notifications such as the above and realize the monitoring processing satisfying the order for each monitored organization at a lower cost.

本発明の好ましい形態では、前記判断処理は、前記操作履歴データについて、特定のキーワードがファイル名、ディレクトリ名またはパス中に含まれるか否か及び、操作を行ったユーザの権限を用いた判断を含むことを特徴とする。
このような構成とすることで、クライアントコンピュータで業務に使用するファイル名、ディレクトリ名を所定のルールに則って設定する運用とするのみで、効果の高い監視処理を実現することができる。例えば、ファイル名等に、顧客の名称や顧客の識別番号を付与したり、持ち出し不可のデータに対して「社内秘」といった名称を設定して、管理ができる。 In a preferred aspect of the present invention, the determination process determines whether or not a specific keyword is included in a file name, a directory name, or a path in the operation history data, and a determination using the authority of the user who performed the operation. It is characterized by including.
With such a configuration, highly effective monitoring processing can be realized only by setting the file name and directory name used for business in the client computer according to a predetermined rule. For example, it is possible to add a customer name or a customer identification number to a file name, or set a name such as “in-house secret” for data that cannot be taken out for management.

本発明の好ましい形態では、前記監視処理装置が、監視対象組織ごとの検出ログデータの格納先情報を用いて格納先を巡回処理し、前記履歴データを取得するステップと、
監視対象組織ごとの前記対応関係を定義するための情報の格納先情報を用いて格納先を巡回処理し、前記対応関係を判断するための情報を収集するステップと、を備え、
前記巡回処理によって取得した前記履歴データ及び対応関係を用いて、判断処理を行うことを特徴とする。
特定のユーザしか業務上操作し得ない顧客情報について、他のユーザによるコピー操作を検出する場合、特定のユーザによるコピー操作をホワイトリストによって許可したり、他のユーザをブラックリストで排除したりするが、担当者が変更になった際や、新たな関係者が発生した場合に、それらの定義を都度見直すことは煩雑であり、そのような事態が頻発する業態の組織では、監視自体が現実的ではない。このような構成とすることで、顧客データの管理やファイル権限の管理、ユーザの権限の管理等を、既存のクラウドサービス等を用いて実施できると共に、そこで設定した情報を監視処理に利用することができ、効率的な監視処理が実現できる。 In a preferred embodiment of the present invention, the monitoring processing device cyclically processes a storage destination using the storage destination information of the detection log data for each monitoring target organization, and acquires the history data,
A step of circulating a storage destination using storage location information of information for defining the correspondence relationship for each monitored organization, and collecting information for determining the correspondence relationship,
A determination process is performed using the history data and the correspondence relationship acquired by the patrol process.
When detecting copy operations by other users for customer information that only specific users can operate for business purposes, whitelists the copy operations by specific users or excludes blacklists for other users. However, when the person in charge changes or when a new person is involved, it is complicated to review the definitions each time, and in an organization in a business category where such a situation frequently occurs, monitoring itself is a reality. Not at all. With this configuration, customer data management, file authority management, user authority management, etc. can be performed using existing cloud services, and the information set there can be used for monitoring processing. Therefore, efficient monitoring processing can be realized.

本発明の好ましい形態では、前記監視処理装置が、前記判断処理結果に基づいて、通知先への通知処理を行うステップを備え、
前記判断処理は、前記監視処理システムにおいて検出対象として判断された検出ログデータのうち、前記判断データに基いて、所定の条件に該当する履歴について通知判断を行うことを特徴とする。
このような構成とすることで、通知処理を実行することができる。 In a preferred aspect of the present invention, the monitoring processing device includes a step of performing notification processing to a notification destination based on the determination processing result,
The determination processing is characterized in that, among the detection log data determined to be detected by the monitoring processing system, notification determination is performed on a history corresponding to a predetermined condition based on the determination data.
With such a configuration, the notification process can be executed.

本発明の好ましい形態では、前記判断データは、前記ユーザ及びその権限についての対応並びに前記履歴データに含まれるタイムスタンプに基づいて判断処理を行う為の判断条件を含むことを特徴とする。
このような構成とすることで、ユーザの権限並びに履歴データに含まれるタイムスタンプを用いた判断処理が可能となる。 In a preferred aspect of the present invention, the determination data includes a determination condition for performing determination processing based on a correspondence regarding the user and its authority and a time stamp included in the history data.
With such a configuration, it is possible to perform the determination process using the user's authority and the time stamp included in the history data.

本発明の好ましい形態では、前記操作履歴データは、前記操作内容として、操作が行われたドライブの種別及び動作を有し、
前記判断処理は、前記ファイル又はディレクトリのパスに基づいて、複数の顧客に関するデータが外部記憶装置に移動、複製または生成された場合に、通知判断を行うことを特徴とする。
このような構成とすることで、特に、会計事務所等では通常行われない、複数顧客に関するデータの外部記憶装置への操作に対して、監視処理が可能となる。 In a preferred aspect of the present invention, the operation history data includes, as the operation content, the type and operation of the drive on which the operation is performed,
The determination processing is characterized by performing notification determination when data regarding a plurality of customers is moved, duplicated, or generated in an external storage device based on the file or directory path.
With such a configuration, it is possible to perform a monitoring process especially for an operation of data relating to a plurality of customers to an external storage device, which is not usually performed in an accounting office or the like.

本発明の好ましい形態では、前記監視処理装置が、前記検出ログデータに基づいて、クライアントコンピュータによってアクセスされたウェブサイトのURL並びに、アクセスしたユーザに関する情報を有する履歴データを、アクセス履歴データとして取得するステップを備え、
前記判断処理は、前記ユーザ及びウェブサイトへのアクセス権限についての対応関係並びに前記アクセス履歴データに含まれるURLを用いた判断を含むことを特徴とする。
このような構成とすることで、アクセス履歴に基づく判断処理が可能となる。 In a preferred aspect of the present invention, the monitoring processing device acquires, as access history data, history data having a URL of a website accessed by a client computer and information about a user who has accessed, based on the detection log data. With steps,
It is characterized in that the judgment processing includes a correspondence relationship regarding the access authority to the user and the website and a judgment using a URL included in the access history data.
With such a configuration, the determination process based on the access history becomes possible.

本発明の好ましい形態では、前記監視処理装置が、前記検出ログデータに基づいて、クライアントコンピュータでの入力内容並びに、入力が行われたアプリケーションに関する情報を有する履歴データを、入力履歴データとして取得するステップを備え、
前記判断処理は、前記顧客及びユーザの対応関係及び前記入力履歴データに含まれる入力内容を用いた判断を含むことを特徴とする。
このような構成とすることで、担当でないユーザによる顧客データの持ち出しなど、クライアントコンピュータにおいて、所定のアプリケーションに対して行われた入力内容に基づいて、判断処理を行うことができる。 In a preferred aspect of the present invention, the monitoring processing apparatus obtains, as input history data, history data having information on an input application on the client computer and information on an application on which the input is made, based on the detection log data. Equipped with
It is characterized in that the judgment processing includes a judgment using a correspondence relationship between the customer and the user and an input content included in the input history data.
With such a configuration, the determination process can be performed based on the input content input to a predetermined application in the client computer, such as taking out customer data by a user who is not in charge.

本発明によれば、監視システムより得た既知のログデータを活用し、利用者の業態に応じて効率的に監視処理を実現するための履歴監視方法を提供することができる。 According to the present invention, it is possible to provide a history monitoring method that utilizes known log data obtained from a monitoring system and efficiently realizes monitoring processing according to the business category of a user.

本発明の実施形態に係る履歴監視システム構成を示す図である。It is a figure which shows the history monitoring system structure which concerns on embodiment of this invention. 本発明の実施形態に係る端末装置のハードウェア構成図である。It is a hardware block diagram of the terminal device which concerns on embodiment of this invention. 本発明の実施形態に係る監視処理装置のハードウェア構成図である。It is a hardware block diagram of the monitoring processing apparatus which concerns on embodiment of this invention. 本発明の実施形態に係る監視システムおよび監視処理装置における判断処理の概念図である。It is a conceptual diagram of the judgment processing in the monitoring system and monitoring processing apparatus which concern on embodiment of this invention. 本発明の実施形態に係る対応関係を示す情報の一例である。It is an example of information indicating a correspondence relationship according to the embodiment of the present invention. 本発明の実施形態に係る対応関係を示す情報の収集処理に関する処理フローチャートである。6 is a processing flowchart relating to a collection processing of information indicating a correspondence relationship according to the embodiment of the present invention. 本発明の実施形態に係る履歴データの一例である。It is an example of history data according to the embodiment of the present invention. 本発明の実施形態に係る判断データの一例である。It is an example of the determination data according to the embodiment of the present invention. 本発明の実施形態に係る検出ログデータを用いて、クライアントコンピュータの監視処理を行う際の処理フローチャートである。9 is a processing flowchart when a client computer monitoring process is performed using the detection log data according to the embodiment of the present invention.

以下、図面を用いて、本発明の実施形態に関する履歴監視システムについて説明する。なお、以下に示す実施形態は本発明の一例であり、本発明を以下の実施形態に限定するものではなく、様々な構成を採用することもできる。 Hereinafter, a history monitoring system according to an embodiment of the present invention will be described with reference to the drawings. The following embodiments are examples of the present invention, and the present invention is not limited to the following embodiments, and various configurations can be adopted.

本実施形態では、例えば、会計事務所において、従業員(ユーザ)が利用するクライアントコンピュータを監視対象とし、監視処理装置を利用して履歴の監視を行う場合について説明する。本発明は、種々の事業形態の組織が利用可能なものであり、利用する組織には特に制限はない。 In the present embodiment, for example, a case where a client computer used by an employee (user) is a monitoring target in an accounting office and a history is monitored using a monitoring processing device will be described. The present invention can be used by organizations of various business forms, and there are no particular restrictions on the organizations used.

本実施形態では監視処理装置を含む履歴監視システムの構成、動作等について説明するが、同様の構成の方法、コンピュータプログラム、記録媒体等も、同様の作用効果を奏することができる。また、プログラムは、記録媒体に記憶させてもよい。この記録媒体を用いれば、例えばコンピュータに前記プログラムをインストールすることができる。ここで、前記プログラムを記憶した記録媒体は、例えばCD−ROM等の非一過性の記録媒体であっても良い。 In the present embodiment, the configuration, operation, etc. of the history monitoring system including the monitoring processing device will be described, but a method, computer program, recording medium, etc. having the same configuration can also provide the same operational effect. Further, the program may be stored in a recording medium. By using this recording medium, the program can be installed in, for example, a computer. Here, the recording medium storing the program may be a non-transitory recording medium such as a CD-ROM.

一実施の形態におけるシステム構成を示す図1を参照すると、履歴監視システムは履歴監視システム1として具体化されている。 Referring to FIG. 1, which shows a system configuration in one embodiment, a history monitoring system is embodied as a history monitoring system 1.

この履歴監視システム1は、監視処理装置2、複数の端末装置3、通信ネットワーク4、監視システム5、クラウドストレージシステム6及び顧客情報管理システム7を備える。監視処理装置2は、複数の端末装置3(3A,3B)、監視システム5、クラウドストレージシステム6及び顧客情報管理システム7と通信ネットワーク4を介して連携する。 The history monitoring system 1 includes a monitoring processing device 2, a plurality of terminal devices 3, a communication network 4, a monitoring system 5, a cloud storage system 6 and a customer information management system 7. The monitoring processing device 2 cooperates with the plurality of terminal devices 3 (3A, 3B), the monitoring system 5, the cloud storage system 6, and the customer information management system 7 via the communication network 4.

通信ネットワーク4は、インターネットなどのIP(Internet Protocol)網などとから構成される。なお、以下の説明では、不明確にならない限り通信ネットワーク4の介在を省略する。 The communication network 4 includes an IP (Internet Protocol) network such as the Internet. In the following description, the intervention of the communication network 4 is omitted unless it is unclear.

複数の端末装置3は、ユーザ端末装置3A及び監視者端末装置3Bを含む。ユーザ端末装置3A及び監視者端末装置3Bは、データ通信機能を有する構成であれば、コンピュータ端末(パーソナルコンピュータ、タブレット端末及びスマートフォン端末を含む)の少なくとも1つを含む単独構成または複合構成をそれぞれ採り得る。 The plurality of terminal devices 3 include a user terminal device 3A and a supervisor terminal device 3B. The user terminal device 3A and the supervisor terminal device 3B each have a single configuration or a composite configuration including at least one of computer terminals (including personal computers, tablet terminals and smartphone terminals) as long as they have a data communication function. obtain.

ユーザ端末装置3A及び監視者端末装置3Bは、通信ネットワーク4を介してデータ通信を行うためのIPアドレスを割り当てられている。ユーザ端末装置3Aは、少なくとも、後述する監視システム5、クラウドストレージシステム6及び顧客情報管理システム7とデータ通信を行う。また、監視者端末装置3Bは、少なくとも、監視処理装置2とデータ通信を行う。 The user terminal device 3A and the supervisor terminal device 3B are assigned IP addresses for data communication via the communication network 4. The user terminal device 3A performs data communication with at least a monitoring system 5, a cloud storage system 6, and a customer information management system 7, which will be described later. In addition, the supervisor terminal device 3B performs at least data communication with the monitoring processing device 2.

更に詳述すると、履歴監視システム1における複数の端末装置3(3A,3B)は、図2に例示するように、ハードウェア及び機能の構成要素を含んでいる。つまり、各端末装置3は、ハードウェア構成要素として、演算装置(CPU(Central Processing Unit))11と、作業用メモリとしての主記憶装置(RAM(Random Access Memory))12とを備える。 More specifically, the plurality of terminal devices 3 (3A, 3B) in the history monitoring system 1 include hardware and functional components as illustrated in FIG. That is, each terminal device 3 includes a computing device (CPU (Central Processing Unit)) 11 and a main storage device (RAM (Random Access Memory)) 12 as a working memory as hardware components.

各端末装置3は、OS(Operating System)、アプリケーションプログラム、及び各種情報(データを含む)を書換え可能に格納するHDDやSSD、フラッシュメモリ等の補助記憶装置13と、通信制御部14と、NIC(Network Interface Card)などの通信インタフェース(IF)部15と、表示制御部16と、表示部17と、情報入力・指定部18などとを、更に備える。 Each terminal device 3 includes an auxiliary storage device 13 such as an HDD (Operating System), an application program, and various types of information (including data) rewritably stored, a flash memory, a communication control unit 14, and a NIC. A communication interface (IF) unit 15 such as (Network Interface Card), a display control unit 16, a display unit 17, an information input/designation unit 18, and the like are further provided.

各端末装置3において、後に詳述する機能を論理的に実現するには、補助記憶装置13にウェブブラウザ、電子メールソフトウェア、及び端末制御プログラムなどをアプリケーションプログラムとしてインストールしておく。そして、各端末装置3においては、電源投入または利用者(ユーザ)による指示を契機に、演算装置(CPU)11がアプリケーションプログラムを主記憶装置(RAM)12に展開して実行する。 In order to logically realize the functions described later in each terminal device 3, a web browser, electronic mail software, a terminal control program, and the like are installed as application programs in the auxiliary storage device 13. Then, in each terminal device 3, the arithmetic unit (CPU) 11 develops the application program in the main storage device (RAM) 12 and executes the application program in response to power-on or an instruction from the user (user).

また、ユーザ端末装置3Aについては、監視システム5において、クライアントコンピュータの監視を実施するための監視ソフトウェアと、クラウドストレージシステム6及び顧客情報管理システム7以外に、作業ファイルや顧客情報(例えば、顧客の売り上げや、顧客の財務管理)を管理するための業務利用ソフトウェアが、アプリケーションプログラムとしてインストールされているものとする。 Regarding the user terminal device 3A, in addition to the monitoring software for monitoring the client computer in the monitoring system 5, the cloud storage system 6 and the customer information management system 7, work files and customer information (for example, the customer's Business use software for managing sales and customer financial management) is installed as an application program.

監視処理装置2は、データ通信機能を有し、図3に例示するように、ハードウェア及び機能の構成要素を含んでいる。すなわち、監視処理装置2は、ハードウェア構成要素として、演算装置(CPU(Central Processing Unit))21と、作業用メモリとしての主記憶装置(RAM(Random Access Memory))22とを備える。 The monitoring processing device 2 has a data communication function, and includes hardware and functional components as illustrated in FIG. That is, the monitoring processing device 2 includes a computing device (CPU (Central Processing Unit)) 21 and a main storage device (RAM (Random Access Memory)) 22 as a working memory as hardware components.

監視処理装置2は、OS(Operating System)、アプリケーションプログラム、及び各種情報(データを含む)を書換え可能に格納するHDDやSSD、フラッシュメモリ等の補助記憶装置23と、通信制御部24と、NIC(Network Interface Card)などの通信インタフェース(IF)部25などとを、更に備える。 The monitoring processing device 2 includes an OS (Operating System), an application program, and an auxiliary storage device 23 such as an HDD, an SSD, and a flash memory that rewritably stores various information (including data), a communication control unit 24, and a NIC. A communication interface (IF) unit 25 such as (Network Interface Card) is further provided.

監視処理装置2は、後に詳述する機能構成要素として、巡回処理手段201、取得処理手段202、格納処理手段203、判断処理手段204、通知処理手段205及びデータベースDBを備える。 The monitoring processing device 2 includes a traveling processing unit 201, an acquisition processing unit 202, a storage processing unit 203, a determination processing unit 204, a notification processing unit 205, and a database DB as functional components described in detail later.

監視処理装置2において上述した機能構成要素(201−205)を論理的に実現するには、補助記憶装置23に監視処理プログラムをアプリケーションプログラムとしてインストールしておく。そして、監視処理装置2においては、電源投入を契機に、演算装置(CPU)21がこの処理プログラムを主記憶装置(RAM)22に展開して実行する。 In order to logically realize the above-described functional components (201-205) in the monitoring processing device 2, the monitoring processing program is installed in the auxiliary storage device 23 as an application program. Then, in the monitoring processing device 2, when the power is turned on, the arithmetic unit (CPU) 21 develops this processing program in the main storage device (RAM) 22 and executes it.

次に、図1及び関連図(図4〜図9)を参照して、履歴監視システム1における処理ついて更に詳述する。 Next, the processing in the history monitoring system 1 will be described in more detail with reference to FIG. 1 and related diagrams (FIGS. 4 to 9).

本実施形態では、第3者によって、ウェブサービスの態様にて提供される監視システム5、クラウドストレージシステム6及び顧客情報管理システム7を利用して、履歴監視システム1を実現する。 In this embodiment, the history monitoring system 1 is realized by using the monitoring system 5, the cloud storage system 6, and the customer information management system 7 provided in the form of a web service by a third party.

監視システム5は、データベース50と、監視装置51と、を備える。ユーザ端末装置3Aは、監視対象となるユーザ(従業員)が利用する端末装置3であり、ユーザ端末装置3Aにインストールされた既存の監視ソフトウェアおよび既存の監視システム5によって、そのログデータが収集される。 The monitoring system 5 includes a database 50 and a monitoring device 51. The user terminal device 3A is the terminal device 3 used by the user (employee) to be monitored, and the log data is collected by the existing monitoring software installed in the user terminal device 3A and the existing monitoring system 5. It

ユーザ端末装置3Aにインストールされた監視ソフトウェアは、事前設定された条件基づいて、ユーザ端末装置3Aでの操作を監視する。事前設定された条件とは、不可条件、検出条件、ホワイトリスト及びブラックリストを含み、これらに基づいて監視システム5による監視処理が行われる。 The monitoring software installed in the user terminal device 3A monitors the operation in the user terminal device 3A based on the preset conditions. The preset conditions include a non-condition, a detection condition, a white list, and a black list, and the monitoring processing by the monitoring system 5 is performed based on these.

従来の監視ソフトウェア(監視システム5)では、事前設定された不可条件、ホワイトリスト及びブラックリストに基づいて、ユーザ端末装置3Aの監視処理を行う。図4(a)は、監視システム5でのログデータに対する判断処理の概念図である。監視システム5は、ユーザ(クライアントコンピュータ)に禁止された操作(不可条件又はブラックリストに該当する場合)と、許可された操作(ホワイトリスト、通知条件に該当する場合、禁止された操作を除くそれ以外の操作)とを判断する。 The conventional monitoring software (monitoring system 5) performs the monitoring processing of the user terminal device 3A based on the preset unacceptable condition, the white list, and the black list. FIG. 4A is a conceptual diagram of determination processing for log data in the monitoring system 5. The monitoring system 5 excludes operations that are prohibited by the user (client computer) (when the condition is unconditional or blacklist) and operations that are permitted (whitelist or notification condition, except the prohibited operation). Operations other than the above).

ここで、不可条件とは、例えば、exeファイル等の実行であったり、特定のURLやドメインに対するアクセスの制限などである。監視処理の結果、不可条件に該当すると判断された操作については、ユーザ端末装置3Aにおける操作が抑止される。 Here, the impermissible condition is, for example, execution of an exe file, or restriction of access to a specific URL or domain. As a result of the monitoring process, with respect to the operation determined to correspond to the unconditional condition, the operation on the user terminal device 3A is suppressed.

不可条件は、実施されることで業務上重大な支障をきたす恐れのある操作であって、全て又は大多数のクライアントコンピュータにおいて抑止されるべき操作が設定され得る。例えば、業務運用上、ごく一部のユーザのみが行う操作については、不可条件を設定しつつ、ホワイトリストでごく一部のユーザのみ例外的に操作を許可するような条件設定が行われる。 The impermissible condition is an operation that may seriously hinder business when being performed, and an operation that should be suppressed in all or most client computers can be set. For example, for business operations, conditions are set such that only a small number of users are exceptionally permitted to operate in a white list while setting an unacceptable condition for an operation performed by only a small number of users.

なお、本実施形態では、不可条件、ブラックリスト及びホワイトリストの判断条件は、ユーザ端末装置3Aにインストールされた監視ソフトウェアに保存されており、監視装置51によってその定義ファイルが更新される。 In the present embodiment, the unconditional condition, the blacklist and the whitelist determination condition are stored in the monitoring software installed in the user terminal device 3A, and the definition file is updated by the monitoring device 51.

検出条件とは、クライアントコンピュータにおいて操作自体が抑止されるわけではないが、監視者に対して通知を行い、確認が必要となるような操作(検出対象)が設定され得る。検出条件に該当するログデータが監視装置51によって発見された場合、通常、監視装置51は、監視者端末装置3Bに通知処理を行うが、後述の監視処理装置2による通知処理と重複するため、通知処理をオフにする等して、監視者端末装置3Bへの監視装置51で通知条件に該当する場合の通知を、抑止する設定とすることが好ましい。 The detection condition does not mean that the operation itself is suppressed in the client computer, but an operation (detection target) that notifies the supervisor and needs confirmation can be set. When the log data corresponding to the detection condition is found by the monitoring device 51, the monitoring device 51 normally performs the notification process to the supervisor terminal device 3B, but since it overlaps with the notification process by the monitoring processing device 2 described later, It is preferable to set the notification processing to be turned off or the like to suppress the notification to the supervisor terminal device 3B when the monitoring device 51 meets the notification condition.

ログデータが、検出対象に該当する場合(許可された操作)、監視処理装置2において後述する判断処理を経て、監視者に対して通知を行うべきか否かの判断を行う。なお、検出条件の判断処理についても、監視ソフトウェア側で実行されてよい。 When the log data corresponds to the detection target (permitted operation), the monitoring processing device 2 determines whether or not to notify the supervisor through a determination process described later. The determination processing of the detection condition may also be executed on the monitoring software side.

監視装置51は、ログデータを受け取り、収集したログデータが検出対象に該当する場合、検出ログデータとして格納する。検出ログデータは、データベース50に格納され、監視処理装置2での判断処理に利用される。ここで、不可条件の判断を行った動作に係るログデータについても、格納する構成であっても構わない。 The monitoring device 51 receives the log data, and when the collected log data corresponds to the detection target, stores it as detection log data. The detection log data is stored in the database 50 and is used for the determination process in the monitoring processing device 2. Here, the log data related to the operation for which the unconditional condition is determined may be stored.

ログデータ及び検出ログデータは、クライアントコンピュータにおけるユーザの操作履歴に関するログデータ(以下、操作ログデータと呼称する)と、クライアントコンピュータによるネットワークを介したアクセス履歴に関するログデータ(以下、アクセスログデータと呼称する)と、クライアントコンピュータによるキーワードの入力履歴に関するログデータ(以下、入力ログデータと呼称する)と、を含む。 The log data and the detection log data are log data related to the operation history of the user in the client computer (hereinafter referred to as operation log data) and log data related to the access history of the client computer via the network (hereinafter referred to as access log data). And log data relating to the history of keyword input by the client computer (hereinafter referred to as input log data).

一方、本願における監視処理装置2は、監視システム5において検出条件として判断されたログデータに対して、判断データにより設定される通知条件、ホワイトリスト及びブラックリストを用いて、より細かな条件での判断処理を行い、ユーザ端末装置3Aの監視処理を行う。なお、ここでのホワイトリスト及びブラックリストは、監視システム5におけるホワイトリスト及びブラックリストとは別のリストである。 On the other hand, the monitoring processing device 2 according to the present application uses the notification condition, the whitelist, and the blacklist set by the determination data for the log data determined by the monitoring system 5 as the detection condition, and uses the notification condition in more detailed conditions. The determination process is performed, and the monitoring process of the user terminal device 3A is performed. The white list and the black list here are different from the white list and the black list in the monitoring system 5.

図4(b)は、監視処理装置2での履歴データに対する判断処理の概念図である。監視処理装置2は、監視システム5において検出対象として判断されたログデータに対して、監視者端末装置3Bに対する通知処理がされるログ(通知条件又はブラックリストに該当する場合)と、通知処理がされないログ(ホワイトリスト、通知条件に該当する場合、ブラックリストに該当するログを除くそれ以外の操作)とを判断する。 FIG. 4B is a conceptual diagram of the determination process for the history data in the monitoring processing device 2. The monitoring processing device 2 performs a notification process on the log data determined by the monitoring system 5 to be detected by the monitoring system 5 when the notification process is performed on the monitor terminal device 3B (when the notification condition or the blacklist is satisfied), and the notification process. It is determined that it is not a log (white list, other operation except the log corresponding to the black list when the notification condition is applicable).

クラウドストレージシステム6は、データベース60と、ストレージ管理装置61と、を備える。データベース60は、監視対象組織が業務で使用する作業ファイル、ユーザデータ及び操作権限データを格納している。 The cloud storage system 6 includes a database 60 and a storage management device 61. The database 60 stores work files, user data, and operation authority data used by the monitored organization for business.

図5(a)は、ユーザデータの一例を示す図である。ユーザデータは、ユーザ個人を特定するための従業員ID及び氏名と、当該ユーザが利用するコンピュータを特定するためのコンピュータ名及びコンピュータにログオンする為のユーザ名とを、ユーザ及び当該ユーザが利用するコンピュータの対応関係を示すユーザ情報として含む。また、ユーザの役職を、役職に基づくユーザと権限の対応関係を示す権限情報(役職権限情報)として含む。 FIG. 5A is a diagram showing an example of user data. As the user data, an employee ID and a name for identifying an individual user, a computer name for identifying a computer used by the user, and a user name for logging on to the computer are used by the user and the user. It is included as user information indicating the correspondence relationship between computers. In addition, the position of the user is included as authority information (position authority information) indicating a correspondence relationship between the user and authority based on the position.

図5(b)は、操作権限データの一例を示す図である。操作権限データは、データベース60に格納された作業ファイルを特定するためのファイルIDと、当該作業ファイルに対して操作権限を有するユーザを特定するための従業員IDとを、ユーザ及び当該ユーザが操作権限を有するファイル又はディレクトリの対応関係を示す権限情報(操作権限情報)として含む。 FIG. 5B is a diagram showing an example of the operation authority data. The operation authority data includes a file ID for identifying a work file stored in the database 60, and an employee ID for identifying a user who has operation authority for the work file. It is included as authority information (operation authority information) indicating a correspondence relationship between files or directories having authority.

顧客情報管理システム7は、データベース70と、顧客情報管理装置71と、を備える。データベース70は、顧客データを格納している。 The customer information management system 7 includes a database 70 and a customer information management device 71. The database 70 stores customer data.

図5(c)は、顧客データの一例を示す図である。顧客データは、顧客を特定するための顧客ID及び顧客名と、当該顧客の担当として設定されたユーザを特定するための従業員IDとを、ユーザ及び当該ユーザが担当する顧客の対応関係を示す顧客情報として含む。 FIG. 5C is a diagram showing an example of customer data. The customer data indicates a customer ID and a customer name for identifying a customer, and an employee ID for identifying a user who is set as a person in charge of the customer, and shows a correspondence relationship between the user and the customer in charge of the user. Include as customer information.

巡回処理手段201は、格納先情報を用いて、監視システム5、クラウドストレージシステム6及び顧客情報管理システム7を巡回し、データを取得する。格納先情報は、1又は複数の監視対象組織ごとにデータの格納先を有し、巡回処理手段201は、格納先にアクセスして必要なデータを取得する。例えば、監視システム5、クラウドストレージシステム6及び顧客情報管理システム7等で提供されるAPI(Application Programming Interface)を利用して、データを取得する。 The patrol processing means 201 patrols the monitoring system 5, the cloud storage system 6, and the customer information management system 7 using the storage destination information, and acquires data. The storage destination information has a data storage destination for each one or a plurality of monitoring target organizations, and the patrol processing means 201 accesses the storage destination and acquires necessary data. For example, data is acquired using an API (Application Programming Interface) provided by the monitoring system 5, the cloud storage system 6, the customer information management system 7, and the like.

まず、巡回処理手段201は、格納先情報を用いて対応関係に関する情報を収集する。本実施形態では、巡回処理手段201は、クラウドストレージシステム6にアクセスし、監視対象組織について、ユーザ及び当該ユーザが利用するコンピュータの対応関係を示すユーザ情報、役職に基づくユーザと権限の対応関係を示す役職権限情報並びに、ユーザ及び当該ユーザが操作権限を有するファイル又はディレクトリの対応関係を示す操作権限情報を取得する。取得処理手段202は、取得した対応関係を示す情報をデータベースDBに格納する。 First, the patrol processing means 201 collects information regarding the correspondence using the storage location information. In the present embodiment, the patrol processing unit 201 accesses the cloud storage system 6 and, regarding the monitored organization, user information indicating the correspondence relationship between the user and the computer used by the user, and the correspondence relationship between the user and the authority based on the position. Acquires the post authority information as well as the operation authority information indicating the correspondence between the user and the file or directory for which the user has the operation authority. The acquisition processing unit 202 stores information indicating the acquired correspondence relationship in the database DB.

更に、巡回処理手段201は、格納先情報を用いて顧客情報管理システム7にアクセスし、監視対象組織について、ユーザ及び当該ユーザが担当する顧客の対応関係を示す顧客情報を取得する。取得処理手段202は、取得した対応関係を示す情報について、データベースDBに格納する。 Further, the patrol processing unit 201 accesses the customer information management system 7 using the storage location information, and acquires customer information indicating the correspondence relationship between the user and the customer in charge of the user for the monitored organization. The acquisition processing unit 202 stores the information indicating the acquired correspondence relationship in the database DB.

図6は、対応関係を示す情報の収集処理に関する処理フローチャートである。対応関係の収集処理は、定期的に実行される。対応関係の収集処理を実施する場合(ステップS11でYES)、対応関係に関する情報の格納先情報に基づいて、各監視対象組織の対応関係に関する情報を、順次取得する。なお、本実施形態では、複数の対応関係に関する情報(ユーザ情報、役職権限情報、操作権限情報及び顧客情報)をまとめて一連の処理にて収集する場合について例示するが、情報や、情報の格納先ごとに個別の収集タイミングを設定し、個別処理にて収集する構成としてもよい。 FIG. 6 is a processing flowchart relating to a collection processing of information indicating the correspondence relationship. Correspondence collection processing is executed periodically. When performing the correspondence collection process (YES in step S11), the information regarding the correspondence of each monitoring target organization is sequentially acquired based on the storage destination information of the information regarding the correspondence. It should be noted that, in the present embodiment, an example is given in which information regarding a plurality of correspondence relationships (user information, post authority information, operation authority information, and customer information) is collected in a series of processes, but information and information storage Individual collection timing may be set for each destination and collection may be performed by individual processing.

格納先情報に設定された所定の順序に則って、監視対象組織0〜Nの対応関係を収集する。ステップS12では、まず、巡回処理手段201が、監視対象組織0の対応関係に関する情報についての格納先情報を参照し、監視対象組織0の対応関係に関する情報を取得する(ステップS13)。ステップS14では、取得処理手段202が、取得した情報をデータベースDBに格納する。 Correspondences of the monitored organizations 0 to N are collected according to a predetermined order set in the storage destination information. In step S12, first, the patrol processing unit 201 refers to the storage location information regarding the information regarding the correspondence relation of the monitored organization 0, and acquires the information regarding the correspondence relation of the monitored organization 0 (step S13). In step S14, the acquisition processing means 202 stores the acquired information in the database DB.

情報を収集していない監視対象組織が存在する場合(ステップS15でNO)には、次の順番の監視対象組織i+1について、ステップS13〜S14の手順を実行し、情報の収集処理を実行する(ステップS16)。すべての監視対象組織0〜Nについて、対応関係に関する情報を格納できた場合(ステップS15でYES)、処理を終了する。 If there is a monitored organization that has not collected information (NO in step S15), the procedure of steps S13 to S14 is executed for the monitored organization i+1 in the next order, and the information collection process is executed ( Step S16). When the information regarding the correspondence relationship can be stored for all the monitoring target organizations 0 to N (YES in step S15), the process ends.

なお、対応関係に関する情報の収集処理は、後述する履歴データの収集処理、判断処理と併せて実行されてもよい。その場合、履歴データの判断処理に先駆けて、対応関係に関する情報の収集処理が実施され、新たに収集された対応関係(更新された対応関係)に則って、履歴データに対する判断処理が実施される。 The process of collecting information about the correspondence may be executed together with the process of collecting history data and the determination process described later. In that case, prior to the judgment processing of the history data, the collection processing of the information on the correspondence relationship is carried out, and the judgment processing for the history data is carried out in accordance with the newly collected correspondence relationship (updated correspondence relationship). ..

巡回処理手段201は、格納先情報を用いて監視システム5にアクセスし、監視対象組織について、検出ログデータについての収集処理を実行する。取得処理手段202は、検出ログデータを履歴データとして取得し、データベースDBに格納する。 The patrol processing unit 201 accesses the monitoring system 5 using the storage destination information, and executes the collection processing of the detection log data for the monitored organization. The acquisition processing unit 202 acquires the detection log data as history data and stores it in the database DB.

図7は、履歴データの一例を示す図である。図7(a)は、操作履歴データの一例である。操作履歴データは、ユーザを示すコンピュータ名及びユーザ名と、操作の時間を示す日時と、操作を示すアクション(操作方法)及びドライブタイプ(操作場所)と、ファイル又はディレクトリのパスを示すソースファイル(操作対象)と、を有している。 FIG. 7 is a diagram showing an example of history data. FIG. 7A is an example of operation history data. The operation history data includes a computer name and a user name indicating a user, a date and time indicating an operation time, an action (operation method) and a drive type (operation location) indicating an operation, and a source file (path) of a file or a directory. Operation target).

図7(b)は、アクセス履歴データの一例である。アクセス履歴データは、ユーザを示すコンピュータ名及びユーザ名と、操作の時間を示す日時と、操作を示すURL(アクセス先)と、を有している。 FIG. 7B is an example of access history data. The access history data has a computer name and a user name indicating a user, a date and time indicating an operation time, and a URL (access destination) indicating the operation.

図7(c)は、入力履歴データの一例である。入力履歴データは、ユーザを示すコンピュータ名及びユーザ名と、操作の時間を示す日時と、操作を示すアクション(入力方法)、キーワード(入力内容)及びタイトル(入力先)と、を有している。 FIG. 7C is an example of input history data. The input history data has a computer name and a user name indicating a user, a date and time indicating an operation time, an action (input method) indicating an operation, a keyword (input content), and a title (input destination). ..

格納処理手段203は、監視者端末装置3Bより、取得した履歴データを用いて通知対象か否かの判断処理を行う為の判断データを受け取り、データベースDBに格納する。 The storage processing unit 203 receives determination data for performing determination processing of whether to be a notification target using the acquired history data from the supervisor terminal device 3B, and stores the determination data in the database DB.

図8は、判断データの一例を示す図である。本実施形態における判断データは、所定の条件が記載された文章ファイルであり、ファイルに関する条件、ユーザに関する条件、操作に関する条件、時間に関する条件、の1又は複数の組み合わせによって、条件が設定されている。 FIG. 8 is a diagram showing an example of determination data. The determination data in the present embodiment is a text file in which predetermined conditions are described, and the conditions are set by one or a combination of file-related conditions, user-related conditions, operation-related conditions, and time-related conditions. ..

例えば、判断条件は、ユーザ及びその権限についての対応並びに履歴データに含まれるタイムスタンプに基づいて判断処理を行う条件を含んでよい。図示例では、権限を持っていないユーザによる営業時間外でのクライアントコンピュータの操作を検知する場合(図示例における「営業時間外使用」)、ユーザの役職が管理職など一定の条件に該当しておらず、かつ履歴データ(操作履歴データ、アクセス履歴データ及び入力履歴データの何れか)の受付時間が、所定の時間に受付られたものである場合に、通知条件に該当すると判断する。 For example, the determination condition may include a condition for performing the determination process based on the correspondence between the user and his/her authority and the time stamp included in the history data. In the example shown in the figure, when detecting the operation of the client computer during the non-business hours by the user who does not have the authority (“use after non-business hours” in the example), the post of the user corresponds to a certain condition such as the manager. If the history data (any one of the operation history data, the access history data, and the input history data) has not been received and the reception time has been received at a predetermined time, it is determined that the notification condition is satisfied.

操作履歴データについて、特定のキーワードがファイル名、ディレクトリ名またはパス中に含まれるか否か及び、操作を行ったユーザの権限を用いた判断が実施されてよい。図示例における「非顧客担当者によるデータ操作」は、顧客名がファイル名、ディレクトリ名またはパス中(ソースファイル)に含まれ、当該顧客の担当でないユーザ(コンピュータ名、ユーザ名)が、ファイルに対する一定の操作(アクション、ドライブタイプ)を行った場合に、通知条件に該当すると判断することができる。 With respect to the operation history data, whether or not a specific keyword is included in a file name, a directory name, or a path, and a determination using the authority of the user who performed the operation may be performed. The “data operation by non-customer person in charge” in the illustrated example includes a customer name included in a file name, a directory name or a path (source file), and a user (computer name, user name) who is not in charge of the customer does not handle the file. When a certain operation (action, drive type) is performed, it can be determined that the notification condition is met.

また、判断データには、ホワイトリスト又はブラックリストを用いた通知判断が実施されてよい。許可されていないウェブサイトへのアクセス検知(図示例における「許可されていないサイトアクセス」)に関して、アクセス履歴データのURLと、ユーザ(コンピュータ名、ユーザ名)とが、ホワイトリストに許可されていない場合に、通知条件に該当すると判断することができる。 Further, notification determination using a white list or a black list may be performed on the determination data. Regarding the detection of access to unauthorized websites (“unauthorized site access” in the illustrated example), the URL of the access history data and the user (computer name, user name) are not permitted in the whitelist. In this case, it can be determined that the notification condition is met.

また、顧客担当者でない者による顧客データへのアクセス検知(図示例における「非顧客担当者によるデータアクセス」)については、入力履歴データにおけるアクション、キーワード及びタイトルに基づいて、所定のアプリケーション(タイトル)に対して、顧客ID(キーワード)を入力する操作(アクション)を、顧客担当者でないユーザ(コンピュータ名、ユーザ名)が行った場合に、条件に該当すると判断する。 Further, regarding detection of access to customer data by a person who is not a customer representative (“data access by non-customer representative” in the illustrated example), a predetermined application (title) based on the action, keyword and title in the input history data. On the other hand, when the user (computer name, user name) who is not the customer person in charge performs the operation (action) of inputting the customer ID (keyword), it is determined that the condition is satisfied.

判断処理手段204は、判断データ、対応関係及び履歴データを用いて、判断処理を行う。本実施形態では、対応関係は、データベースDBに格納したユーザ情報、役職権限情報、操作権限情報及び顧客情報によって設定され、履歴データは、データベースDBに格納した操作履歴データ、アクセス履歴データ及び入力履歴データが対象となる。 The judgment processing means 204 performs judgment processing using the judgment data, the correspondence, and the history data. In the present embodiment, the correspondence relationship is set by the user information, the post authority information, the operation authority information, and the customer information stored in the database DB, and the history data is the operation history data, the access history data, and the input history stored in the database DB. Data is targeted.

また、既述の条件データにて記載したように、判断データ、対応関係及び履歴データに加えて、又はこれらの一部に代えて、ホワイトリスト及び/又はブラックリストを用いて行う判断処理を含んでもよい。更に、判断データ及び履歴データのみを用いて行う判断処理が含まれてもよい。例えば、全従業員に対して、営業時間外のクライアントコンピュータの操作を禁止する場合には、禁止された時間を定義した判断データ及び履歴データに含まれるタイムスタンプ(本実施形態における履歴データの日時)に基づいて判断処理を行う。 Further, as described in the condition data described above, in addition to the judgment data, the correspondence and the history data, or in place of a part of them, the judgment processing is performed by using the whitelist and/or the blacklist. But it's okay. Furthermore, the determination process performed using only the determination data and the history data may be included. For example, when prohibiting the operation of the client computer after business hours for all employees, the judgment data defining the prohibited time and the time stamp included in the history data (the date and time of the history data in this embodiment) ) Based on the above).

また、判断処理手段204によって通知対象として判断された履歴データについて、データベースDBに格納し、保管する構成としてもよい。 Further, the history data determined as the notification target by the determination processing unit 204 may be stored and stored in the database DB.

通知処理手段205は、判断処理結果に基づいて、通知先への通知処理を行う。判断処理の結果、条件に該当する履歴データが検出された場合には、通知処理手段205を用いて、事前に設定された通知先(監視者端末装置3B)に対して、通知を行う。通知は、通知先ととして設定された電子メールアドレスや電話番号等に、電子メールやSMSへの送信、監視者端末装置3Bにインストールされたアプリケーションへの通知送信等、種々の方法にて行ってよい。 The notification processing unit 205 performs notification processing to the notification destination based on the determination processing result. When the history data corresponding to the condition is detected as a result of the determination process, the notification processing unit 205 is used to notify the preset notification destination (monitoring terminal device 3B). The notification is performed by various methods such as sending to an e-mail address or a telephone number set as a notification destination, sending to an email or SMS, sending a notification to an application installed in the supervisor terminal device 3B, or the like. Good.

図9は、検出ログデータを用いて、クライアントコンピュータの監視処理を行う際の処理フローチャートである。履歴データの収集処理は、定期的に実行される。履歴データの収集処理を実施する場合(ステップS21でYES)、履歴データの格納先情報に基づいて、各監視対象組織の履歴データを順次取得する。 FIG. 9 is a processing flowchart when the client log monitoring process is performed using the detection log data. The process of collecting history data is periodically executed. When the history data collection process is performed (YES in step S21), the history data of each monitoring target organization is sequentially acquired based on the storage destination information of the history data.

格納先情報に設定された所定の順序に則って、監視対象組織0〜Nの履歴データを収集する。ステップS22では、まず、巡回処理手段201が、監視対象組織0の履歴データについての格納先情報を参照し、監視対象組織0の検出ログデータを参照する(ステップS23)。ステップS24では、取得処理手段202が、履歴データを取得し、データベースDBに格納する。 The historical data of the monitored organizations 0 to N is collected according to the predetermined order set in the storage destination information. In step S22, the patrol processing unit 201 first refers to the storage destination information regarding the history data of the monitored organization 0, and refers to the detection log data of the monitored organization 0 (step S23). In step S24, the acquisition processing unit 202 acquires history data and stores it in the database DB.

ステップS25では、取得した複数の履歴データij(j=0、1、・・・、M)のうち、まず、履歴データi0を参照し、判断処理手段204が判断処理を実行する(ステップS26)。判断処理は、判断データ及び履歴データと、必要に応じて、1又は複数の対応関係と、ホワイトリスト又はブラックリストと、を用いて実行される。判断処理した履歴データijが通知対象に該当する場合(ステップS27でYES)、通知処理手段205は、通知処理を行う(ステップS28)。 In step S25, the history data i0 is first referenced from among the acquired plurality of history data ij (j=0, 1,..., M), and the determination processing unit 204 executes the determination process (step S26). .. The determination process is executed using the determination data and the history data, and if necessary, one or a plurality of correspondence relationships and a white list or a black list. When the history data ij subjected to the determination process corresponds to the notification target (YES in step S27), the notification processing unit 205 performs the notification process (step S28).

当該監視対象組織の履歴データのうち、判断処理が終了していない履歴データが存在する場合(ステップS29でNO)には、次の履歴データi(j+1)について、ステップS26〜S28の手順を実行し、判断処理を実行する(ステップS30)。 If there is history data for which the determination process has not ended among the history data of the monitoring target organization (NO in step S29), the procedure of steps S26 to S28 is executed for the next history data i(j+1). Then, the determination process is executed (step S30).

当該監視対象組織の履歴データのうち、全ての履歴データに対して判断処理が完了した場合(ステップS29でYES)、履歴データを収集していない監視対象組織が存在する場合(ステップS31でNO)には、次の順番の監視対象組織i+1について、ステップS23〜S30の手順を実行し(ステップS32)、各監視対象組織の履歴データに対する判断処理を実行する。すべての監視対象組織0〜Nについて、履歴データに対する判断処理が完了した場合(ステップS32でYES)、処理を終了する。 Of the history data of the monitoring target organization, if the determination process is completed for all the history data (YES in step S29), if there is a monitoring target organization that has not collected history data (NO in step S31). For the monitoring target organization i+1 in the next order, the procedure of steps S23 to S30 is executed (step S32), and the determination process for the history data of each monitoring target organization is executed. When the determination process for the history data is completed for all the monitoring target organizations 0 to N (YES in step S32), the process ends.

なお、既述の判断処理では、履歴データごとに判断処理を実行しているが、例えば、複数の履歴データを用いて、判断処理を実行してもよい。例えば、操作履歴データの有するファイル又はディレクトリのパス(ソースファイル)、操作場所(ドライブタイプ)に基づいて、複数の顧客に関するデータが外部記憶装置に移動、複製または生成された場合に、通知判断を行う構成としてよい。また、既述の判断条件以外に、ファイル、ユーザ、操作、時間を用いた判断条件を任意に設定し、実施してかまわない。更に、これら以外の項目を利用した判断条件についても、別途設定し、判断処理を実施してよい。 In addition, in the above-described determination process, the determination process is performed for each history data, but the determination process may be performed using a plurality of history data, for example. For example, based on the file or directory path (source file) and the operation location (drive type) of the operation history data, when the data regarding a plurality of customers is moved, duplicated, or generated in the external storage device, the notification judgment is performed. The configuration may be performed. In addition to the above-described determination conditions, determination conditions using a file, a user, an operation, and time may be arbitrarily set and implemented. Furthermore, the determination conditions may be separately set and the determination process may be performed using the items other than these items.

1 履歴監視システム
11 演算装置(CPU)
12 主記憶装置(RAM)
13 補助記憶装置
14 通信制御部
15 通信インタフェース(IF)部
16 表示制御部
17 表示部
18 情報入力・指定部
2 監視処理装置
21 演算装置(CPU)
22 主記憶装置(RAM)
23 補助記憶装置
24 通信制御部
25 通信インタフェース(IF)部
201 巡回処理手段
202 取得処理手段
203 格納処理手段
204 判断処理手段
205 通知処理手段
DB データベース
3 端末装置
3A ユーザ端末装置
3B 監視者端末装置
4 通信ネットワーク
5 監視システム
50 データベース
51 監視装置
6 クラウドストレージシステム
60 データベース
61 ストレージ管理装置
7 顧客情報管理システム
70 データベース
71 顧客情報管理装置 1 History monitoring system 11 Arithmetic unit (CPU)
12 Main memory (RAM)
13 auxiliary storage device 14 communication control unit 15 communication interface (IF) unit 16 display control unit 17 display unit 18 information input/designation unit 2 monitoring processor 21 arithmetic unit (CPU)
22 Main memory (RAM)
23 Auxiliary storage device 24 Communication control unit 25 Communication interface (IF) unit 201 Travel processing means 202 Acquisition processing means 203 Storage processing means 204 Judgment processing means 205 Notification processing means DB database 3 Terminal device 3A User terminal device 3B Observer terminal device 4 Communication network 5 Monitoring system 50 Database 51 Monitoring device 6 Cloud storage system 60 Database 61 Storage management device 7 Customer information management system 70 Database 71 Customer information management device

Claims (10)

クライアントコンピュータを監視する監視システムにて検出対象として判断された既知の検出ログデータを用いて、監視処理を行う為の履歴監視方法であって、
監視処理装置が、前記検出ログデータに基づいて、操作を行うユーザに関する情報並びに、操作されたファイル又はディレクトリのパス、操作内容を有する履歴データを、操作履歴データとして取得するステップと、
取得した履歴データを用いて、通知対象か否かの判断処理を行う為の判断データを格納するステップと、
前記判断データに基づいて判断処理を行うステップと、を備え、
前記判断処理は、ユーザ及び当該ユーザが利用するコンピュータの対応関係と、
ファイル又はディレクトリの操作権限並びにユーザとの対応関係と、
顧客及びユーザの対応関係と、の1又は複数並びに前記操作履歴データを用いた判断を含むことを特徴とする履歴監視方法。 A history monitoring method for performing monitoring processing using known detection log data determined to be detected by a monitoring system that monitors client computers,
A monitoring processing device, based on the detection log data, a step of acquiring, as operation history data, information regarding a user who performs an operation, a path of an operated file or directory, and history data having operation contents;
Using the acquired history data, a step of storing determination data for performing determination processing of whether or not to be a notification target,
A step of performing a judgment process based on the judgment data,
The determination process includes a correspondence relationship between a user and a computer used by the user,
File or directory operation authority and correspondence with users,
A history monitoring method comprising one or a plurality of correspondences between a customer and a user and a determination using the operation history data. 前記判断処理は、前記操作履歴データについて、特定のキーワードがファイル名、ディレクトリ名またはパス中に含まれるか否か及び、操作を行ったユーザの権限を用いた判断を含むことを特徴とする請求項1に記載の履歴監視方法。 The determination process includes determination as to whether or not a specific keyword is included in a file name, a directory name, or a path in the operation history data, and a determination using the authority of the user who performed the operation. The history monitoring method according to Item 1. 前記監視処理装置が、監視対象組織ごとの検出ログデータの格納先情報を用いて格納先を巡回処理し、前記履歴データを取得するステップと、
監視対象組織ごとの前記対応関係を定義するための情報の格納先情報を用いて格納先を巡回処理し、前記対応関係を判断するための情報を収集するステップと、を備え、
前記巡回処理によって取得した前記履歴データ及び対応関係を用いて、判断処理を行うことを特徴とする請求項1又は請求項2に記載の履歴監視方法。 A step in which the monitoring processing device cyclically processes a storage destination using the storage destination information of the detection log data for each monitored organization, and acquires the history data;
A step of circulating a storage destination using storage location information of information for defining the correspondence relationship for each monitored organization, and collecting information for determining the correspondence relationship,
The history monitoring method according to claim 1, wherein a determination process is performed using the history data and the correspondence relationship acquired by the patrol process. 前記監視処理装置が、前記判断処理結果に基づいて、通知先への通知処理を行うステップを備え、
前記判断処理は、前記監視システムにおいて検出対象として判断された検出ログデータのうち、前記判断データに基いて、所定の条件に該当する履歴について通知判断を行うことを特徴とする請求項1〜3の何れかに記載の履歴監視方法。 The monitoring processing device comprises a step of performing notification processing to a notification destination based on the determination processing result,
4. The determination process, in the detection log data determined as a detection target in the monitoring system, based on the determination data, performs a notification determination of a history corresponding to a predetermined condition. The history monitoring method according to any one of 1. 前記判断データは、前記ユーザ及びその権限についての対応並びに前記履歴データに含まれるタイムスタンプに基づいて判断処理を行う為の判断条件を含むことを特徴とする請求項1〜4の何れかに記載の履歴監視方法。 5. The determination data according to claim 1, wherein the determination data includes a determination condition for performing determination processing based on a time stamp included in the history data and correspondence regarding the user and its authority. History monitoring method. 前記操作履歴データは、前記操作内容として、操作が行われたドライブの種別及び動作を有し、
前記判断処理は、前記ファイル又はディレクトリのパスに基づいて、複数の顧客に関するデータが外部記憶装置に移動、複製または生成された場合に、通知判断を行うことを特徴とする請求項1〜5の何れかに記載の履歴監視方法。 The operation history data includes, as the operation content, the type and operation of the drive on which the operation is performed,
6. The determination process according to claim 1, wherein the determination process determines a notification based on the path of the file or directory when data regarding a plurality of customers is moved, duplicated, or generated in an external storage device. The history monitoring method according to any one. 前記監視処理装置が、前記検出ログデータに基づいて、クライアントコンピュータによってアクセスされたウェブサイトのURL並びに、アクセスしたユーザに関する情報を有する履歴データを、アクセス履歴データとして取得するステップを備え、
前記判断処理は、前記ユーザ及びウェブサイトへのアクセス権限についての対応関係並びに前記アクセス履歴データに含まれるURLを用いた判断を含むことを特徴とする請求項1〜6の何れかに記載の履歴監視方法。 The monitoring processing device comprises a step of acquiring history data having a URL of a website accessed by a client computer and information regarding a user who has accessed as the access history data based on the detection log data.
The history according to any one of claims 1 to 6, wherein the determination processing includes a correspondence relationship regarding the access authority to the user and the website and a determination using a URL included in the access history data. Monitoring method. 前記監視処理装置が、前記検出ログデータに基づいて、クライアントコンピュータでの入力内容並びに、入力が行われたアプリケーションに関する情報を有する履歴データを、入力履歴データとして取得するステップを備え、
前記判断処理は、前記顧客及びユーザの対応関係及び前記入力履歴データに含まれる入力内容を用いた判断を含むことを特徴とする請求項1〜7の何れかに記載の履歴監視方法。 The monitoring processing device comprises a step of acquiring, as input history data, history data having information regarding an input content in the client computer and an application in which the input is performed, based on the detection log data,
8. The history monitoring method according to claim 1, wherein the determination process includes a determination using a correspondence relationship between the customer and the user and an input content included in the input history data. クライアントコンピュータを監視する監視システムにて検出対象として判断された既知の検出ログデータを用いて、監視処理を行う為の監視処理装置であって、
前記検出ログデータに基づいて、操作を行うユーザに関する情報並びに、操作されたファイル又はディレクトリのパス、操作内容を有する履歴データを、操作履歴データとして取得する手段と、
取得した履歴データを用いて、通知対象か否かの判断処理を行う為の判断データを格納する手段と、
前記判断データに基づいて判断処理を行う手段と、を備え、
前記判断処理は、ユーザ及び当該ユーザが利用するコンピュータの対応関係と、
ファイル又はディレクトリの操作権限並びにユーザとの対応関係と、
顧客及びユーザの対応関係と、の1又は複数並びに前記操作履歴データを用いた判断を含むことを特徴とする監視処理装置。 A monitoring processing device for performing monitoring processing using known detection log data determined to be detected by a monitoring system that monitors client computers,
Means for acquiring, as operation history data, history data having information on a user who performs an operation, a path of an operated file or directory, and operation contents based on the detection log data.
Using the acquired history data, a means for storing determination data for performing determination processing as to whether or not to be a notification target,
Means for performing a judgment process based on the judgment data,
The determination process includes a correspondence relationship between a user and a computer used by the user,
File or directory operation authority and correspondence with users,
A monitoring processing device comprising one or a plurality of correspondences between a customer and a user and a judgment using the operation history data. クライアントコンピュータを監視する監視システムにて検出対象として判断された既知の検出ログデータを用いて、監視処理を行う為の監視処理プログラムであって、
コンピュータを、前記検出ログデータに基づいて、操作を行うユーザに関する情報並びに、操作されたファイル又はディレクトリのパス、操作内容を有する履歴データを、操作履歴データとして取得する手段と、
取得した履歴データを用いて、通知対象か否かの判断処理を行う為の判断データを格納する手段と、
前記判断データに基づいて判断処理を行う手段と、として機能させ、
前記判断処理は、ユーザ及び当該ユーザが利用するコンピュータの対応関係と、
ファイル又はディレクトリの操作権限並びにユーザとの対応関係と、
顧客及びユーザの対応関係と、の1又は複数並びに前記操作履歴データを用いた判断を含むことを特徴とする監視処理プログラム。 A monitoring processing program for performing monitoring processing using known detection log data determined to be detected by a monitoring system that monitors client computers,
A means for acquiring history data having information regarding a user who performs an operation, a path of an operated file or directory, and operation contents based on the detection log data, as operation history data;
Using the acquired history data, a means for storing determination data for performing determination processing as to whether or not to be a notification target,
A means for performing a judgment process based on the judgment data,
The determination process includes a correspondence relationship between a user and a computer used by the user,
File or directory operation authority and correspondence with users,
A monitoring processing program, characterized in that it includes one or a plurality of correspondences between customers and users and a judgment using the operation history data.
JP2018232673A 2018-12-12 2018-12-12 History monitoring method, monitoring processing device, and monitoring processing program Active JP6636605B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018232673A JP6636605B1 (en) 2018-12-12 2018-12-12 History monitoring method, monitoring processing device, and monitoring processing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018232673A JP6636605B1 (en) 2018-12-12 2018-12-12 History monitoring method, monitoring processing device, and monitoring processing program

Publications (2)

Publication Number Publication Date
JP6636605B1 JP6636605B1 (en) 2020-01-29
JP2020095459A true JP2020095459A (en) 2020-06-18

Family

ID=69183731

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018232673A Active JP6636605B1 (en) 2018-12-12 2018-12-12 History monitoring method, monitoring processing device, and monitoring processing program

Country Status (1)

Country Link
JP (1) JP6636605B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7489197B2 (en) * 2020-01-31 2024-05-23 株式会社Nttデータ Cloud monitoring and repair method, cloud monitoring and repair system and program
CN111427612A (en) * 2020-04-15 2020-07-17 赞同科技股份有限公司 Method and system for checking resource index

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005227866A (en) * 2004-02-10 2005-08-25 Fuji Xerox Co Ltd Operation management apparatus, operation content judgment method, operation managing program, operation management system, and client terminal
JP2010170297A (en) * 2009-01-22 2010-08-05 Japan Lucida Co Ltd Terminal equipment monitoring system
JP2010211257A (en) * 2009-03-06 2010-09-24 Sky Co Ltd Operation monitoring system and operation monitoring program
JP2018173785A (en) * 2017-03-31 2018-11-08 コニカミノルタ株式会社 Business use file management system, business use file management method, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005227866A (en) * 2004-02-10 2005-08-25 Fuji Xerox Co Ltd Operation management apparatus, operation content judgment method, operation managing program, operation management system, and client terminal
JP2010170297A (en) * 2009-01-22 2010-08-05 Japan Lucida Co Ltd Terminal equipment monitoring system
JP2010211257A (en) * 2009-03-06 2010-09-24 Sky Co Ltd Operation monitoring system and operation monitoring program
JP2018173785A (en) * 2017-03-31 2018-11-08 コニカミノルタ株式会社 Business use file management system, business use file management method, and program

Also Published As

Publication number Publication date
JP6636605B1 (en) 2020-01-29

Similar Documents

Publication Publication Date Title
US11483334B2 (en) Automated asset criticality assessment
CN110140125B (en) Method, server and computer readable memory device for threat intelligence management in security and compliance environments
JP6526895B2 (en) Automatic mitigation of electronic message based security threats
CN109716343B (en) Enterprise graphic method for threat detection
JP6621940B2 (en) Method and apparatus for reducing security risks in a networked computer system architecture
US8307068B2 (en) Supervised access computer network router
CN107563203B (en) Integrated security policy and event management
US9503502B1 (en) Feedback mechanisms providing contextual information
US20150172323A1 (en) Geo-mapping system security events
US20180255099A1 (en) Security and compliance alerts based on content, activities, and metadata in cloud
US20120158454A1 (en) Method and system for monitoring high risk users
US11290322B2 (en) Honeypot asset cloning
KR20070065306A (en) End user risk managemet
JP6099804B2 (en) Techniques for predicting and protecting spear phishing targets
US20220368726A1 (en) Privilege assurance of computer network environments
US10678933B2 (en) Security systems GUI application framework
JP5936798B2 (en) Log analysis device, unauthorized access audit system, log analysis program, and log analysis method
JP2009217637A (en) Security state display, security state display method, and computer program
JP6636605B1 (en) History monitoring method, monitoring processing device, and monitoring processing program
US10628591B2 (en) Method for fast and efficient discovery of data assets
JP2006295232A (en) Security monitoring apparatus, and security monitoring method and program
JP6517416B1 (en) Analyzer, terminal device, analysis system, analysis method and program
JP2023054869A (en) Information processing system
US11748210B2 (en) Intelligent monitoring of backup, recovery and anomalous user activity in data storage systems
JP6716995B2 (en) Information processing apparatus, information processing method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190110

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190110

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20190125

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190426

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190521

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190722

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190902

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191218

R150 Certificate of patent or registration of utility model

Ref document number: 6636605

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250