JP2020101862A - 分析官アロケーショシステム、分析官アロケーション方法、及び分析官アロケーションプログラム - Google Patents

分析官アロケーショシステム、分析官アロケーション方法、及び分析官アロケーションプログラム Download PDF

Info

Publication number
JP2020101862A
JP2020101862A JP2018237702A JP2018237702A JP2020101862A JP 2020101862 A JP2020101862 A JP 2020101862A JP 2018237702 A JP2018237702 A JP 2018237702A JP 2018237702 A JP2018237702 A JP 2018237702A JP 2020101862 A JP2020101862 A JP 2020101862A
Authority
JP
Japan
Prior art keywords
incident
analyst
evaluation function
new
incidents
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018237702A
Other languages
English (en)
Other versions
JP7046788B2 (ja
Inventor
暁彦 杉本
Akihiko Sugimoto
暁彦 杉本
康広 藤井
Yasuhiro Fujii
康広 藤井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2018237702A priority Critical patent/JP7046788B2/ja
Publication of JP2020101862A publication Critical patent/JP2020101862A/ja
Application granted granted Critical
Publication of JP7046788B2 publication Critical patent/JP7046788B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】SOCのインシデント監視業務を効率化できるようにする。【解決手段】自動割当サーバ105において、複数の分析官のそれぞれについてのインシデント種別の対処に要する対処処理時間を含む分析官能力情報を記憶し、制御部502は、新規インシデントを受け付け、各分析官について、新規インシデントに対する分析官の割り当ての有無を示す割当変数と、分析官による新規インシデントに対する対処処理時間とに基づいて、分析官の新規インシデント対処処理時間を示す第1式を生成し、分析官に割り当て済の未処理のインシデントの対処に要する未処理対処処理時間を算出し、第1式と未処理対処処理時間とに基づいて、分析官の合計の対処処理時間を示す第2式を生成し、複数の分析官の第2式から算出される最大の対処処理時間を評価関数とし、評価関数に基づいて割当変数の最適化解を探索し、新規インシデントへの分析官の割当を決定するように構成する。【選択図】図5

Description

本発明は、発生したインシデントに対して分析官を割り当てる技術に関する。
近年では、新たな価値を創出するため、インターネットを通じてモノやヒト、ITサービスなどを大規模に連動させる動きが強まっている。IoT(Internet of Things)が普及した社会では、医療機器など、様々なモノがインターネットに接続され、これらのモノがサイバー攻撃に晒される危険が生じる。そのため、ネットワークや機器を監視してサイバー攻撃を検出し、分析と対処を行うSOC(Security Operation Center)の役割がますます重要となってきている。
SOCのインシデント監視業務では、監視対象がOT(Operational Technology)/IOTまで拡大されることで、対処するインシデント数が急増すると考えられる。しかし、インシデントの対処には専門的な知識が必要となるため、対処できる分析官の数には限りがあり、分析官の増員での解決が難しい。
そこで、インシデントに対する分析官のアロケーションを最適化し、効率的なインシデント対処を可能にする技術が必要となっている。例えば、アロケーションを最適化することに関連する技術としては、例えば、データベースに過去の問い合わせの転送先を記憶させておき、問い合わせのカテゴリ毎に転送先に優先度を付け、問い合わせのカテゴリから転送先を決定する情報処理装置(例えば、特許文献1参照)などが提案されている。
特開2010−109895号公報
特許文献1では、過去の問い合わせの結果を記憶しておくことで、問い合わせの転送先の優先度を付けることを可能にする。また、優先度に基づいて、問い合わせを転送することで、より効率的な問い合わせとその転送先のアロケーションを実現する。
しかし、同一カテゴリの問い合わせが集中する場合などがある。この場合、優先度に基づいてアロケーションをする手法では、特定の転送先に問い合わせが集中してしまい、コールセンタ全体での作業効率が落ちてしまう。特許文献1の技術を分析官のアロケーションに適用しても、同様の問題が発生する。
本発明は、上記事情に鑑みなされたものであり、その目的は、SOCのインシデント監視業務を効率化することのできる技術を提供することにある。
上記目的を達成するため、一観点に係る分析官アロケーションシステムは、1以上の新規インシデントに対する対処を実行する分析官の割り当てを決定する分析官アロケーションシステムであって、分析官アロケーションシステムは、情報を記憶する記憶部と、記憶部に接続されたプロセッサ部とを備え、記憶部は、複数の分析官のそれぞれについての複数のインシデント種別の対処に要する対処処理時間を含む分析官能力情報を記憶し、プロセッサ部は、新規インシデントを受け付け、複数の分析官のそれぞれについて、それぞれの新規インシデントに対する分析官の割り当ての有無を示す割当変数と、分析官による新規インシデントに対応するインシデント種別のインシデントに対する対処処理時間とに基づいて、分析官による新規インシデントの対処に要する新規インシデント対処処理時間を示す第1式を生成し、分析官に割り当て済であって未処理のインシデントの対処に要する未処理対処処理時間を算出し、第1式と、未処理対処処理時間とに基づいて、分析官のインシデントに対する合計対処処理時間を示す第2式を生成し、複数の分析官に対応する複数の第2式から算出される最大の対処処理時間を評価関数とし、評価関数に基づいて、割当変数の最適化解を探索し、探索により求められた最適化解に従って、新規インシデントへの分析官の割当を決定する。
本発明によれば、SOCのインシデント監視業務を効率化することができる。
図1は、一実施形態に係る自動アロケーションシステムの構成図である。 図2は、一実施形態に係る管理対象機器の機能構成図である。 図3は、一実施形態に係るインシデント検出装置の機能構成図である。 図4は、一実施形態に係るインシデント管理サーバの機能構成図である。 図5は、一実施形態に係る自動割当サーバの機能構成図である。 図6は、一実施形態に係るクライアントの機能構成図である。 図7は、一実施形態に係る自動アロケーションシステムの各装置を構成するコンピュータのハードウェア構成図である。 図8は、一実施形態に係るデータベースに格納されるデータテーブルを示す図である。 図9は、一実施形態に係るインシデント種別情報テーブルの構成を説明する図である。 図10は、一実施形態に係るインシデント情報テーブルの構成を説明する図である。 図11は、一実施形態に係る分析官情報テーブルの構成を説明する図である。 図12は、一実施形態に係る分析官能力情報テーブルの構成を説明する図である。 図13は、一実施形態に係るインシデント検出処理のシーケンス図である。 図14は、一実施形態に係るアロケーション処理のシーケンス図である。 図15は、一実施形態に係る評価関数生成処理のフローチャートである。 図16は、一実施形態に係るインシデント参照処理のシーケンス図である。 図17は、一実施形態に係る対処実績学習処理のシーケンス図である。 図18は、一実施形態に係る分析官画面の一例を示す図である。
実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。
以下の説明では、「AAAテーブル」の表現にて情報を説明することがあるが、情報は、どのようなデータ構造で表現されていてもよい。すなわち、情報がデータ構造に依存しないことを示すために、「AAAテーブル」を「AAA情報」と呼ぶことができる。
また、以下の説明では、「記憶部」は、1以上のメモリを含む。少なくとも1つのメモリは、揮発性メモリであってもよいし不揮発性メモリであってもよい。記憶部は、主に、プロセッサ部による処理の際に使用される。
また、以下の説明では、「プロセッサ部」は、1以上のプロセッサを含む。少なくとも1つのプロセッサは、典型的には、CPU(Central Processing Unit)のようなマイクロプロセッサである。1以上のプロセッサの各々は、シングルコアでもよいしマルチコアでもよい。プロセッサは、処理の一部または全部を行うハードウェア回路を含んでもよい。
(自動アロケーションシステム構成)
まず、一実施形態に係る分析官アロケーションシステムの一例である自動アロケーションシステムについて説明する。
図1は、一実施形態に係る自動アロケーションシステムの構成図である。
自動アロケーションシステム100は、インシデントに割り当てる分析官のアロケーションを探索するコンピュータシステムである。なお、インシデントに分析官を割り当てることは、分析官にインシデントを割り当てるともいえる。
自動アロケーションシステム100は、1以上の管理対象機器101(101_1,・・・,101_n)、インシデント検出装置103、インシデント管理サーバ104、自動割当サーバ105、クライアント106、及びデータベース107を備える。管理対象機器101、インシデント検出装置103、インシデント管理サーバ104、自動割当サーバ105、クライアント106、及びデータベース107は、ネットワーク102(102_1,102_2)を介して接続されている。本実施形態では、管理対象機器101とインシデント検出装置103とは、ネットワーク102_1を介して接続され、インシデント検出装置103とインシデント管理装置104とは、ネットワーク102_2(例えば、インターネット)を介して接続されている。自動アロケーションシステム100は、少なくとも自動割当サーバ105により構成されてもよいし、自動割当サーバ105以外の1以上の装置を適宜含んで構成されてもよい。
管理対象機器101は、管理者が脅威分析対象として管理するシステムを構成する機器である。本実施形態においては、SOCの分析官が、管理対象機器101を監視し、管理対象機器101内のインシデントを発見し、インシデントに対処することとなる。
インシデント検出装置103は、SOCの監視対象となるシステム、すなわち管理対象機器101に関する情報(ログ情報、各管理対象機器101の識別情報など)を収集し、管理対象機器101に内在するインシデントを検出する。
インシデント管理サーバ104は、インシデント検出装置103が検出したインシデントの各情報をデータベース107に記憶して管理し、分析官にインシデント情報を提示する。
自動割当サーバ105は、データベース107上の情報に基づき、本実施形態に係る自動アロケーション処理における各種処理を主として実行するサーバ装置である。自動割当サーバ105は、インシデント検出装置103、およびインシデント管理装置104の機能、構成を含んで構成されてもよい。
クライアント106は、管理者(分析官)が直接操作する一般的なコンピュータ端末であり、自動割当サーバ105による処理結果、すなわち自動アロケーション結果の主たる出力先となる装置である。
データベース107は、インシデント検出装置103が検出したインシデントの各情報と、自動割当サーバ105が導出したインシデントに対する分析官の自動アロケーション結果などを格納する記憶装置である。本実施形態では、データベース107は、ネットワーク102_2を介して自動割当サーバ105と通信可能に接続されている。データベース107は、自動割当サーバ105の外部記憶装置704(図7参照)に構築してもよい。
なお、本実施形態においては、ネットワーク102_1、102_2は異なるネットワークとして例示したが、同一のネットワークであってもよい。また、ネットワーク102_1は必須ではなく、インシデント検出装置103がUSBからの読み取りや適宜なインタフェースからのユーザ入力動作を受けてデータを取得するようにしてもよい。また、図1において符号を付した構成要素は、必要に報じて複数としてもよい。
(機能構成)
続いて、本実施形態の自動アロケーションシステムが備える機能について説明する。ここでは、自動割当サーバ105のみならず、例えば自動アロケーションシステム100の各装置が、そのメモリ703及び外部記憶装置704(図7参照)にて記憶する適宜なプログラムを実行することで実現される機能についてそれぞれ説明する。
図2は、一実施形態に係る管理対象機器の機能構成図である。
管理対象機器101は、送受信部201及び制御部202を備える。送受信部201は、ネットワーク102_1を介し、インシデント検出装置103との間で情報の送受信を行う。制御部202は、ログ出力部203を備える。ログ出力部203は、管理対象機器101の識別情報であるID、セキュリティログなどの情報を収集し、送受信部201を介して、インシデント検出装置103に送信する。
ログ出力部203による情報収集には、管理対象機器101におけるOS(Operating System)のログ情報やウィルス対策ソフトウェアのログ情報、セキュリティ製品のログ情報などを利用してもよい。
図3は、一実施形態に係るインシデント検出装置の機能構成図である。
インシデント検出装置103は、送受信部301及び制御部302を備える。送受信部301は、ネットワーク102_1,102_2を介して情報の送受信を行う。制御部302は、ログ収集部303、インシデント検出処理部304、及びインシデント出力部305を備える。ログ収集部303は、送受信部301を介して、管理対象機器101からログ情報を受信する。インシデント検出処理部304は、所定アルゴリズムに基づき管理対象機器101に発生しているインシデントを検出する処理を実行する。インシデントを検出する方法としては、管理対象機器101のログ情報からインシデントの特徴的なパターンを検索する方法や、管理対象機器101の各ログ情報を相関分析する方法などを利用してもよく、方法はこれらに限定されない。インシデント出力部305は、インシデントの検出結果を、送受信部301を介して、インシデント管理サーバ104に送信する。
図4は、一実施形態に係るインシデント管理サーバの機能構成図である。
インシデント管理サーバ104は、送受信部401及び制御部402を備える。送受信部401は、ネットワーク102_2を介してインシデント検出装置103、及び自動割当サーバ105との間で情報の送受信を行う。
制御部402は、インシデント収集部403、インシデント登録処理部404、分析官割当登録処理部405、インシデント通知処理部406、インシデント参照処理部407、及び対処結果登録処理部408を含む。
インシデント収集部403は、送受信部401を介して、インシデント検出装置103からインシデントの各情報を受信する。インシデント登録処理部404は、インシデントの各情報をデータベース107に追加保存する。分析官割当登録処理部405は、送受信部401を介して、自動割当サーバ105から分析官の割当情報を受信し、データベース107に登録する。インシデント通知処理部406は、送受信部401を介して、クライアント106に新規に割り当てられたインシデントの情報を送信する。インシデント参照処理部407は、送受信部401を介して、クライアント106から要求を受信し、要求されたインシデントの各情報をデータベース107から取得し、クライアント106に送信する。対処結果登録処理部408は、クライアント106からインシデントへの対処結果情報を受信し、データベース107上のインシデント情報を更新する。
図5は、一実施形態に係る自動割当サーバの機能構成図である。
自動割当サーバ105は、送受信部501及び制御部502を含む。送受信部501は、ネットワーク102_2を介して情報の送受信を行う。制御部502は、データベース参照処理部503、評価関数生成処理部504、分析官割当最適化処理部505、分析官割当出力処理部506、対処実績学習処理部507、及び学習結果登録処理部508を含む。
データベース参照処理部503は、送受信部501を介して、データベース107から各情報を取得する。評価関数生成処理部504は、データベース107上の各情報から、所定のアルゴリズムに基づき、最適化計算のための評価関数を生成する。分析官割当最適化処理部505は、所定のアルゴリズムに基づき、評価関数を満たす分析官のアロケーションの最適解を探索する。分析官割当出力処理部506は、送受信部501を介して、探索したアロケーションの結果をインシデント管理サーバ104に送信する。対処実績学習処理部507は、データベース107上の各情報から、所定のアルゴリズムに基づき、分析官の対処能力などを計算して学習結果を得る。学習結果登録処理部508は、学習結果に基づいてデータベース107上の各情報を更新する。自動割当サーバ105における各機能部による処理の詳細については、後述する。
図6は、一実施形態に係るクライアントの機能構成図である。
クライアント106は、送受信部601、入出力部602、及び制御部603を含む。送受信部601は、ネットワーク102_2を介して情報の送受信を行う。入出力部602は、キーボードなどのインタフェース機器を介して分析官からの入力を実行し、また、モニタなどのインタフェース機器を介して分析官向けの出力処理を実行する。制御部603は、インシデント画面表示部604、及び対処結果入力処理部605を含む。インシデント画面表示部604は、入出力部602を介して、分析官に対して当該分析官が割り当てられたインシデントの情報を提示する画面(分析官画面:図18参照)を表示する。対処結果入力処理部605は、入出力部602を介して、分析官からインシデントの対処結果の情報を受け付け、送受信部601を介して、インシデント管理サーバ104に対し、対処結果の情報を送信する。
(ハードウェア構成)
続いて、本実施形態の自動アロケーションシステム100を構成する装置のハードウェア構成について説明する。
図7は、一実施形態に係る自動アロケーションシステムの各装置を構成するコンピュータのハードウェア構成図である。
自動アロケーションシステム100を構成する管理対象機器101、インシデント検出装置103、インシデント管理サーバ104、自動割当サーバ105、及びクライアント106は、例えば、それぞれがコンピュータ装置701により構成される。
コンピュータ装置701は、CPU702、RAM(Rundom Access Memory)など揮発性記憶素子で構成されるメモリ703、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される外部記憶装置704、ネットワークインターフェイスカード(NIC:Network Interface Card)などの送受信装置705、ディスプレイなどの出力装置706、及びキーボードなどの入力装置707を備える。
出力装置706及び入力装置707については、管理対象機器101、インシデント検出装置103、インシデント管理サーバ104、及び自動割当サーバ105のいずれも備えなくてもよい。
図2〜図6に示す各装置の制御部202,302,402,502,603は、CPU702が外部記憶装置704に記憶された適宜なプログラムをメモリ703にロードして実行することで実現される。また、図2〜図6に示す各装置の送受信部201,301,401,501,及び601は、送受信装置705により構成される。また、図6に示すクライアント106における入出力部602は、出力装置706及び入力装置707により構成される。
(データ構成)
次に、本実施形態の自動割当サーバ105が利用するデータについて説明する。
自動アロケーションシステム100において利用するデータは、少なくとも、インシデント検出装置103により管理対象機器101が保有するインシデントを検出した結果情報、事前に登録されたインシデントの種別に関する情報(インシデント種別情報テーブル)、事前に登録された分析官に関する情報(分析官情報テーブル、分析官能力情報テーブル)、及び自動アロケーションシステム100の学習処理により生成される各情報を含んでいる。
図8は、一実施形態に係るデータベースに格納されるデータテーブルを示す図である。
データベース107は、インシデント種別情報テーブル801、インシデント情報テーブル802、分析官情報テーブル803、及び分析官能力情報テーブル804を格納する。これらテーブルは、レコードが含む所定のIDなどにより相互に関連付けられている。
図9は、一実施形態に係るインシデント種別情報テーブルの構成を説明する図である。
インシデント種別情報テーブル801は、インシデントの種別ごとのレコードを格納する。インシデント種別情報テーブル801のレコードは、インシデント種別ID901、脅威度902、出現頻度903、及びその他インシデント種別情報904をデータ項目として有する。
インシデント種別ID901には、インシデントの種別(インシデント種別)に対してユニークに割り当てられた識別子(インシデント種別ID)が格納される。脅威度902には、レコードに対応する種別のインシデントにより想定される脅威の大きさを表す数値(脅威度)が格納される。出現頻度903には、レコードに対応する種別のインシデントの出現頻度が格納される。その他インシデント種別情報904には、レコードに対応するインシデント種別の種別名や概要など、インシデント種別に関するその他の情報が格納される。本実施形態では、インシデント種別情報テーブル801に格納される各データ項目の情報が自動アロケーションシステム100の管理者によって事前に与えられ、出現頻度903の出現頻度は、後述する自動割当サーバ105の学習処理により更新される。インシデント種別情報テーブル801に格納される各情報を、インターネットを介して、セキュリティ情報公開機関から収集して、自動的に格納するようにしてもよい。
図10は、一実施形態に係るインシデント情報テーブルの構成を説明する図である。
インシデント情報テーブル802は、インシデントごとのレコードを格納する。インシデント情報テーブル802のレコードは、インシデントID1001、インシデント種別ID1002、分析官ID1003、ステータス1004、対処処理時間1005、及びその他インシデント情報1006をデータ項目として有する。
インシデントID1001には、レコードに対応するインシデントに対してユニークに割り当てられた識別子(インシデントID)が格納される。インシデント種別ID1002には、レコードに対応するインシデントが所属する種別のIDが格納される。分析官ID1003には、レコードに対応するインシデントに割り当てられた(すなわち、インシデントの対処を担当する)分析官のID(分析官ID)が格納される。なお、レコードに対応するインシデントに分析官が割り当てられていない場合には、分析官ID1003には、分析官IDが格納されていない。分析官ID1003の分析官IDは、自動割当サーバ105の後述するアロケーション処理によって設定される。ステータス1004には、レコードに対応するインシデントの対処状況を表す状態値(ステータス)が格納される。対処処理時間1005には、レコードに対応するインシデントの対処完了までにかかった処理時間が格納される。なお、ステータス1004の状態値と、対処処理時間1005の処理時間は、クライアント106を介して、分析官により入力される。その他インシデント情報1006には、レコードに対応するインシデントの発見機器や発見日時など、インシデントに関するその他情報が格納される。なお、インシデントID1001のインシデントID、インシデント種別ID1002のインシデント種別ID、及びその他インシデント情報1006の情報は、インシデント管理サーバ104がインシデント検出装置103から取得して格納する情報である。
図11は、一実施形態に係る分析官情報テーブルの構成を説明する図である。
分析官情報テーブル803は、分析官毎のレコードを格納する。分析官情報テーブル803のレコードは、分析官ID1101、及びその他分析官情報1102をデータ項目として有する。
分析官ID1101には、分析官に対してユニークに割り当てられた識別子(分析官ID)が格納される。その他分析官情報1102には、レコードに対応する分析官の氏名や所属など、分析官に関するその他の情報が格納される。本実施形態では、分析官情報テーブル803に格納される各情報が自動アロケーションシステム100の管理者によって事前に設定される。なお、分析官情報テーブル803に格納される各情報を、図示しない社内のID管理システムと連携して取得するようにしてもよい。
図12は、一実施形態に係る分析官能力情報テーブルの構成を説明する図である。
分析官能力情報テーブル804は、各分析官についてのインシデント種別毎に対応するレコードを格納する。分析官能力情報テーブル804のレコードは、分析官ID1201、インシデント種別ID1202、対処平均時間1203、対処回数1204、及び習熟度1205をデータ項目として有する。
分析官ID1201には、レコードに対応する分析官のID(分析官ID)が格納される。インシデント種別ID1202には、レコードに対応するインシデントの種別のID(インシデント種別ID)が格納される。なお、分析官ID1201の分析官IDとインシデント種別ID1202のインシデント種別IDとは、ペアになっており、インシデント種別情報テーブル801のインシデント種別ID901のインシデント種別IDと、分析官情報テーブル803の分析官ID1101の分析官IDとの全ての組み合わせに対応するレコードが分析官能力情報テーブル804に格納される。
対処平均時間1203には、レコードに対応する分析官が、レコードに対応するインシデント種別のインシデントの対処にかかる処理時間の平均値(対処平均時間)が格納される。対処回数1204には、レコードに対応する分析官がレコードに対応するインシデント種別のインシデントに対処した回数(対処回数)が格納される。習熟度1205には、レコードに対応する分析官が、レコードに対応するインシデント種別のインシデントの対処に対する習熟度のスコア(習熟度情報)が格納される。なお、対処平均時間1203、対処回数1204、及び習熟度1205の値は、後述する自動割当サーバ105の対処実績学習処理により更新される。
なお、本実施形態においては、インシデント種別情報テーブル801、インシデント情報テーブル802、分析官情報テーブル803、及び分析官能力情報テーブル804をデータベース107上に構築しているが、これらテーブルを自動割当サーバ105に格納するようにしてもよい。また、各テーブルの少なくともいずれか複数を結合して1つのテーブルとしてもよく、より正規化されたテーブルとしてもよい。
次に、本実施形態における自動アロケーション方法の処理動作について説明する。以下で説明する自動アロケーション方法に処理における各種動作は、自動アロケーションシステム100を構成する、例えば自動割当サーバ105がプログラムをメモリ703などに読み出してCPU702が実行することによって実現される。このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。なお、以下の説明においては、自動割当サーバ105が実行する処理のみならず、他の装置が実行する処理についても適宜説明する。
(インシデント検出処理)
図13は、一実施形態に係るインシデント検出処理のシーケンス図である。ここで、インシデント検出処理は、インシデント検出装置103によりインシデントを検出する処理と、インシデント管理サーバ104によりインシデントを収集して登録する処理が含まれる。インシデント検出処理は、自動割当サーバ105において、後述するアロケーション処理を行う前(少なくとも直前)に、実行しておく必要がある。また、ログ情報(管理対象機器101から得られる情報)は、管理対象機器101にて随時、追加や更新がなされているため、本実施形態の自動アロケーションシステム(に含まれる、或いは協働する管理対象機器101、インシデント検出装置103、インシデント管理サーバ104、または自動割当サーバ105)においては、これら各情報の取得処理をバックグラウンドの処理として実行するようにしてもよい。
まず、インシデント検出装置103のログ収集部303は、管理対象機器101にログ情報収集の処理を依頼する。同依頼を受けた管理対象機器101は、ログ出力部203を起動し、自身のOSやセキュリティ製品のログ情報を収集して、ログ情報をインシデント検出装置103に送信する(S1301)。
次に、インシデント検出装置103のインシデント検出処理部304は、取得したログ情報に基づき、管理対象機器101に存在するインシデントを検出する(S1302)。なお、インシデントを検出する方法としては、管理対象機器101のログ情報からインシデントの特徴的なパターンを検索する方法や、管理対象機器101の各ログ情報を相関分析する方法を利用してもよく、また、その他の方法を利用してもよい。
次に、インシデント検出装置103のインシデント出力部305は、送受信部301を介して、インシデント検出処理部304の処理結果、すなわち、検出したインシデントの情報(インシデント情報)をインシデント管理サーバ104に送信する(S1303)。
これに対して、インシデント管理サーバ104のインシデント収集部403は、インシデント検出装置103からインシデント情報を受信し、インシデント登録処理部404は、受信されたインシデント情報をデータベース107のインシデント情報テーブル802に登録する(S1304)。
上記した処理(ステップS1301〜S1304)は、管理対象機器101毎に実行される、すなわち、管理対象機器101の数だけ反復して実行されることとなる。
本実施形態では、管理対象機器101とインシデント検出装置103との間でクライアントサーバ構成を取っており、ログ情報などの取得処理を自動化して運用を効率化している。但し、クライアント106などを利用するユーザの指示によって、データファイル形式で管理対象機器101のログ情報を取得し、これをインシデント検出装置103に入力するようにしてもよい。このようにユーザの指示に従ってログ情報の入力を行うことで、管理対象機器101をエージェントレスで動作させることができる利点はある。また、本実施形態では、インシデント検出装置103が定期的にログ情報の取得を要求するようにしているが、管理対象機器101がログ送信するタイミングを管理してもよい。
(アロケーション処理)
次に、自動割当サーバ105がインシデントに分析官を割り当てるアロケーション処理について説明する。
図14は、一実施形態に係るアロケーション処理のシーケンス図である。
アロケーション処理は、例えば、自動割当サーバ105により、所定の間隔で実行が開始される。この実行間隔は、事前にハードコーディングされていてもよいし、自動アロケーションシステム100の管理者がSOCの運用実態などに基づいて定義するようにしてもよく、他の方法で設定してもよい。
まず、自動割当サーバ105のデータベース参照処理部503は、データベース107上の各情報を取得する(S1401)。本実施形態では、ステップS1401において、データベース107の必要な全てのデータを一括して取得するようにしているが、自動割当サーバ105が、データが処理に必要になったタイミングで逐次データベース107を参照して、取得するようにしてもよい。
次に、自動割当サーバ105の評価関数生成処理部504は、データベース107から取得した各種情報に基づき、評価関数生成処理を実施する(S1402)。
ここで、評価関数生成処理(S1402)の処理を詳細に説明する。
図15は、一実施形態に係る評価関数生成処理のフローチャートである。
評価関数生成処理においては、まず、評価関数生成処理部504は、インシデント情報テーブル802の分析官ID1003の分析官IDを確認し、分析官が未だ割り当てられていない1以上のインシデント(新規インシデント)を抽出し、これら新規インシデントに対する各分析官の割り当ての有無を表す変数(割当変数)を定義する(S1501)。ここで、分析官i(1≦i≦分析官の最大数(M))についてのインシデントj(1≦j≦新規インシデントの最大数(N))への割当の有無を示す割当変数を、割当変数Xijとする。割当変数Xijは、各新規インシデントと、各分析官との組み合わせの数だけ存在することとなる。割当変数Xijは、0か1の2値の値をとる。変数Xijの値が0の場合は、iに対応する分析官が、jに対応する新規インシデントに割り当てられてないことを意味し、値が1の場合は、iに対応する分析官が、jに対応する新規インシデントに割り当てられていることを意味する。
次に、評価関数生成処理部504は、割当変数を用いて、新規インシデントにより各分析官に新たに発生する想定される対処処理時間を示す式(第1式:新規インシデント処理時間式)を計算する(S1502)。新規インシデント処理時間式を算出する方法としては、まず、新規インシデント毎に、このインシデントのインシデント種別と、この分析官の分析官IDを用いて、分析官能力情報テーブル804から対応するレコードを特定し、そのレコードの対処平均時間1203の対処平均時間を取得する。次いで、分析官についての各インシデントに対応する割当変数と、各インシデントに対応する対処平均時間とを掛け合わせて、これらを合計することにより、新規インシデント処理時間式Taを算出する。
新規インシデント処理時間式Taは、以下の式(1)に示すようになる。
新規インシデント処理時間式Ta
i1×Tavei1+Xi2×Tavei2+・・・・+Xin×Tavein ・・・(1)
ここで、Taveijは、分析官iによるインシデントjに対する対処平均時間である。
次に、評価関数生成処理部504は、分析官毎に、割当済で且つ、未対処の全てのインシデントにかかる想定処理時間(未処理対処処理時間)を計算する(S1503)。或る分析官に割当済で且つ、未対処のインシデントは、インシデント情報テーブル802の分析官ID1003にその或る分析官の分析官IDが割り当てられており、且つステータス1004の値が未処理であることにより特定できる。未対処の全てのインシデントの想定処理時間の計算方法は、それぞれの未対処のインシデントの種別と、この分析官の分析官IDを用いて、分析官能力情報テーブル804から対応するレコードを特定し、そのレコードの対処平均時間1203の対処平均時間を取得する。この対処平均時間は、1つの未対処のインシデントの対処処理時間となる。そして、全ての未対処のインシデントに対する対処処理時間を合計することにより、この分析官の未対処の全てのインシデントにかかる想定処理時間(Tb:未処理対処処理時間)を得ることができる。
次に、評価関数生成処理部504は、インシデント情報テーブル801の出現頻度903の値に基づき、所定の時間内に発生する可能性のある仮想インシデントを生成する。仮想インシデントを生成する方法の例としては、出現頻度903の値に基づき確率分布を生成し、この確率分布に基づきランダムに一定数生成する方法がある。次いで、評価関数生成処理部504は、ステップS1501と同様の方法で、仮想インシデントに対する分析官の割当の有無を表す割当変数(仮想インシデント割当変数)を定義し、ステップS1502と同様の方法で、仮想インシデントにより各分析官に新たに発生すると想定される想定処理時間を示す式(第3式:仮想インシデント処理時間式)を計算する。
仮想インシデント処理時間式Tcは、以下の式(2)に示すようになる。
仮想インシデント処理時間式Tc
i1×Tavei1+Yi2×Tavei2+・・・・+Yio×Taveio ・・・(2)
ここで、Yikは、分析官i(1≦i≦分析官の最大数(M))についての仮想インシデントk(1≦k≦仮想インシデントの最大数(O))への割当の有無を示す仮想インシデント割当変数である。
次に、評価関数生成処理部504は、ステップS1502〜ステップS1504の各ステップで計算した想定処理時間及び式を分析官毎に合算して合計想定処理時間を示す式(第2式:合計想定処理時間式)を集計(生成)する(S1505)。これにより、分析官毎に新規インシデント、割当済インシデント、及び仮想インシデントの全ての対処に要する合計想定処理時間式が得られる。
ここで、合計想定処理時間式Tdは、以下の式(3)で示すようになる。
合計想定処理時間式Td=Ta+Tb+Tc ・・・(3)
なお、ステップS1505において、評価関数生成処理部504は、分析官毎かつインシデントの脅威度毎に対して、それぞれの合計想定処理時間式を集計(生成)するようにしてもよい。ここで、インシデントの種別ID1002のインシデント種別IDに基づいて、インシデント種別情報テーブル801の脅威度902の脅威度を参照することで、インシデントごとの脅威度を特定することができる。したがって、分析官毎かつインシデントの脅威度毎についての合計想定処理時間式の生成は容易に実行できる。
次に、評価関数生成処理部504は、分析官全体における習熟度の式(全体習熟度式)を計算する(S1506)。全体習熟度式を計算する方法としては、分析官毎に、新規インシデントに対する分析官の割当の有無を表す割当変数と、分析官能力情報テーブル804における新規インシデントに対する当該分析官の習熟度1205の習熟度とを掛け合わせて分析官毎の習熟度を示す分析官毎習熟度の式を求め、分析官毎習熟度の式を全て足し合わせる方法がある。本実施形態では、分析官のインシデント対処能力が高いほど習熟度1205の数値が大きくなるため、分析官に習熟度が大きいインシデントが割当たっているほど、全体習熟度は大きくなる。
次に、評価関数生成処理部504は、評価関数を生成(合成)する(S1507)。評価関数を生成する方法としては、ステップS1505で集計した分析官毎に集計した、複数の合計想定処理時間式から得られる最大値を評価関数とする方法(方法1)と、ステップS1505で集計した分析官毎かつインシデントの脅威度毎に集計した想定処理時間の式のうち、特定の脅威度の分析官毎の、複数の合計想定処理時間の式を抽出し、その式から得られる最大値を評価関数とする方法(方法2)と、ステップS1506で計算した全体習熟度式を評価関数とする方法(方法3)とがある。
方法1による評価関数Zは、以下に示す式(4)で示される。
評価関数Z=max(Td,Td,・・・・,TdM−1,Td) ・・・(4)
ここで、max()は、()内における各式の値の最大値を示す関数である。
この方法1による評価関数は、分析官の合計想定処理時間式から得られる最大値を評価関数としているので、評価関数に基づいて、評価関数の値が最小化するようなインシデントに対する分析官の割当の有無を表す割当変数を探索することで、分析官に対する業務を均等にしつつ、SOC全体のインシデント対処にかかる時間を最小化することができる。
方法2による評価関数は、例えば、脅威度が高い(例えば、最も脅威度が高い、又は所定の脅威度以上)インシデントを対象として分析官毎に集計された合計想定処理時間式から得られる最大値を評価関数としているので、評価関数の値を最小化するようなインシデントに対する分析官の割当の有無を表す割当変数を探索することで、脅威度が高いインシデントについての分析官の業務を均等にしつつ、SOC全体で脅威度が所定の範囲のインシデントの対処に係る時間を最小化することができる。ここで、方法1による評価関数を用いると、インシデントの脅威度に基づかずに、アロケーションを実施するため、脅威度が高いインシデントが特定の分析官に集中してしまい、優先的に対処したい高脅威のインシデントへの対処が遅れる可能性があるが、方法2による評価関数によると、脅威度が高いインシデントへの対処を最適化することができる。
方法3による評価関数は、全体習熟度式を評価関数としており、評価関数を最小化するように割当変数を探索するようにすると、インシデントに対して習熟度の低い分析官を割り当てることができ、結果として、各分析官の習熟度の底上げを行うことができ、将来的には、全体としての処理効率の向上に寄与することとなる。ここで、一般的に習熟度が低いほど、対処平均時間はかかるため、インシデントに対して習熟度が低い分析官を割り当てると、その時点では、SOC全体の業務効率は低下してしまう。そこで、新規インシデント数などが少ない場合に選択的に方法3を利用するようにして、SOC全体の業務への影響を低減できるようにしてもよい。
また、方法3による評価関数を用いて、評価関数を最大化するように割当変数を探索するようにすると、インシデントに対して習熟度の高い分析官を割り当てることができ、結果として、そのインシデントに対する対処の品質及び効率を向上することができる。
また、評価関数を合成する方法としては、方法1〜方法3までのいずれか複数の評価関数を組み合わせたものを評価関数(合成評価関数)としてもよく、このようにすることにより、複数の方法による評価関数によるそれぞれの利点が組み合わされた利点を得ることができる。合成評価関数としては、例えば、方法1〜方法3までのいずれか複数の評価関数のそれぞれについて重み付けを与えて加算したものとしてもよい。評価関数に対する重みについては、自動アロケーションシステム100の管理者が定義するようにしてもよい。
具体的には、例えば、方法1(又は方法2)の評価関数と方法3の評価関数とを組み合わせた合成評価関数としてもよい。この場合、合成評価関数は、方法1(又は方法2)の評価関数の値が小さくなるほど、また、方法3による評価関数の値が小さくなるほど小さくなるような関数としてもよく、このようにすると、対象とするインシデントに対する処理時間の短縮と、分析官の習熟度の底上げとの両立に最適な割当を行うことができる。また、合成評価関数を、方法1(又は方法2)の評価関数の値が小さくなるほど、また、方法3による評価関数の値が大きくなるほど小さくなる関数としてもよく、このようにすると、対象とするインシデントに対する処理時間の短縮と、インシデントに対する対処の品質及び効率の向上との両立に最適な割当を行うことができる。
上記した本実施形態では、ステップS1504において、出現頻度に基づいて仮想インシデントを生成し、仮想インシデント処理時間式を算出し、ステップS1505において、合計想定処理時間に、仮想インシデント処理時間式を加えるようにしている。このため、以降において想定されるインシデントが発生した場合において、このインシデントに割り当てられる可能性のある分析官に対して余力を持たせておくことができる。なぜなら、出現頻度が高い程、仮想インシデントとして生成される数が多く、想定処理時間を最小化するために、仮想インシデントに対しては、その対処が得意な分析官が割り当てられやすいため、出現頻度が高いインシデントを得意とする分析官ほど実際には存在しない仮想インシデントが割り当てられることとなり、余力が残ることとなる。このように、分析官の余力を残すことで、出現頻度が高いインシデントの今後の発生に備えることが可能になる。なお、仮想インシデント処理時間式を合計想定処理時間式に加えることは必ずしも必須ではなく、合計想定処理時間式に対して、仮想インシデント処理時間式を加えないようにしてもよい。
次に、アロケーション処理における評価関数生成処理(S1402)を実行した後の処理を、図14を参照して説明する。
自動割当サーバ105の分析官割当最適化処理部505は、生成された評価関数を最適化する分析官の割当の有無を表す割当変数及び仮想インシデント割当変数の解を探索する(S1403)。最適化解を探索する方法としては、COIN−OR Branch−and−Cut法など、公知な方法を使用してもよいが、これに限られない。
次に、自動割当サーバ105の分析官割当出力処理部506は、送受信部501を介して、インシデント管理サーバ104に対して、探索した割当変数の解に従う分析官の割当内容を送信することにより、分析官の割り当てを要求する(S1404)。
これに対して、インシデント管理サーバ104の分析官割当登録処理部405は、送受信部401を介して、自動割当サーバ105から受け付けた分析官の割当内容をデータベース107のインシデント情報テーブル802に登録する(S1405)。具体的には、新規インシデントに対応するレコードの分析官ID1003に割り当てられた分析官の分析官IDを格納する。
次に、インシデント管理サーバ104のインシデント通知処理部406は、送受信部401を介して、分析官のクライアント106に新規に分析官が割り当てられたインシデントを通知する(S1406)。インシデントを通知する方法は、割当られた分析官宛にメールで通知しても良いし、分析官のクライアント106上で通知内容をポップアップさせて表示してもよい。
(インシデント参照処理)
次に、分析官が割り当てられたインシデントを参照する際に実行されるインシデント参照処理について説明する。
図16は、一実施形態に係るインシデント参照処理のシーケンス図である。
まず、クライアント106のインシデント画面表示部604は、入出力部602を介して、分析官からインシデント情報の閲覧要求の入力を受け付け、送受信部601を介して、インシデント情報の閲覧要求を送信する(S1601)。なお、本実施形態では、閲覧要求には、事前のログインなどで特定された分析官IDが含まれている。
インシデント管理サーバ104のインシデント参照処理部407は、送受信部401を介して、クライアント106から閲覧要求を受け付け、データベース107のインシデント情報テーブル802の各情報を取得し、取得した情報をクライアント106に返信する(S1602)。なお、上記閲覧要求に含まれる分析官IDに基づき、分析官に関係する情報に限定して返信すると好適である。
一方、クライアント106のインシデント画面表示部604は、送受信部601を介して、インシデント情報を受け付け、入出力部602を介して、インシデント情報を分析官に提示する(S1603)。
ここで、クライアント106が分析官に提示する画面(分析官画面)について、説明する。
図18は、一実施形態に係る分析官画面の一例を示す図である。
分析官画面1801は、分析官のクライアント106に表示される画面である。分析官画面1801は、分析官情報表示領域1802と、インシデント情報表示領域1803と、ラジオボタン1804と、インシデント詳細情報表示領域1805と、対策完了ボタン1806とを含む。
分析官情報表示領域1802には、分析官の情報が表示される。分析官情報は、分析官情報テーブル803から取得することができる。インシデント情報表示領域1803には、分析官画面1801が対象とする分析官に担当づけられたインシデントの名称や発見場所などの情報がリスト化して表示される。インシデントの各情報は、インシデント情報テーブル802を参照することにより取得される。インシデント詳細情報表示領域1805には、インシデントに関するより詳細な情報が表示される。ラジオボックス1804は、インシデント情報表示領域1803に表示されるインシデントにそれぞれ対応して表示され、対処したインシデントを選択可能となっている。なお、対応するインシデントを選択可能にする表示態様としては、これに限らず、インシデントを選択できればよく、ハイパーリンクなどでもよい。対処完了ボタン1806は、インシデントへの対処処理の完了を受け付けるためのボタンである。
図16の説明に戻り、ステップS1603では、分析官により、分析官画面1801を参考にインシデントへの対処が実施されることとなる。インシデントへの対処方法は、対象のインシデントにより大きく異なる。なお、インシデントへの対処方法としては任意の方法を用いることができる。
次に、クライアント106の対処結果入力処理部605は、入出力部602を介して、分析官から対処結果の入力を受け付け、受信部601を介して、インシデント管理サーバ104に対処結果の登録要求を送信する(S1604)。ここで、図18に示す分析官画面1801の例では、分析官は、ラジオボタン1804で対象となるインシデントを選択し、対処完了ボタン1806ボタンが押下することで、対処完了したインシデントの入力を行うことができる。
これに対して、インシデント管理サーバ104の対処結果登録処理部408は、送受信部401を介して、クライアント106から対処結果の登録要求を受け付け、データベース107のインシデント情報テーブル802を更新する(S1605)。具体的には、対処結果登録処理部408は、インシデント情報テーブル802の対処したインシデントに対応するレコードの少なくともステータス1004と、対処処理時間1005とを更新する。
(対処実績学習処理)
図17は、一実施形態に係る対処実績学習処理のシーケンス図である。
対処実績学習処理は、自動割当サーバ105により、例えば、一定時間ごとに繰り返し実行が開始される。対処実績学習処理の実行間隔は、事前にハードコーディングされていてもよいし、自動アロケーションシステム100の管理者がSOCの運用実態などに基づいて定義するようにしてもよく、他の方法で設定してもよい。
まず、自動割当サーバ105の対処実績学習処理部507は、データベース107の各情報を取得する(S1701)。本実施形態では、ステップS1701において、データベース107の必要な全てのデータを一括して取得するようにしているが、自動割当サーバ105が、データが処理に必要になったタイミングで逐次データベース107を参照して、取得するようにしてもよい。
次に、対処実績学習処理部507は、インシデントの出現頻度を学習する(S1702)。インシデントの出現頻度を学習する方法としては、インシデント情報テーブル802のインシデントのレコード件数をインシデント種別1002毎に統計する方法がある。
次に、対処実績学習処理部507は、分析官の対処平均時間を学習する(S1703)。対処平均時間を学習する方法としては、インシデント情報テーブル802のインシデント種別ID1002と分析官ID1003とを参照し、各分析官のインシデント種別毎のレコードを特定し、特定したレコードの対処処理時間1005の対処処理時間の平均を取る方法がある。
次に、対処実績学習処理部507は、分析官の対処回数を学習する(S1704)。対処回数を学習する方法としては、インシデント情報テーブル802のインシデント種別ID1002と分析官ID1003とを参照し、各分析官のインシデント種別毎のレコード件数を統計する方法がある。
次に、対処実績学習処理部507は、分析官の習熟度を学習する(S1705)。習熟度を学習する方法としては、分析官能力情報テーブル804の対処平均時間1203の対処平均時間の逆数と、対処回数1204の対処回数とを掛け合わせたものを、習熟度を示すスコアとする方法がある。この場合には、対処平均時間が短いほど、習熟度が高く、対処回数が多いほど、習熟度が高いこととなる。
次に、対処実績学習処理部507は、ステップS1702〜S1705で学習した各情報に基づき、データベース107の分析官能力情報テーブル804及びインシデント種別情報テーブル801の対応する情報(対処平均時間1203、対処回数1204、及び習熟度1205、及び出現頻度903の値)を更新する(S1706)。
上記した対処実績学習処理によると、インシデント出現頻度、審査官の対処平均時間、対処回数、及び習熟度を状況に応じて適切に学習することができ、インシデントへの分析官の割り当てを適切に行うことができるようになる。
なお、本発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で、適宜変形して実施することが可能である。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。
また、上記の各構成、機能、処理部、処理手段などは、それらの一部又は全部を、例えば集積回路で設計するなどによりハードウェアで実現してもよい。また、上記の各構成、機能などは、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイルなどの情報は、メモリや、ハードディスク、SSD(Solid State Drive)などの記録装置、または、ICカード、SDカード、DVDなどの記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
100 自動アロケーションシステム、101 管理対象機器、102 ネットワーク、103 インシデント検出装置、104 インシデント管理サーバ、105 自動割当サーバ、106 クライアント、107 データベース、702 CPU、703 メモリ、704 外部記憶装置、705 送受信装置、706 出力装置、707 入力装置、801 インシデント種別情報テーブル、802 インシデント情報テーブル、803 分析官情報テーブル、804 分析官能力情報テーブル

Claims (11)

  1. 1以上の新規インシデントに対する対処を実行する分析官の割り当てを決定する分析官アロケーションシステムであって、
    前記分析官アロケーションシステムは、情報を記憶する記憶部と、前記記憶部に接続されたプロセッサ部とを備え、
    前記記憶部は、複数の前記分析官のそれぞれについての複数のインシデント種別の対処に要する対処処理時間を含む分析官能力情報を記憶し、
    前記プロセッサ部は、
    1以上の新規インシデントを受け付け、
    複数の分析官のそれぞれについて、それぞれの前記新規インシデントに対する分析官の割り当ての有無を示す割当変数と、前記分析官による前記新規インシデントに対応するインシデント種別のインシデントに対する前記対処処理時間とに基づいて、前記分析官による新規インシデントの対処に要する新規インシデント対処処理時間を示す第1式を生成し、
    前記分析官に割り当て済であって未処理のインシデントの対処に要する未処理対処処理時間を算出し、
    前記第1式と、前記未処理対処処理時間とに基づいて、前記分析官のインシデントに対する合計対処処理時間を示す第2式を生成し、
    複数の前記分析官に対応する複数の前記第2式から算出される最大の対処処理時間を評価関数とし、前記評価関数に基づいて、前記割当変数の最適化解を探索し、
    探索により求められた前記最適化解に従って、前記新規インシデントへの前記分析官の割り当てを決定する
    分析官アロケーションシステム。
  2. 前記プロセッサ部は、
    所定の脅威度を有するインシデントを、前記第1式と、前記未処理対処処理時間との算出対象とする
    請求項1に記載の分析官アロケーションシステム。
  3. 前記記憶部は、インシデント種別ごとの発生頻度に関する発生頻度情報を記憶し、
    前記プロセッサ部は、
    前記発生頻度情報に基づいて、所定の時間内に発生する可能性のある1以上の仮想インシデントを生成し、
    前記仮想インシデントに対する前記分析官の割り当ての有無を示す仮想インシデント割当変数と、前記分析官による前記仮想インシデントに対応するインシデント種別のインシデントに対する前記対処処理時間とに基づいて、前記分析官による仮想インシデントの対処に要する仮想インシデント対処処理時間を示す第3式を生成し、
    前記第2式を、前記第1式と、未処理対処処理時間と、前記第3式とに基づいて生成し、
    複数の前記分析官に対応する複数の前記第2式から算出される最大の対処処理時間を評価関数とし、前記評価関数を最小とする割当変数及び仮想インシデント割当変数の最適化解を探索する
    請求項1又は請求項2に記載の分析官アロケーションシステム。
  4. 前記記憶部は、前記分析官のインシデント種別ごとの習熟度に関する習熟度情報を記憶し、
    前記プロセッサ部は、
    それぞれの前記分析官についてのそれぞれの前記割当変数と、前記分析官による前記新規インシデントに対応するインシデント種別のインシデントに対する前記習熟度とに基づいて、前記分析官による割当られた新規インシデントの対処に対する新規インシデント習熟度を示す分析官毎習熟度式を生成し、
    複数の分析官についての複数の分析官毎習熟度式を合計することにより、複数の分析官の全体としての全体習熟度式を生成し、
    前記評価関数と、前記全体習熟度式とに基づいて合成評価関数を生成し、
    前記割当変数の最適化解の探索においては、前記評価関数に代えて、前記合成評価関数に基づいて割当変数の最適化解を探索する
    請求項1から請求項3のいずれか一項に記載の分析官アロケーションシステム。
  5. 前記合成評価関数は、前記評価関数の値が小さくなるほど、また、前記全体習熟度式の値が小さくなるほど、小さくなる関数であり、
    前記プロセッサ部は、前記合成評価関数を最小とする割当変数の最適化解を探索する
    請求項4に記載の分析官アロケーションシステム。
  6. 前記合成評価関数は、前記評価関数の値が小さくなるほど、また、前記全体習熟度式の値が大きくなるほど、小さくなる関数であり、
    前記プロセッサ部は、前記合成評価関数を最小とする割当変数の最適化解を探索する
    請求項4に記載の分析官アロケーションシステム。
  7. 前記プロセッサ部は、
    前記分析官が対処したインシデントにおける対処時間を取得し、前記対処時間に基づいて、前記分析官のインシデント種別ごとの対処時間の平均である対処平均時間を算出し、前記対処平均時間を前記対処処理時間として前記記憶部に記憶する
    請求項1から請求項6のいずれか一項に記載の分析官アロケーションシステム。
  8. 前記プロセッサ部は、
    前記分析官が対処したインシデントの種別を取得し、前記取得した種別に基づいて、前記分析官のインシデント種別ごとの習熟度を算出し、前記習熟度情報を更新する
    請求項4に記載の分析官アロケーションシステム。
  9. 前記プロセッサ部は、
    前記分析官が割り当てられている前記インシデントの情報を表示する
    請求項1から請求項8のいずれか一項に記載の分析官アロケーションシステム。
  10. 1以上の新規インシデントに対する対処を実行する分析官の割り当てを決定する分析官アロケーションシステムによる分析官アロケーション方法であって、
    1以上の前記新規インシデントを受け付け、
    複数の分析官のそれぞれについて、それぞれの前記新規インシデントに対する前記分析官の割り当ての有無を示す割当変数と、前記分析官による前記新規インシデントに対応するインシデント種別のインシデントに対する対処処理時間とに基づいて、前記分析官による新規インシデントの対処に要する新規インシデント対処処理時間を示す第1式を生成し、
    前記分析官に割り当て済であって未処理のインシデントの対処に要する未処理対処処理時間を算出し、
    前記第1式と、未処理対処処理時間とに基づいて、前記分析官の対処処理時間を示す第2式を生成し、
    複数の前記分析官に対応する複数の前記第2関数式から算出される最大の対処処理時間を評価関数とし、
    前記評価関数に基づいて前記割当変数の最適化解を探索し、
    探索により求められた前記最適化解に従って、前記新規インシデントへの前記分析官の割当を決定する
    分析官アロケーション方法。
  11. 1以上の新規インシデントに対する対処を実行する分析官の割り当てを決定する分析官アロケーションシステムを構成するコンピュータに実行させるための分析官アロケーションプログラムであって、
    前記コンピュータに、
    1以上の前記新規インシデントを受け付けさせ、
    複数の分析官のそれぞれについて、それぞれの前記新規インシデントに対する前記分析官の割り当ての有無を示す割当変数と、前記分析官による前記新規インシデントに対応するインシデント種別のインシデントに対する対処処理時間とに基づいて、前記分析官による新規インシデントの対処に要する新規インシデント対処処理時間を示す第1式を生成させ、
    前記分析官に割り当て済であって未処理のインシデントの対処に要する未処理対処処理時間を算出させ、
    前記第1式と、未処理対処処理時間とに基づいて、前記分析官の対処処理時間を示す第2式を生成させ、
    複数の前記分析官に対応する複数の前記第2式から算出される最大の対処処理時間を評価関数とさせ、
    前記評価関数に基づいて割当変数の最適化解を探索させ、
    探索により求められた前記最適化解に従って、前記新規インシデントへの前記分析官の割当を決定させる
    分析官アロケーションプログラム。
JP2018237702A 2018-12-19 2018-12-19 分析官アロケーショシステム、分析官アロケーション方法、及び分析官アロケーションプログラム Active JP7046788B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018237702A JP7046788B2 (ja) 2018-12-19 2018-12-19 分析官アロケーショシステム、分析官アロケーション方法、及び分析官アロケーションプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018237702A JP7046788B2 (ja) 2018-12-19 2018-12-19 分析官アロケーショシステム、分析官アロケーション方法、及び分析官アロケーションプログラム

Publications (2)

Publication Number Publication Date
JP2020101862A true JP2020101862A (ja) 2020-07-02
JP7046788B2 JP7046788B2 (ja) 2022-04-04

Family

ID=71141291

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018237702A Active JP7046788B2 (ja) 2018-12-19 2018-12-19 分析官アロケーショシステム、分析官アロケーション方法、及び分析官アロケーションプログラム

Country Status (1)

Country Link
JP (1) JP7046788B2 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006344015A (ja) * 2005-06-09 2006-12-21 Hitachi Information Systems Ltd 問合せ案件管理システム及び問合せ案件管理プログラム
JP2008242985A (ja) * 2007-03-28 2008-10-09 Hitachi Electronics Service Co Ltd 案件管理システム
JP2010218266A (ja) * 2009-03-17 2010-09-30 Nec Corp 製品のサポートシステム及び製品のサポート方法
JP2011118685A (ja) * 2009-12-03 2011-06-16 Nomura Research Institute Ltd 業務支援装置
JP2017199202A (ja) * 2016-04-27 2017-11-02 富士通株式会社 プログラム、情報処理装置及び情報処理方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006344015A (ja) * 2005-06-09 2006-12-21 Hitachi Information Systems Ltd 問合せ案件管理システム及び問合せ案件管理プログラム
JP2008242985A (ja) * 2007-03-28 2008-10-09 Hitachi Electronics Service Co Ltd 案件管理システム
JP2010218266A (ja) * 2009-03-17 2010-09-30 Nec Corp 製品のサポートシステム及び製品のサポート方法
JP2011118685A (ja) * 2009-12-03 2011-06-16 Nomura Research Institute Ltd 業務支援装置
JP2017199202A (ja) * 2016-04-27 2017-11-02 富士通株式会社 プログラム、情報処理装置及び情報処理方法

Also Published As

Publication number Publication date
JP7046788B2 (ja) 2022-04-04

Similar Documents

Publication Publication Date Title
US10262145B2 (en) Systems and methods for security and risk assessment and testing of applications
CA3108525C (en) Machine learning system and methods for determining confidence levels of personal information findings
US9998339B1 (en) Application awareness for virtual infrastructure environments
US9135351B2 (en) Data processing method and distributed processing system
US20190311293A1 (en) Machine learning for determining confidence for reclamation of storage volumes
EP2524322B1 (en) A virtualization and consolidation analysis engine for enterprise data centers
CN111831420A (zh) 用于任务调度的方法、装置、电子设备及计算机可读存储介质
WO2011134086A1 (en) Systems and methods for conducting reliable assessments with connectivity information
US20140012800A1 (en) Apparatus and method for providing application for processing big data
US10223397B1 (en) Social graph based co-location of network users
JPWO2013128555A1 (ja) タスク管理方法及びタスク管理装置
US10592507B2 (en) Query processing engine recommendation method and system
JP2016051447A (ja) 障害分析システム
PH12019000171A1 (en) Detecting correlation among sets of time series data
JP6294847B2 (ja) ログ管理制御システムおよびログ管理制御方法
JP2012113556A (ja) 運用監視装置、運用監視方法、および運用監視プログラム
US11373103B2 (en) Artificial intelligence based system and method for predicting and preventing illicit behavior
US20180107763A1 (en) Prediction using fusion of heterogeneous unstructured data
US20210250315A1 (en) Systems and methods for rapid electronic messaging testing and positional impact assessment in a prospect electronic messaging series
US10565636B2 (en) Electronic device, system, and method
JP7046788B2 (ja) 分析官アロケーショシステム、分析官アロケーション方法、及び分析官アロケーションプログラム
US20160124959A1 (en) System and method to recommend a bundle of items based on item/user tagging and co-install graph
US11544098B2 (en) Systems and methods for centralization and diagnostics for live virtual server performance data
CN112330367A (zh) 虚拟资源分配方法、装置、系统、电子设备及存储介质
CN112308660A (zh) 数据处理方法、装置及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210422

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220308

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220323

R150 Certificate of patent or registration of utility model

Ref document number: 7046788

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150