JP2020508523A - ロールベースコンピュータセキュリティ構成のシステム及び方法 - Google Patents

ロールベースコンピュータセキュリティ構成のシステム及び方法 Download PDF

Info

Publication number
JP2020508523A
JP2020508523A JP2019546018A JP2019546018A JP2020508523A JP 2020508523 A JP2020508523 A JP 2020508523A JP 2019546018 A JP2019546018 A JP 2019546018A JP 2019546018 A JP2019546018 A JP 2019546018A JP 2020508523 A JP2020508523 A JP 2020508523A
Authority
JP
Japan
Prior art keywords
computing device
client computing
user
processor
software application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019546018A
Other languages
English (en)
Other versions
JP7030133B2 (ja
JP2020508523A5 (ja
Inventor
デニーノ,ランディ
ロバート テンペル,マーク
ロバート テンペル,マーク
ピーターズ,トラビス
ユンケル,ロブ
Original Assignee
イヴァンティ,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by イヴァンティ,インコーポレイテッド filed Critical イヴァンティ,インコーポレイテッド
Publication of JP2020508523A publication Critical patent/JP2020508523A/ja
Publication of JP2020508523A5 publication Critical patent/JP2020508523A5/ja
Application granted granted Critical
Publication of JP7030133B2 publication Critical patent/JP7030133B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Social Psychology (AREA)
  • Stored Programmes (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

装置は、メモリに動作可能に結合されたプロセッサを含む。プロセッサは、クライアントコンピューティングデバイスにインストールされたソフトウェアアプリケーション、及び/又は使用データを検出する。検出された使用データは、クライアントコンピューティングデバイスの現在のユーザ及びソフトウェアアプリケーションと関連付けられる。プロセッサは、ソフトウェアアプリケーション及び/又は使用データに基づいて、現在のユーザのユーザロールを識別する。プロセッサは、ユーザロールに基づいて、セキュリティ構成をクライアントコンピューティングデバイスに適用する。セキュリティ構成は、ソフトウェアアプリケーションの一部に対する現在のユーザによるアクセスを制限する。プロセッサは、アクティブディレクトリ(AD)データベースに保存するために、ユーザロールの識別子を管理サーバに送信する。

Description

関連出願の相互参照
[0001] 本出願は、本明細書において、その全体が参照により全て援用される、2017年2月27日に出願され、及び「ユーザロールを決定するシステム及び方法」というタイトルの米国仮特許出願第62/464,222号の便益を主張するものである。
技術分野
[0002] 本開示は、一般に、コンピュータ及びコンピュータ関連技術に関する。より詳細には、本開示は、ユーザロールに基づいて、コンピュータセキュリティ構成を決定するシステム及び方法に関する。
[0003] 電子デバイスの使用は、現代社会において、ますます普及している。電子デバイスのコストが低下するにつれ、及び電子デバイスの有用性が増すにつれて、人々は、多種多様な目的で、それらを使用している。例えば、多くの人々は、作業を行うため、及びエンターテイメントを探すために、電子デバイスを使用する。電子デバイスの一種は、コンピュータである。
[0004] コンピュータ技術は、急速に進歩し続けている。一般的に使用されるコンピュータには、ハンドヘルドコンピューティングデバイスから大型マルチプロセッサコンピュータシステムまで、ありとあらゆるものが含まれる。これらのコンピュータは、そのようなコンピュータを有用なものにし、及びエンドユーザが利用しやすいものにする、ユーザインタフェースを含むアプリケーションなどのソフトウェアを含む。コンピュータは、ますます、ネットワークを通して、他のコンピュータとリンクされる。コンピュータ技術の発展と共に、ネットワークのサイズは、増大し続けてきた。ネットワークは、遠く離れたコンピュータを互いにリンクし得る。
[0005] コンピュータセキュリティは、安全且つ生産性の高いネットワークを維持することが重要である。コンピュータセキュリティの一部は、個人がどのようなタイプのユーザであるかを決定することである。従って、例えば、ソフトウェア特性及びタグ付けに基づいてユーザの挙動基準を決定するシステム及び方法により、恩恵が実現され得る。
[0006] 装置は、メモリに動作可能に結合されたプロセッサを含む。プロセッサは、クライアントコンピューティングデバイスにインストールされたソフトウェアアプリケーション、及び/又は使用データを検出する。検出された使用データは、クライアントコンピューティングデバイスの現在のユーザ及びソフトウェアアプリケーションと関連付けられる。プロセッサは、ソフトウェアアプリケーション及び/又は使用データに基づいて、現在のユーザのユーザロールを識別する。プロセッサは、ユーザロールに基づいて、セキュリティ構成をクライアントコンピューティングデバイスに適用する。セキュリティ構成は、ソフトウェアアプリケーションの一部に対する現在のユーザによるアクセスを制限する。プロセッサは、アクティブディレクトリ(AD)データベースに保存するために、ユーザロールの識別子を管理サーバに送信する。
[0007]ある実施形態による、ユーザ挙動決定及びコンピュータセキュリティ実施のネットワーク化システムを示すブロック図である。 [0008]別の実施形態による、ユーザ挙動決定及びコンピュータセキュリティ実施のネットワーク化システムを示すブロック図である。 [0009]ある実施形態による、ユーザ挙動決定及びコンピュータセキュリティ実施の方法を示すフロー図である。 [0010]別の実施形態による、ユーザ挙動決定及びコンピュータセキュリティ実施の方法を示すフロー図である。 [0011]別の実施形態による、ユーザロール決定の方法を示すフロー図である。 [0012]ある実施形態による、ユーザ挙動決定及びコンピュータセキュリティ実施の方法を示すフロー図である。 [0013]ある実施形態による、ユーザ挙動決定及びコンピュータセキュリティ実施のネットワーク化システムを示すブロック図である。 [0014]ある実施形態による、ユーザ挙動決定及びコンピュータセキュリティ実施用のコンピューティングデバイスのブロック図を示す。
[0015] 幾つかの実施形態では、装置は、メモリに動作可能に結合されたプロセッサを含む。プロセッサ及びメモリは、クライアントコンピューティングデバイス又は管理サーバに存在し得る。プロセッサは、クライアントコンピューティングデバイスにインストールされたソフトウェアアプリケーション及び/又は使用データを検出する。プロセッサは、例えば、ソフトウェア使用ログに基づいて、又は所定の期間にわたるクライアントコンピューティングデバイスの現在のユーザのソフトウェア使用をモニタリングすることによって、使用データを検出し得る。検出された使用データは、クライアントコンピューティングデバイスの現在のユーザ、及びソフトウェアアプリケーションと関連付けられる。プロセッサは、ソフトウェアアプリケーション及び/又は使用データに基づいて、現在のユーザのユーザロールを識別する。プロセッサは、ユーザロールに基づいて、セキュリティ構成をクライアントコンピューティングデバイスに適用する。セキュリティ構成は、現在のユーザによるアクセスを、ソフトウェアアプリケーションの一部に限定する。プロセッサは、例えば、セキュリティ構成を実施する命令をエンコードする信号をクライアントコンピューティングデバイスに送信することによって、又はクライアントコンピューティングデバイスでセキュリティ構成を実施することによって、セキュリティ構成を適用し得る。幾つかの実施では、プロセッサは、サーバから、クライアントコンピューティングデバイスに対するセキュリティ構成を実施する命令をエンコードする信号を受信することもできる。プロセッサは、アクティブディレクトリ(AD)データベースに保存するために、ユーザロールの識別子を管理サーバに送信し得る。プロセッサは、現在のユーザのユーザロールに基づいて、クライアントコンピューティングデバイスの現在のユーザの予想挙動を識別することもできる。
[0016] 幾つかの実施形態では、プロセッサは、クライアントコンピューティングデバイスの現在のユーザの予想挙動から逸脱する、クライアントコンピューティングデバイスの現在のユーザの挙動を検出することもできる。挙動の逸脱の検出に応答して、プロセッサは、管理サーバにアラートを送信し得る。他の実施形態では、ユーザロールは、第1のユーザロールであり、及びプロセッサは、所定の期間にわたり、クライアントコンピューティングデバイスの現在のユーザのソフトウェア使用をモニタリングすることもできる。次いで、プロセッサは、モニタリングされたソフトウェア使用に基づいて、第1のユーザロールとは異なる第2のユーザロールを識別する。他の実施形態では、プロセッサは、ユーザロール及び使用データに基づいて、クライアントコンピューティングデバイスの現在のユーザのセキュリティリスクを識別することもできる。
[0017] 幾つかの実施形態では、装置は、メモリに動作可能に結合されたプロセッサを含む。プロセッサは、クライアントコンピューティングデバイスにインストールされたソフトウェアアプリケーション及び/又は使用データを識別する。プロセッサは、例えば、ソフトウェア使用ログに基づいて、又は所定の期間にわたるクライアントコンピューティングデバイスの現在のユーザのソフトウェア使用をモニタリングすることによって、使用データを識別し得る。識別された使用データは、クライアントコンピューティングデバイスの現在のユーザ、及びソフトウェアアプリケーションと関連付けられる。使用データは、ソフトウェアアプリケーションの使用頻度、ソフトウェアアプリケーションのフィーチャの使用頻度、ソフトウェアアプリケーションのブロックされたフィーチャの使用を試みた頻度、ソフトウェアアプリケーションのアクセスされたフィーチャのセット、及び/又はクライアントコンピューティングデバイスのデスクトップのリモートアクセスの量を含み得る。プロセッサは、ソフトウェアアプリケーション及び/又は使用データに基づいて、現在のユーザのユーザロールを識別する。プロセッサは、ユーザロールに基づいて、クライアントコンピューティングデバイスの現在のユーザの予想挙動を予測する。プロセッサは、現在のユーザの予想挙動に基づいて、クライアントコンピューティングデバイスにおける現在のユーザの特権レベルを修正する。特権レベルは、ソフトウェアアプリケーションと関連付けられる。プロセッサは、アクティブディレクトリ(AD)データベースに保存するために、ユーザロールの識別子を管理サーバに送信する。
[0018] 幾つかの実施では、ソフトウェアアプリケーションは、第1のソフトウェアアプリケーションであり、及びプロセッサは、クライアントコンピューティングデバイスにインストールされた第2のソフトウェアアプリケーションも識別する。次いで、プロセッサは、メモリ内に保存された、第1のソフトウェアアプリケーションと、第2のソフトウェアアプリケーションと、ユーザロールの識別子との間の関連に基づいて、現在のユーザのユーザロールを識別する。
[0019] 幾つかの実施形態では、方法は、クライアントコンピューティングデバイスにインストールされたソフトウェアアプリケーション及び/又はクライアントコンピューティングデバイスにおける使用データを識別することを含む。使用データは、例えば、ソフトウェア使用ログに基づいて、又は所定の期間にわたりクライアントコンピューティングデバイスの現在のユーザのソフトウェア使用をモニタリングすることによって使用データを生成することによって、識別され得る。識別された使用データは、クライアントコンピューティングデバイスの現在のユーザ、及びソフトウェアアプリケーションと関連付けられる。この方法は、ソフトウェアアプリケーション又は使用データに基づいて、現在のユーザのユーザロールを識別することも含む。この方法は、ユーザロールに基づいて、現在のユーザの予想挙動を識別することも含む。この方法は、現在のユーザの予想挙動に基づいて、クライアントコンピューティングデバイスにおけるデバイス制御ポリシーを適用することも含む。デバイス制御ポリシーは、認可デバイスが、クライアントコンピューティングデバイスに動作可能に結合(例えば、無線結合)された時に、クライアントコンピューティングデバイスの現在のユーザがアクセスできる認可デバイスを定義する。認可デバイスは、ユニバーサルシリアルバス(USB)デバイス、フロッピードライブ、コンパクトディスク(CD)ドライブ、プリンタ、カメラ、マイクロホン、コンピュータマウス、キーボード、及び/又はスピーカなどの少なくとも1つでもよい。この方法は、識別されたユーザロールを管理サーバに送信することも含む。この方法は、メモリに保存されたユーザレコードを識別されたユーザロールと関連付けることも含み得る。
[0020] 幾つかの実施では、ユーザロールを識別することは、クエリーをエンコードする信号を管理サーバに送信すること、及びクエリーに対する応答を管理サーバから受信することを含む。クエリーは、ソフトウェアアプリケーション及び使用データのインディケータを含み得る。応答は、クライアントコンピューティングデバイスの現在のユーザのユーザロールのインディケータを含み得る。
[0021] 幾つかの実施形態では、使用データを識別することは、クエリーをエンコードする信号を管理サーバに送信すること、及びクエリーに対する応答を管理サーバから受信することを含む。クエリーは、現在のユーザのインディケータ、クライアントコンピューティングデバイスのインディケータ、及び/又はソフトウェアアプリケーションのインディケータを含み得る。応答は、使用データを含み得る。
[0022] これより、ユーザ挙動決定及びコンピュータセキュリティ実施のシステム及び方法の様々な構成を、同様の参照番号が同一又は機能的に類似した要素を示し得る図面を参照して、説明する。本明細書において一般的に説明され、及び図面に図示される、本システム及び方法の構成は、多種多様な異なる構成で配置及び設計され得る。従って、図面に示すような、幾つかの構成の以下のより詳細な説明は、システム及び方法の範囲を限定する意図はなく、システム及び方法の様々な構成を単に示すものである。
[0023] 図1Aは、ある実施形態による、ユーザ挙動決定及びコンピュータセキュリティ実施のネットワーク化システム100Aを示すブロック図である。ネットワーク化システム100Aは、ソフトウェア特性及びタグ付けに基づいて、ユーザの挙動基準を決定し得る。ネットワーク化システム100Aは、ネットワーク(図1Aでは不図示)を介して互いに電子通信する電子デバイスのセットを含む。例えば、ネットワーク化システム100Aは、1つ又は複数のローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、無線ローカルエリアネットワーク(WLAN)、インターネットなどを含み得る。ネットワーク化システム100Aは、1つ又は複数のコンピューティングデバイス108A、及び少なくとも1つの管理サーバ102Aを含む。1つ又は複数のコンピューティングデバイス108A、及び少なくとも1つの管理サーバ102Aのそれぞれは、関連付けられたプロセッサ、及びそれぞれのプロセッサと動作可能に通信するメモリ(図1Aでは不図示)を含み得る。
[0024] コンピューティングデバイス108Aは、ネットワーク(図1Aでは不図示)を介して、ネットワーク化システム100Aの管理サーバ102Aと通信し得る。コンピューティングデバイス108Aは、管理サーバ102Aから地理的に離れた場所に物理的に位置し得る。ある実施では、管理サーバ102Aは、例えば、インターネット接続によりアクセス可能なクラウドベースサーバである。代替的に、管理サーバ102Aは、1つ又は複数のコンピューティングデバイス108Aと物理的に同じ場所に位置してもよい。幾つかの実施では、管理サーバ102Aは、ドメインコントローラである。
[0025] 実施に応じて、1つ又は複数のコンピューティングデバイス108Aは、サーバ、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、スマートフォン、ルータ、プリンタなどを含み得る。ある実施では、1つ又は複数のコンピューティングデバイス108Aは、複数の異なるネットワークをつなぐように構成されたモバイルデバイス(例えば、ラップトップコンピュータ、スマートフォン、タブレットコンピュータなど)である。
[0026] 管理サーバ102A及び/又はコンピューティングデバイス108Aのプロセッサは、例えば、ハードウェアベースの集積回路(IC)、又は命令セット若しくはコードを起動及び/又は実行するように構成されたその他の適宜の処理デバイスでもよい。例えば、管理サーバ102A及び/又はコンピューティングデバイス108Aのプロセッサは、汎用プロセッサ、中央処理装置(CPU)、加速処理装置(APU)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、プログラマブル論理アレイ(PLA)、複合型プログラマブル論理デバイス(CPLD)、及び/又はプログラマブル論理コントローラ(PLC)などでもよい。管理サーバ102A及び/又はコンピューティングデバイス108Aのプロセッサは、システムバス(例えば、アドレスバス、データバス、及び/又は制御バス)によりメモリと動作可能に結合される。
[0027] コンピューティングデバイス108Aは、ソフトウェアインストール決定モジュール114A、ユーザロール決定モジュール116A、ソフトウェアインストール110Aの1つ又は複数のソフトウェアアプリケーション112A、及び挙動基準決定モジュール120Aを含み得る。ソフトウェアインストール決定モジュール114A、ユーザロール決定モジュール116A、1つ又は複数のソフトウェアアプリケーション112A、及び挙動基準決定モジュール120Aのそれぞれは、メモリ(例えば、揮発性ストレージ、又はハードドライブなどの不揮発性ストレージ)に保存され、及びコンピューティングデバイス108Aのプロセッサによって実行されるソフトウェア(例えば、コンピューティングデバイス108Aのプロセッサにソフトウェアインストール決定モジュール114A、ユーザロール決定モジュール116A、及び挙動基準決定モジュール120Aを実行させるコードが、メモリに保存され得る)、及び/又は例えばASIC、FPGA、CPLD、PLA、及び/又はPLCなどのハードウェアベースデバイスでもよい。ソフトウェアインストール110Aは、メモリに保存されたソフトウェアアプリケーション112Aの一群又はセットを含む。
[0028] コンピュータセキュリティは、1つ又は複数のコンピューティングデバイス108A、1つ又は複数の管理サーバ102A、並びに1つ又は複数のコンピューティングデバイス108A及び1つ又は複数の管理サーバ102Aが接続されるネットワークを保護することが重要である。コンピュータセキュリティは、「サイバーセキュリティ」又は情報技術(IT)セキュリティとも呼ばれ得る。コンピュータセキュリティは、1つ又は複数のコンピューティングデバイス108Aのハードウェア及びソフトウェアへのアクセスを制御することを含む。コンピュータセキュリティは、ネットワークアクセス、データ、及びコードにおける脆弱性(例えば、感染したソフトウェアアプリケーション)により生じ得る損害に対してネットワークを保護することも含む。
[0029] コンピュータセキュリティは、1つ又は複数のネットワーク上で、ますます多くのコンピューティングデバイスが接続されるにつれて、ますます重要になっている。例えば、社会が高度なコンピューティングシステム及びインターネットに依存するようになるにつれて、部外秘情報に不正アクセスするために、コンピューティングデバイスが、悪意の存在によって利用され得る。この問題は、無線ネットワーク(例えば、Bluetooth(登録商標)、Wi-Fi(登録商標)、セルラー)の使用、及び「スマート」デバイス(例えば、スマートフォン、テレビ、及びインターネットオブシングスの一部であるデバイス)の発展に伴い、特に重要である。
[0030] コンピュータセキュリティの一部は、個人がどのようなタイプのユーザであるかを決定することである。ユーザのタイプを決定することは、コンピューティングデバイスのユーザの1つ又は複数のロールを決定することを含み得る。ユーザのロールが決定されると、このユーザのセキュリティ挙動又はパターンが、一元的に管理され得る。
[0031] ある実施では、ユーザのロールは、アクティブディレクトリ Groupsに注目することに基づいて、決定され得る。例えば、ユーザは、1つ又は複数のアクティブディレクトリ Groupsに含まれ得る。別の実施では、ユーザのロールは、ユーザの許可レベルに注目することに基づいて、決定され得る。例えば、管理特権を持つユーザは、管理者であると決定され得る。しかしながら、これらの実施は、厳格すぎる場合がある。例えば、アクティブディレクトリ Groupsは、ある組織内のユーザの実際のロールを定義するには十分ではない場合がある。加えて、許可レベルは、異なるタイプのユーザを区別するのに十分な分解能を提供しない場合がある。また、これらの手法は、ロールとは無関係に、大まかにユーザにルールを適用する。例えば、ユーザは、そのユーザの特定のロールの必要性を考慮しない管理ルールの影響下にある可能性がある。例えば、財務ロール下のユーザは、情報技術(IT)管理者ロール下のユーザとは異なるソフトウェアリソース及び/又はネットワークリソースを使用する場合がある。
[0032] 本明細書に記載のシステム及び方法(例えば、ネットワーク化システム100A及び100B)は、挙動を制限するように大まかにセキュリティ慣例を適用する代わりに、個々のユーザの挙動及び必要性を決定することができるように、コンピュータセキュリティにユーザオリエンテッド手法を適用する。幾つかの実施では、ユーザの身元及び/又はロールは、ユーザのソフトウェア使用に基づいて、識別され得る。次いで、ユーザは、一元的に管理され得る適用可能なセキュリティ挙動又は挙動パターンを決定するために使用され得るグループ及び/又はロールに「タグ付け」(又は関連付け)られ得る。
[0033] 幾つかの実施では、ユーザロールは、ユーザのコンピューティングデバイスにインストールされたソフトウェアアプリケーションの1つ又は複数の識別子に基づいて、識別、決定、及び/又は検出され得る。決定されたロールに基づいて、ユーザの挙動基準が推測され得る。例えば、ネットワーク化システム100Aは、ユーザのコンピューティングデバイスが、Microsoft Visual Studioをインストールしていることを検出し得る。Microsoft Visual Studioの検出に基づいて、ネットワーク化システム100Aは、ユーザを「開発者」ロールと関連付け得る(例えば、コンピューティングデバイス108A及び/又は管理サーバ102Aのメモリ内の表を参照することにより)。
[0034] 第2の例として、ネットワーク化システム100Aは、ユーザのコンピューティングデバイスが、Microsoft Visual Test Suiteをインストールしていることを検出し得る。Microsoft Visual Test Suiteの検出に基づいて、ネットワーク化システム100Aは、ユーザを品質保証(QA)技術者ロール又は「試験者」ロールと関連付け得る。第3の例として、ネットワーク化システム100Aは、ユーザのコンピューティングデバイスが、アクティブディレクトリ Toolsをインストールしていることを検出し得る。アクティブディレクトリ Toolsの検出に基づいて、ネットワーク化システム100Aは、ユーザをIT管理者ロールと関連付け得る。第4の例として、ネットワーク化システム100Aは、ユーザのコンピューティングデバイスが、追加のMicrosoft Office Suiteツールを持たないMicrosoft Excel及びOutlookをインストールしていることを検出し得る。このような検出に基づいて、ネットワーク化システム100Aは、ユーザを財務ロールと関連付け得る。
[0035] 本明細書に記載するようなソフトウェア「タグ付け」(例えば、1つ又は複数のロールとのユーザの関連付け)は、ユーザのソフトウェアインストール(例えば、メモリに保存されたソフトウェアアプリケーションの一群又はセット)に基づいた、ヒューリスティックロール推測の定義及び/又は生成を容易にし得る。1つ又は複数のロールが検出/決定された後に、1つ又は複数のロールで動作するユーザの挙動基準に関する1つ又は複数の推測が行われ得る。一例として、財務ユーザは、ネットワーク化システム100Aによって、管理アクセスを持たないと決定され、又は関連付けられたコンピューティングデバイス108Aに対してサービスプロセスを起動することが防止され得る(例えば、コンピューティングデバイス108A及び管理サーバ102Aの一方又は両方に保存されたデータベースのレコードにおいて、1つ又は複数のロールを1つ又は複数のセキュリティプロファイル、特権定義などと関連付けることによって)。一方、研究開発ロールを有するとネットワーク化システム100Aによって決定されたユーザは、彼/彼女が、主要/機密リソースへの管理アクセスを有する(例えば、ネットワークを介して、又はコンピューティングデバイス108A及び/又は管理サーバ102Aのローカルメモリを介して)ことを指定するセキュリティプロファイルと関連付けられ得る。
[0036] 図1Aに示すように、コンピューティングデバイス108Aは、ソフトウェアインストール決定モジュール114Aを含む。ソフトウェアインストール決定モジュール114Aは、どのソフトウェアアプリケーションをユーザがコンピューティングデバイス108A上で起動/使用するかを決定し得る。代替的又は追加的に、ソフトウェアインストール決定モジュール114Aは、どのソフトウェアアプリケーションをユーザがコンピューティングデバイス108Aにインストールしたかを決定し得る。代替的又は追加的に、ソフトウェアインストール決定モジュール114Aは、どのソフトウェアアプリケーションをユーザが起動するかをモニタリングし得る(例えば、所定の期間にわたり)。例えば、ソフトウェアインストール決定モジュール114Aは、ある期間にわたり、ユーザのソフトウェアアプリケーション使用をモニタリングし得る。ソフトウェアインストール決定モジュール114は、例えば、ソフトウェア使用ログで、ソフトウェアアプリケーション使用をログ記録し得る。幾つかの実施では、第1のユーザロール決定が行われたと仮定すると、第2のユーザロール決定は、ユーザに関して、モニタリングされたソフトウェア使用に基づいて、第2のユーザロールが第1のユーザロールとは異なるように(例えば、ユーザのロールが変化するため)、行われ得る。
[0037] コンピューティングデバイス108Aは、ユーザが起動するソフトウェアに基づいて、ユーザの1つ又は複数のロール(ユーザロール118A)を決定するユーザロール決定モジュール116Aも含む。ある実施では、コンピューティングデバイス108Aのプロセッサは、ユーザロール決定モジュール116Aを使用して、例えば、1つ又は複数のソフトウェアアプリケーション112Aの識別子を識別するために、ユーザのコンピューティングデバイス108A上のソフトウェアインストール110A(例えば、1つ又は複数のソフトウェアアプリケーション112Aを含む)のクエリー又は分析を行う。別の実施では、ユーザロール決定モジュール116Aは、ソフトウェア使用ログのコピーを受信し、及び使用ログに基づいて、ソフトウェア使用を決定する。ユーザロール決定モジュール116Aは、ソフトウェアインストール及び/又はソフトウェア使用に基づいて、ユーザを1つ又は複数のユーザロール118Aと「タグ付け」又は関連付け得る(例えば、コンピューティングデバイス108Aのメモリに保存された表の共通レコードに、ユーザ及び1つ若しくは複数の割り当てられたロールのインディケータを含むことによって、又は管理サーバ102Aのメモリに保存するために、ユーザ及び割り当てられた1つ又は複数のロールのインディケータをエンコードする信号を管理サーバ102Aに送信することによって)。
[0038] 実施に応じて、特定のソフトウェアアプリケーション又はソフトウェアアプリケーションの組み合わせが、異なるロールにマッピングされ得る。例えば、ネットワーク化システム100Aが、ユーザが彼/彼女のコンピューティングデバイス108A上で、総合開発環境(「IDE」)(例えば、Microsoft Visual Studio)をインストールしたこと、又は使用することを検出した場合、ユーザは、「開発者」ロールにマッピングされ得る。ネットワーク化システム100Aが、ユーザがソフトウェアテストアプリケーション(例えば、Microsoft Test Manager)をインストールしたこと、又は使用することを検出した場合、ユーザは、QA/試験者ロールにマッピングされ得る。ネットワーク化システム100Aが、ユーザがディレクトリサービスツール(例えば、アクティブディレクトリ tools)をインストールしたこと、又は使用することを検出した場合、ユーザは、IT管理者ロールにマッピングされ得る。ネットワーク化システム100Aが、ユーザが1つ又は複数の他のMicrosoft Office Suite製品を用いずに、スプレッドシートソフトウェアアプリケーション(例えば、Microsoft Excel)をインストールしたこと、又は使用することを検出した場合、ユーザは、財務ロールにマッピングされ得る。
[0039] コンピューティングデバイス108Aは、挙動基準決定モジュール120Aも含む。挙動基準決定モジュール120Aは、決定/検出されたユーザロールに基づいて、ユーザの1つ又は複数の挙動「基準」(すなわち、コンピューティングデバイス108A上の1つ又は複数のソフトウェアアプリケーションのユーザの使用と関連付けられた予想挙動及び/又は挙動パターン)を決定する。1つ又は複数の挙動基準を決定するために、挙動基準決定モジュール120Aは、決定されたユーザロールに基づいて、ユーザの挙動基準に関する「推測」(例えば、機械学習アルゴリズムに基づいた推測、及び/又は統計的推測)を行い得る。代替的又は追加的に、挙動基準決定モジュール120Aは、例えば、クライアントコンピューティングデバイスの現在のユーザのユーザロールに基づいて、クライアントコンピューティングデバイスの現在のユーザの予想挙動及び/又は挙動パターンを予測し得る。挙動基準決定モジュール120Aは、コンピューティングデバイス108Aのプロセッサによって実行されると、決定された1つ又は複数の挙動基準に基づいて、例えば、そのユーザロールに関するコンピューティングデバイス108Aの所望の機能性を促進するように、コンピューティングデバイス108Aの1つ又は複数の設定を構成又は修正し得る。
[0040] 一例として、プロセッサが、挙動基準決定モジュール120Aによって、ユーザが財務ユーザロールに関連付けられることを決定すると、プロセッサは(再度、挙動基準決定モジュール120Aによって)、財務リソース(例えば、ドライブ、ソフトウェア)へのアクセスを許可し、並びに管理アクセス及び/又はユーザがコンピューティングデバイス108A上でサービスプロセスを起動する能力を禁止/ブロックするようにコンピューティングデバイス108Aを構成し得る。一方、研究開発ロールを有すると決定されたユーザの場合、プロセッサ(再度、挙動基準決定モジュール120Aによって)は、ユーザが、1つ又は複数の主要/機密ネットワークリソースへの管理アクセスを有する(例えば、ネットワークを介して、及び/又は例えばコンピューティングデバイス108Aのメモリにおいてローカルでアクセス可能である)ように、コンピューティングデバイス108Aを構成し得る。
[0041] ある実施では、コンピューティングデバイス108Aのユーザに関して決定されたユーザロールは、管理サーバ102Aに送信される。管理サーバ102Aは、例えば、ユーザロールデータベース104Aのユーザロールレコード106Aにユーザロールを保存する。ユーザロールレコード106Aはそれぞれ、1つ若しくは複数のロールの識別子、一人若しくは複数のユーザの識別子、1つ若しくは複数のセキュリティレベルインディケータ、及び/又は1つ若しくは複数のデバイス設定を含み得る。ユーザロールデータベース104Aは、ネットワーク化システム100Aのメモリに(例えば、コンピューティングデバイス108Aのメモリ及び/又は管理サーバ102Aのメモリに)保存されたアクティブディレクトリ(AD)データベースでもよい。幾つかの実施では、管理サーバ102Aは、例えば、決定されたユーザロールを含むように、ユーザロールデータベースのレコードのユーザロールフィールドを修正することによって、及び/又は決定されたユーザロールを含む新しいレコードを生成し、及びユーザロールデータベースに挿入することによって、受信した、決定されたユーザロールを含むようにユーザロールデータベースを自動的に更新する(例えば、1つ若しくは複数のユーザロールの識別子をエンコードする受信信号の検出時に、及び/又は所定のスケジュールに従って)。管理サーバ102Aは、ユーザロールに従って、ユーザロールデータベース104Aのロールレコード106Aをグループ化させ得る。例えば、複数のユーザが、財務ユーザロールを有するユーザロールレコード106Aに関連付けられ得る。このようなユーザは、ユーザロールデータベースの財務ユーザロール「グループ」に割り当てられると言われ得る。
[0042] 図1Bは、別の実施形態による、ユーザ挙動決定及びコンピュータセキュリティ実施のネットワーク化システム100Bを示すブロック図である。図1Bに示すように、管理サーバ102Bは、ソフトウェアインストールデータベース122、ソフトウェア使用データベース126、挙動基準決定モジュール120B(例えば、図1Aの挙動基準決定モジュール120Aの機能性と同様の機能性を有する)、ユーザロール決定モジュール116B(例えば、図1Aのユーザロール決定モジュール116Aの機能性と同様の機能性を有する)、及びユーザロールデータベース104B(例えば、図1Aのユーザロールデータベース104Aの機能性と同様の機能性を有する)を含む。ソフトウェアインストールデータベース122は、「エンドポイント」(例えば、コンピューティングデバイス108B)で起動する/インストールされたソフトウェアアプリケーションのソフトウェアインストールレコード124のセットを含む。ソフトウェア使用データベース126は、まとめてソフトウェア使用ログと呼ばれる場合がある、ソフトウェア使用レコード128のセットを含む。ユーザロール決定モジュール116Bは、ユーザロール定義118Bを含む。ユーザロールデータベース104Bは、ユーザロールレコード106Bのセットを含む。
[0043] 管理サーバ102Bの挙動基準決定モジュール120B及びユーザロール決定モジュール116Bのそれぞれは、メモリに保存され、及び管理サーバ102Bのプロセッサによって実行されるソフトウェア(例えば、管理サーバ102Bのプロセッサに挙動基準決定モジュール120B及びユーザロール決定モジュール116Bを実行させるコードが、メモリに保存され得る)、及び/又は例えばASIC、FPGA、CPLD、PLA、及び/又はPLCなどのハードウェアベースデバイスでもよい。
[0044] 同様に図1Bに示すように、コンピューティングデバイス108Bは、ソフトウェアインストール110B(例えば、図1Aのソフトウェアインストール110Aの機能性と同様の機能性を有する)、ソフトウェアインストール決定モジュール114B(例えば、図1Aのソフトウェアインストール決定モジュール114Aの機能性と同様の機能性を有する)、ソフトウェアインストール使用モジュール136、及び1つ又は複数の挙動基準施行モジュール120B(例えば、図1Aの1つ又は複数の挙動基準施行モジュール120Aの機能性と同様の機能性を有する)を含む。ソフトウェアインストール110Bは、メモリに保存されたソフトウェアアプリケーション112Bの一群又はセットを含み得る。
[0045] ソフトウェアインストール決定モジュール114B、ソフトウェアインストール使用モジュール136、1つ又は複数のソフトウェアアプリケーション112A、及び1つ又は複数の挙動基準施行モジュール120Bのそれぞれは、メモリに保存され、及びコンピューティングデバイス108Bのプロセッサによって実行されるソフトウェア(例えば、コンピューティングデバイス108Bのプロセッサに、ソフトウェアインストール決定モジュール114B、ソフトウェアインストール使用モジュール136、及び1つ又は複数の挙動基準施行モジュール120Bを実行させるコードが、メモリに保存され得る)、及び/又は例えばASIC、FPGA、CPLD、PLA、及び/又はPLCなどのハードウェアベースデバイスでもよい。
[0046] 幾つかの実施形態では、コンピューティングデバイス108Bのプロセッサは、1つ又は複数の挙動基準施行モジュール120Bによって、ユーザが、コンピューティングデバイス108B上で、ユーザロールと関連する、又は関連付けられたソフトウェアアプリケーションを起動することだけを許可するために、1つ又は複数の決定されたユーザロールに基づいて、コンピューティングデバイス108Bに対して、アプリケーション制御ポリシー又は構成を施行及び/又は適用し得る。アプリケーション制御ポリシー又は構成の施行及び/又は適用は、自動的に行われ得る。代替的に、管理サーバ102Bのプロセッサが、挙動基準施行モジュール120Bによって、コンピューティングデバイス108Bに信号を送信することによって、アプリケーション制御ポリシー又は構成を適用し得る。この信号は、1つ又は複数の決定されたユーザロールに基づいて、コンピューティングデバイス108Bに対してアプリケーション制御ポリシー又は構成を実施する命令をエンコードし得る。例えば、開発者のロール又はシステム管理者のロールと関連付けられたユーザは、高度システム修正を行うために、彼/彼女がレジストリエディタを起動することを許可するセキュリティポリシーに関連付けられてもよく、財務ロールと関連付けられたユーザは、彼/彼女がレジストリエディタを立ち上げることを防止するセキュリティポリシーと関連付けられてもよい。同様に、コンピューティングデバイス108Bのプロセッサは、決定された1つ又は複数のユーザロールに基づいて、どのアプリケーションが高い特権で起動を許可されるかを指定/限定するために、コンピューティングデバイス108Bに対して制限を適用し得る。例えば、開発者のロール又はシステム管理者のロールと関連付けられたユーザが、彼/彼女が、「管理」モードでインターネットブラウザを立ち上げることを許可するセキュリティポリシーと関連付けられてもよく、販売員は、彼/彼女が、「管理」モードでインターネットブラウザを立ち上げることを防止するセキュリティポリシーに関連付けられてもよい。
[0047] 幾つかの実施形態では、コンピューティングデバイス108Bのプロセッサは、1つ又は複数の挙動基準施行モジュール120Bによって、1つ又は複数の決定されたユーザロールに基づいて、どの物理的デバイスをコンピューティングデバイス108B上で使用できるか、及び/又はどの物理的デバイスをコンピューティングデバイス108Bに接続することができるかを制限するために、デバイス制御ポリシーをコンピューティングデバイス108Bに適用し得る。代替的に、管理サーバ102Bのプロセッサは、それの挙動基準施行モジュール120Bによって、1つ又は複数の決定されたユーザロールに基づいて、信号をコンピューティングデバイス108Bに送信することによって、デバイス制御ポリシーを適用することができ、この信号は、どの物理的デバイスをコンピューティングデバイス108B上で使用できるか、及び/又はどの物理的デバイスをコンピューティングデバイス108Bに接続することができるかを制限するように、コンピューティングデバイス108Bに対するデバイス制御ポリシーを実施する命令をエンコードするものである。例えば、ユーザが、財務ユーザであると決定された場合、プロセッサは、財務ユーザがユニバーサルシリアルバス(USB)デバイスに書き込むことを許可することをコンピュータに行わせないことが可能であるが、システム管理者は、USBデバイスに書き込むことが許可され得る。これは、限定されないが、フロッピードライブ、CDドライブ、USBドライブ、プリンタ、カメラ、マイクロホン、マウス、キーボード、スピーカなどを含む、任意の物理的に又はネットワークに接続されたデバイスを用いて行われ得る。
[0048] 幾つかの実施では、コンピューティングデバイス108Bのプロセッサは、1つ又は複数の挙動基準施行モジュール120Bによって、コンピューティングデバイス108Bのユーザの行為又は挙動が、そのユーザ及び/又はそのコンピューティングデバイス108Bに関連付けられた挙動基準(又は予想挙動)から逸脱する場合に、アラート(例えば、コンピューティングデバイス108Bのユーザ及び/又は管理サーバ102Bに対して)を送ることができる。他の例では、管理サーバ102Bのプロセッサは、それの挙動基準施行モジュール120Bによって、コンピューティングデバイス108Bのユーザの行為又は挙動が、挙動基準から逸脱する場合に、アラート(例えば、管理サーバ102Bのユーザ及び/又はコンピューティングデバイス108Bに対して)を送ることができる。挙動基準(又は予想挙動)から逸脱する、コンピューティングデバイス108Bのユーザの行為又は挙動の一例は、財務ユーザが、感染リスクを示す可能性のある「パワーシェル」又は「コマンドライン」プロセスを立ち上げる時である。
[0049] 図1Cは、ある実施形態による、図1Aのネットワーク化システム100A及び/又は図1Bのネットワーク化システム100Bによって実施可能な、ユーザ挙動決定及びコンピュータセキュリティ実施の方法100Cを示すプロセスフロー図である。図1Cに示すように、方法100Cは、135aで、クライアントコンピューティングデバイスにインストールされたソフトウェアアプリケーション、及び/又はクライアントコンピューティングデバイス(例えば、図1Aの108A、又は図1Bの108B)における使用データを識別することを含む。使用データは、ソフトウェアアプリケーションの使用頻度、ソフトウェアアプリケーションのフィーチャの使用頻度、ソフトウェアアプリケーションのブロックされたフィーチャの使用を試みた頻度、ソフトウェアアプリケーションのアクセスされたフィーチャのセット、クライアントコンピューティングデバイスのデスクトップのリモートアクセスの量、又はこれらの任意の組み合わせを含み得る。
[0050] 使用データは、例えば、ソフトウェア使用ログに基づいて、又は所定の期間にわたるクライアントコンピューティングデバイスの現在のユーザのソフトウェア使用をモニタリングすることによって使用データを生成することにより、識別され得る。識別された使用データは、クライアントコンピューティングデバイスの現在のユーザ、及び/又はソフトウェアアプリケーションと関連付けられる。方法100Cは、135bにおいて、ソフトウェアアプリケーション又は使用データに基づいて、現在のユーザのユーザロールを識別することも含む。方法100Bは、135cにおいて、ユーザロールに基づいて、現在のユーザの予想挙動を識別することも含む。幾つかの実施形態では、クライアントコンピューティングデバイスの現在のユーザに関するユーザロール及び使用データに基づいたセキュリティリスクが、識別され得る。セキュリティリスクが識別されると、1つ又は複数の緩和技術が選択及び/又は実施され得る(例えば、自動的に、又は管理者の命令に応答して)。例えば、ユーザロールと関連付けられた予想挙動から逸脱する使用挙動が検出されると、コンピューティングデバイスの現在のユーザの特権レベルが、調節され得る(例えば、ユーザがアクセスできるリソースのセットを減らすように)。方法100Bは、135dにおいて、現在のユーザの予想挙動に基づいて、クライアントコンピューティングデバイスにおいてデバイス制御ポリシーを適用することも含む。デバイス制御ポリシーは、認可デバイスが、クライアントコンピューティングデバイスに動作可能に結合(例えば、無線結合)された時に、クライアントコンピューティングデバイスの現在のユーザがアクセスすることを許可される1つ又は複数の認可デバイスを指定し得る。認可デバイスは、ユニバーサルシリアルバス(USB)デバイス、フロッピードライブ、コンパクトディスク(CD)ドライブ、プリンタ、カメラ、マイクロホン、コンピュータマウス、キーボード、及び/又はスピーカなどの少なくとも1つでもよい。方法100Bは、135eにおいて、識別されたユーザロールを管理サーバ(例えば、図1Aの管理サーバ102A、又は図1Bの管理サーバ102B)に送信することも含む。方法100Bは、ユーザロールデータベースに保存されたユーザレコード(例えば、図1Aのユーザロールデータベース104Aのユーザロール106A、又は図1Bのユーザロールデータベース104Bのユーザロール106B)を識別されたユーザロール(不図示)と関連付けることも含み得る。
[0051] 本明細書に記載するシステム(図1のネットワーク化システム100A、及び図2のネットワーク化システム100Bなど)、並びに方法(図1Cの方法100C、又は図2の方法200、図3の方法300、及び図4の方法400など)は、組織内のユーザのロールを決定するための動的及び自動化手法を提供する。コンピューティングデバイスのソフトウェアインストール及び/又はソフトウェア使用に基づいて、ユーザロールが決定され得る。予想挙動/挙動パターン及びセキュリティ構成は、1つ又は複数のユーザロール決定に基づいて識別することができ、従って、コンピュータセキュリティに対して、個別設定のユーザオリエンテッド手法が提供される。
[0052] 下記の表1Aは、「実行ファイル名」(すなわち、ソフトウェアアプリケーションの識別子)、ソフトウェアアプリケーション名、マシン名(例えば、図1Aのコンピューティングデバイス108A又は図1Bのコンピューティングデバイス108Bなどのコンピューティングデバイスを識別する)、ユーザ名、レコード/行におけるユーザ名と関連付けられたユーザが、そのレコード/行のソフトウェアアプリケーション名によって参照されるソフトウェアアプリケーションと関連付けられた「高い特権」を有するか否かのインディケータ、及びソフトウェアアプリケーションがユーザによって使用された回数を含む、変数/フィールド間の「マッピング」又は関連付けを示す、ユーザロールデータベース(例えば、図1Aのユーザロールデータベース104A及び/又は図1Bのユーザロールデータベース104B)の表例を示す。ユーザロールの決定、識別、又は検出を行う(例えば、本明細書に記載するように、コンピューティングデバイス及び/又は管理サーバのプロセッサによって行われるクエリーに基づいて)ために、本明細書に開示するシステム及び方法によって(例えば、図1Aのネットワーク化システム100A又は図1Bのネットワーク化システム100Bを使用して)、上記の変数の任意の組み合わせを使用することができる。表1Bは、管理ロール(表1Bにおいて、及び表1Aの関連レコード例において「*」で表される)、財務/会計ロール(表1Bにおいて、及び表1Aの関連レコード例において「**」で表される)、並びに開発者ロール(表1Bにおいて、及び表1Aの関連レコード例において「***」で表される)を有するユーザの予想挙動例を示す。
[0053] ユーザロールデータベース内の、変数/フィールドとユーザロールとの間の対応例を表1Aに示す。例えば、ユーザ名「Mike Miller」にマッチするレコード(又は行)は、「devenv.env」、「vstest.exe」、及び「git.exe」という実行ファイル名、並びに156、368、及び1,358の関連した「使用回数」値(すなわち、使用レベル)をそれぞれ示すレコード42、43、及び47を含む。表1Aの「使用回数」列における値は、ソフトウェアアプリケーションが、ある一定期間にわたり立ち上げられた回数を指す。レコード42は、「devenv.exe」が156回使用されたことも示す。ユーザ名「Mike Miller」にマッチするレコードは、実行ファイル「powershell.exe」及び「cmd.exe」が、高い特権で、並びに23及び86の使用頻度でそれぞれ起動されたことを示すレコード38及び39も含む。ユーザ名「Mike Miller」にマッチするレコードは、レコード44、48、51、53、及び55も含む。レコード44は、「notepad++.exe」ソフトウェアが、97回使用されたことを示す。レコード48は、「mstsc.exe」(「Remote Desktop」というソフトウェア名を有する)ソフトウェアが、294回使用されたことを示す。レコード51は、「chrome.exe」ソフトウェアが、2,596回使用されたことを示す。レコード53は、「slack.exe」ソフトウェアが、79回使用されたことを示す。レコード55は、「iis.exe」ソフトウェアが、43回使用されたことを示す。「Mike Miller」というユーザ名にマッチするレコードの情報、及び表1Bの予想ユーザ挙動に基づいて、「開発者」のユーザロールが識別され得る。例えば、表1Bによれば、開発者ロールに割り当てられたユーザから、以下の挙動:(1)DevEnv及びvstest(ユーザ「Mike Miller」の場合、表1Aのレコード42及び43に示されるように)などの開発ツールを起動すること、(2)git.exe(ユーザ「Mike Miller」の場合、表1Aのレコード47に示されるように)などのソース制御ユーティリティを起動すること、(3)中程度から高程度のリモートデスクトップ使用(ユーザ「Mike Miller」の場合、表1Aのレコード48に示されるように)、並びに(4)slack.exe(ユーザ「Mike Miller」の場合、表1Aのレコード53に示されるように)などのコラボレーションツールの使用が予想される。ユーザロールを識別するための変数/フィールドの特定の組み合わせ及び値を参照して、図示及び記載したが、他の組み合わせが追加的又は代替的に使用されてもよい。
[0054] 図2は、別の実施形態による、図1Aのネットワーク化システム100A及び/又は図1Bのネットワーク化システム100Bによって実施可能な、ユーザ挙動決定及びコンピュータセキュリティ実施の方法200を示すフロー図である。方法200は、例えば、ソフトウェア特性及び/又はタグ付けに基づいて、一人又は複数の関連のユーザに関する1つ又は複数の挙動基準を決定するために使用され得る。この方法は、コンピューティングデバイス(例えば、図1Aの108A又は図1Bの108B)によって実施され得る。図2に示すように、コンピューティングデバイスは、ユーザがコンピューティングデバイス上でどのソフトウェアアプリケーションを起動するかを決定する(236aにおいて)。例えば、コンピューティングデバイスは、コンピューティングデバイスにインストールされた1つ又は複数のソフトウェアアプリケーションを検出することによって、ユーザがコンピューティングデバイス上でどのソフトウェアアプリケーションを起動するかを決定する。他の例では、コンピューティングデバイスは、どのソフトウェアアプリケーションをユーザが起動するかのモニタリング及び/又は検出を行うことによって、ユーザがコンピューティングデバイス上でどのソフトウェアアプリケーションを起動するかを決定し得る。
[0055] コンピューティングデバイスは、236bにおいて、ユーザが起動するソフトウェアアプリケーションに基づいて、ユーザロールを決定する。例えば、コンピューティングデバイスのプロセッサは、ロール決定モジュールによって、1つ又は複数のソフトウェアアプリケーションを識別し、及び識別された1つ又は複数のソフトウェアアプリケーションをユーザロールデータベースと比較するために、ユーザのコンピューティングデバイス上のソフトウェアインストールの分析又はクエリーを行い得る。代替的又は追加的に、プロセッサは、ロール決定モジュールによって、ユーザのソフトウェア使用挙動を識別するために、コンピューティングデバイスによって受信され、及び/又はコンピューティングデバイス内に保存されたソフトウェア使用ログの分析及び/又はクエリーを行い得る。プロセッサは、ユーザロール決定モジュールによって、ソフトウェアインストール及び/又はソフトウェア使用挙動に基づいて、ユーザをユーザロールに「タグ付け」又は関連付け得る。上述の通り、特定のソフトウェアアプリケーション又はソフトウェアアプリケーションの組み合わせが、特定のロールにマッピングされ得る。
[0056] 236cでは、コンピューティングデバイスが、決定されたユーザロールに基づいて、ユーザの1つ又は複数の挙動基準を決定する。例えば、コンピューティングデバイスは、集中制御が望ましい(例えば、コンピューティングデバイスとネットワーク通信する管理サーバで実施されるポリシーを用いて)1つ又は複数のユーザ挙動及び/又は挙動パターンを検出し得る。コンピューティングデバイスは、ユーザロール情報を管理サーバに送信することもできる。管理サーバは、複数の異なるロールと関連付けられた複数の異なるロールレコードを含むユーザロールディレクトリを保存し得る。ユーザは、ロールレコード内の異なるロールと関連付けられ得る。幾つかの実施では、ユーザロールディレクトリは、アクティブディレクトリである。
[0057] 図3は、別の実施形態による、図1Aのネットワーク化システム100A及び/又は図1Bのネットワーク化システム100Bによって実施可能な、ユーザロール決定の方法300を示すフロー図である。この方法は、コンピューティングデバイス(例えば、図1Aの108A又は図1Bの108B)のプロセッサによって実施され得る。図3に示すように、コンピューティングデバイスは、337aにおいて、ソフトウェアアプリケーション又はソフトウェアアプリケーションの組み合わせを特定のユーザロールにマッピングする。例えば、1つ又は複数のソフトウェアアプリケーションの第1のセットの使用及び/又はインストールは、第1のユーザロールを示し、1つ又は複数のソフトウェアアプリケーションの第2のセットの使用及び/又はインストールは、第2のユーザロールを示し得る。337bにおいて、コンピューティングデバイスは、どのソフトウェアアプリケーションをユーザがコンピューティングデバイスにインストールしたかを決定する。337cにおいて、コンピューティングデバイスは、ユーザがインストールしたソフトウェアアプリケーションに基づいて、ユーザロールを決定する。例えば、コンピューティングデバイスのプロセッサは、ユーザが割り当てられた、又はユーザが関連付けられた1つ又は複数のユーザロールを識別するために、ユーザがインストールしたソフトウェアアプリケーションをソフトウェアマッピング(例えば、コンピューティングデバイスのメモリに、又はコンピューティングデバイスと動作可能にネットワーク通信した管理サーバに保存された)と比較し得る。337dでは、コンピューティングデバイスは、ユーザを識別された1つ又は複数のユーザロールと「タグ付け」又は関連付ける。337dにおけるユーザのタグ付けは、幾つかの実施形態では、自動的に行われる。コンピューティングデバイスによって実施されると図示及び記載されるが、方法300は、管理サーバ上で、又はネットワーク上で互いに通信するコンピューティングデバイスと管理サーバとの間の協力により実施することもできる。図3は、現在インストールされているソフトウェアアプリケーション(例えば、ある時点における)に基づいた、ユーザロールとのユーザの関連付けを示すが、図4を参照して図示及び記載されるように、ある期間にわたってユーザによって使用されるソフトウェアアプリケーションの能動的モニタリングに応答して、ユーザをユーザロールと関連付けることも可能である。
[0058] 図4は、ある実施形態による、図1Aのネットワーク化システム100A及び/又は図1Bのネットワーク化システム100Bによって実施可能な、ユーザロール決定の方法400を示すフロー図である。この方法は、コンピューティングデバイス(例えば、図1Aの108A又は図1Bの108B)によって実施され得る。図4に示すように、コンピューティングデバイスは、438aにおいて、複数のソフトウェアアプリケーション及び/又はソフトウェアアプリケーションの組み合わせを1つ又は複数のユーザロールにマッピングし、又は関連付ける。例えば、1つ又は複数のソフトウェアアプリケーションの第1のセットの使用及び/又はインストールは、第1のユーザロールを示し、1つ又は複数のソフトウェアアプリケーションの第2のセットの使用及び/又はインストールは、第2のユーザロールを示し得る。438bでは、コンピューティングデバイスは、どのソフトウェアアプリケーションをユーザが起動するか(例えば、「ソフトウェア使用」)をモニタリングする。例えば、コンピューティングデバイスは、所定の期間にわたり、どのソフトウェアアプリケーションがユーザによって使用されるかをモニタリングし得る。コンピューティングデバイスは、ソフトウェア使用ログで、このソフトウェアアプリケーションの使用をログ記録し得る。438cでは、コンピューティングデバイスは、ソフトウェア使用に基づいて、1つ又は複数のユーザロールを決定する。例えば、コンピューティングデバイスは、ソフトウェア使用ログに基づいて、どのソフトウェアアプリケーションをユーザが起動するかを決定し得る。ソフトウェア使用ログで識別されたソフトウェアアプリケーションを使用して、コンピューティングデバイスは、ユーザが属するユーザロールを識別するために、ソフトウェアマッピングを評価し得る。438dにおいて、コンピューティングデバイスは、ユーザをマッピングされたユーザロールにタグ付けし、又は関連付ける。438dにおけるユーザのタグ付けは、幾つかの実施形態では、自動的に行われる。コンピューティングデバイスによって実施されると図示及び記載されるが、方法400は、管理サーバ上で、又はネットワーク上で互いに通信するコンピューティングデバイスと管理サーバとの間の協力により実施することもできる。
[0059] 図5は、ある実施形態による、図1Aのネットワーク化システム100A及び/又は図1Bのネットワーク化システム100Bによって実施可能な、ユーザ挙動決定及びコンピュータセキュリティ実施のネットワーク化システムを示すブロック図である。ネットワーク化システム500を用いて、ユーザの挙動基準を、例えばソフトウェア特性及び/又は使用に基づいて、決定することができ、並びに、タグ付けを実施することができる。図5に示すように、マネージメントサーバ302が、ルータ344に接続される。ルータ344は、スイッチ346a、346b、及び346cに接続される。スイッチ346aは、幾つかのノード304a、304b、304cなどに対して、ノードそれぞれのサブネット348a、348b、及び348cを介して接続される。スイッチ346bは、幾つかのノード304d、304e、304fなどに対して、ノードそれぞれのサブネット348d、348e、及び348fを介して接続される。スイッチ346cは、幾つかのノード304g、304h、304iなどに対して、ノードそれぞれのサブネット348g、348h、及び348iを介して接続される。サブネットI348iは、1つ又は複数のノード304を含む。図5は、1つのルータ344、並びに、限られた数のスイッチ346、サブネット348、及びノード304のみを示すが、文脈ベースの特権緩和のためのシステム及び方法を実施し得るネットワーク及び/又はシステム内に、多数の、及び異なる数のルータ344、スイッチ346、サブネット348、及びノード304が含まれ得る。
[0060] マネージメントサーバ302は、それぞれ図1A及び図1Bに関連して記載された管理サーバ102A及び102Bに従って実施され得る。さらに、ノード304は、それぞれ図1A及び図1Bに関連して記載されたコンピューティングデバイス108A及び108Bの1つ又は複数の例でもよい。
[0061] 図6は、ある実施形態による、ユーザの挙動決定及びコンピュータセキュリティ実施用のコンピューティングデバイスを示す。コンピューティングデバイス404は、それぞれ図1A及び1Bに関連して記載された管理サーバ102A及び102B、及び/又はそれぞれ図1A及び図1Bに関連して記載されたコンピューティングデバイス108A及び108Bに従って実施され得る。図6に示すように、コンピューティングデバイス404は、プロセッサ452及びメモリ454を含む。メモリ454は、命令456a及びデータ458aを含む。プロセッサ452は、コンピューティングデバイス404の動作を制御し、及び例えば、マイクロプロセッサ、マイクロコントローラ、デジタル信号プロセッサ(DSP)、又は当技術分野で公知の他のデバイスでもよい。プロセッサ452は、メモリ454から受信したプログラム命令456b及び/又はデータ458bに基づいて、論理及び算術演算を行うように構成される。例えば、プロセッサ452は、図1Aのソフトウェアインストール決定モジュール1414A、ユーザロール決定モジュール116A、及び/又は挙動基準決定モジュール120A、及び/又は図1bの挙動基準決定モジュール120B、ユーザロール決定モジュール116B、ソフトウェアインストール決定モジュール114B、及び/又はソフトウェアインストール使用モジュール136などの1つ又は複数のモジュールを実行し得る。
[0062] コンピューティングデバイス404は、他の電子デバイスと通信するための1つ又は複数の通信インタフェース460を含む。通信インタフェース460は、有線通信技術、無線通信技術、又はその両方に基づいたものでもよい。異なるタイプの通信インタフェース460の例には、シリアルポート、パラレルポート、ユニバーサルシリアルバス(USB)、イーサネットアダプタ、IEEEバスインタフェース、小型コンピュータシステムインタフェース(SCSI)バスインタフェース、赤外線(IR)通信ポート、Bluetooth(登録商標)無線通信アダプタなどが含まれる。
[0063] コンピューティングデバイス404は、1つ又は複数の入力デバイス462、及び1つ又は複数の出力デバイス464を含み得る。異なる種類の入力デバイス462の例には、キーボード、マウス、マイクロホン、リモート制御デバイス、ボタン、ジョイスティック、トラックボール、タッチパッド、ライトペンなどが含まれる。異なる種類の出力デバイス464の例には、スピーカ、プリンタなどが含まれる。コンピュータシステムに含まれ得る出力デバイスの具体的なタイプの1つは、ディスプレイデバイス466である。本明細書に開示する構成と共に使用されるディスプレイデバイス466は、液晶ディスプレイ(LCD)、発光ダイオード(LED)、気体プラズマ、エレクトロルミネセンス、又は陰極線管(CRT)などの任意の適宜の画像投影技術を利用し得る。
[0064] コンピューティングデバイス404は、メモリ454に保存されたデータをディスプレイデバイス466上に示されるテキスト、グラフィックス、及び/又は動画(必要に応じて)に変換するためのディスプレイコントローラ468も含む。図6は、コンピューティングデバイス404の構成例の1つを示し、並びに、様々な他のアーキテクチャ及びコンポーネントも使用され得る。
[0065] 上記の説明では、時に、様々な用語に関連して参照番号を使用している。ある用語が、ある参照番号に関連して使用される場合、これは、図面の1つ又は複数に示される、ある特定の要素を指すことが意図されている。ある用語が、参照番号なしに使用される場合、これは、特定の図面に限定することなく、一般的にその用語を指すことが意図される。
[0066] 「自動的に」という用語は、本明細書では、ユーザなどの外部ソースによる直接的入力又はプロンプティングなしに生じる行為を修飾するために使用される。自動的に生じる行為は、定期的に、散発的に、検出された事象(例えば、ユーザのログイン)に応答して、又は所定のスケジュールに従って生じ得る。「決定」という用語は、多種多様な行為を包含し、及び従って、「決定」は、計算、演算、処理、導出、調査、検索(例えば、表、データベース、又は別のデータ構造における検索)、及び確認などを含み得る。また、「決定」は、受信(例えば、情報の受信)及びアクセス(例えば、メモリのデータへのアクセス)などを含み得る。また、「決定」は、決断、選択、選定、及び確立などを含み得る。
[0067] 「〜に基づく」という表現は、明示的に別段の指定のない限り、「〜のみに基づく」ことを意味しない。つまり、「〜に基づく」という表現は、「〜のみに基づく」及び「少なくとも〜に基づく」の両方を表す。
[0068] 「プロセッサ」という用語は、汎用プロセッサ、中央処理装置(CPU)、マイクロプロセッサ、デジタル信号プロセッサ(DSP)、コントローラ、マイクロコントローラ、状態機械などを包含すると広く解釈されるものである。状況によっては、「プロセッサ」は、特定用途向け集積回路(ASIC)、プログラマブル論理デバイス(PLD)、フィールドプログラマブルゲートアレイ(FPGA)などを指し得る。「プロセッサ」という用語は、処理デバイスの組み合わせ、例えば、DSP及びマイクロプロセッサの組み合わせ、マルチマイクロプロセッサ、DSPコアと併せた1つ若しくは複数のマイクロプロセッサ、又はその他のそのような構成を指し得る。
[0069] 「メモリ」という用語は、電子情報を保存可能なあらゆる電子コンポーネントを包含すると広く解釈されるものである。メモリという用語は、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、不揮発性ランダムアクセスメモリ(NVRAM)、プログラマブルリードオンリーメモリ(PROM)、消去可能なプログラマブルリードオンリーメモリ(EPROM)、電気的消去可能PROM(EEPROM)、フラッシュメモリ、磁気又は光データストレージ、レジスタなどの様々なタイプのプロセッサ可読媒体を指し得る。メモリは、プロセッサが、メモリから情報を読み取ること、及び/又はメモリに情報を書き込むことが可能である場合に、プロセッサと電子通信していると言われる。プロセッサと一体型のメモリは、プロセッサと電子通信している。
[0070] 「命令」及び「コード」という用語は、あらゆるタイプの1つ又は複数のコンピュータ可読命令文を含むと広く解釈されるものである。例えば、「命令」及び「コード」という用語は、1つ又は複数のプログラム、ルーチン、サブルーチン、関数、プロシージャなどを指し得る。「命令」及び「コード」は、単一のコンピュータ可読命令文、又は多くのコンピュータ可読命令文を含み得る。
[0071] 様々な実施形態を上記に記載したが、それらは、単なる例として、及び限定ではなく提示されたものであることが理解されるものとする。上記の方法及び/又は図が、特定の順序で生じる特定の事象及び/又はフローパターンを示す場合、特定の事象及び/又はフローパターンの順序付けは、変更され得る。実施形態を具体的に図示及び記載したが、形式及び詳細の点で様々な変更が成され得ることが理解されるだろう。
[0072] 様々な実施形態が、特定のフィーチャ及び/又はコンポーネントの組み合わせを有すると記載したが、上述の実施形態の何れかの任意のフィーチャ及び/又はコンポーネントの組み合わせを有する他の実施形態が可能である。
[0073] 本明細書に記載の幾つかの実施形態は、様々なコンピュータ実施動作を行うための命令又はコンピュータコードを有する非一時的コンピュータ可読媒体(非一時的プロセッサ可読媒体とも呼ばれ得る)を備えたコンピュータストレージプロダクトに関する。コンピュータ可読媒体(又はプロセッサ可読媒体)は、それ自体が、一時的な伝搬信号(例えば、空間又はケーブルなどの伝送媒体上で情報を運ぶ伝搬電磁波)を含まない点で非一時的である。媒体及びコンピュータコード(コードとも呼ばれ得る)は、1つ又は複数の特定の目的のために設計及び構築されたものでもよい。非一時的コンピュータ可読媒体の例には、限定されないが、ハードディスク、フロッピーディスク、及び磁気テープなどの磁気ストレージ媒体;コンパクトディスク/デジタルビデオディスク(CD/DVD)、コンパクトディスク−リードオンリーメモリ(CD−ROM)、及びホログラフィックデバイスなどの光ストレージ媒体;光ディスクなどの光磁気ストレージ媒体;搬送波信号処理モジュール;並びに特定用途向け集積回路(ASIC)、プログラマブル論理デバイス(PLD)、リードオンリーメモリ(ROM)、及びランダムアクセスメモリ(RAM)デバイスなどのプログラムコードの保存及び実行を行うように特別に構成されたハードウェアデバイスが含まれる。本明細書に記載の他の実施形態は、例えば、本明細書で述べた命令及び/又はコンピュータコードを含み得るコンピュータプログラムプロダクトに関する。
[0074] 本明細書に記載の幾つかの実施形態及び/又は方法は、ソフトウェア(ハードウェア上で実行される)、ハードウェア、又はそれらの組み合わせによって行われ得る。ハードウェアモジュールは、例えば、汎用プロセッサ、フィールドプログラマブルゲートアレイ(FPGA)、及び/又は特定用途向け集積回路(ASIC)を含み得る。ソフトウェアモジュール(ハードウェア上で実行される)は、C、C++、Java(商標)、Ruby、Visual Basic(商標)、及び/又は他のオブジェクト指向、手続き型、若しくは他のプログラミング言語並びに開発ツールを含む様々なソフトウェア言語(例えば、コンピュータコード)で表現され得る。コンピュータコードの例には、限定されないが、マイクロコード又はマイクロ命令、機械命令(例えば、コンパイラによって生成されたもの)、ウェブサービスを生成するために使用されるコード、及びインタプリタを使用してコンピュータによって実行される高水準命令を含むファイルが含まれる。例えば、実施形態は、実行型プログラミング言語(例えば、C、Fortranなど)、関数型プログラミング言語(Haskell、Erlangなど)、論理プログラミング言語(例えば、Prolog)、オブジェクト指向プログラミング言語(例えば、Java、C++など)、若しくは他の適宜のプログラミング言語、及び/又は開発ツールを使用して実施され得る。コンピュータコードの追加の例には、限定されないが、制御信号、暗号化コード、及び圧縮コードが含まれる。
[0075] 「コンピュータ可読媒体」という用語は、コンピュータ又はプロセッサによってアクセス可能な、あらゆる利用可能な非一時的有形媒体を指す。例として、及び限定ではなく、コンピュータ可読媒体は、RAM、ROM、EEPROM、CD−ROM、若しくは他の光ディスクストレージ、磁気ディスクストレージ若しくは他の磁気ストレージデバイス、又は命令若しくはデータ構造の形で所望のプログラムコードの保持若しくは保存を行うために使用することができ、及びコンピュータによるアクセスが可能なその他の媒体を含み得る。本明細書で使用するディスク(disk)及びディスク(disc)には、コンパクトディスク(CD)、レーザディスク、光ディスク、デジタル多用途ディスク(DVD)、フロッピーディスク、及びBlu-ray(登録商標)が含まれ、通常、ディスク(disk)は、データを磁気的に再生し、ディスク(disc)は、データをレーザで光学的に再生する。
[0076] ソフトウェア又は命令は、伝送媒体上で伝送されてもよい。例えば、ソフトウェアが、ウェブサイト、サーバ、又は他のリモートソースから、同軸ケーブル、光ファイバケーブル、ツイストペア、デジタル加入者回線(DSL)、又は赤外線、無線、及びマイクロ波などの無線技術を用いて伝送される場合には、同軸ケーブル、光ファイバケーブル、ツイストペア、DSL、又は赤外線、無線、及びマイクロ波などの無線技術は、伝送媒体の定義に含まれる。
[0077] 本明細書に開示する方法は、記載の方法を達成するための1つ又は複数のステップ又は行為を含む。方法ステップ及び/又は行為は、請求項の範囲から逸脱することなく、互いに入れ替えられ得る。つまり、記載されている方法の適切な動作のために、ステップ又は行為の特定の順序が必要とされない限り、特定のステップ及び/又は行為の順序及び/又は使用は、請求項の範囲から逸脱することなく変更され得る。
[0078] 請求項は、上記で例示した正確な構成及びコンポーネントに限定されないことが理解されるものとする。請求項の範囲から逸脱することなく、本明細書に記載のシステム、方法、及び装置の配置、動作、及び詳細において、様々な修正、変更、及び変形が行われ得る。

Claims (25)

  1. プロセッサと、
    前記プロセッサに動作可能に結合されたメモリと、
    を含む装置であって、前記プロセッサが、
    クライアントコンピューティングデバイスにインストールされたソフトウェアアプリケーション、又は
    前記クライアントコンピューティングデバイスの現在のユーザに関連付けられ、及び前記ソフトウェアアプリケーションに関連付けられた使用データ、
    の少なくとも一方を検出することと、
    前記クライアントコンピューティングデバイスにインストールされた前記ソフトウェアアプリケーション、又は前記使用データの前記少なくとも一方に基づいて、前記クライアントコンピューティングデバイスの前記現在のユーザのユーザロールを識別することと、
    前記クライアントコンピューティングデバイスの前記現在のユーザの前記ユーザロールに基づいて、前記ソフトウェアアプリケーションの少なくとも一部に対する前記クライアントコンピューティングデバイスの前記現在のユーザによるアクセスを制限するために、セキュリティ構成を前記クライアントコンピューティングデバイスに適用することと、
    アクティブディレクトリ(AD)データベースに保存するために、前記ユーザロールの識別子を管理サーバに送信することと、
    を行うように構成された、装置。
  2. 前記プロセッサが、前記クライアントコンピューティングデバイスの前記現在のユーザの前記ユーザロールに基づいて、前記クライアントコンピューティングデバイスの前記現在のユーザの予想挙動を識別するようにさらに構成される、請求項1に記載の装置。
  3. 前記プロセッサが、
    前記クライアントコンピューティングデバイスの前記現在のユーザの予想挙動から逸脱する、前記クライアントコンピューティングデバイスの前記現在のユーザの挙動を検出することと、
    前記クライアントコンピューティングデバイスの前記現在のユーザの前記挙動の検出に応答して、前記管理サーバにアラートを送信することと、
    を行うようにさらに構成される、請求項1に記載の装置。
  4. 前記プロセッサが、ソフトウェア使用ログに基づいて、前記使用データを検出するように構成される、請求項1に記載の装置。
  5. 前記プロセッサが、所定の期間にわたり、前記クライアントコンピューティングデバイスの前記現在のユーザのソフトウェア使用をモニタリングすることによって、前記使用データを識別するように構成される、請求項1に記載の装置。
  6. 前記プロセッサが、サーバから、前記クライアントコンピューティングデバイスに対する前記セキュリティ構成を実施する命令をエンコードする信号を受信するようにさらに構成される、請求項1に記載の装置。
  7. 前記プロセッサが、前記クライアントコンピューティングデバイスに対する前記セキュリティ構成を実施する命令をエンコードする信号を送信することによって、前記セキュリティ構成を前記クライアントコンピューティングデバイスに適用するように構成される、請求項1に記載の装置。
  8. 前記プロセッサが、前記クライアントコンピューティングデバイスにおいて前記セキュリティ構成を実施することによって、前記セキュリティ構成を前記クライアントコンピューティングデバイスに適用するように構成される、請求項1に記載の装置。
  9. 前記プロセッサ及び前記メモリが、前記クライアントコンピューティングデバイスにある、請求項1に記載の装置。
  10. 前記プロセッサ及び前記メモリが、前記管理サーバにある、請求項1に記載の装置。
  11. 前記ユーザロールが、第1のユーザロールであり、前記プロセッサが、
    所定の期間にわたり、前記クライアントコンピューティングデバイスの前記現在のユーザのソフトウェア使用をモニタリングすることと、
    前記モニタリングされたソフトウェア使用に基づいて、前記第1のユーザロールとは異なる第2のユーザロールを識別することと、
    を行うようにさらに構成される、請求項1に記載の装置。
  12. 前記プロセッサが、前記ユーザロール及び前記使用データに基づいて、前記クライアントコンピューティングデバイスの前記現在のユーザのセキュリティリスクを識別するようにさらに構成される、請求項1に記載の装置。
  13. プロセッサと、
    前記プロセッサに動作可能に結合されたメモリと、
    を含む装置であって、前記プロセッサが、
    クライアントコンピューティングデバイスにインストールされたソフトウェアアプリケーション、又は
    前記クライアントコンピューティングデバイスの現在のユーザに関連付けられ、及び前記ソフトウェアアプリケーションに関する使用データ、
    の少なくとも一方を識別することと、
    前記クライアントコンピューティングデバイスにインストールされた前記ソフトウェアアプリケーション、又は前記使用データに基づいて、前記クライアントコンピューティングデバイスの前記現在のユーザのユーザロールを識別することと、
    前記クライアントコンピューティングデバイスの前記現在のユーザの前記ユーザロールに基づいて、前記クライアントコンピューティングデバイスの前記現在のユーザの予想挙動を予測することと、
    前記クライアントコンピューティングデバイスにおいて、及び前記クライアントコンピューティングデバイスの前記現在のユーザの前記予想挙動に基づいて、前記クライアントコンピューティングデバイスの前記現在のユーザの特権レベルを修正することであって、前記特権レベルが、前記ソフトウェアアプリケーションに関連付けられることと、
    アクティブディレクトリ(AD)データベースに保存するために、前記ユーザロールの識別子を管理サーバに送信することと、
    を行うように構成された、装置。
  14. 前記プロセッサが、ソフトウェア使用ログに基づいて、前記使用データを識別するように構成される、請求項13に記載の装置。
  15. 前記プロセッサが、所定の期間にわたり、前記クライアントコンピューティングデバイスの前記現在のユーザによるソフトウェア使用をモニタリングすることによって、前記使用データを識別するように構成される、請求項13に記載の装置。
  16. 前記使用データが、前記ソフトウェアアプリケーションの使用頻度、前記ソフトウェアアプリケーションのフィーチャの使用頻度、前記ソフトウェアアプリケーションのブロックされたフィーチャの使用を試みた頻度、前記ソフトウェアアプリケーションのアクセスされたフィーチャのセット、又は前記クライアントコンピューティングデバイスのデスクトップのリモートアクセスの量の少なくとも1つを含む、請求項13に記載の装置。
  17. 前記ソフトウェアアプリケーションが、第1のソフトウェアアプリケーションであり、前記プロセッサが、前記クライアントコンピューティングデバイスにインストールされた第2のソフトウェアアプリケーションを識別するようにさらに構成され、前記プロセッサが、前記メモリ内に保存された、前記第1のソフトウェアアプリケーションと、前記第2のソフトウェアアプリケーションと、前記ユーザロールの前記識別子との間の関連に基づいて、前記クライアントコンピューティングデバイスの前記現在のユーザの前記ユーザロールを識別するように構成される、請求項13に記載の装置。
  18. 方法であって、
    クライアントコンピューティングデバイスにおいて、
    前記クライアントコンピューティングデバイスにインストールされたソフトウェアアプリケーション、又は
    前記クライアントコンピューティングデバイスの現在のユーザに関連付けられ、及び前記ソフトウェアアプリケーションに関する使用データ、
    の少なくとも一方を識別することと、
    前記クライアントコンピューティングデバイスにインストールされた前記ソフトウェアアプリケーション、又は前記使用データに基づいて、前記クライアントコンピューティングデバイスの前記現在のユーザのユーザロールを識別することと、
    前記クライアントコンピューティングデバイスの前記現在のユーザの前記ユーザロールに基づいて、前記クライアントコンピューティングデバイスの前記現在のユーザの予想挙動を識別することと、
    前記クライアントコンピューティングデバイスの前記現在のユーザの前記予想挙動に基づいて、少なくとも1つの認可デバイスが、前記クライアントコンピューティングデバイスに動作可能に結合された時に、前記クライアントコンピューティングデバイスの前記現在のユーザがアクセスできる前記少なくとも1つの認可デバイスを定義するためのデバイス制御ポリシーを、前記クライアントコンピューティングデバイスにおいて適用することと、
    前記識別されたユーザロールを管理サーバに送信することと、
    を含む方法。
  19. 前記少なくとも1つの認可デバイスが、ユニバーサルシリアルバス(USB)デバイス、フロッピードライブ、コンパクトディスク(CD)ドライブ、プリンタ、カメラ、マイクロホン、コンピュータマウス、キーボード、又はスピーカの少なくとも1つを含む、請求項18に記載の方法。
  20. 前記デバイス制御ポリシーが、前記少なくとも1つの認可デバイスが、前記クライアントコンピューティングデバイスに無線接続された時に、前記クライアントコンピューティングデバイスの前記現在のユーザがアクセスできる前記少なくとも1つの認可デバイスを識別する、請求項18に記載の方法。
  21. メモリに保存されたユーザレコードを、前記識別されたユーザロールと関連付けることをさらに含む、請求項18に記載の方法。
  22. 前記使用データの前記識別が、ソフトウェア使用ログに基づく、請求項18に記載の方法。
  23. 前記使用データの前記識別が、所定の期間にわたり、前記クライアントコンピューティングデバイスの前記現在のユーザによるソフトウェア使用をモニタリングすることによって、前記使用データを生成することを含む、請求項18に記載の方法。
  24. 前記クライアントコンピューティングデバイスの前記現在のユーザに関する前記ユーザロールの前記識別が、
    クエリーをエンコードする信号を前記管理サーバに送信することであって、前記クエリーが、前記クライアントコンピューティングデバイスにインストールされた前記少なくとも1つのソフトウェアアプリケーション及び前記使用データのインディケータを含むことと、
    前記クライアントコンピューティングデバイスの前記現在のユーザに関する前記ユーザロールのインディケータを含む前記クエリーに対する応答を前記管理サーバから受信することと、
    を含む、請求項18に記載の方法。
  25. 前記使用データの前記識別が、
    前記管理サーバにクエリーをエンコードする信号を送信することであって、前記クエリーが、前記クライアントコンピューティングデバイスの前記現在のユーザのインディケータ、前記クライアントコンピューティングデバイスのインディケータ、及び前記ソフトウェアアプリケーションのインディケータを含むことと、
    前記少なくとも1つのソフトウェアアプリケーションの前記ソフトウェアアプリケーションに関する前記使用データを含む前記クエリーに対する応答を前記管理サーバから受信することと、
    を含む、請求項18に記載の方法。
JP2019546018A 2017-02-27 2018-02-27 ロールベースコンピュータセキュリティ構成のシステム及び方法 Active JP7030133B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762464222P 2017-02-27 2017-02-27
US62/464,222 2017-02-27
PCT/US2018/019940 WO2018157127A1 (en) 2017-02-27 2018-02-27 Systems and methods for role-based computer security configurations

Publications (3)

Publication Number Publication Date
JP2020508523A true JP2020508523A (ja) 2020-03-19
JP2020508523A5 JP2020508523A5 (ja) 2021-02-25
JP7030133B2 JP7030133B2 (ja) 2022-03-04

Family

ID=61622745

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019546018A Active JP7030133B2 (ja) 2017-02-27 2018-02-27 ロールベースコンピュータセキュリティ構成のシステム及び方法

Country Status (7)

Country Link
US (2) US10834091B2 (ja)
EP (1) EP3586262B1 (ja)
JP (1) JP7030133B2 (ja)
CN (1) CN110462623B (ja)
AU (1) AU2018223809B2 (ja)
CA (1) CA3054609A1 (ja)
WO (1) WO2018157127A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3019559A4 (en) 2013-08-22 2017-04-05 Sony Corporation Water soluble fluorescent or colored dyes and methods for their use
EP3436529A1 (en) 2016-04-01 2019-02-06 Sony Corporation Ultra bright dimeric or polymeric dyes
WO2017197144A1 (en) 2016-05-11 2017-11-16 Sony Corporation Ultra bright dimeric or polymeric dyes
KR20200083605A (ko) 2017-11-16 2020-07-08 소니 주식회사 프로그램가능한 중합체성 약물
US11874280B2 (en) 2018-03-19 2024-01-16 Sony Group Corporation Use of divalent metals for enhancement of fluorescent signals
US11115421B2 (en) * 2019-06-26 2021-09-07 Accenture Global Solutions Limited Security monitoring platform for managing access rights associated with cloud applications
KR20190106950A (ko) * 2019-08-31 2019-09-18 엘지전자 주식회사 지능형 디바이스 및 그 제어 방법
KR20230012097A (ko) 2019-09-26 2023-01-25 소니그룹주식회사 링커 그룹을 갖는 중합체성 탠덤 염료
CN112231336B (zh) * 2020-07-17 2023-07-25 北京百度网讯科技有限公司 识别用户的方法、装置、存储介质及电子设备
US10965686B1 (en) * 2020-12-30 2021-03-30 Threatmodeler Software Inc. System and method of managing privilege escalation in cloud computing environments
US20230336542A1 (en) * 2022-04-13 2023-10-19 Webshare Software Company Proxy direct connect

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0887454A (ja) * 1994-08-15 1996-04-02 Internatl Business Mach Corp <Ibm> 分散および集中コンピュータ・システムにおける拡張役割ベース・アクセス制御の方法およびシステム
JP2009301357A (ja) * 2008-06-13 2009-12-24 Fujitsu Ltd アクセス制御プログラム
US20140109168A1 (en) * 2012-10-15 2014-04-17 International Business Machines Corporation Automated role and entitlements mining using network observations

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9213836B2 (en) * 2000-05-28 2015-12-15 Barhon Mayer, Batya System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages
US20060015450A1 (en) * 2004-07-13 2006-01-19 Wells Fargo Bank, N.A. Financial services network and associated processes
US9323922B2 (en) * 2005-01-06 2016-04-26 Oracle International Corporation Dynamically differentiating service in a database based on a security profile of a user
US7606801B2 (en) * 2005-06-07 2009-10-20 Varonis Inc. Automatic management of storage access control
US20060294580A1 (en) * 2005-06-28 2006-12-28 Yeh Frank Jr Administration of access to computer resources on a network
US8145241B2 (en) * 2005-06-30 2012-03-27 Armstrong, Quinton Co. LLC Methods, systems, and computer program products for role- and locale-based mobile user device feature control
US20070043716A1 (en) * 2005-08-18 2007-02-22 Blewer Ronnie G Methods, systems and computer program products for changing objects in a directory system
US20070143851A1 (en) 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US20080086473A1 (en) * 2006-10-06 2008-04-10 Prodigen, Llc Computerized management of grouping access rights
US8438611B2 (en) * 2007-10-11 2013-05-07 Varonis Systems Inc. Visualization of access permission status
US20090293121A1 (en) 2008-05-21 2009-11-26 Bigus Joseph P Deviation detection of usage patterns of computer resources
JP5083042B2 (ja) * 2008-05-30 2012-11-28 富士通株式会社 アクセス制御ポリシーの遵守チェック用プログラム
US7783752B2 (en) * 2008-10-15 2010-08-24 Microsoft Corporation Automated role based usage determination for software system
CN101854340B (zh) * 2009-04-03 2015-04-01 瞻博网络公司 基于访问控制信息进行的基于行为的通信剖析
US8972325B2 (en) * 2009-07-01 2015-03-03 Oracle International Corporation Role based identity tracker
US8806578B2 (en) * 2010-05-05 2014-08-12 Microsoft Corporation Data driven role based security
US20130283283A1 (en) * 2011-01-13 2013-10-24 Htc Corporation Portable electronic device and control method therefor
US8745759B2 (en) * 2011-01-31 2014-06-03 Bank Of America Corporation Associated with abnormal application-specific activity monitoring in a computing network
US8983877B2 (en) * 2011-03-21 2015-03-17 International Business Machines Corporation Role mining with user attribution using generative models
US8689298B2 (en) * 2011-05-31 2014-04-01 Red Hat, Inc. Resource-centric authorization schemes
US20130247222A1 (en) * 2011-09-16 2013-09-19 Justin Maksim Systems and Methods for Preventing Access to Stored Electronic Data
US8600995B1 (en) * 2012-01-25 2013-12-03 Symantec Corporation User role determination based on content and application classification
US8793489B2 (en) * 2012-03-01 2014-07-29 Humanconcepts, Llc Method and system for controlling data access to organizational data maintained in hierarchical
US8949931B2 (en) * 2012-05-02 2015-02-03 Cisco Technology, Inc. System and method for monitoring application security in a network environment
US9342606B2 (en) * 2012-12-11 2016-05-17 International Business Machines Corporation Intelligent software installation
US9467465B2 (en) 2013-02-25 2016-10-11 Beyondtrust Software, Inc. Systems and methods of risk based rules for application control
US9148416B2 (en) * 2013-03-15 2015-09-29 Airwatch Llc Controlling physical access to secure areas via client devices in a networked environment
US20150113614A1 (en) * 2013-10-18 2015-04-23 Sehrope Sarkuni Client based systems and methods for providing users with access to multiple data bases
US10063654B2 (en) * 2013-12-13 2018-08-28 Oracle International Corporation Systems and methods for contextual and cross application threat detection and prediction in cloud applications
US9692789B2 (en) * 2013-12-13 2017-06-27 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
US9235692B2 (en) * 2013-12-13 2016-01-12 International Business Machines Corporation Secure application debugging
US9563771B2 (en) * 2014-01-22 2017-02-07 Object Security LTD Automated and adaptive model-driven security system and method for operating the same
US9692765B2 (en) * 2014-08-21 2017-06-27 International Business Machines Corporation Event analytics for determining role-based access
US9836598B2 (en) 2015-04-20 2017-12-05 Splunk Inc. User activity monitoring
US10536478B2 (en) * 2016-02-26 2020-01-14 Oracle International Corporation Techniques for discovering and managing security of applications
WO2017177076A1 (en) * 2016-04-08 2017-10-12 Cloud Knox, Inc. Activity based access control in heterogeneous environments
US10972495B2 (en) * 2016-08-02 2021-04-06 Invincea, Inc. Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space
US10402564B2 (en) * 2016-08-16 2019-09-03 Nec Corporation Fine-grained analysis and prevention of invalid privilege transitions
US10120786B2 (en) * 2016-12-13 2018-11-06 Sap Se Programmatic access control validation
US10409367B2 (en) * 2016-12-21 2019-09-10 Ca, Inc. Predictive graph selection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0887454A (ja) * 1994-08-15 1996-04-02 Internatl Business Mach Corp <Ibm> 分散および集中コンピュータ・システムにおける拡張役割ベース・アクセス制御の方法およびシステム
JP2009301357A (ja) * 2008-06-13 2009-12-24 Fujitsu Ltd アクセス制御プログラム
US20140109168A1 (en) * 2012-10-15 2014-04-17 International Business Machines Corporation Automated role and entitlements mining using network observations

Also Published As

Publication number Publication date
US11700264B2 (en) 2023-07-11
EP3586262A1 (en) 2020-01-01
US10834091B2 (en) 2020-11-10
CA3054609A1 (en) 2018-08-30
CN110462623B (zh) 2023-10-10
AU2018223809B2 (en) 2022-12-15
WO2018157127A1 (en) 2018-08-30
US20210160249A1 (en) 2021-05-27
US20180248889A1 (en) 2018-08-30
EP3586262B1 (en) 2022-04-20
AU2018223809A1 (en) 2019-09-05
CN110462623A (zh) 2019-11-15
JP7030133B2 (ja) 2022-03-04

Similar Documents

Publication Publication Date Title
JP7030133B2 (ja) ロールベースコンピュータセキュリティ構成のシステム及び方法
US11100232B1 (en) Systems and methods to automate networked device security response priority by user role detection
US11966482B2 (en) Managing untyped network traffic flows
US20230208879A1 (en) Detecting phishing attacks
US10924517B2 (en) Processing network traffic based on assessed security weaknesses
US20220207143A1 (en) Cloud storage scanner
JP2020528609A (ja) データ処理における侵入検知および侵入軽減
US10601876B1 (en) Detecting and actively resolving security policy conflicts
US20190392137A1 (en) Security annotation of application services
US10963569B2 (en) Early boot driver for start-up detection of malicious code
US11592811B2 (en) Methods and apparatuses for defining authorization rules for peripheral devices based on peripheral device categorization
US20220129564A1 (en) Centralized security analysis and management of source code in network environments
US11182486B2 (en) Early boot driver for start-up detection of malicious code
US8230060B2 (en) Web browser security
US20240111513A1 (en) Pausing automatic software updates of virtual machines

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210113

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210113

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211020

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211022

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220128

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220221

R150 Certificate of patent or registration of utility model

Ref document number: 7030133

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150