JP2021071943A - リスク管理支援装置 - Google Patents

リスク管理支援装置 Download PDF

Info

Publication number
JP2021071943A
JP2021071943A JP2019198452A JP2019198452A JP2021071943A JP 2021071943 A JP2021071943 A JP 2021071943A JP 2019198452 A JP2019198452 A JP 2019198452A JP 2019198452 A JP2019198452 A JP 2019198452A JP 2021071943 A JP2021071943 A JP 2021071943A
Authority
JP
Japan
Prior art keywords
information
fictitious
fictitious code
code
information system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019198452A
Other languages
English (en)
Other versions
JP7368184B2 (ja
Inventor
博文 岡
Hirobumi Oka
博文 岡
真也 沖
Shinya Oki
真也 沖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2019198452A priority Critical patent/JP7368184B2/ja
Priority to US16/816,347 priority patent/US11144664B2/en
Priority to CN202010206278.XA priority patent/CN112749388B/zh
Publication of JP2021071943A publication Critical patent/JP2021071943A/ja
Application granted granted Critical
Publication of JP7368184B2 publication Critical patent/JP7368184B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】情報システムから秘匿情報が流出する事態をとらえやすくする。【解決手段】リスク管理支援サーバ400は、秘匿情報を管理する情報システム100と通信ネットワークを介して接続され、情報システム100から、秘匿情報における一部の項目に設定されるべき架空コードの取得要求を、項目の種別と共に受信する架空コード要求受信部と、受信された項目の種別のデータ形式に対応して架空コードを生成する架空コード生成部と、生成された架空コードを情報システム100に送信する架空コード提供部と、を備える。【選択図】図5

Description

本発明は、情報システムからのデータ流出をとらえやすくする技術に関する。
近年、情報システムにおけるセキュリティリスクがますます高まっている。たとえば、情報システムから秘匿情報が流出する事件も多く見られる。
しかし、サイバー攻撃が巧妙化している現状では、サイバー攻撃からの防御対策だけでは、リスク対応として十分ではない。不測の事態に迅速に対応することも重要である。
たとえば、秘匿情報が流出したとしても、早期に対応すれば被害を小さく抑えることができる。
特開2019−096339号公報 特開2019−016370号公報
しかし、実際には、秘匿情報が流出しても、そのことになかなか気付きにくい。何ヶ月も経ってから事態を把握するケースも多い。
このように事態を放置すると、秘匿情報が多方面に拡散し、また秘匿情報に依拠する不正も行われ始める。さらに、別の秘匿情報が流出することもある。
秘匿情報の流出を早期に把握する方法として、外部で流通するデータを監視することも有効である。ただし、外部環境も複雑化しているため、流出した秘匿情報を見つけ出すことは容易でない。
本発明は、上記課題認識に基づいて完成された発明であり、その主たる目的は、情報システムから秘匿情報が流出する事態をとらえやすくすることである。
本発明のある態様におけるリスク管理支援装置は、秘匿情報を管理する情報システムと通信ネットワークを介して接続され、情報システムから、秘匿情報における一部の項目に設定されるべき架空コードの取得要求を、項目の種別と共に受信する架空コード要求受信部と、受信された項目の種別のデータ形式に対応して架空コードを生成する架空コード生成部と、生成された架空コードを情報システムに送信する架空コード提供部と、を備える。
本発明によれば、情報システムから秘匿情報が流出する事態をとらえやすい。
実施形態に関するネットワークの概要を示す図である。 実施形態のフェーズを示す図である。 リスク管理支援サーバの機能ブロック図である。 監視情報テーブル記憶部のデータ構造図である。 実施形態における架空コード設定フェーズ(S10)のシーケンス図である。 実施形態におけるアラート対応フェーズ(S14)のシーケンス図である。 実施形態における架空コード設定確認のシーケンス図である。 変形例1における架空コード設定フェーズ(S10)のシーケンスを示す図である。 変形例2における架空コード設定フェーズ(S10)のシーケンスを示す図である。 変形例3における架空コード設定フェーズ(S10)のシーケンスを示す図である。 変形例3における架空コード設定確認のシーケンス図である。 変形例4における架空コード設定フェーズ(S10)のシーケンスを示す図である。
図1は、実施形態に関するネットワークの概要を示す図である。
たとえば企業や公的組織などによって運営されている情報システム100a〜100c等がインターネットに接続している。情報システム100a〜100c等をまとめて言うときや特に区別しないときには「情報システム100」と総称する。
情報システム100において、顧客情報、クレジットカード情報や営業上の秘密などの秘匿情報が保持されているものとする。秘匿情報は、たとえばインターネットに公開する予定がなく、イントラネット内でのみ使用されると想定される情報である。秘匿情報がサイバー攻撃者によって盗まれると、情報システム100の運営者は被害を受けることになる。また、企業や公的組織の関係者が秘匿情報を持ち出して、第三者に渡す不正行為をはたらくことも考えられる。
しかし、このように秘匿情報が流出しても、情報システム100の運営者はそのことにすぐには気づきにくい。情報システム100において秘匿情報が流出した形跡を見つけることは、必ずしも簡単ではない。
流出した秘匿情報は、深層Web200の一部であるダークWeb300において取引されることがある。深層Web200は、通常の検索エンジンが収集可能な情報を開示する表層Webと対比される概念である。検索エンジンで使用されるクローラーと呼ばれるプログラムは、Webを巡回して情報を収集するが、情報の収集を拒否しているサイトや動的なリンクを形成するサイトからは、情報を収集できない。このような収集困難な情報を提供するサイトやデータベースなどの情報源を深層Web200という。深層Web200のうち、不正行為を目的としあるいは助長するサイトなどを、ダークWeb300という。
ダークWeb300におけるサイトのURL(Uniform Resource Locator)を知っていれば、特別なブラウザを用いて匿名でダークWeb300にアクセスでき、データのやり取りもできる。クレジットカードの盗用をもくろむ者は、ダークWeb300から他人のクレジットカード情報を入手することができる。また、ライバル企業の内部情報を得ようとすれば、ダークWeb300からその情報を買うこともできる。サイバー攻撃者が、このようなダークWeb300を利用して秘匿情報の転売をはかることがある。この場合、流出した秘匿情報は、ダークWeb300における取引対象として開示されることになる。
ただし、ダークWeb300におけるサイトの存在は、簡単にはわからない。通常のブラウザにおいてクローラーで収集したWEBページの情報を検索用データベースに登録することを「インデックス化」というが、ダークWeb300についてはこのインデックス化ができないからである。表層Webのようにリンクをたどって未知のサイトに行き着くことはできない。ダークWeb300に詳しい者から秘密のURLを教えてもらうなどの独特の入手経路によって、サイトの存在が伝わる。つまり、アンダーグラウンドの情報を得なければ、実際にダークWeb300のサイトにアクセスすることは難しい。
したがって、情報システム100の運営者が自らダークWeb300を監視して、流出した秘匿情報を見つけ出すことは負担が大きい。監視サイト500は、ダークWeb300を監視して、ダークWeb300で流通しているデータのうち、探索条件に合うデータを見つけ出すサービスを提供する。監視サイト500の事業者は、ダークWeb300の実態に精通しており、一般に入手困難なデータにアクセスするノウハウを有している。監視サイト500のサービスを利用すれば、ダークWeb300の事情を知らなくても、探索条件を提示して目的のデータを探しだしてもらうことができる。
本実施形態では、監視サイト500のサービスを利用して情報システム100から流出した秘匿情報を早期に発見するための仕掛けを提供する。具体的には、情報システム100で保持している秘匿情報に、予め架空コードを設定しておき、リスク管理支援サーバ400は、架空コードを探索条件として監視サイト500にダークWeb300を監視するように依頼する。架空コードは、秘匿情報における実際のコードではなく、秘匿情報の流出を探知するための目印として設定されるコードである。監視サイト500がダークWeb300で流通しているデータの中から架空コードを発見すると、リスク管理支援サーバ400に架空コードを含むデータがダークWeb300で流通していることを通知する。リスク管理支援サーバ400は、その架空コードを含む秘匿情報を保持している情報システム100に対して、その秘匿情報が流出している恐れがあることを通知する。情報システム100は、秘匿情報の流出を早期に把握できるため、被害の拡大を抑える対策をとりやすくなる。
ただし、監視サイト500によって発見されたデータが他の情報源(たとえば、他の情報処理システム100)から出回ったものである場合には、自らの情報システム100から秘匿情報が流出したと誤認識をすることになるので、他の情報源から出回ったデータと自ら保持する秘匿情報と混同しないようにする必要がある。他の情報源から出回ったデータの中に、架空コードと同じコードが含まれていた場合にこのような事態が起こりうる。したがって、架空コードは、他のデータの内容と重複しない独特なものである必要がある。つまり、架空コードは、一意性を有することが望ましい。
図2は、実施形態のフェーズを示す図である。
架空コード設定フェーズ(S10)では、情報システム100で保持している秘匿情報に架空コードを設定する。秘匿情報に架空コードを設定する方法は、いくつかある。本実施形態および変形例1〜4において、架空コード設定方法の例を説明する。本実施形態に関しては、図5に関連して後述する。
監視要求フェーズ(S12)では、リスク管理支援サーバ400から監視サイト500に対して架空コードを探索条件に指定して、ダークWeb300で開示されるデータにおける探索の要求を行う。監視サイト500に送信する探索要求に案件を特定するタイトルを付してもよい。タイトルを付した場合には、架空コードを発見した場合に送られるアラートにそのタイトルが付けられる。タイトルを使用しようすれば、案件を識別しやすくなる。
探索の要求により、監視サイト500における架空コードの探索が始まる。また、監視サイト500が秘匿情報種別を手掛かりとして探索を行なう場合には、探索要求に秘匿情報種別を付加してもよい。たとえば秘匿情報種別として「クレジットカード情報」を指定して探索を要求した場合に、監視サイト500はダークWeb300のうち、クレジットカード情報を扱うサイトを集中的に探索する。なお、探索範囲を、Web全体としてもよい。探索範囲を、深層Web200としてもよい。
アラート対応フェーズ(S14)では、監視サイト500がダークWeb300で開示されているデータにおいて架空コードを発見した場合に、リスク管理支援サーバ400に対してアラートを通知する。リスク管理支援サーバ400はアラート通知を受信すると、情報システム100に対して架空コードがダークWeb300で発見されたので秘匿情報が流出している恐れがあることを通知する。この通知は、データ流出の警告に相当する。
続いて、リスク管理支援サーバ400における処理の詳細について説明する。
リスク管理支援サーバ400の各構成要素は、CPU(Central Processing Unit)および各種コプロセッサなどの演算器、メモリやストレージといった記憶装置、それらを連結する有線または無線の通信線を含むハードウェアと、記憶装置に格納され、演算器に処理命令を供給するソフトウェアによって実現される。コンピュータプログラムは、デバイスドライバ、オペレーティングシステム、それらの上位層に位置する各種アプリケーションプログラム、また、これらのプログラムに共通機能を提供するライブラリによって構成されてもよい。以下に説明する各ブロックは、ハードウェア単位の構成ではなく、機能単位のブロックを示している。
図3は、リスク管理支援サーバ400の機能ブロック図である。
リスク管理支援サーバ400は、通信部404、データ処理部406およびデータ格納部408を含む。
通信部404は、インターネットを介して情報システム100と監視サイト500の通信処理を担当する。データ格納部408は各種データを格納する。データ処理部406は、通信部404により取得されたデータと、データ格納部408に格納されているデータに基づいて各種処理を実行する。データ処理部406は、通信部404およびデータ格納部408のインターフェースとしても機能する。
通信部404は、データを送信する送信部430と、データを受信する受信部440とを含む。
送信部430は、架空コード提供部432、参照要求部434および流出警告部436を含む。
架空コード提供部432は、情報システム100に架空コードを提供する。参照要求部434は、情報システム100に架空コードの参照を要求する。流出警告部436は、秘匿情報が流出した恐れがあることを情報システム100へ警告する。
受信部440は、架空コード要求受信部442、設定完了受信部444、架空コード応答受信部446およびアラート通知受信部448を含む。
架空コード要求受信部442は、情報システム100から架空コード要求を受信する。設定完了受信部444は、情報システム100から設定完了を受信する。架空コード応答受信部446は、情報システム100から架空コードの応答を受信する。アラート通知受信部448は、監視サイト500からアラート通知を受信する。
データ処理部406は、架空コード生成部462、一意性認定部464、テーブル更新部466、架空コード設定確認部468、情報システム特定部470および探索要求部472を含む。
架空コード生成部462は、架空コードを生成する。一意性認定部464は、架空コードの一意性に関する認定を行う。テーブル更新部466は、監視情報テーブルを更新する。架空コード設定確認部468は、架空コードの設定状況を確認する。情報システム特定部470は、警告先の情報システム100を特定する。探索要求部472は、監視要求フェーズ(S12)において、監視サイト500に対して架空コードを探索条件に指定して、ダークWeb300で開示されるデータにおける探索を要求する。
データ格納部408は、監視情報テーブル記憶部482、情報システム管理テーブル記憶部484、住所データベース488、氏名データベース490および薬剤データベース492を含む。
監視情報テーブル記憶部482は、監視情報テーブルを記憶する。監視情報テーブルについては、図4に関連して後述する。情報システム管理テーブル記憶部484は、情報システム管理テーブルを記憶する。情報システム管理テーブルは、各情報システム100に対応するレコードを有する。レコードには、情報システム100の名前、IPアドレス、ホームページのURL、管理者端末のメールアドレスなどが設定されている。住所データベース488は、日本の住所に関する情報が格納されている。住所データベース488は、実在する住所表記を検索する機能を備えている。氏名データベース490は、日本人の氏名に関する情報が格納されている。氏名データベース490は、実在する氏名、苗字、いわゆる下の名前と(以下、単に「名前」という。)を検索する機能を備えている。薬剤データベース492は、薬品の成分に関する情報が格納されている。薬剤データベース492は、実在する成分名を検索する機能を備えている。
図4は、監視情報テーブル記憶部482のデータ構造図である。
監視情報テーブルでは、秘匿情報の監視を依頼された案件を管理する。つまり、情報システム100におけるどの情報の流出を警戒するために、どの位置のどの項目にどのような架空コードを設定したかを記録するものである。そのために、監視サイト500に対して探索要求する案件毎にレコードが設けられる。レコードは、情報システム100、秘匿情報種別、項目種別、架空コードおよび設定位置情報のフィールドを有する。情報システム100のフィールドには、情報システム100の名前が格納される。秘匿情報種別のフィールドには、流出警戒対象である秘匿情報の種別が格納される。秘匿情報の種別は、たとえば顧客情報、クレジットカード情報や薬品成分情報などである。薬品成分情報は、営業上の秘密の一種である。秘匿情報の種別は、任意であって例示した種別には限定されない。項目種別のフィールドには、架空コードを設定する項目の種別が格納される。架空コードを設定する項目は、秘匿情報において列(カラム)として管理される項目の中のいずれか1つである。なお、この例では、秘匿情報が行列形式のデータであるものとして説明するが、秘匿情報の形式は任意である。架空コードのフィールドには、秘匿情報に設定した架空コードが格納される。
秘匿情報の種別が顧客情報であれば、氏名、性別、住所や電話番号などの項目を有するが、架空コードを設定するために適した項目は、たとえば氏名、住所や電話番号である。たとえば実在しない苗字や名前を含む氏名であれば、同じ氏名は想定しがたく一意性を認めてもよいが、性別については、男女の区別しかなく情報としての一意性はない。
また、クレジットカード情報における氏名、カード番号や有効期限などの項目のうち、氏名やカード番号は架空コードを設定するために適するが、有効期限は架空コードを設定するために適さない。カード番号は、そもそも一意性を前提としており、異なるクレジットカード情報のものと重複しない。これに対して、有効期限については、同じ時期に有効期限を迎えるクレジットカードが多数存在し、多数のクレジットカード情報において重複し一意性を有さない。
薬品成分情報における成分名や構成割合などの項目のうち、成分名は架空コードを設定するために適するが、構成割合は架空コードを設定するために適さない。実在しない成分名を用いれば、他の薬品成分情報と重複しないが、構成割合は任意であるため他の薬品成分情報における構成割合の値と重複することが考えられるので一意性を有さない。
設定位置情報のフィールドには、架空コードを設定した領域を特定する情報が格納される。上述のとおり、ここで例示する秘匿情報はいずれも行列形式のデータである。行はレコードに相当し、列はカラムに相当する。ここでは設定位置情報のレコードおよびフィールドと混同をさけて説明しやすくするために、「行」と「列」を用いて説明する。上述した各項目は、秘匿情報における所定列に相当する。そして、行番号によって秘匿情報の行が特定され、項目種別によって秘匿情報の列が特定される。よって、行番号が特定されれば、架空コードを設定した領域が特定されるので、設定位置情報として行番号だけを用いれば足りる。ただし、データアドレス(たとえば、先頭からのバイト数)とデータサイズ(たとえば、データ長を示すバイト数)のように他の情報によって架空コードが設定される領域を特定してもよい。
たとえば一番目のレコードは、「A社システム」という情報システム100aが保持する秘匿情報の「顧客情報」のうち、行番号「30」の行における項目「住所」に「柏市仲井町1番1号」という架空コードが設定されたことを示している。「柏市仲井町」は実在しない住所である。ここで例示した架空コードについては後に詳述するが、いずれも一意性を有すると認定されたものである。架空コードは、架空コードであると不正アクセス者に見抜かれにくく、かつ、一意性を有するものであることが望ましい。また、一意性を保証する上では「柏市仲井町」のように実在しないデータであることが好ましい。
二番目のレコードは、「B社システム」という情報システム100bが保持する秘匿情報の「クレジットカード情報」のうち、行番号「20」の行における項目「氏名」に「伊県博朋」という架空コードが設定されたことを示している。
三番目のレコードは、「C社システム」という情報システム100cが保持する秘匿情報の「薬品成分情報」のうち、行番号「10」の行における項目「成分名」に「アセチルアミノフェン」という架空コードが設定されたことを示している。
なお、1つの情報システム100において複数の秘匿情報について流出を警戒する場合には、同じ情報システム100について複数のレコードを設けてもよい。たとえば情報システム「A社システム」に関して秘匿情報「顧客情報」と秘匿情報「クレジットカード情報」の両方について、それぞれ架空コードを設定して流出を警戒するような場合である。
また、1つの情報システム100の1つの秘匿情報について複数の架空コードを設定してもよい。その例を3つ示す。
第1例として、情報システム「A社システム」の秘匿情報「顧客情報」に関して、行番号「15」行の項目「住所」にある架空コード「柏市仲井町1番1号」を設定し、別の行番号「25」の行の項目「住所」に別の架空コード「松戸市弥生町1番1号」を設定してもよい。この場合には、情報システム(「A社システム」)と秘匿情報種別(「顧客情報」)と項目種別(「住所」)が共通するレコードが2つ設けられる。両者は、架空コードと設定位置情報が異なる。
第2例として、情報システム「A社システム」の秘匿情報「顧客情報」に関して、行番号「15」行の項目「住所」に架空コード「柏市仲井町1番1号」を設定し、別の行番号「25」の行の項目「氏名」に別の架空コード「伊県博朋」を設定してもよい。この場合には、情報システム(「A社システム」)と秘匿情報種別(「顧客情報」)が共通するレコードが2つ設けられる。両者は、項目種別と架空コードと設定位置情報が異なる。
第3例として、情報システム「A社システム」の秘匿情報「顧客情報」に関して、行番号「15」行の項目「住所」に架空コード「柏市仲井町1番1号」を設定し、同じ行番号「15」の行の項目「氏名」に別の架空コード「伊県博朋」を設定してもよい。この場合には、情報システム(「A社システム」)と秘匿情報種別(「顧客情報」)と設定位置情報(「行番号:15)が共通するレコードが2つ設けられる。両者は、項目種別と架空コードが異なる。
図5は、実施形態における架空コード設定フェーズ(S10)のシーケンス図である。
ここでは、顧客情報における住所の項目に架空コードを設定することを想定して説明する。情報システム100の管理者は、情報システム100の管理者端末から架空コードを要求する(S20)。具体的には、管理者端末は、架空コード要求のための所定フォームに従って秘匿情報種別「顧客情報」と項目種別「住所」が設定された電子メールをリスク管理支援サーバ400宛てに送信する。あるいは、管理者端末からリスク管理支援サーバ400のWebサイトにログインして、架空コード要求用のWebページにおいて秘匿情報種別および項目種別を入力し、ブラウザが秘匿情報種別および項目種別を送信してもよい。
リスク管理支援サーバ400の架空コード要求受信部442が、架空コード要求を受信すると、架空コード生成部462は、架空コード要求で指定された項目種別に応じて架空コードを生成する(S22)。
項目種別が「住所」であれば、住所らしい架空コードを生成する。住所らしい架空コードの生成方法は任意であるが、ここでは複数の住所のサンプルコードから架空コードを合成する方法を例示する。サンプルコードは、実在する住所表記に相当する。たとえば、住所のサンプルコードとして「柏市弥生町△番□号」「松戸市仲井町○番×号」および「所沢市▽町1番1号」が得られたものとする。これらは、いずれも実在する。住所のサンプルコードの出所は、任意である。住所データベース488から取得してもよいし、顧客情報の中から得てもよい。一番目のサンプルコードからは市の表記「柏市」を抽出する。二番目のサンプルコードからは町の表記「仲井町」を抽出する。三番目のサンプルコードからは番と号の表記「1番1号」を抽出する。そして、抽出した市の表記「柏市」と、同じく町の表記「仲井町」と、同じく番と号の表記「1番1号」とを連結して、合成した住所「柏市仲井町1番1号」が生成される。この例の「柏市仲井町1番1号」は実在しない住所であるが、生成された住所が実在することもある。実在する住所については、後述する一意性の認定処理において不採用とする。
項目種別が「氏名」であれば、氏名らしい架空コードを生成する。氏名らしい架空コードの生成方法も任意であるが、複数の氏名のサンプルコードから架空コードを合成してもよい。サンプルコードは、実在したあるいは実在する氏名に相当する。たとえば、氏名のサンプルコードとして「伊藤博文」および「山県有朋」が得られたものとする。氏名のサンプルコードの出所は、任意である。氏名データベース490から取得してもよいし、クレジットカード情報の中から得てもよい。苗字と名前を別々に生成する。まず、苗字を生成する。一番目のサンプルコードからは苗字の前の文字「伊」を抽出する。二番目のサンプルコードからは苗字の後の文字「県」を抽出する。そして、抽出した苗字の前の文字「伊」と、同じく苗字の後の文字「県」とを連結して、合成した苗字「伊県」が生成される。次に、名前を生成する。一番目のサンプルコードからは名前の前の文字「博」を抽出する。二番目のサンプルコードからは名前の後の文字「朋」を抽出する。そして、抽出した名前の前の文字「博」と、同じく名前の後の文字「朋」とを連結して、合成した名前「博朋」が生成される。そして、合成した苗字「伊県」と合成した名前「博朋」とを連結して、合成した氏名「伊県博朋」が生成される。このようにして生成された氏名が、実在する氏名と一致する場合もある。実在する可能性が高い氏名については、後述する一意性の認定処理において不採用とする。
また、項目種別が「成分名」であれば、成分名らしい架空コードを生成する。成分名らしい架空コードの生成方法も任意であるが、複数の成分名のサンプルコードから架空コードを合成してもよい。サンプルコードは、実在する成分名に相当する。たとえば、成分名のサンプルコードとして「アセチルサリチル酸」および「アセトアミノフェン」が得られたものとする。いずれも実在する薬剤の名称であって成分名として使用される。成分名のサンプルコードの出所は、任意である。薬剤データベース492から取得してもよいし、薬品成分情報の中から得てもよい。一番目のサンプルコードからは成分名の前部分「アセチル」を抽出する。二番目のサンプルコードからは成分名の後部分「アミノフェン」を抽出する。そして、抽出した成分名の前部分「アセチル」と、同じく成分名の後部分「アミノフェン」とを連結して、合成した成分名「アセチルアミノフェン」が生成される。この例の「アセチルアミノフェン」は、実在しない成分名であるが、生成された成分名が実在することもある。実在する成分名については、後述する一意性の認定処理において不採用とする。
このように、実在するサンプルコードを元として合成された架空コードは、一見して偽の情報であるとはわかりにくいので、ダークWeb300において取り除かれる心配が少ない。よって、このような架空コードは、秘匿情報が流出した痕跡として機能しやすい。
リスク管理支援サーバ400の一意性認定部464は、生成された架空コードの一意性に関する認定を行う(S24)。
項目種別「住所」に関する架空コードであれば、多数の住所のサンプルコードの中に架空コードと一致するコードが含まれていなければ、その架空コードが一意性を有すると認定する。多数の住所のサンプルコードの中に架空コードと一致するコードが含まれている場合は、その架空コードが一意性を有さないと認定する。たとえば、住所データベース488において架空コードを検索キーとして検索を行った結果、架空コードと一致する住所がない場合には、その架空コードが一意性を有すると認定する。一方、架空コードと一致する住所がある場合には、その架空コードが一意性を有さないと認定する。郵便番号検索サイトや住所検索サイトなどのWebサービスを利用して、架空コードを検索キーとして検索を行ってもよい。この場合に、これらのサイトにおいて架空コードと一致する住所が検索されない場合には、その架空コードが一意性を有すると認定する。一方、架空コードと一致する住所が検索された場合には、その架空コードが一意性を有さないと認定する。
項目種別「氏名」に関する架空コードであれば、多数の氏名のサンプルコードの中に架空コードと一致するコードが含まれているか否かを判定する。ただし、苗字と名前の組み合わせに関しては任意性が高いので、氏名全体として同一のものが存在しないとしても、苗字と名前がそれぞれ存在すれば、両者を組み合わせた氏名が実在してもおかしくない。よって、苗字と名前について別個に一意性の判断を行って、苗字と名前とのいずれかにおいて一意性を有すると判断した場合に、架空コードが一意性を有すると認定する。多数の氏名のサンプルコードを含む情報源は、たとえば氏名データベース488である。氏名データベース488において、架空コードにおける苗字を検索キーとして検索を行った結果、その苗字と一致する苗字がない場合には、その架空コードが一意性を有すると認定する。また、氏名データベース488において、架空コードにおける名前を検索キーとして検索を行った結果、その名前と一致する名前がない場合には、その架空コードが一意性を有すると認定する。苗字と名前のいずれにおいても同一のものがある場合には、その架空コードは一意性を有しないと認定する。人名検索サイトやSNS(Social Networking Service)サイトなどのWebサービスを利用してもよい。認定の方法は、氏名データベース488を利用する場合と同様である。
項目種別「成分名」に関する架空コードであれば、多数の成分名のサンプルコードの中に架空コードと一致するコードが含まれていなければ、その架空コードが一意性を有すると認定する。多数の成分名のサンプルコードの中に架空コードと一致するコードが含まれている場合は、その架空コードが一意性を有さないと認定する。たとえば、薬剤データベース488において架空コードを検索キーとして検索を行った結果、架空コードと一致する成分名がない場合には、その架空コードが一意性を有すると認定する。一方、架空コードと一致する成分名がある場合には、その架空コードが一意性を有さないと認定する。薬剤検索サイトや薬学情報サイトなどのWebサービスを利用して、架空コードを検索キーとして検索を行ってもよい。この場合に、これらのサイトにおいて架空コードと一致する成分名が検索されない場合には、その架空コードが一意性を有すると認定する。一方、架空コードと一致する成分名が検索された場合には、その架空コードが一意性を有さないと認定する。
一意性認定部464は、さらに現在使用している架空コードまたは過去に使用した架空コードと一致すると判定した場合にも、生成された架空コードは一意性を有さないと認定する。
架空コードが一意性を有さないと認定した場合には、S22の処理に戻って別の架空コードを生成する。架空コードが一意性を有すると認定した場合には、リスク管理支援サーバ400の架空コード提供部432は、架空コードを情報システム100の管理者端末へ送信する(S26)。電子メールで通知してもよいし、管理者端末からリスク管理支援サーバ400のWebサイトにログインして閲覧できる架空コード提供用のWebページに架空コードを掲載してもよい。後者の場合、リスク管理支援サーバ400は、S26で生成した架空コードを専用のウェブサイトに掲載する。情報システム100の管理者は、この専用ウェブサイトにアクセスすることにより、架空コードを取得してもよい。
情報システム100の管理者端末が架空コードを受信すると、情報システム100の管理者は、管理者端末から操作して情報システム100で保持する秘匿情報に架空コードを設定する(S28)。架空コードを設定する行は、任意に決めてよい。管理者は、管理者端末から設定完了をリスク管理支援サーバ400へ通知する(S30)。設定完了通知には、設定位置情報として、架空コードが設定された行の番号が付加される。電子メールで通知してもよいし、管理者端末からリスク管理支援サーバ400のWebサイトにログインして、設定完了通知用のWebページにおいて設定完了を入力し、ブラウザが設定完了を通知してもよい。
リスク管理支援サーバ400の設定完了受信部444が設定完了通知を受信すると、テーブル更新部466は、監視情報テーブルを更新する(S32)。具体的には、監視情報テーブルに新しいレコードを設けて、秘匿情報種別、項目種別、架空コードおよび設定位置情報を設定する。
以上の設定のあと、リスク管理支援サーバ400は、架空コードを探索条件として、監視サイト500に定期的に架空コードを探索させる(図2の監視要求フェーズ(S12))。
図6は、実施形態におけるアラート対応フェーズ(S14)のシーケンス図である。
監視サイト500が、ダークWeb300において架空コードを含むデータを発見した場合に、アラート通知をリスク管理支援サーバ400へ送信する。アラート通知は、電子メールによって送信されてもよいし、監視サイト500が探索要求者用に提供するWebページにアラートを掲載するようにしてもよい。アラート通知には、検出した架空コードと、架空コードを含むデータが存在するサイトの情報が含まれる。探索要求においてタイトルを付している場合には、そのタイトルもアラート通知に加えられる。
リスク管理支援サーバ400のアラート通知受信部448が監視サイト500からアラート通知を受信すると(S40)、情報システム特定部470は、監視情報テーブルを参照し、アラート通知に含まれる架空コードに対応する情報システム100を特定する(S42)。タイトルに情報システム名を設定している場合には、タイトルによって情報システム100を特定してもよい。
リスク管理支援サーバ400の流出警告部436は、秘匿情報が流出している恐れがあることを伝える流出警告を、情報システム100の管理者端末へ送信する(S44)。電子メールによって送信してもよいし、管理者端末からリスク管理支援サーバ400のWebサイトにログインして参照できる流出警告用のWebページに流出警告を掲載してもよい。流出警告には、秘匿情報種別、項目種別、架空コード、設定位置情報、および架空コードを含むデータが存在するサイトの情報が含まれる。
情報システム100の管理者端末が流出警告を受信すると、管理者は流出警告の内容を参照して対策を検討する。
図7は、実施形態における架空コード設定確認のシーケンス図である。
架空コードは、情報システム100の運用において本来不要な情報であるので、情報システム100の運用者が書き換えたり、削除したりする可能性がある。そのため、リスク管理支援サーバ400は定期的に情報システム100における架空コードの設定状況を確認する。
リスク管理支援サーバ400の参照要求部434は、秘匿情報種別、項目種別および設定位置情報を指定して、情報システム100に架空コードの参照を要求する(S50)。具体的には、情報システム100の内部データを参照するためのインターフェース(たとえば、WebAPI(Application Programming Interface))に、架空コードの参照を要求する。なお、リスク管理支援サーバ400には、情報システム100の内部データを参照するための権限が与えられているものとする。このインターフェースを用いたアクセス権限の管理については、特に慎重を有する。サイバー攻撃者が、このインターフェースを利用して秘匿情報を盗み出すことを防ぐためである。
情報システム100は、参照要求に応じて、秘匿情報から架空コードの設定領域に記憶されているコードを抽出して(S52)、リスク管理支援サーバ400へ送信する(S54)。
リスク管理支援サーバ400の架空コード応答受信部446が、架空コードを受信すると、架空コード設定確認部468は、受信したコードが架空コードと一致するかを確認する(S56)。受信したコードが架空コードと一致する場合には、確認が成功する。受信したコードが架空コードと一致しない場合には、確認が失敗する。確認が失敗した場合には、架空コード設定確認部468は、情報システム100の管理者に架空コードが消滅したことを警告する。具体的には、情報システム100の管理者端末に架空コード消滅を警告する電子メールを送信してもよいし、管理者端末からリスク管理支援サーバ400のWebサイトにログインして参照できる架空コード消滅警告用のWebページに架空コード消滅の警告を掲載してもよい。架空コード消滅の警告を受けた管理者は、架空コードの再設定などの対応を検討する。
[変形例1]
実施形態では、リスク管理支援サーバ400において架空コードを生成する例(図5参照)を示したが、変形例1では、情報システム100において架空コードを生成する。
変形例1の場合、リスク管理支援サーバ400の受信部440は、さらに架空コード通知受信部(不図示)を備え、送信部430は、さらに一意性確認通知部(不図示)を備える。
図8は、変形例1における架空コード設定フェーズ(S10)のシーケンスを示す図である。
情報システム100の管理者は、架空コードを設定する項目種別に応じて架空コードを生成する(S60)。架空コードの生成方法は、任意である。情報システム100において、実施形態におけるリスク管理支援サーバ400と同じ方法で架空コードを生成してもよい。
情報システム100の管理者は、管理者端末から架空コード、秘匿情報種別および項目種別を含む架空コード通知をリスク管理支援サーバ400へ通知する(S62)。電子メールで通知してもよいし、管理者端末からリスク管理支援サーバ400のWebサイトにログインして、架空コード通知用のWebページにおいて架空コード、秘匿情報種別および項目種別を入力し、ブラウザが架空コード、秘匿情報種別および項目種別を通知してもよい。
リスク管理支援サーバ400の架空コード通知受信部が架空コード通知を受信すると、リスク管理支援サーバ400の一意性認定部464は、架空コードの一意性に関する認定を行う(S64)。一意性確認通知部は、一意性に関する認定結果の通知を情報システム100の管理者端末へ送信する(S66)。この通知は、架空コードが一意性を有するという認定結果を示す場合と、架空コードが一意性を有さないという認定結果を示す場合とがある。電子メールを送信してもよいし、管理者端末からリスク管理支援サーバ400のWebサイトにログインして参照できる一意性の認定結果提示用のWebページに一意性に関する認定結果を掲載してもよい。
情報システム100の管理者端末が、架空コードが一意性を有さないという認定結果を示す通知を受信した場合には、S60に戻って別の架空コードを生成し、上述した手順を繰り返す。
情報システム100の管理者端末が、架空コードが一意性を有するという認定結果を示す通知を受信した場合には、情報システム100の管理者は、秘匿情報において項目種別および設定位置情報(レコードID)で特定される領域に、架空コードを設定する(S68)。情報システム100の管理者は、管理者端末から設定位置情報を含む設定完了通知をリスク管理支援サーバ400へ送信する(S70)。
リスク管理支援サーバ400の設定完了受信部444が設定完了通知を受信すると、テーブル更新部466は、監視情報テーブルを更新する(S72)。
架空コード設定確認については、実施形態の場合と同様である。
[変形例2]
実施形態では、情報システム100において架空コードを設定する例(図5参照)を示したが、変形例2では、リスク管理支援サーバ400において架空コードを設定する。そのため、リスク管理支援サーバ400は情報システム100から秘匿情報を取得し、架空コードを設定した後、更新された秘匿情報を情報システム100へ返却する。
変形例2の場合、リスク管理支援サーバ400の受信部440は、さらに秘匿情報受付部(不図示)を備え、送信部430は、さらに秘匿情報返却部(不図示)を備え、データ処理部406は、さらに架空コード設定部(不図示)を備える。
図9は、変形例2における架空コード設定フェーズ(S10)のシーケンスを示す図である。
情報システム100の管理者は、秘匿情報を暗号化し、管理者端末から暗号化された秘匿情報、秘匿情報種別、項目種別および設定位置情報をリスク管理支援サーバ400へ送信する(S80)。秘匿情報種別、項目種別および設定位置情報が記載されたメールに、暗号化された秘匿情報を添付して送信してもよいし、暗号化通信技術を用いて秘匿情報、秘匿情報種別、項目種別および設定位置情報を送信してもよい。あるいは、記録媒体を用いて提供してもよい。
リスク管理支援サーバ400の秘匿情報受付部が暗号化された秘匿情報、秘匿情報種別、項目種別および設定位置情報を受け付けると、秘匿情報を復号する。
リスク管理支援サーバ400の架空コード生成部462は、項目種別に応じて架空コードを生成する(S82)。一意性認定部464は、生成した架空コードの一意性に関する認定を行う(S84)。架空コードが一意性を有さないと認定した場合には、S82に戻って別の架空コードを生成し、再度一意性に関する認定を行う。架空コードが一意性を有すると認定した場合には、架空コード設定部が、秘匿情報において項目種別および設定位置情報(レコードID)で特定される領域に、架空コードを設定する(S86)。秘匿情報返却部(不図示)は、更新した秘匿情報を暗号化して情報システム100へ返却する(S88)。暗号化された秘匿情報を電子メールに添付して送信してもよいし、暗号化通信技術を用いて秘匿情報、秘匿情報種別、項目種別および設定位置情報を送信してもよい。あるいは、記録媒体を用いて返却してもよい。情報システム100の管理者は、返却された秘匿情報を情報システム100の元の場所に格納する。
リスク管理支援サーバ400のテーブル更新部466は、監視情報テーブルを更新する(S90)。
なお、情報システム100の内部データを更新するためのインターフェース(たとえば、WebAPI)が用意されている場合には、リスク管理支援サーバ400が情報システム100で保持されている秘匿情報に直接架空コードを設定してもよい。リスク管理支援サーバ400には、情報システム100の内部データを更新するための権限が与えられているものとする。ただし、このアクセス権限の管理についても、特に慎重を有する。サイバー攻撃者が、このインターフェースを利用して秘匿情報を改ざんすることを防ぐためである。
架空コード設定確認については、実施形態の場合と同様である。
[変形例3]
実施形態、変形例1および変形例2の場合、秘匿情報の生成過程は任意である。秘匿情報は、情報システム100の内部で生成された情報であってもよい。たとえば、営業上の秘密であれば、情報システム100の内部で生成される。
他方、外部から取得した情報によって秘匿情報が生成されることもある。たとえば、登録会員を管理する情報(以下、「登録会員管理情報」という。)の場合、会員登録しようとする一般のユーザが情報システム100のWebページにおいて入力した個人情報、たとえば氏名や住所などが個々の会員の情報(以下、「会員情報」という。)として蓄積される。
変形例3では、会員登録のように、一般に公開されているWebページから秘匿情報に追加する内容を指定できるケースを想定し、リスク管理支援サーバ400から秘匿情報に追加する内容として架空コードを入力する。以下に示す例では、一般のユーザが会員登録を行う場合の手順と同様に、リスク管理支援サーバ400から架空会員の登録を行う。架空会員に関する会員情報は、架空コードの設定を目的として設けられるものであるので、情報システム100の運用においては、本来不用である。したがって、架空会員の登録を行うことについて、情報システム100の管理者に了承を得ておくものとする。
たとえば、会員登録のためのWebページの住所入力欄に、「柏市仲井町1番1号」と入力して架空会員の登録を行えば、会員情報における住所の項目に架空コードとして「柏市仲井町1番1号」が設定されることになる。つまり、情報システム100は通常の運用状態のまま対応すれば足りる。
変形例3の場合、リスク管理支援サーバ400からの操作だけで架空コードの設定が可能となる。住所の項目に架空コードを設定する場合には、「柏市仲井町1番1号」のように一意性が認定された住所表記を設定する。それ以外の項目についても、架空の内容を設定するが、これらについては一意性を有さなくてもよい。たとえば、氏名は「山本太郎」のようにありふれたものであってもよい。この場合、氏名「山本太郎」はダークWeb300の監視に用いられず、ダークWeb300の監視には住所「柏市仲井町1番1号」を用いる。
反対に、氏名の項目に架空コードを設定する場合には、「伊県博朋」のように一意性が認定された氏名を氏名入力欄に入力する。氏名以外の項目については、一意性を有さなくてもよい。したがって、住所入力欄に入力する住所表記として「柏市弥生町」のように実在する地名を用いてもよい。この場合、住所「柏市弥生町・・・」はダークWeb300の監視に用いられず、ダークWeb300の監視には氏名「伊県博朋」を用いる。
変形例3の場合、リスク管理支援サーバ400のデータ処理部406は、さらに架空コード設定部(不図示)を備え、送信部430は、さらに架空会員登録要求部(不図示)および架空会員情報提示要求部(不図示)を備え、受信部440は、さらに認証結果受信部(不図示)、登録完了受信部(不図示)および架空会員情報受信部(不図示)を備える。
図10は、変形例3における架空コード設定フェーズ(S10)のシーケンスを示す図である。
変形例3の場合、情報システム100が公開している通常のWebページの動作を利用するので、情報システム100の管理者は架空コード設定の操作に関与しない。
リスク管理支援サーバ400の架空会員情報生成部は、架空コード以外の架空会員情報を生成する(S100)。たとえば、住所に架空コードを設定する場合には、アカウント情報であるアカウント名とパスワード、住所およびその他の属性などを生成する。生成の方法は、任意である。架空コードを生成する場合と同様に、既存のサンプルコードを合成して架空の情報を生成してもよい。ただし、上述のとおり一意性を認定する必要はない。
リスク管理支援サーバ400の架空コード生成部462は、架空コードを設定する項目種別に応じて架空コードを生成する(S102)。一意性認定部464は、生成した架空コードの一意性に関する認定を行う(S104)。
リスク管理支援サーバ400の架空会員登録要求部は、情報システム100に架空会員の登録を要求する(S106)。架空会員登録用のWebページへの入力を自動的に行ってもよいし、オペレータが操作してWebページへの入力を行ってもよい。架空会員登録用のWebAPIが提供されている場合には、WebAPIを利用してもよい。
情報システム100は、架空会員情報を受信すると、通常の動作によって架空会員の登録を行い(S108)、リスク管理支援サーバ400に登録完了を通知する(S110)。
リスク管理支援サーバ400の登録完了受信部が登録完了通知を受信すると、テーブル更新部466は、監視情報テーブルを更新する(S112)。
図11は、変形例3における架空コード設定確認のシーケンス図である。
住所に架空コードが設定されていると、その住所の郵便番号を調べようとしても、住所自体が見つからず、虚偽の住所であると判断される。この場合、アカウント自体が削除されたり、住所が「不明」などに書き換えられたりすることがある。したがって、住所として設定した架空コードが維持されているか確認することは重要である。
会員制のサイトでは、登録会員ごとに会員情報を提示するWebページが用意されている。このWebページを、以下では「マイページ」という。マイページを閲覧すれば、会員情報の内容を確認することができる。変形例3では、マイページを定期的に参照して、架空コードの設定状況を確認する。
リスク管理支援サーバ400のログイン要求部は、情報システム100にログインを要求する(S120)。具体的には、ログイン要求部は、情報システム100におけるログイン用のWebページにアカウント情報(アカウント名とパスワード)を入力して、情報システム100へ送信する。
情報システム100は、アカウント情報を受信すると、アカウント名とパスワードに基づいて会員認証を行う(S122)。アカウント名とパスワードが正当であればログインが成功し、情報システム100は、ログイン成功を示す認証結果をリスク管理支援サーバ400に通知する。
リスク管理支援サーバ400の認証結果受信部が、ログイン成功を示す認証結果を受信すると、架空会員情報提示要求部は、情報システム100に架空会員情報の提示を要求する(S124)。たとえば、マイページに移行するためのボタン操作を自動的に実行する。あるいは、オペレータがマイページに移行するためのボタン操作を行ってもよい。この操作によって、架空会員情報要求が情報システム100へ送信される。つまり、このボタン操作によってブラウザから情報システム100へ送信されるHTTPリクエストが架空会員情報の提示要求に相当する。
情報システム100は、架空会員情報要求を受信すると、架空会員情報を応答する(S126)。具体的には、情報システム100は、マイページのWebページデータをリスク管理支援サーバ400へ送信する。Webページデータの中に架空コードを含む架空会員情報が設定されている。
リスク管理支援サーバ400の架空会員情報受信部が架空会員情報を受信すると、架空コード設定確認部468は、架空会員情報において架空コードを設定した項目のデータを抽出して、架空コードと一致するかを確認する(S128)。架空会員情報受信部は、ブラウザの機能の一部である。Webページデータの中から架空コードを設定した項目のデータを特定してもよいし、ブラウザによって表示された画面のイメージから架空コードを設定した項目のデータを読み取ってもよい。たとえば、住所に架空コードを設定した場合には、住所欄に表示された住所表記を特定する。住所欄に表示された住所表記が架空コードと一致すれば確認が成功する。住所欄に表示された住所表記が架空コードと一致しなければ確認が失敗する。
確認が失敗した場合には、架空コード設定確認部468は、図7の場合と同様に、情報システム100の管理者に架空コードが消滅したことを警告する。
なお、S122においてアカウント名とパスワードが正当でないと判断した場合には、ログインが失敗し、情報システム100は、ログイン失敗を示す認証結果をリスク管理支援サーバ400に通知する。リスク管理支援サーバ400がログイン失敗を示す認証結果を受信した場合にも、架空コード設定確認部468は、情報システム100の管理者に架空コードが消滅したことを警告する。この場合、アカウント自体が削除された可能性が高い。
[変形例4]
情報システム100の運用面から見ると、架空会員については業務対象から除外することが望ましい。しかし、変形例3では、リスク管理支援サーバ400が架空会員の登録を行うので、情報システム100において架空会員のアカウントを判別しにくい面がある。変形例4では、情報システム100において架空会員のアカウントを生成し、リスク管理支援サーバ400はそのアカウントを利用して架空コードを設定する。つまり、情報システム100に用意してもらった会員情報の中に架空コードを仕込むようにする。このようにすれば、情報システム100において架空会員のアカウントを把握しやすく、情報システム100における運用の円滑化が図られる。
変形例4の場合、リスク管理支援サーバ400の受信部440は、さらにアカウント情報受信部(不図示)および更新完了受信部(不図示)を備える。
図12は、変形例4における架空コード設定フェーズ(S10)のシーケンスを示す図である。
情報システム100の管理者は、アカウント情報(アカウント名とパスワード)と架空会員情報を生成し、情報システム100における架空会員の登録を行う(S130)。架空会員情報とアカウント情報の生成方法は、任意である。この段階で、架空会員情報を設定しておくが、後にその一部は架空コードによって書き換えられる。情報システム100の管理者端末は、リスク管理支援サーバ400にアカウント情報を通知する(S132)。電子メールで通知してもよいし、管理者端末からリスク管理支援サーバ400のWebサイトにログインして、アカウント情報通知用のWebページにおいてアカウント情報(アカウント名とパスワード)を入力し、ブラウザがアカウント情報を送信してもよい。
リスク管理支援サーバ400のアカウント情報受信部がアカウント情報を受信すると、架空コード生成部462は、架空コードを設定する項目の種別に応じて架空コードを生成する(S134)。架空コードを設定する項目は、リスク管理支援サーバ400において決めてもよいし、情報システム100の管理者の指示によって決めてもよい。そして、一意性認定部464は、生成した架空コードの一意性に関する認定を行う(S136)。
リスク管理支援サーバ400のログイン要求部は、通知されたアカウント情報を用いて情報システム100のサイトにログインを要求する(S138)。情報システム100が、会員認証を行い(S140)、ログイン成功を示す認証結果がリスク管理支援サーバ400に通知されると、リスク管理支援サーバ400の架空コード提供部432は、架空コード書込みを要求する(S142)。具体的には、マイページに移行する操作と、マイページに表示された会員情報一覧のうち架空コードを設定する項目の入力欄に架空コードを入力する操作と、会員情報の更新指示の操作とを行う。これらの操作を自動的に実行してもよいし、オペレータが手動で行ってもよい。架空コードが入力された状態で会員情報の更新が指示されたときに、ブラウザから情報システム100へ送られるHTTPリクエストが、架空コード書込み要求に相当する。
情報システム100は架空コード書込み要求を受信すると、通常の動作によって架空コードを含む会員情報を秘匿情報に上書きする(S144)。つまり、会員情報が架空コードを含む内容に更新される。情報システム100は、リスク管理支援サーバ400に更新完了を通知する(S146)。たとえば、マイページに表示される「会員情報を書き換えました。」というメッセージが更新完了の通知に相当する。
リスク管理支援サーバ400の更新完了受信部が更新完了通知を受信すると、テーブル更新部466は、監視情報テーブルを更新する(S148)。
架空コード設定確認については、変形例3の場合と同様である。
[その他の変形例]
項目種別に項目のデータサイズを付加してもよい。そして、データサイズによって架空コードが設定される領域の大きさを特定してもよい。
架空コードの生成方法として、サンプルコードの一部の文字を無作為に選んだ文字に書き換えてもよい。たとえば、サンプルコード「アセチルサリチル酸」の先頭文字を無作為に選んだ文字「ケ」に置き換えれば「ケセチルサリチル酸」という架空コードが生成される。
架空コードの生成方法として、サンプルコードの部分同士を入れ替えてもよい。たとえば、サンプルコード「松戸市仲井町○番×号」の市の名称と町の名称を入れ替え、さらに番と号の数字を入れ替えれば、架空コード「仲井市松戸町×番○号」が生成される。
リスク管理支援サーバ400の流出警告部436は、架空コードが見つかったサイトの種類によって警告の態様を変化させてもよい。たとえば、ダークWeb300で発見された場合と、ダークWeb300以外の深層Web200で発見された場合と、表層Webで発見された場合とで、警告文の色や背景色を異ならせてもよい。あるいは、異なるアラーム音を発生させてもよい。
テーブル更新部466は、架空コードを設定した日時を監視情報テーブルに記録してもよい。そして、流出警告部436は、流出警告に架空コードの設定日時を含めてもよい。このようにすれば、秘匿情報が流出したタイミングを特定するのに役立つ。
また、架空コードを定期的に更新してもよい。つまり、架空コードが設定されている領域に別の架空コードを上書きする。架空コードを更新する場合にも、一意性の認定などの処理を同様に行う。そして、監視サイト500に対して、さらに新たな架空コードを探索キーとした探索要求を行う。テーブル更新部466は、架空コードを解除した日時を監視情報テーブルに記録してもよい。このようにすれば、架空コードが使用された期間を特定できる。流出警告部436は、流出警告に架空コードが使用された期間を含めてもよい。架空コードを更新する間隔を短くすれば、秘匿情報が流出したタイミングを限定しやすくなる。情報システム100からの指示によって架空コードを更新してもよい。たとえば、ある業者との提携期間に限定した架空コードを用いれば、その業者との関係におけるデータ流出のリスクをとらえやすくなる。
なお、本発明は上記実施形態や変形例に限定されるものではなく、要旨を逸脱しない範囲で構成要素を変形して具体化することができる。上記実施形態や変形例に開示されている複数の構成要素を適宜組み合わせることにより種々の発明を形成してもよい。また、上記実施形態や変形例に示される全構成要素からいくつかの構成要素を削除してもよい。
本実施形態では、情報システム100に秘匿情報の一部となる架空コードを提供するので、情報システム100側で架空コードを生成する負担が軽減される。
また、設定項目に応じた架空コードを提供するので、種々の項目を対象として架空コードを設定することが可能である。
また、少なくとも一意性を有すると見込まれる架空コードを用いるようにするので、秘匿情報以外のデータに含まれるコードとの混同をさけることができる。つまり、架空コードの目印としての機能を高めることができる。
また、複数のサンプルコードと比較して架空コードの一意性を認定するので、一意性の確からしさを高めることができる。
また、たとえば会員を新規登録するためのユーザインターフェースにアクセスして、架空コードを登録会員の項目内容に含めるので、会員制のサイトにおける架空コードの設定を情報システム100の負担を増やさずに行える。
また、情報システム100から提示された会員情報によって架空コードの設定状況を確認するので、架空コードの消失を見つけやすい。
また、架空コードが消失した場合に、情報システムの管理者に警告するので、架空コードの復旧などの処置をとりやすい。よって、架空コードが設定されていない期間を短くすることができる。
また、ウェブサイトを監視する探索システムに架空コードを探索させて、架空コードが発見された場合に警告するので、情報システム100からの秘匿情報の流出をとらえやすい。
100 情報システム、200 深層Web、300 ダークWeb、400 リスク管理支援サーバ、500 監視サイト、404 通信部、406 データ処理部、408 データ格納部、430 送信部、440 受信部、432 架空コード提供部、434 参照要求部、436 流出警告部、442 架空コード要求受信部、444 設定完了受信部、446 架空コード応答受信部、448 アラート通知受信部、462 架空コード生成部、464 一意性認定部、466 テーブル更新部、468 架空コード設定確認部、470 情報システム特定部、472 探索要求部、482 監視情報テーブル記憶部、484 情報システム管理テーブル記憶部、488 住所データベース、490 氏名データベース、492 薬剤データベース

Claims (5)

  1. 秘匿情報を管理する情報システムと通信ネットワークを介して接続され、
    前記情報システムから、前記秘匿情報における一部の項目に設定されるべき架空コードの取得要求を、前記項目の種別と共に受信する架空コード要求受信部と、
    前記受信された項目の種別のデータ形式に対応して前記架空コードを生成する架空コード生成部と、
    前記生成された架空コードを前記情報システムに送信する架空コード提供部と、を備えることを特徴とするリスク管理支援装置。
  2. 前記架空コード提供部は、前記生成された架空コードの一意性が認定されたことを条件として、前記生成された架空コードを前記情報システムへ送信することを特徴とする請求項1に記載のリスク管理支援装置。
  3. 前記情報システムは、前記秘匿情報に登録される項目内容を受け付けるためのユーザインターフェースを備え、
    前記架空コード提供部は、前記情報システムの前記ユーザインターフェースにアクセスして、前記架空コードを前記項目内容の一部に含めて前記秘匿情報に登録させることを特徴とする請求項1または2に記載のリスク管理支援装置。
  4. 前記情報システムに、前記登録された項目内容の提示を要求する提示要求部と、
    前記情報システムから提示された項目内容の一部に前記架空コードが設定されていることを確認する設定確認部と、を更に備えることを特徴とする請求項3に記載のリスク管理支援装置。
  5. ウェブサイトが提供するデータを監視する外部の探索システムと通信ネットワークを介して接続され、
    前記探索システムに前記架空コードの探索を要求する探索要求部と、
    前記探索システムから、前記架空コードの発見通知を受信する通知受信部と、
    前記架空コードの前記発見通知が受信されたときに、前記架空コードに対応する前記情報システムに、前記秘匿情報の流出を警告する警告部と、を更に備えることを特徴とする請求項1から4のいずれかに記載のリスク管理支援装置。
JP2019198452A 2019-10-31 2019-10-31 リスク管理支援装置 Active JP7368184B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019198452A JP7368184B2 (ja) 2019-10-31 2019-10-31 リスク管理支援装置
US16/816,347 US11144664B2 (en) 2019-10-31 2020-03-12 Risk management support device
CN202010206278.XA CN112749388B (zh) 2019-10-31 2020-03-23 风险管理辅助装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019198452A JP7368184B2 (ja) 2019-10-31 2019-10-31 リスク管理支援装置

Publications (2)

Publication Number Publication Date
JP2021071943A true JP2021071943A (ja) 2021-05-06
JP7368184B2 JP7368184B2 (ja) 2023-10-24

Family

ID=75645284

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019198452A Active JP7368184B2 (ja) 2019-10-31 2019-10-31 リスク管理支援装置

Country Status (3)

Country Link
US (1) US11144664B2 (ja)
JP (1) JP7368184B2 (ja)
CN (1) CN112749388B (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7114139B1 (ja) * 2022-02-08 2022-08-08 株式会社ソースポッド 漏洩対処管理プログラム、漏洩対処管理方法、及び漏洩対処管理装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005222135A (ja) * 2004-02-03 2005-08-18 Internatl Business Mach Corp <Ibm> データベースアクセス監視装置、情報流出元特定システム、データベースアクセス監視方法、情報流出元特定方法、およびプログラム
JP2006053711A (ja) * 2004-08-11 2006-02-23 Tamaki Hirano 情報管理方法、情報処理システム、及びプログラム
JP2006079233A (ja) * 2004-09-08 2006-03-23 Seiko Epson Corp 個人情報漏洩監視システム、個人情報漏洩監視方法、個人情報漏洩監視プログラムおよびそのプログラムを記録した記録媒体
JP2007241461A (ja) * 2006-03-06 2007-09-20 Fuji Xerox Co Ltd データ管理装置、データ管理方法及びデータ管理プログラムを記録した記録媒体
JP2008507005A (ja) * 2004-05-02 2008-03-06 マークモニター インコーポレイテッド オンライン詐欺解決法
WO2016042762A1 (ja) * 2014-09-19 2016-03-24 日本電気株式会社 情報生成装置、情報生成方法および記録媒体
JP2019036296A (ja) * 2017-07-12 2019-03-07 ザ・ボーイング・カンパニーThe Boeing Company モバイルセキュリティ対策

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004006075A1 (ja) * 2002-07-09 2004-01-15 Fujitsu Limited 開放型汎用耐攻撃cpu及びその応用システム
US7992204B2 (en) * 2004-05-02 2011-08-02 Markmonitor, Inc. Enhanced responses to online fraud
JP4700408B2 (ja) 2005-05-24 2011-06-15 日本放送協会 不正流出者検出システム、不正流出者検出サーバ、及び不正流出者検出プログラム
US9015842B2 (en) * 2008-03-19 2015-04-21 Websense, Inc. Method and system for protection against information stealing software
US8181250B2 (en) * 2008-06-30 2012-05-15 Microsoft Corporation Personalized honeypot for detecting information leaks and security breaches
JP5474916B2 (ja) * 2011-11-21 2014-04-16 シャープ株式会社 情報処理装置および複合機
US10430903B2 (en) * 2013-04-22 2019-10-01 Jianqing Wu Method for improving document review performance
WO2015001970A1 (ja) 2013-07-05 2015-01-08 日本電信電話株式会社 不正アクセス検知システム及び不正アクセス検知方法
CN105518633B (zh) * 2013-08-29 2018-10-19 株式会社野村综合研究所 Web服务器系统、应用开发辅助系统、Web服务器系统中的多语言支持方法、Web服务器系统中的多设备支持方法以及应用开发辅助方法
US9928377B2 (en) 2015-03-19 2018-03-27 Netskope, Inc. Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS)
CN106936773A (zh) * 2015-12-29 2017-07-07 阿里巴巴集团控股有限公司 一种数据安全保护方法和装置
CN107463851B (zh) * 2016-06-02 2020-11-27 阿里巴巴(中国)有限公司 页面验证的方法、装置及系统
US10601868B2 (en) * 2018-08-09 2020-03-24 Microsoft Technology Licensing, Llc Enhanced techniques for generating and deploying dynamic false user accounts
CN109598140A (zh) * 2018-11-28 2019-04-09 国家电网有限公司 一种网页信息的保护方法和装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005222135A (ja) * 2004-02-03 2005-08-18 Internatl Business Mach Corp <Ibm> データベースアクセス監視装置、情報流出元特定システム、データベースアクセス監視方法、情報流出元特定方法、およびプログラム
JP2008507005A (ja) * 2004-05-02 2008-03-06 マークモニター インコーポレイテッド オンライン詐欺解決法
JP2006053711A (ja) * 2004-08-11 2006-02-23 Tamaki Hirano 情報管理方法、情報処理システム、及びプログラム
JP2006079233A (ja) * 2004-09-08 2006-03-23 Seiko Epson Corp 個人情報漏洩監視システム、個人情報漏洩監視方法、個人情報漏洩監視プログラムおよびそのプログラムを記録した記録媒体
JP2007241461A (ja) * 2006-03-06 2007-09-20 Fuji Xerox Co Ltd データ管理装置、データ管理方法及びデータ管理プログラムを記録した記録媒体
WO2016042762A1 (ja) * 2014-09-19 2016-03-24 日本電気株式会社 情報生成装置、情報生成方法および記録媒体
JP2019036296A (ja) * 2017-07-12 2019-03-07 ザ・ボーイング・カンパニーThe Boeing Company モバイルセキュリティ対策

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7114139B1 (ja) * 2022-02-08 2022-08-08 株式会社ソースポッド 漏洩対処管理プログラム、漏洩対処管理方法、及び漏洩対処管理装置

Also Published As

Publication number Publication date
US11144664B2 (en) 2021-10-12
CN112749388A (zh) 2021-05-04
CN112749388B (zh) 2024-05-24
JP7368184B2 (ja) 2023-10-24
US20210133345A1 (en) 2021-05-06

Similar Documents

Publication Publication Date Title
US10268840B2 (en) Systems and methods of determining compromised identity information
US11928245B2 (en) Systems and methods of determining compromised identity information
US20200106802A1 (en) Method and system for tracking fraudulent activity
US9027121B2 (en) Method and system for creating a record for one or more computer security incidents
US10599872B2 (en) Systems and methods of determining compromised identity information
CN103493061B (zh) 用于应对恶意软件的方法和装置
ES2679286T3 (es) Distinguir usuarios válidos de robots, OCR y solucionadores de terceras partes cuando se presenta CAPTCHA
KR101497610B1 (ko) 컴퓨터 네트워크 보안을 보조하기 위한 자산 모델의 실시간식별 및 자산의 카테고리화
CN101610264B (zh) 一种防火墙系统、安全服务平台及防火墙系统的管理方法
US20170005807A1 (en) Encryption Synchronization Method
Saleem et al. Sok: Anatomy of data breaches
CN103229181A (zh) 通过对url进行模糊处理来保护网站和网站用户
US20140156988A1 (en) Medical emergency-response data management mechanism on wide-area distributed medical information network
CN110958239B (zh) 访问请求的校验方法和装置、存储介质及电子装置
CN100557556C (zh) 在线数据加密与解密
JP2012133406A (ja) 脆弱性診断装置
Lawrence et al. D-miner: A framework for mining, searching, visualizing, and alerting on darknet events
JP2021071943A (ja) リスク管理支援装置
JP2007065810A (ja) セキュリティ検査システム
JP5341695B2 (ja) 情報処理システム、情報処理方法、およびプログラム
JP2006079228A (ja) アクセス管理装置
WO2019235450A1 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム
KR100931326B1 (ko) 아이디/패스워드 찾기 이력 및 로그인 이력 관리 시스템 및 그 방법
Xu et al. Gemini: An emergency line of defense against phishing attacks
JP7175480B2 (ja) 情報処理システム及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220901

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230523

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230626

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231012

R151 Written notification of patent or utility model registration

Ref document number: 7368184

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151