JP2021189490A - 異常操作検出装置、異常操作検出方法、およびプログラム - Google Patents

異常操作検出装置、異常操作検出方法、およびプログラム Download PDF

Info

Publication number
JP2021189490A
JP2021189490A JP2020090851A JP2020090851A JP2021189490A JP 2021189490 A JP2021189490 A JP 2021189490A JP 2020090851 A JP2020090851 A JP 2020090851A JP 2020090851 A JP2020090851 A JP 2020090851A JP 2021189490 A JP2021189490 A JP 2021189490A
Authority
JP
Japan
Prior art keywords
reference list
variable
user terminal
abnormality
variable item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020090851A
Other languages
English (en)
Other versions
JP7452849B2 (ja
Inventor
誠幸 辻村
Masayuki Tsujimura
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Communication Systems Ltd
Original Assignee
NEC Communication Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Communication Systems Ltd filed Critical NEC Communication Systems Ltd
Priority to JP2020090851A priority Critical patent/JP7452849B2/ja
Publication of JP2021189490A publication Critical patent/JP2021189490A/ja
Application granted granted Critical
Publication of JP7452849B2 publication Critical patent/JP7452849B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】ユーザ端末からの情報漏えいを防ぐため、ユーザ端末での異常操作を検出するための設定を容易にする。【解決手段】異常操作検出装置10は、ユーザ端末から収集された操作ログを、ユーザ端末での正常操作に該当する可変項目と、ユーザ端末での異常操作に該当する不可変項目と、を含むユーザが所属する組織に応じた基準リストと比較して、可変項目に該当しないいか又は不可変項目に該当する異常操作を検出する検出手段102と、基準リストの可変項目を、操作ログの分析結果に応じて更新する更新手段106とを有する。【選択図】図2

Description

本発明は、会社などの組織内の情報システムにおいて利用されるユーザ端末での異常操作を検出する異常操作検出装置、異常操作検出方法、およびプログラムに関する。
従来、会社などの組織内の情報システムにおいて利用されるユーザ端末からの情報漏えいを防ぐために、様々な対策が講じられている。
例えば、特許文献1には、異常操作検出装置がユーザ端末の操作内容を取得し、あらかじめ記憶された通常の操作と比較することで、異常操作を検出する技術が開示されている。
特開2010−250502号公報
しかしながら、特許文献1に記載の技術では、異常操作検出装置にあらかじめ記憶させておく通常の操作の設定が難しく、当該異常操作検出装置の運用初期には誤検出が発生してしまう可能性もあった。
本発明の目的は、ユーザ端末での異常操作を検出するための設定を容易にすることができる異常操作検出装置、異常操作検出方法、およびプログラムを提供することにある。
本発明の一態様による異常操作検出装置は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段とを有する。
本発明の一態様による異常操作検出方法は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップとを含む。
本発明の一態様によるプログラムは、コンピュータに上記異常操作検出方法を実行させる。
本発明によれば、ユーザ端末での異常操作を検出するための設定を容易にすることができる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。
第1の実施形態に係る情報システムの構成例を示す図である。 第1の実施形態に係る異常操作検出装置の機能ブロック図である。 図2に示した異常操作検出装置の各構成要素の関係を説明する図である。 第1の実施形態に係る基準リストおよび基準リストパターンの構成例を示す図である。 第1の実施形態に係る異常操作検出処理のフローチャートを示す図である。 第1の実施形態に係るアラート通知処理のフローチャートを示す図である。 第1の実施形態に係る異常操作検出装置として動作するコンピュータのハードウェア構成を示す図である。 第2の実施形態に係る異常操作検出装置の機能ブロック図である。
以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。
説明は、以下の順序で行われる。
1.本発明の実施形態の概要
2.第1の実施形態
2.1.情報システムの構成
2.2.異常操作検出装置
2.3.動作例
2.4.変形例1
2.5.変形例2
2.6.ハードウェア構成
2.7.効果の説明
3.第2の実施形態
3.1.異常操作検出装置
3.2.動作例
4.他の実施形態
5.付記
<<1.本発明の実施形態の概要>>
本発明の実施形態では、例えば、異常操作検出装置が、情報システム内の各ユーザ端末から収集された操作ログと、当該ユーザ端末のユーザが所属する組織に基づく基準リストを分析する。そうすることにより、異常操作検出装置は、ユーザ端末が正常に利用されているかどうかを判断することができる。
なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。
<<2.第1の実施形態>>
<2.1.情報システムの構成>
図1は、第1の実施形態に係る情報システムの構成例を示す。本実施形態に係る情報システムは、会社などの組織内で利用される情報システムであって、異常操作検出装置10と、複数のユーザ端末12と、外部コンピュータ14と、業務システムサーバ15と、管理者端末1とを含む。
異常操作検出装置10は、ネットワーク11に接続されており、複数のユーザ端末12のネットワーク11上での動作、例えばインターネット13を介して行うWebサーバなどの外部コンピュータ14に対する操作、あるいは業務システムサーバ15などに接続して行う動作などを検出する。そして、異常操作検出装置10は、検出された動作が異常である場合には、その旨を各端末に通知する。また、情報システムの管理者は、ネットワーク11に接続された管理者端末16を利用して、異常操作検出装置10の設定を行うことができる。
<2.2.異常操作検出装置>
図2は、本実施形態に係る異常操作検出装置の機能ブロック図を示す。
異常操作検出装置10は、ログ収集部101、異常検知レベル判定部102、アラート通知部103、操作−基準リスト比較部104、基準リストパターン判定部105、可変項目更新部106、およびデータベース(DB)107を有する。データベース107は、操作ログDB1071、ユーザDB1072、基準リストDB1073、基準リストパターンDB1074、システム定義DB1075を有する。
上述した各構成要素の関係は、図3を参照して後述する。
図3は、図2に示した異常操作検出装置の各構成要素の関係を説明する図である。
ログ収集部101は、各ユーザ端末12におけるユーザ操作をログ(以下、操作ログとも称する)として収集し、収集した操作ログを操作ログDB1071に保存する。また、ログ収集部101は、ログ収集を行った旨を異常検知レベル判定部102に通知する。
異常検知レベル判定部102は、各ユーザ端末12におけるユーザ操作の異常検知レベルを判定する。具体的には、異常検知レベル判定部102は、ログ収集部101から、ログ収集を行った旨の通知を受け取ると、ユーザDB1072にアクセスし、異常検知レベルの判定対象のユーザの情報を取得する。さらに、異常検知レベル判定部102は、当該ユーザに関する操作ログを操作ログDB1071から取得し、基準リスト情報を基準リストDB1073から取得し、分析を行う。異常検知レベル判定部102は、アラートを出す場合には、その旨をアラート通知部103に通知する。判定終了後、異常検知レベル判定部102は、操作−基準リスト比較部104にその旨を通知する。このように、異常検知レベル判定部102は、ユーザ端末12での異常操作を検出する検出手段として機能する。
アラート通知部103は、対象のユーザ端末12に対してアラートを出力する。具体的には、アラート通知部103は、異常検知レベル判定部102から通知を受信すると、システム定義DB1075からアラート通知方法を取得し、対象のユーザ端末12に対してアラートを出力する。このように、アラート通知部103は、アラートの出力手段として機能する。
操作−基準リスト比較部104は、操作ログと既存の基準リスト、基準リストパターンを分析して、基準リストを更新するかどうか判定する。具体的には、操作−基準リスト比較部104は、異常検知レベル判定部102からの通知を受信すると、操作ログDB1071から操作ログを取得し、基準リストパターン判定部105に送信する。操作−基準リスト比較部104は、基準リストパターン判定部105から返信された基準リストパターン情報と操作ログ、基準リストDB1073から取得した基準リスト情報を分析する。操作−基準リスト比較部104は、基準リストの可変項目を修正する必要がある場合は、可変項目更新部106に情報を送信する。さらに、操作−基準リスト比較部104は、システム定義DB1075から、基準リスト精錬期間情報を取得する。基準リスト精錬期間情報は、基準リストの可変項目を更新し、異常操作の検出精度を向上させるための所定の期間を示す。
基準リストパターン判定部105は、基準リストを精錬させるために必要な基準リストパターンを、操作ログを基に判定する。具体的には、基準リストパターン判定部105は、操作−基準リスト比較部104から操作ログを受信すると、基準リストパターンDB1074から必要な基準リストパターン情報を取得し、操作ログと併せて分析した結果を操作−基準リスト比較部104に返信する。
可変項目更新部106は、既存の基準リストの可変項目を更新する。すなわち、可変項目更新部106は、可変項目の更新手段として機能する。具体的には、可変項目更新部106は、操作−基準リスト比較部104から通知を受信すると、基準リストDB1073にある基準リスト情報を更新する。
操作ログDB1071は、ログ収集部101によって収集された操作ログを保存する。保存された操作ログは、異常検知レベル判定部102、および操作−基準リスト比較部104によって使用される。
ユーザDB1072は、ユーザ情報を保存する。ユーザ情報は、異常検知レベル判定部102によって使用される。また、異常検知レベル判定部102によって算出される異常検知累積値もユーザDB1072に保存される。異常検知累積値の詳細については後述する。
基準リストDB1073は、基準リスト情報を保存する。基準リスト情報は、異常検知レベル判定部102、および操作−基準リスト比較部104によって使用される。また、基準リスト情報は、可変項目更新部106によって更新される。
基準リストパターンDB1074は、複数の基準リストパターン情報を保存する。基準リストパターン情報は、基準リストパターン判定部105によって使用される。
システム定義DB1075は、システム全体の情報を保存する。当該情報には、例えば、ユーザ端末12に対するアラート通知方法や、基準リスト精錬期間も含まれ、アラート通知部103や操作−基準リスト比較部104によって参照される。
図4は、第1の実施形態に係る基準リストおよび基準リストパターンの構成例を示す。
図示されるように、基準リスト1、2、3はそれぞれ、可変項目と不可変項目とを含む。可変項目は、ホワイトリストの役割を持ち、正常操作に該当する操作項目を示す。一方、不可変項目は、ブラックリストの役割を持ち、異常操作に該当する操作項目を示す。また、それぞれ異なる可変項目a、可変項目b、および可変項目cが用意され、それぞれを不可変項目と組み合わせたものを基準リストパターンとする。可変項目の例として、就業時間、業務で普段利用するソフトウェア、当該ソフトウェアの利用時間、アクセス可能な共有サーバへアクセスする時間、などがある。不可変項目の例として、業務での利用が禁止されているソフトウェアのインストール、閲覧が禁止されているウェブサイトへのアクセス、業務で普段利用することが無い共有サーバへのアクセス、などがある。このように、異常操作とは、当該ユーザ端末で禁止されている操作、および、所定の時間外での操作のことをいう。
なお、本実施形態に係る基準リストおよび基準リストパターンの数や構成は、図示された例に限定されない。
<2.3.動作例>
第1の実施形態に係る動作例を説明する。図5は、第1の実施形態に係る異常操作検出処理のフローチャートを示す。
まず、異常操作検出装置10は、基準リストDB1073に、ユーザごとに組織や部署に応じた基準リストを保存する(S101)。
次いで、ログ収集部101は、各ユーザ端末12から操作ログを収集し、収集した操作ログを操作ログDB1071に保存し、異常検知レベル判定部102に通知する(S102)。
異常検知レベル判定部102は、ログ収集部101からの通知を受信すると、アラート通知処理を行う(S103)。アラート通知処理については、図6を参照して後述する。その後、操作−基準リスト比較部104は、基準リストパターン判定部105に操作ログ情報を送信し、基準リストパターンの判定を要求する。
基準リストパターン判定部105は、操作−基準リスト比較部104から受信した操作ログ情報のうち、可変項目に関する情報を抽出する。その後、基準リストパターン判定部105は、抽出された可変項目に関する情報を、基準リストパターンDB1074内の各基準リストパターンにおける可変項目と比較し(S104)、エラーの状況を判別する(S105)。エラーの数が極端に多いもしくは少ない基準リストパターンについては、今後、操作−基準リスト比較部104での比較対象外とし、参照しないこととする(S106)。このように、基準リストパターン判定部105は、複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段として機能する。
次いで、基準リストパターン判定部105は、次の基準リストが存在するかどうか判定する(S107)。次の基準リストが存在する場合は、S104に戻り、処理を繰り返す。すなわち、基準リストパターン判定部105は、S104からS106の処理を基準リストの数だけ繰り返し(S107)、比較対象の各基準リストパターンの情報のみを、操作−基準リスト比較部104に送信する。
次いで、操作−基準リスト比較部104は、基準リストパターン判定部105から受信した比較対象の各基準リストパターンの情報、操作ログ、および既存の基準リスト情報を比較分析する(S108)。可変項目が、既存の基準リストの可変項目と異なる場合、操作−基準リスト比較部104は、可変項目更新部106に新規の可変項目情報を送信する。可変項目更新部106は、新規の可変項目情報を受信した場合、その情報を用いて基準リストDB1073に記憶された基準リストの可変項目を更新し、新たな基準リストを設定する(S109)。このように、可変項目更新部106は、操作ログの分析結果に応じて可変項目を更新する更新手段として機能する。
また、操作−基準リスト比較部104は、システム定義DB1075から基準リスト精錬期間情報を取得し、期間内であれば、新たにログ収集部101によって収集された操作ログを基に、基準リストの精錬を行う(S110)。
図6は、第1の実施形態に係るアラート通知処理のフローチャートを示す。以下で説明するアラート通知処理は、図5のS103に対応する。
まず、異常検知レベル判定部102は、ログ収集部101からの通知を受信すると、ユーザDB1072から該当ユーザの情報を取得する(S201)。
次いで、異常検知レベル判定部102は、取得したユーザ情報を基に、そのユーザに関する操作ログを操作ログDB1071から取得する。異常検知レベル判定部102は、あらかじめ基準リストDB1073から取得した基準リスト情報と操作ログ情報とを比較し、異常操作が行われたかどうか判定する。具体的には、異常検知レベル判定部102は、取得した操作ログ情報のうち、不可変項目に関する情報を抽出し、抽出した不可変項目と基準リスト情報における不可変項目とを比較する(S202)。一つでも一致する項目があれば、異常検知レベル判定部102は、アラート通知部103に情報を送信する(すなわち、S207に進む)。一方、一致する項目が無かった場合、異常検知レベル判定部102は、ユーザDB1072から取得したユーザ情報のうち、役職や雇用形態、所属部門に関する情報(すなわち、ユーザの属性)を抽出し、可変項目ごとに異常検知レベルを取得する(S203)。異常検知レベル判定部102は、例えば、役職や雇用形態、所属部門といった情報を可変項目ごとに異常検知レベルとしてスコア化し、当該異常検知レベルにしたがって、アラートを出しやすくしたり出しにくくしたりして、アラートの出力を制御する。このように、異常検知レベルは可変項目ごとに設定される。可変項目の例として、就業時間、業務で普段利用するソフトウェア、アクセス可能な共有サーバへアクセスする時間、などがあり、それぞれに対してユーザ情報(部署、役職など)に応じて異常検知レベルが設定される。ユーザ情報と操作ログ、異常検知レベルを分析して、可変項目ごとに異常操作を検出(すなわち、正常操作の範囲外であると判断)した累積回数が一定の値に達した場合に、アラートが出力される。
次いで、異常検知レベル判定部102は、抽出したユーザ情報と操作ログ、異常検知レベルを分析し(S204)、異常操作が検出された累積回数を示す異常検知累積値を算出し、ユーザDB1072に保存する(S205)。
次いで、異常検知レベル判定部102は、異常検知累積値が所定の閾値を超えたかどうか判定し(S206)、異常検知累積値が所定の閾値を超えた操作を検出した場合、アラート通知部103に情報を送信する(すなわち、S207に進む)。なお、異常検知累積値が所定の閾値以下である場合は、処理を終了する。
アラート通知部103は、異常検知レベル判定部102からの情報を受信すると、システム定義DB1075から該当ユーザ端末12へのアラート通知方法を取得し(S207)、該当ユーザ端末12へアラートを通知する(S208)。
<2.4.変形例1>
本実施形態の変形例1によると、基準リストは、可変項目を含まなくもよい。基準リストは、組織や部署によっては、不可変項目のみで管理することも可能とする。これにより、基準リストDB1073に保存された基準リストのメンテナンスを容易にすることができる。
<2.5.変形例2>
本実施形態の変形例2によると、可変項目および不可変項目の内容は、基準リストの精錬期間が終了した後、異常操作検出装置10の管理者が手動で変更することを可能とする。例えば、精錬期間が終了した後、情報システムにおいて新しくクラウドサーバが利用される場合、当該クラウドサーバに関する情報を基準リストに反映させるために基準リストを精錬し直すと、正常に操作を検出するまでに時間を要する。そこで、管理者による手動変更を可能にすることで、基準リストに情報を即時に反映させることを可能にする。
<2.6.ハードウェア構成>
図7は、第1の実施形態に係る異常操作検出装置として動作するコンピュータのハードウェア構成を示す図である。
コンピュータ700は、CPU701と、主記憶装置702と、補助記憶装置703と、インタフェース704と、通信インタフェース705とを備える。
コンピュータ700の動作は、プログラムの形式で補助記憶装置703に記憶されている。CPU701は、そのプログラムを補助記憶装置703から読み出して主記憶装置702に展開し、そのプログラムに従って、本実施形態で説明した異常操作検出装置の動作を実行する。
補助記憶装置703は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース704を介して接続される磁気ディスク、光磁気ディスク、CD−ROM(Compact Disk Read Only Memory )、DVD−ROM(Digital Versatile Disk Read Only Memory )、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ700に配信される場合、配信を受けたコンピュータ700がそのプログラムを主記憶装置702に展開し、そのプログラムに従って動作してもよい。
また、異常操作検出装置の各構成要素の一部または全部は、汎用または専用の回路(circuitry )、プロセッサ等や、これらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。
なお、異常操作検出装置を実現するコンピュータだけでなく、ユーザ端末12、外部コンピュータ14、業務システムサーバ15、および管理者端末16などを実現するコンピュータも同様に構成され得る。
<2.7.効果の説明>
以上説明したように、本実施形態によれば、ユーザ端末での異常操作を検出するための設定を容易にすることができる。
<<3.第2の実施形態>>
上述した第1の実施形態は、具体的な実施形態であるが、第2の実施形態は、より一般化された実施形態である。なお、第2の実施形態に係る情報システムは、第1の実施形態に係る情報システムと同様であるため、説明は省略する。
<3.1.異常操作検出装置>
図8は、第2の実施形態に係る異常操作検出装置の機能ブロック図を示す。異常操作検出装置800は、ユーザ端末での異常操作を検出する。異常操作検出装置800は、検出部801および更新部802を有する。
検出部801及び更新部802は、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。検出部801及び更新部802は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
異常操作検出装置800は、プログラム(命令)を記憶するメモリと、当該プログラム(命令)を実行可能な1つ以上のプロセッサとを含んでもよい。当該1つ以上のプロセッサは、上記プログラムを実行して、検出部801及び更新部802の動作を行ってもよい。上記プログラムは、検出部801及び更新部802の動作をプロセッサに実行させるためのプログラムであってもよい。
<3.2.動作例>
第2の実施形態に係る動作例を説明する。
第2の実施形態によれば、異常操作検出装置800(検出部801)は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、ユーザ端末での正常操作に該当する可変項目とユーザ端末での異常操作に該当する不可変項目とを含む基準リストと比較して、可変項目に該当しない、または、不可変項目に該当する操作を検出する。また、異常操作検出装置800(更新部802)は、基準リストの可変項目を、操作ログの分析結果に応じて更新する。
−第1の実施形態との関係
一例として、第2の実施形態に係る異常操作検出装置800は、第1の実施形態に係る異常操作検出装置10である。例えば、検出部801は、第1の実施形態に係る異常検知レベル判定部102の動作を行ってもよい。また、更新部802は、第1の実施形態に係る可変項目更新部106の動作を行ってよい。この場合に、第1の実施形態についての説明は、第2の実施形態にも適用され得る。
なお、第2の実施形態は、この例に限定されない。
以上、第2の実施形態を説明した。第2の実施形態によれば、ユーザ端末での異常操作を検出するための設定を容易にすることが可能になる。
<<4.他の実施形態>>
なお、本発明は上述した実施形態に限定されるものではない。上述した実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
例えば、本明細書に記載されている処理におけるステップは、必ずしもフローチャートに記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、フローチャートとして記載された順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。
また、本明細書において説明した異常操作検出装置の構成要素を備える装置(例えば、異常操作検出装置を構成する複数の装置(又はユニット)のうちの1つ以上の装置(又はユニット)、又は上記複数の装置(又はユニット)のうちの1つのためのモジュール)が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体(Non-transitory computer readable medium)が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。
<<5.付記>>
上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段と
を有することを特徴とする異常操作検出装置。
(付記2)
異なる可変項目と前記不可変項目とを組み合わせた複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段をさらに備え、
前記更新手段は、前記選択された基準リストパターンを用いた前記操作ログの分析結果に応じて前記可変項目を更新することを特徴とする付記1に記載の異常操作検出装置。
(付記3)
前記更新手段は、新たに収集された操作ログの分析結果に応じた前記可変項目の更新を、所定の期間、繰り返すことを特徴とする付記1または2に記載の異常操作検出装置。
(付記4)
前記所定の期間が終了した後、前記基準リストの前記可変項目と前記不可変項目は、管理者によって変更することが可能であることを特徴とする付記3に記載の異常操作検出装置。
(付記5)
前記ユーザ端末に対して、前記操作が検出されたことを示すアラートを出力する出力手段をさらに有することを特徴とする付記1乃至4のいずれか1項に記載の異常操作検出装置。
(付記6)
前記出力手段は、前記ユーザの属性に応じた前記可変項目ごとの異常検知レベルにしたがって、前記アラートの出力を制御することを特徴とする付記5に記載の異常操作検出装置。
(付記7)
前記属性は、前記ユーザの役職、雇用形態、また所属部門の情報を含むことを特徴とする付記6に記載の異常操作検出装置。
(付記8)
前記出力手段は、前記ユーザに応じたアラート通知方法にしたがって、前記アラートを出力することを特徴とする付記5乃至7のいずれか1項に記載の異常操作検出装置。
(付記9)
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップと
を含むことを特徴とする異常操作検出方法。
(付記10)
コンピュータに付記9に記載の方法を実行させるためのプログラム。
本発明は、会社などの組織内の情報システムにおいて、ユーザ端末での異常操作を検出するために利用することができる。本発明によれば、ハッキングや内部不正操作による組織外への情報漏えいを防止することができる。また、本発明を導入することにより、内部不正の抑止効果も期待できる。
10 異常操作検出装置
101 ログ収集部
102 異常検知レベル判定部
103 アラート通知部
104 操作−基準リスト比較部
105 基準リストパターン判定部
106 可変項目更新部
107 データベース
1071 操作ログDB
1072 ユーザDB
1073 基準リストDB
1074 基準リストパターンDB
1075 システム定義DB

Claims (10)

  1. ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、
    前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段と
    を有することを特徴とする異常操作検出装置。
  2. 異なる可変項目と前記不可変項目とを組み合わせた複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段をさらに備え、
    前記更新手段は、前記選択された基準リストパターンを用いた前記操作ログの分析結果に応じて前記可変項目を更新することを特徴とする請求項1に記載の異常操作検出装置。
  3. 前記更新手段は、新たに収集された操作ログの分析結果に応じた前記可変項目の更新を、所定の期間、繰り返すことを特徴とする請求項1または2に記載の異常操作検出装置。
  4. 前記所定の期間が終了した後、前記基準リストの前記可変項目と前記不可変項目は、管理者によって変更することが可能であることを特徴とする請求項3に記載の異常操作検出装置。
  5. 前記ユーザ端末に対して、前記操作が検出されたことを示すアラートを出力する出力手段をさらに有することを特徴とする請求項1乃至4のいずれか1項に記載の異常操作検出装置。
  6. 前記出力手段は、前記ユーザの属性に応じた前記可変項目ごとの異常検知レベルにしたがって、前記アラートの出力を制御することを特徴とする請求項5に記載の異常操作検出装置。
  7. 前記属性は、前記ユーザの役職、雇用形態、また所属部門の情報を含むことを特徴とする請求項6に記載の異常操作検出装置。
  8. 前記出力手段は、前記ユーザに応じたアラート通知方法にしたがって、前記アラートを出力することを特徴とする請求項5乃至7のいずれか1項に記載の異常操作検出装置。
  9. ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、
    前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップと
    を含むことを特徴とする異常操作検出方法。
  10. コンピュータに請求項9に記載の方法を実行させるためのプログラム。

JP2020090851A 2020-05-25 2020-05-25 異常操作検出装置、異常操作検出方法、およびプログラム Active JP7452849B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020090851A JP7452849B2 (ja) 2020-05-25 2020-05-25 異常操作検出装置、異常操作検出方法、およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020090851A JP7452849B2 (ja) 2020-05-25 2020-05-25 異常操作検出装置、異常操作検出方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP2021189490A true JP2021189490A (ja) 2021-12-13
JP7452849B2 JP7452849B2 (ja) 2024-03-19

Family

ID=78849439

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020090851A Active JP7452849B2 (ja) 2020-05-25 2020-05-25 異常操作検出装置、異常操作検出方法、およびプログラム

Country Status (1)

Country Link
JP (1) JP7452849B2 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4264113B2 (ja) 2007-04-23 2009-05-13 Sky株式会社 端末監視装置及び端末監視プログラム
JP5504886B2 (ja) 2009-12-28 2014-05-28 富士通株式会社 メールチェック装置、メールチェックプログラム、およびメールチェック方法
CN104901964A (zh) 2015-05-28 2015-09-09 北京邮电大学 一种用于保护云系统的安全监控方法
JP7180073B2 (ja) 2018-01-04 2022-11-30 富士通株式会社 判定プログラム、判定方法、および判定装置
JP6984551B2 (ja) 2018-06-27 2021-12-22 日本電信電話株式会社 異常検知装置、および、異常検知方法

Also Published As

Publication number Publication date
JP7452849B2 (ja) 2024-03-19

Similar Documents

Publication Publication Date Title
US9413773B2 (en) Method and apparatus for classifying and combining computer attack information
CN111178760B (zh) 风险监测方法、装置、终端设备及计算机可读存储介质
JP5684946B2 (ja) イベントの根本原因の解析を支援する方法及びシステム
JP5571847B2 (ja) 複数の制御システムの異常を検知する異常検知システム
JP6160064B2 (ja) 適用判定プログラム、障害検出装置および適用判定方法
CN112702342B (zh) 网络事件处理方法、装置、电子设备及可读存储介质
US20170344901A1 (en) Classifying transactions at network accessible storage
CN110083475B (zh) 一种异常数据的检测方法及装置
CN112818307B (zh) 用户操作处理方法、系统、设备及计算机可读存储介质
JP2007148728A (ja) ポリシ制御方法、装置及びプログラム
JP2018010421A (ja) 計算機システム、計算機及びデータフィルタリング方法
CN112738094B (zh) 可扩展的网络安全漏洞监测方法、系统、终端及存储介质
JP6282217B2 (ja) 不正プログラム対策システムおよび不正プログラム対策方法
CN110191097B (zh) 登录页面安全性的检测方法、系统、设备及存储介质
JPWO2007007410A1 (ja) メッセージ解析装置、制御方法および制御プログラム
JP7207009B2 (ja) 異常検知装置、異常検知方法および異常検知プログラム
US20200334358A1 (en) Method for detecting computer virus, computing device, and storage medium
CN112817827A (zh) 运维方法、装置、服务器、设备、系统及介质
US11372904B2 (en) Automatic feature extraction from unstructured log data utilizing term frequency scores
JP7452849B2 (ja) 異常操作検出装置、異常操作検出方法、およびプログラム
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
US20200166232A1 (en) Alarm processing devices, methods, and systems
US20230056552A1 (en) Analysis system, method, and program
JP5679347B2 (ja) 障害検知装置、障害検知方法、及びプログラム
JP7235109B2 (ja) 評価装置、システム、制御方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240229

R151 Written notification of patent or utility model registration

Ref document number: 7452849

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151