JP2023054869A - 情報処理システム - Google Patents

情報処理システム Download PDF

Info

Publication number
JP2023054869A
JP2023054869A JP2021163817A JP2021163817A JP2023054869A JP 2023054869 A JP2023054869 A JP 2023054869A JP 2021163817 A JP2021163817 A JP 2021163817A JP 2021163817 A JP2021163817 A JP 2021163817A JP 2023054869 A JP2023054869 A JP 2023054869A
Authority
JP
Japan
Prior art keywords
user
information
log
service
cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021163817A
Other languages
English (en)
Inventor
剛史 野畑
Takeshi Nobata
一郎 渡邊
Ichiro Watanabe
龍俊 村田
Tatsutoshi Murata
修司 陶山
Shuji Toyama
崇生 山崎
Takao Yamazaki
澄人 遠藤
Sumuto Endo
貴史 山田
Takashi Yamada
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2021163817A priority Critical patent/JP2023054869A/ja
Publication of JP2023054869A publication Critical patent/JP2023054869A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】従業員によるクラウドサービスを利用した不正行為の検知を支援する技術を提供する。【解決手段】不正検知装置22は、クラウドサービスを利用するユーザ端末12のセキュリティを維持するための複数種類のセキュリティサービス(例えば端末管理装置16、CASB装置18、IDM装置20等)において記録された複数のログを取得する。不正検知装置22は、取得した複数のログに記録されたユーザ端末12に関する情報に基づいて、ユーザが不正な操作を行った可能性を検知する。【選択図】図1

Description

本開示は、データ処理技術に関し、特に情報処理システムに関する。
従来、企業の情報セキュリティ対策は、ファイアウォール等を用いた境界防衛が主であった。また、不正アクセスの有無は、主に、社内に設置されたファイルサーバやアプリケーションサーバ等のログを確認することにより判断されていた(例えば、特許文献1参照)。
特開2018-121218号公報
現在、企業の業務を支援する様々な情報処理サービスがインターネット上のサービス(以下「クラウドサービス」とも呼ぶ。)として提供されている。新型コロナウイルス感染症(COVID-19)の流行前は、クラウドサービスへのアクセスは主に社内LAN経由で行われていた。
一方、COVID-19の流行後はリモートワークが増加し、従業員の自宅LANから所定のセキュリティサービスを経由しつつ社内LANを経由せずにクラウドサービスにアクセスすることが増加している。このような状況下、クラウドサービスを利用した従業員の不正行為を検知するための新たな仕組みが求められている。
本開示は、このような状況に鑑みなされたものであり、1つの目的は、従業員によるクラウドサービスを利用した不正行為の検知を支援する技術を提供することにある。
上記課題を解決するために、本開示のある態様の情報処理システムは、インターネット上のサービスを利用するユーザの端末のセキュリティを維持するための複数種類のセキュリティサービスにおいて記録された複数のログを取得するログ取得部と、複数のログに記録されたユーザの端末に関する情報に基づいて、ユーザが不正な操作を行った可能性を検知する検知部とを備える。
なお、以上の構成要素の任意の組合せ、本開示の表現を、装置、方法、コンピュータプログラム、コンピュータプログラムを格納した記録媒体などの間で変換したものもまた、本開示の態様として有効である。
本開示の技術によれば、従業員によるクラウドサービスを利用した不正行為の検知を支援することができる。
第1実施例における情報処理システムの構成を示す図である。 図1の不正検知装置の機能ブロックを示すブロック図である。 セキュリティサービスログの例を示す図である。 第1実施例におけるユーザ属性情報の項目を示す図である。 制限基準データの例を示す図である。 ダッシュボード画面の例を示す図である。 ダッシュボード画面の例を示す図である。 第2実施例におけるユーザ属性情報の項目を示す図である。 第2実施例における警告情報の例を示す図である。
本開示における装置または方法の主体は、コンピュータを備えている。このコンピュータがコンピュータプログラムを実行することによって、本開示における装置または方法の主体の機能が実現される。コンピュータは、コンピュータプログラムにしたがって動作するプロセッサを主なハードウェア構成として備える。プロセッサは、コンピュータプログラムを実行することによって機能を実現することができれば、その種類は問わない。プロセッサは、半導体集積回路(IC、LSI等)を含む1つまたは複数の電子回路で構成される。コンピュータプログラムは、コンピュータが読み取り可能なROM、光ディスク、ハードディスクドライブなどの非一時的な記録媒体に記録される。コンピュータプログラムは、記録媒体に予め格納されていてもよいし、インターネット等を含む広域通信網を介して記録媒体に供給されてもよい。
実施例では、所定の団体(以下、企業とする)における情報セキュリティの維持を支援する技術であり、特に、企業の従業員によるクラウドサービスを利用した不正行為の検知を支援する技術を提案する。具体的には、実施例の情報処理システムは、クラウドサービスを利用するユーザ端末のセキュリティを維持するための複数種類のセキュリティサービスにおいて記録された複数のログを収集する。そして、それら複数のログに亘って各ユーザに関する情報を横断的に見ることにより、各ユーザが不正な操作を行った可能性を精度よく検知する。
複数種類のセキュリティサービスは、CASB(Cloud Access Security Broker)、IDM(IDentity Management)、EDR/UEM(Endpoint Detection and Response/Unified Endpoint Management)を含む。CASBは、インターネットやクラウドサービスへのユーザのアクセスを管理および代行するサービスである。IDMは、ユーザの認証、クラウドサービスとのID連携、およびシングルサインオン(SSO)を行うサービスである。EDR/UEMは、ユーザが使用する情報端末の管理および保護を行うサービスである。
<第1実施例>
図1は、第1実施例における情報処理システム10の構成を示す。情報処理システム10は、複数のユーザ端末12、複数のクラウドサービス14、端末管理装置16、CASB装置18、IDM装置20、不正検知装置22、管理者端末24を備える。情報処理システム10の各構成要素は、LAN・WAN・インターネット等を含む通信網を介して接続される。
複数のユーザ端末12は、或る企業に所属する複数の従業員(以下「ユーザ」と呼ぶ。)により操作される情報端末である。複数のユーザ端末12は、異なるユーザにより操作されるユーザ端末12a、ユーザ端末12b、ユーザ端末12cを含む。複数のユーザ端末12のそれぞれは、企業のオフィスに設置されてもよく、オフィス以外の様々なワーキングスペース(ユーザの自宅等)に設置されてもよい。また、複数のユーザ端末12のそれぞれは、PC、スマートフォン、タブレット端末等であってもよい。
複数のクラウドサービス14は、不図示のサーバがSaaS(Software as a Service)として提供するインターネット上のサービス(コンテンツとも言える)であり、典型的には、企業の業務を支援する情報処理サービスである。複数のクラウドサービス14は、クラウドストレージサービス14a(言い換えればオンラインストレージサービス)、コラボレーションサービス14b(例えばチャット、ウェブ会議等)、ワークフローサービス14c(例えば申請・承認支援サービス等)を含む。
複数のクラウドサービス14のそれぞれは、ユーザ端末12からのアクセスに関する情報を記録したログ(以下「SaaSログ」とも呼ぶ。)を生成する。例えば、クラウドストレージサービス14aにおいて生成されるSaaSログは、複数のユーザ端末12(もしくはユーザ)のそれぞれに対応付けて記録された、クラウドストレージに対する各ユーザの操作を示す情報や、クラウドストレージからダウンロードされたファイルに関する情報を含む。
端末管理装置16は、ユーザ端末12を管理および保護するためのEDR/UEM機能を提供する情報処理装置である。端末管理装置16は、公知のEDR製品である「CROWDSTRIKE(商標または登録商標)」を実行することにより、EDR/UEM機能を発揮してもよい。端末管理装置16は、ユーザ端末12の操作に関する情報を記録したログ(以下「EDRログ」とも呼ぶ。)を生成する。EDRログは、複数のユーザ端末12(もしくはユーザ)のそれぞれに対応付けて記録された、各ユーザ端末12に入力された操作を示す情報を含む。
CASB装置18は、ユーザ端末12からクラウドサービス14へのアクセスを管理および代行するCASB機能を提供する情報処理装置である。CASB装置18は、通信管理装置とも言える。CASB装置18は、公知のCASB製品である「netskope(商標または登録商標)」を実行することにより、CASB機能を発揮してもよい。CASB装置18は、ユーザ端末12の通信に関する情報を記録したログ(以下「CASBログ」とも呼ぶ。)を生成する。CASBログは、複数のユーザ端末12(もしくはユーザ)のそれぞれに対応付けて記録された、各ユーザ端末12がアクセスしたクラウドサービスを示す情報や、クラウドサービスと送受されたデータ量を示す情報を含む。
IDM装置20は、IDM機能を提供する情報処理装置であり、ID管理装置とも言える。IDM装置20は、ユーザの認証および各種サービスへのSSO処理を実行する。IDM装置20は、公知のIDM製品である「Azure Active Directory(商標または登録商標)」を実行することにより、IDM機能を発揮してもよい。IDM装置20は、ユーザ端末12のID使用に関するログ(以下「IDMログ」とも呼ぶ。)を生成する。IDMログは、複数のユーザ端末12(もしくはユーザ)のそれぞれに対応付けて記録された、ユーザ認証の時刻および成否を示す情報や、SSOによるログイン先を示す情報を含む。
不正検知装置22は、複数のユーザの中から不正な操作(内部不正とも言える)を行った可能性のあるユーザを検知する情報処理装置である。不正検知装置22の詳細な構成は後述する。
管理者端末24は、企業の管理者(典型的にはユーザが所属する部署の上司)により操作される情報端末である。後述するように、不正検知装置22は、企業におけるクラウドサービスの利用状況を示す管理情報を生成し、その管理情報を含むダッシュボード画面を管理者端末24に提供する。
図2は、図1の不正検知装置22の機能ブロックを示すブロック図である。本明細書のブロック図で示す各ブロックは、ハードウェア的には、コンピュータのプロセッサ(CPU等)、メモリをはじめとする素子や電子回路、機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。
不正検知装置22は、制御部30、記憶部32、通信部34を備える。制御部30は、各種データ処理を実行する。記憶部32は、制御部30により参照または更新されるデータを記憶する。通信部34は、所定の通信プロトコルにしたがって外部装置と通信する。例えば、制御部30は、通信部34を介して、クラウドサービス14、端末管理装置16、CASB装置18、IDM装置20、管理者端末24とデータを送受信する。
記憶部32は、ログ記憶部36、ユーザ属性記憶部38、管理情報記憶部40、制限基準記憶部42を含む。ログ記憶部36は、複数種類のセキュリティサービスにおいて記録された複数のログを記憶する。ログ記憶部36に記憶される複数のログは、デバイスのログ(実施例ではEDRログ)、ネットワークのログ(実施例ではCASBログ)、IDのログ(実施例ではIDMログ)、コンテンツのログ(実施例ではSaaSログ)を含む。
EDRログ、CASBログ、IDMログ、SaaSログは、いずれも非定型のテキストデータであり、総称して「セキュリティサービスログ」とも呼ぶ。図3は、セキュリティサービスログの例を示す。セキュリティサービスログは、複数のログデータ間で名寄せする(すなわち各ユーザのレコードを識別する)ための第1キーと、データ量の計算やエラー抽出に使用する第2キーを含む。第1キーは、例えば、ユーザID、ホスト名またはIPアドレスであってもよい。第2キーは、例えば、操作情報、リクエストタイプまたはエラーコードであってもよい。図3のキーワード62は第1キーであり、図3のキーワード60は第2キーである。
ユーザ属性記憶部38は、複数のユーザのそれぞれに関する属性情報(以下「ユーザ属性情報」とも呼ぶ。)を記憶する。図4は、第1実施例におけるユーザ属性情報の項目を示す。第1実施例におけるユーザ属性情報は、ユーザID(認証用のID)、(ユーザ端末12の)ホスト名、(ユーザ端末12の)IPアドレス、ユーザが所属する部署名(例えば営業部、開発部、企画部等)を含む。
管理情報記憶部40は、後述の管理情報生成部48により生成された、企業におけるクラウドサービスの利用状況を示す管理情報を記憶する。制限基準記憶部42は、ユーザ端末12によるクラウドサービスの利用を制限する基準となるデータ(以下「制限基準データ」とも呼ぶ。)を記憶する。図5は、制限基準データの例を示す。制限基準データは、閾値を含む条件と、その条件が満たされた場合のアクション(言い換えれば制限の内容)とを対応付けたデータである。
制御部30は、ログ取得部44、不正検知部46、管理情報生成部48、ダッシュボード提供部50、利用制限部52を含む。これら複数の機能ブロックの機能が実装されたコンピュータプログラムが不正検知装置22のストレージ(記憶部32等)にインストールされてもよい。制御部30は、不正検知装置22のプロセッサ(CPU等)により実現されてもよい。不正検知装置22のプロセッサは、上記コンピュータプログラムをメインメモリに読み出して実行することにより、これら複数の機能ブロックの機能を発揮してもよい。なお、図2に示す複数の機能ブロックの機能は、1台のコンピュータに実装されてもよく、複数台のコンピュータに分散して実装されてもよい。
ログ取得部44は、複数種類のセキュリティサービスにおいて記録された複数のセキュリティサービスログのデータを定期的に(例えば1日1回)取得する。ログ取得部44は、複数種類のセキュリティサービスから取得した複数のセキュリティサービスログのデータをログ記憶部36に格納する。
不正検知部46は、ログ記憶部36に記憶された複数のセキュリティサービスログに記録された、各ユーザ端末12に関する情報または各ユーザに関する情報に基づいて、複数のユーザのそれぞれが不正な操作を行った可能性を検知する。言い換えれば、不正検知部46は、複数のユーザの中から不正な操作を行った可能性のあるユーザを検知する。
管理情報生成部48は、企業における部署単位、および、不正検知部46により検知された不正な操作を行った可能性のあるユーザ単位にクラウドサービスの利用状況を示す管理情報を生成する。管理情報生成部48は、生成した管理情報を管理情報記憶部40に格納する。
ダッシュボード提供部50は、管理情報記憶部40に記憶された管理情報を含むダッシュボード画面のデータを管理者端末24へ送信することによりダッシュボード画面を管理者に提供する。
利用制限部52は、複数種類のセキュリティサービスの少なくとも1つと連携して、不正検知部46により検知された不正な操作を行った可能性のあるユーザ(もしくはユーザ端末12)によるクラウドサービスの利用を制限する。
以上の構成による情報処理システム10の動作を説明する。
まず、ユーザがクラウドサービスを利用する際の動作を説明する。ユーザは、オフィスや自宅等に設置されたユーザ端末12(ここではユーザ端末12aとする)を用いてクラウドサービス14を利用する。ユーザ端末12aは、ユーザの操作に応じて、クラウドサービス14と通信する。CASB装置18は、ユーザ端末12aとクラウドサービス14間での通信データを中継し、監視する。IDM装置20は、ユーザ端末12aから認証要求を受け付ける。IDM装置20は、ユーザの認証に成功すると、CASB装置18およびクラウドサービス14へのSSO処理を実行する。
CASB装置18は、ユーザ端末12aとクラウドサービス14との通信に関する情報を記録したCASBログを生成する。IDM装置20は、ユーザ認証の成否や、クラウドサービス14へのログイン状況等を記録したIDMログを生成する。端末管理装置16は、ユーザ端末12aに予め導入されたEDR/UEMエージェントと通信して、ユーザ端末12aに入力されたユーザ操作を検出する。端末管理装置16は、ユーザ端末12aに入力されたユーザ操作を記録したEDRログを生成する。他のユーザが他のユーザ端末12(例えばユーザ端末12bまたはユーザ端末12c)を用いてクラウドサービス14を利用する場合の動作も同様である。
次に、不正検知装置22の動作を説明する。不正検知装置22のログ取得部44は、端末管理装置16からEDRログを取得し、CASB装置18からCASBログを取得し、IDM装置20からIDMログを取得し、クラウドサービス14からSaaSログを取得する。ログ取得部44は、これら複数種類のログをログ記憶部36に格納する。
不正検知装置22の不正検知部46は、ログ記憶部36に記憶された複数種類のログに基づいて、企業に所属する複数のユーザのそれぞれが不正な操作(内部不正とも言える)を行った可能性を検知する。不正検知部46は、ユーザの数だけ、以下の処理を繰り返し実行する。以下では、不正な操作を行った可能性を検知する対象のユーザを「対象ユーザ」と呼び、また、不正な操作を行った可能性があるユーザを「疑義ユーザ」と呼ぶ。
不正検知部46は、ユーザ属性記憶部38に記憶された対象ユーザの識別情報(例えばユーザID、ホスト名、IPアドレス等)を用いて、対象ユーザの操作を特定する。具体的には、不正検知部46は、EDRログ、CASBログ、IDMログ、SaaSログのそれぞれに記録された、予め定められた期間(例えば直近1か月)における対象ユーザ(もしくは対象ユーザのユーザ端末12)に関する情報を、図3で説明した第1キー(すなわち対象ユーザの識別情報)を用いて抽出する。不正検知部46は、抽出した対象ユーザに関する情報と、図3で説明した第2キー(例えば「ダウンロード」等のキーワード)とに基づいて、上記期間における対象ユーザの操作内容を検知する。対象ユーザの操作内容は、クラウドサービス14の利用状況とも言える。
不正検知部46は、上記期間における対象ユーザの操作内容であり、複数種類のログに亘る対象ユーザの操作内容の組み合わせが所定の条件を満たす場合、対象ユーザを疑義ユーザとして判定する。
例えば、不正検知部46は、複数種類のログから、対象ユーザの操作内容として以下のことを検知してもよい、
(1)CASBログまたはSaaSログから、所定期間(例えば直近1か月等)におけるクラウドストレージサービス14aからのダウンロード量が所定の閾値以上であることを検知する。
(2)CASBログから、許可されていないクラウドストレージサービスへアクセスしたことを検知する。
(3)EDRログから、所定期間内に対象ユーザのユーザ端末12にUSBメモリが接続されたことを検知する。
(4)EDRログから、所定期間内に対象ユーザのユーザ端末12でzipファイルが作成されたことを検知する。
(5)IDMログから、対象ユーザのユーザ端末12以外のユーザ端末12からの要求に基づき対象ユーザの認証(例えばID・パスワード認証)が行われたことを検知する。
上記(1)~(5)の中で所定の組み合わせが成立した場合、不正検知部46は、対象ユーザを疑義ユーザとして判定してもよい。この組み合わせは、例えば、(1)と(3)であってもよく、(1)と(4)であってもよく、(2)と(5)であってもよい。
上記では、検知条件の例として、(1)、(2)、(3)、(4)、(5)を示したが、変形例として、他の種類のログを用いる検知条件を設定してもよい。また、各部署の管理職に一から検知条件を設定させることは使い勝手が良いとは言えない。そのため、予め定められた候補としての複数の検知条件を指定可能に表示する設定画面を各部署の管理者端末24に提供し、各部署の管理職が自己の部署の特性や部下の職制を踏まえ、不正を検知可能な検知条件を選択して指定可能な構成であってもよい。また、複数の検知条件を選択可能に一覧表示した場合に、これまでの実績として実際に不正検知につながった件数又は不正内容情報を関連付けて表示させてもよい。さらに、情報セキュリティ部門又は会社として、各部署の管理職に必ずモニタリングして欲しい検知条件に関しては必須の検知条件とする構成(例えば選択の解除を不可とした画面構成)であってもよい。
単一サービスのログからの検知内容(例えば上記(1)~(5)の単体)は、それほど疑わしいものではなく、また、業務上必要な操作であった可能性もある。第1実施例の不正検知装置22によると、複数種類のセキュリティサービスにおいて記録されたユーザの情報を組み合わせることで、不正な操作を行った可能性があるユーザ(すなわち疑義ユーザ)を精度よく検知することができる。
例えば、クラウドストレージサービス14aからの機密情報の不正ダウンロードが複数日に亘って少しずつ行われたとしても、1か月等の期間内におけるダウンロードデータ量は大量になるため、検知の漏れを低減することができる。また、ダウンロードされた機密情報が、USBメモリやメール、無許可のクラウドストレージ等に分けて格納された場合であっても、クラウドストレージサービス14aからの大量ダウンロードがあれば、当該ユーザに関するEDRログを名寄せにより抽出することで、当該ユーザの不正行為を漏れなく検知することができる。
動作の説明に戻る。不正検知装置22の管理情報生成部48は、ログ記憶部36に記憶された複数種類のログに基づいて、予め定められた集計期間(例えば直近7日間)における複数のユーザそれぞれのクラウドサービス14の利用状況を集計する。また、管理情報生成部48は、企業に設けられた複数の部署のそれぞれについて、各部署に所属する1人以上のユーザそれぞれのクラウドサービス14の利用状況を集計する。管理情報生成部48は、ユーザ単位の集計結果および部署単位の集計結果を含む管理情報のデータを管理情報記憶部40に格納する。
クラウドサービス14の利用状況は、集計期間における各種統計情報を含んでもよい。例えば、(1)クラウドストレージサービス14aからのダウンロード数(例えばダウンロードされたファイル数の合計値)、(2)クラウドストレージサービス14aからダウンロードされたデータサイズ(例えば複数のファイルの合計サイズ)、(3)クラウドストレージサービス14aにおいて集計されたリスクスコアやアラート数、(4)クラウドストレージサービス14aで実行された各アクションの回数、(5)CASBの利用履歴(例えば接続先のクラウドサービス14の比率)、(6)IDMの利用履歴(例えばユーザ認証の成功回数と失敗回数)を含んでもよい。
不正検知装置22のダッシュボード提供部50は、管理者端末24からの要求に応じて、管理情報記憶部40に記憶された管理情報を設定したダッシュボード画面のデータを管理者端末24へ送信する。管理者端末24は、不正検知装置22から提供されたダッシュボード画面を表示部に表示させる。ダッシュボード画面は、企業の各部署の管理者に提供され、各部署の情報セキュリティのセルフサービス化を支援する管理画面である。
図6と図7は、ダッシュボード画面の例を示す。図6は、第1のダッシュボード画面であるログサマリ画面70を示している。ログサマリ画面70は、直近7日間におけるクラウドストレージサービス14aからのダウンロード回数(部署単位およびユーザ単位)を示す。ログサマリ画面70は、ダウンロード回数以外の統計情報を含んでもよく、例えば、直近7日間におけるクラウドストレージサービス14aからのダウンロードデータ量(部署単位およびユーザ単位)を示す情報を含んでもよい。ログサマリ画面70は、問題行動を起こした可能性があるユーザを一覧で示すグレーリストとも言え、典型的には、不正検知部46により検知された疑義ユーザが個人別ランキングの上位に並ぶ。
変形例として、管理情報生成部48は、不正検知部46により検知された疑義ユーザそれぞれのクラウドサービス14の利用状況を集計してもよい。ダッシュボード提供部50は、疑義ユーザそれぞれのクラウドサービス14の利用状況(例えばダウンロード回数やダウンロードデータ量のランキング)のみを示す、疑義ユーザに特化した区画(ペイン)を含むダッシュボード画面のデータを管理者端末24へ提供してもよい。
図7は、第2のダッシュボード画面であるログ詳細画面72を示している。ログ詳細画面72は、ログサマリ画面70で選択されたユーザ(典型的には疑義ユーザ)について、直近7日間においてクラウドストレージサービス14aに入力された各アクション数と、クラウドストレージサービス14aからダウンロードされたデータサイズを示す。アクション数は、例えば、ダウンロード操作回数(実線のグラフ)、プレビュー操作回数(破線のグラフ)、コンテンツアクセス操作回数(一点鎖線のグラフ)を含む。不図示だが、ログ詳細画面72は、ログサマリ画面70で選択されたユーザに関するCASB利用履歴およびIDM利用履歴をさらに含んでもよい。
従来のシステムでは、セキュリティ部門の担当者が、ユーザの問題行動をチェックしていた。しかし、リモートワークが浸透し、またクラウドサービスの業務利用が普及した現在、チェック範囲が不特定の対象(多数のサーバやクラウドサービス)に拡大し、セキュリティ部門だけではチェックが量的に困難になっている。第1実施例の不正検知装置22は、複数のセキュリティサービスログに基づく管理情報・ダッシュボードを各部署の管理者に提供することにより、各部署の管理者がユーザ(典型的には自部署の従業員)の問題行動をチェックできるよう支援できる。言い換えれば、各部署の情報セキュリティ対策のセルフサービス化を支援でき、各部署の状況に即した運用管理を支援できる。
動作の説明に戻る。不正検知部46は、複数種類のセキュリティログをもとに検知した疑義ユーザの行為(例えば上記(1)~(5)の行為)を示す情報を利用制限部52に渡す。利用制限部52は、疑義ユーザの行為が、制限基準記憶部42に記憶された制限基準データが示す条件を満たす場合、1つまたは複数のセキュリティサービスと連携して、制限基準データが示すアクションを実行する。
図5に示した制限基準データを用いた例を説明する。疑義ユーザの行為が、クラウドストレージサービス14aからのダウンロードデータ量が1週間で140Mバイト以上を満たす場合、利用制限部52は、疑義ユーザのユーザ端末12からクラウドストレージサービス14aへのアクセスを禁止(言い換えれば通信を遮断)するよう指示する制御データをCASB装置18へ送信することにより、疑義ユーザによるクラウドストレージサービス14aの利用を停止させてもよい。別の方法として、利用制限部52は、疑義ユーザの認証またはクラウドストレージサービス14aへの疑義ユーザのSSOを禁止するよう指示する制御データをIDM装置20へ送信することにより、疑義ユーザによるクラウドストレージサービス14aの利用を停止させてもよい。
また、疑義ユーザの行為が、電子メールでの送信データ量が1週間で140Mバイト以上を満たす場合、利用制限部52は、疑義ユーザのユーザ端末12から送信された、ファイル添付の電子メールの中継を保留するよう指示する制御データをCASB装置18へ送信することにより、疑義ユーザによるファイル添付の電子メールの送信を保留させてもよい。第1実施例の不正検知装置22によると、問題行動が疑われるユーザのシステム利用を自動的に制限することで、情報セキュリティ維持のためのシステム運用を効率化することができる。
以上、本開示を第1実施例をもとに説明した。第1実施例に記載の内容は例示であり、第1実施例の構成要素や処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本開示の範囲にあることは当業者に理解されるところである。
<第2実施例>
本開示の第2実施例について、第1実施例と相違する点を中心に説明し、共通する点の説明を省略する。第2実施例の特徴は、第1実施例の特徴および変形例の特徴と任意の組合せが可能であることはもちろんである。第2実施例の構成要素のうち第1実施例の構成要素と同一または対応する構成要素には適宜、同一の符号を付して説明する。
第2実施例における情報処理システム10の構成、および、不正検知装置22が備える機能ブロックは、第1実施例と同様である。
不正検知装置22のユーザ属性記憶部38は、複数のユーザのそれぞれが業務において利用するクラウドサービス14の情報を含む各ユーザに関する属性情報を記憶する。図8は、第2実施例におけるユーザ属性情報の項目を示す。第2実施例のユーザ属性情報は、第1実施例のユーザ属性情報の項目に加えて、職種、異動情報、利用クラウドサービス、利用理由、使用デバイス、セキュリティ対策状況を含む。
項目「職種」には、業務内容を示すデータが設定され、例えば、業務内容ごとに分類された職務名が設定される。項目「異動情報」には、他組織への異動や退職等の人事異動を示すデータが設定される。異動情報は人事情報注意事項とも言える。これらの項目のデータは、企業の人事管理システム(不図示)から定期的に取得され、ユーザ属性記憶部38に格納されてもよい。
項目「利用クラウドサービス」には、ユーザが業務において利用するクラウドサービス14を示すデータが設定される。項目「利用理由」には、クラウドサービス14を利用する理由が設定される。項目「使用デバイス」には、ユーザ端末12の種類が設定される。項目「セキュリティ対策状況」には、ユーザ端末12に導入されたアプリケーションのバージョンや、セキュリティパッチの適用日(または適用予定日)が設定される。これらの項目のデータは、複数のユーザに対して実施される定期的なアンケート(例えばコラボレーションソフトウェアのアンケート機能等)により収集され、ユーザ属性記憶部38に格納されてもよい。
不正検知装置22の不正検知部46は、ユーザ属性記憶部38に記憶された各ユーザの属性情報を加味して、複数のユーザの中から不正な操作を行った可能性のあるユーザ(疑義ユーザ)を検知する。例えば、不正検知部46は、CASBログにおける或るユーザのレコードに、ユーザ属性情報に未登録のクラウドサービス14を利用したことが記録されていた場合、当該ユーザを疑義ユーザとして検知する。
第2実施例におけるダッシュボード画面は、表示対象とするユーザ(例えば疑義ユーザ)の絞り込みが可能に構成される。例えば、ダッシュボード画面は、絞り込み条件として、職種、人事情報注意事項(異動情報)の有無、利用デバイスのうち1つまたは複数の指定が可能に構成されてもよい。不正検知装置22のダッシュボード提供部50は、ダッシュボード画面において絞り込み条件が指定された場合、各ユーザの属性情報を参照して、指定された絞り込み条件に適合するユーザの情報(クラウドサービス14の利用状況等)に絞り込んだ新たなダッシュボード画面を設定して、新たなダッシュボード画面を管理者端末24に表示させる。
ダッシュボード画面は、ダウンロード回数や通信データ量等を用いてユーザを順位付けし、問題行動が疑われるユーザの発見を支援するものだが、業務においてクラウドサービス14を高頻度に利用する開発者が上位になりやすい。そのため、クラウドサービス14の利用頻度は低いが問題行動を起こしたユーザを見逃してしまう可能性がある。第2実施例の不正検知装置22によると、ダッシュボード画面に表示するユーザの抽出条件としてユーザ属性情報を用いることで、ダッシュボード画面が示すグレーリストの精度を高めることができる。
また、不正検知装置22の管理情報生成部48は、管理情報の1つとして、企業における部署ごとに疑義ユーザを示す警告情報を生成する。図9は、第2実施例における警告情報の例を示す。例えば、コラボレーション用アプリケーション「Teams」を登録済の社員Aは警告の対象外だが、当該アプリケーションを未登録の社員Bは、疑義ユーザとして検知され、警告対象となっている。これにより、ユーザ端末12に様々なアプリケーションが導入され得る状況下においても情報セキュリティを担保しやすくなる。
以上、本開示を第2実施例をもとに説明した。第2実施例に記載の内容は例示であり、第2実施例の構成要素や処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本開示の範囲にあることは当業者に理解されるところである。
第1変形例を説明する。第1変形例は第2実施例に関する。不正検知部46は、ユーザ属性情報に近日中の異動(例えば1~2か月以内の退職予定等)が記録されているユーザを要注意ユーザと判定してもよい。不正検知部46は、要注意ユーザ以外の通常ユーザを疑義ユーザと判定する第1基準と、要注意ユーザを疑義ユーザと判定する第2基準の両方を記憶してもよい。不正検知部46は、対象ユーザが通常ユーザであれば第1基準を満たす場合に疑義ユーザと判定し、対象ユーザが要注意ユーザであれば第2基準を満たす場合に疑義ユーザと判定してもよい。
第2基準は、第1基準よりも判定条件が緩くてもよく、すなわち、第1基準よりも疑義ユーザと判定し易い基準であってもよい。例えば、第1基準は、CASBログまたはSaaSログから、所定期間におけるクラウドストレージサービス14aからのダウンロード量が所定の閾値以上であることを検知し、かつ、EDRログから、所定期間内に対象ユーザのユーザ端末12にUSBメモリが接続されたことを検知したことでもよい。一方、第2基準は、CASBログまたはSaaSログから、所定期間(例えば直近1か月等)におけるクラウドストレージサービス14aからのダウンロード量が所定の閾値以上であることを検知したことでもよく、USBメモリの接続有無は問わないことでもよい。
また、第1基準は、CASBログまたはSaaSログから、所定期間におけるクラウドストレージサービス14aからのダウンロード量が第1閾値(例えば1Gバイト)以上であることを検知し、かつ、EDRログから、所定期間内に対象ユーザのユーザ端末12にUSBメモリが接続されたことを検知することでもよい。一方、第2基準は、CASBログまたはSaaSログから、所定期間におけるクラウドストレージサービス14aからのダウンロード量が第1閾値より小さい第2閾値(例えば512Mバイト)以上であることを検知し、かつ、EDRログから、所定期間内に対象ユーザのユーザ端末12にUSBメモリが接続されたことを検知することでもよい。
第1変形例によると、異動が間近なユーザによる問題行動(例えば退職者による機密情報の不正持ち出し等)を検知しやすくなり、企業の情報セキュリティを一層高めることができる。
第1実施例と第2実施例の両方に適用可能な第2変形例を説明する。不正検知装置22は、アラート通知部をさらに備えてもよい。アラート通知部は、不正検知部46により疑義ユーザが検知された場合に、疑義ユーザに関する情報(属性情報やクラウドサービス14の利用状況等)を含むアラート情報を企業のセキュリティ部門の端末へ送信してもよい。第2変形例によると、第1実施例と同様に、各部署の管理者により各部署の業務に合わせた運用監視を実現するとともに、セキュリティ部門の担当者により標準的なベースラインの運用監視を実現することができる。
上述した実施例および変形例の任意の組み合わせもまた本開示の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施例および変形例それぞれの効果をあわせもつ。また、請求項に記載の各構成要件が果たすべき機能は、実施例および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。
10 情報処理システム、 12 ユーザ端末、 14 クラウドサービス、 16 端末管理装置、 18 CASB装置、 20 IDM装置、 22 不正検知装置、 24 管理者端末、 38 ユーザ属性記憶部、 44 ログ取得部、 46 不正検知部、 48 管理情報生成部、 52 利用制限部。

Claims (4)

  1. インターネット上のサービスを利用するユーザの端末のセキュリティを維持するための複数種類のセキュリティサービスにおいて記録された複数のログを取得するログ取得部と、
    前記複数のログに記録された前記ユーザの端末に関する情報に基づいて、前記ユーザが不正な操作を行った可能性を検知する検知部と、
    を備える情報処理システム。
  2. 管理情報生成部をさらに備え、
    前記検知部は、所定の団体に所属する複数のユーザの中から不正な操作を行った可能性のあるユーザを検知し、
    前記管理情報生成部は、前記団体における部署単位、および、前記検知部により検知された不正な操作を行った可能性のあるユーザ単位に前記インターネット上のサービスの利用状況を示す管理情報を生成する、
    請求項1に記載の情報処理システム。
  3. 前記複数種類のセキュリティサービスの少なくとも1つと連携して、前記検知部により検知された不正な操作を行った可能性のあるユーザの端末による前記インターネット上のサービスの利用を制限する利用制限部をさらに備える、
    請求項1または2に記載の情報処理システム。
  4. 複数のユーザのそれぞれが業務において利用するインターネット上のサービスの情報を含む各ユーザに関する属性情報を記憶する記憶部をさらに備え、
    前記検知部は、前記各ユーザに関する属性情報を加味して、前記複数のユーザの中から不正な操作を行った可能性のあるユーザを検知する、
    請求項1から3のいずれかに記載の情報処理システム。
JP2021163817A 2021-10-05 2021-10-05 情報処理システム Pending JP2023054869A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021163817A JP2023054869A (ja) 2021-10-05 2021-10-05 情報処理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021163817A JP2023054869A (ja) 2021-10-05 2021-10-05 情報処理システム

Publications (1)

Publication Number Publication Date
JP2023054869A true JP2023054869A (ja) 2023-04-17

Family

ID=85986140

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021163817A Pending JP2023054869A (ja) 2021-10-05 2021-10-05 情報処理システム

Country Status (1)

Country Link
JP (1) JP2023054869A (ja)

Similar Documents

Publication Publication Date Title
US8266231B1 (en) Systems and methods for monitoring messaging systems
US7865958B2 (en) End user risk management
US8165078B2 (en) System and method for controlling use of a network resource
US20160164893A1 (en) Event management systems
US8266701B2 (en) Systems and methods for measuring cyber based risks in an enterprise organization
JP2019519018A (ja) ネットワーク化コンピュータシステムアーキテクチャにおけるセキュリティリスクを低減させるための方法および装置
US10257228B2 (en) System and method for real time detection and prevention of segregation of duties violations in business-critical applications
KR101011456B1 (ko) 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템
US20060161462A1 (en) Method and apparatus for collecting inventory information for insurance purposes
US11372705B1 (en) Intelligent monitoring of backup and recovery activity in data storage systems
JP6851212B2 (ja) アクセス監視システム
US8099439B2 (en) System and method for generating a unified service model
JP2020095459A (ja) 履歴監視方法、監視処理装置および監視処理プログラム
JP5341695B2 (ja) 情報処理システム、情報処理方法、およびプログラム
JP2023054869A (ja) 情報処理システム
JP2011191823A (ja) ログ管理サーバ、ログ管理方法およびログ管理プログラム
JP6517416B1 (ja) 分析装置、端末装置、分析システム、分析方法およびプログラム
US11748210B2 (en) Intelligent monitoring of backup, recovery and anomalous user activity in data storage systems
US11838300B1 (en) Run-time configurable cybersecurity system
JP7167749B2 (ja) 情報処理装置、情報処理システム、及び情報処理プログラム
US20230132611A1 (en) Abnormal classic authorization detection systems
JP2024046098A (ja) 情報管理装置および情報管理プログラム
CN116415235A (zh) 数据泄露检测方法、装置、设备及存储介质
Fauziah et al. Customer Data Electronic Archives Management in Data Management Division at Pt Telkom Indonesia Bekasi City Branch
KR20110047581A (ko) 컴퓨터 통신망에서의 사용자 단말 감사 추적 시스템 및 방법