JP3934062B2 - Unauthorized access detection device - Google Patents

Unauthorized access detection device Download PDF

Info

Publication number
JP3934062B2
JP3934062B2 JP2003001392A JP2003001392A JP3934062B2 JP 3934062 B2 JP3934062 B2 JP 3934062B2 JP 2003001392 A JP2003001392 A JP 2003001392A JP 2003001392 A JP2003001392 A JP 2003001392A JP 3934062 B2 JP3934062 B2 JP 3934062B2
Authority
JP
Japan
Prior art keywords
access
user
access destination
destination
login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003001392A
Other languages
Japanese (ja)
Other versions
JP2004213476A (en
Inventor
竜実 真下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2003001392A priority Critical patent/JP3934062B2/en
Publication of JP2004213476A publication Critical patent/JP2004213476A/en
Application granted granted Critical
Publication of JP3934062B2 publication Critical patent/JP3934062B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータシステムのセキュリティ管理に関し、特にコンピュータシステムに対する不正アクセスを検出する技術に関する。
【0002】
【従来の技術】
企業の社内システムなど、予め定められたユーザ(例えば、社員等)だけにアクセス権限が与えられている閉じたシステムにおいて、権限あるユーザがシステムの外部からアクセスすることを認めている場合がある。
【0003】
【発明が解決しようとする課題】
前記のようなシステムが外部からアクセス要求を受けたとき、真に権限あるユーザであるかどうかを確認することは、セキュリティ管理上極めて重要である。従って、係るシステムでは、通常、不正アクセスを防止するため、ユーザからのアクセス要求またはログイン要求を受けたとき、そのユーザが権限あるユーザであるかどうかを確認する(ユーザ認証)。このユーザ認証の方法として、パスワードによる認証や指紋などを用いた生体認証等が知られている。
【0004】
しかし、パスワードは盗まれたり、解読されたりすることもあるし、指紋はダミーを作成されてしまえば不正アクセスを許すことになってしまう。そして、一度不正に侵入されてしまうと、その不正侵入者を捜し出して、取り締まることは難しい。
【0005】
そこで、本発明の目的は、ユーザ認証をクリアした不正なアクセスを検出するための技術を提供することである。
【0006】
本発明の別の目的は、ユーザが申告した内容に基づいて不正アクセスを検出するための技術を提供することである。
【0007】
【課題を解決するための手段】
本発明の一つの実施形態に従う不正アクセス検出装置は、コンピュータシステムへアクセスするユーザの通信装置から、アクセス先または利用サービスを指定する情報を含む、前記アクセスに関する申告を受け付ける受付手段と、前記受け付けた申告内容を記憶するための記憶手段と、前記記憶手段に記憶されたアクセス先または利用サービスを指定する情報と一致しないアクセス先または利用サービスが、前記取得した通信記録に含まれるかを比較して、一致しないアクセス先または利用サービスがある場合、前記ユーザのアクセスを不正アクセスとして検出するアクセス監視手段を備える。
【0008】
好適な実施形態では、前記受付手段は、前記アクセス先または利用サービスを含む、複数項目について申告を受け付け、前記比較手段は、前記項目別に比較を行い、前記検出手段は、前記項目別に、前記申告内容と前記通信記録との不一致回数を計数し、前記不一致回数が所定回数を超えたときに、不正アクセスを検出する。
【0009】
好適な実施形態では、前記申告には、少なくとも前記コンピュータシステム内のアクセス先を特定可能な項目を含み、前記通信記録には、前記ユーザがアクセスした現実のアクセス先を示す情報を含み、前記比較手段は、前記現実のアクセス先と前記申告されたアクセス先とを比較して、一致するかどうかを判別する。
【0010】
好適な実施形態では、前記現実のアクセス先と前記申告されたアクセス先とが一致しないとき、前記現実のアクセス先に基づいて定まる対策を実行することを特徴とする。
【0011】
好適な実施形態では、前記通信記録に基づいて、ユーザのアクセス態様が予め定められた類型に含まれるかどうかを判定する判定手段をさらに備え、前記検出手段は、前記判定手段の判定結果に基づいて不正アクセスを検出する。
【0012】
好適な実施形態では、前記検出手段が、前記判定手段の判定結果に基づいて不正アクセスを検出したとき、前記ユーザのアクセス態様が属する類型に基づいて定まる対策を実行する。
【0013】
【発明の実施の形態】
以下、本発明を適用した一実施形態に係るシステムついて、図面を用いて説明する。
【0014】
本システムの全体構成を図1に示す。本システムは、権限あるユーザ以外のユーザに対してアクセスを制限して、コンピュータシステムを保護するために、ユーザの認証および監視を行うための認証サーバ1を備える。保護すべきコンピュータシステムの好適な例として、本実施形態では企業の社内ネットワーク9を用いて説明する。社内ネットワーク9へアクセスできるのは、その企業の社員等の予め定められている者である。社員等が社内ネットワーク9へアクセスしたいときは、ユーザ端末2からインターネットなどのネットワーク3を介して認証サーバ1へログイン要求をする。このログイン要求が許可されると、そのユーザは社内ネットワーク9へアクセスすることができる。
【0015】
また、社内ネットワーク9へのアクセス要求の正当性の確認等のため、認証サーバ1はアクセス要求をしたユーザを管理する管理者の携帯電話機5との間で、ネットワーク3、無線基地局4および携帯電話機用無線電話網(図示しない)を通じてデータの送受信を行う。
【0016】
ここで、「管理者」は「ユーザ」を直接的、または間接的に管理、監督、監視、あるいは指導する立場にある者を含む。典型的には「管理者」と「ユーザ」とは、いわゆる上司と部下の関係であるが、必ずしもこれに限定されない。たとえば、「ユーザ」が外注先の社員であるときは、「管理者」は外注元の社員でもよいし、「ユーザ」と「管理者」とが相互に相手の行動を監視しあう立場でもよい。
【0017】
認証サーバ1およびユーザ端末2は、いずれも例えば汎用的なコンピュータシステムにより構成され、以下に説明する個々の構成要素または機能は、例えば、コンピュータプログラムを実行することにより実現される。また、携帯電話機5は、必ずしも現在実用されているタイプの携帯電話機でなければならないわけではなく、例えば電子メールやWWWによるインターネット通信機能を有する携帯型およびデスクトップのパーソナルコンピュータやPDA(パーソナルデータアシスタント)や現在のものから将来的に進化した携帯電話機等の他のタイプの携帯通信機器で置き換えられてもよい。
【0018】
認証サーバ1は、ネットワークインタフェース部11と、ログイン処理部12と、Webページ13と、管理者インタフェース14と、管理者テーブル15と、アクセス監視部16と、ユーザテーブル18と、アクセスログ19とを備える。
【0019】
ネットワークインタフェース部11は、ネットワーク3に対するデータの入出力を制御する。さらに、ネットワークインタフェース部11は、社内ネットワーク9へアクセスが許可されたユーザの通信記録(アクセス先や利用サービス)をアクセスログ19に記録する。アクセスログ19は、例えば、ユーザID、利用時間、容量、アクセス先の識別情報(アドレス等)、送受信コマンド、応答コード、送受信文字列等をデータ項目に含む。
【0020】
ユーザテーブル18は、社内ネットワーク9へアクセスする権限を有するユーザの個人情報を記憶する。たとえば、ユーザテーブル18は、図2(a)に示すように、ユーザID181と、パスワード182と、電子メールアドレス183とをデータ項目として有する。アクセス要求を受けたときに、ログイン処理部12がこのユーザテーブル18を参照してユーザ認証を行う。電子メールアドレス183は、社内ネットワーク9内(社内)の電子メールアドレスである。ユーザID181のユーザがユーザ端末2からログインしたとき、ログイン処理部12が電子メールアドレス183へログインの事実を通知するための電子メールを送信する。
【0021】
管理者テーブル15は、ユーザテーブル18に登録されているユーザの管理者を示す情報が登録されている。例えば、管理者テーブル15には、図2(b)に示すように、ユーザID151と、管理者の電子メールアドレス152、153とが対応づけて記憶されている。ここで、管理者の電子メールアドレスが複数あるのは、以下の理由による。すなわち、後述するように、管理者インタフェース14がこの管理者テーブル15を参照して管理者の携帯電話機5へ電子メールを送信する。このとき、複数の電子メールアドレスの中で予め優先順位を定めておき、順位の高い電子メールアドレスから順に送信し、送信できない場合に下位の電子メールアドレスへ送信するようにしてもよい。
【0022】
Webページ13は、認証サーバ1へアクセスしたユーザから情報の入力を受け付けたり、ユーザに情報を提供したりする。Webページ13の一例が図3に示すログイン申請画面100である。ログイン申請画面100の詳細については後述する。
【0023】
ログイン処理部12は、ユーザ端末2からアクセス要求を受け付けたとき、その要求を許可するかどうかを決定する。
【0024】
例えば、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、ログイン申請画面100がユーザ端末2の図示しない表示部に表示される。そして、ログイン申請画面100から入力された情報を認証サーバ1が受け付ける。
【0025】
ここで、ログイン申請画面100の一例を図3に示す。ログイン申請画面100は、ユーザIDの入力領域101およびパスワードの入力領域102を有する。ログイン処理部12は、ここで入力されたユーザIDおよびパスワードをユーザテーブル18に予め記憶されているものと照合してユーザ認証を行う。ユーザ認証の結果、正規のユーザであることが確認されたら、ログイン処理部12はログインを許可するようにしてもよい。あるいは、後述するようにユーザIDおよびパスワードによる認証に加え、管理者からのログイン許可通知があったときにログインを許可するようにしてもよい。さらに、後述するような追加認証を行ってもよい。
【0026】
ログイン申請画面100は、ログインの付加情報の入力を受け付ける領域をさらに有する。つまり、ログイン申請画面100は、ログインした状態を継続する予定時間(アクセスを希望する時間)の入力領域103と、社内ネットワーク9内のどこへアクセスするか(アクセス先)、または何をするか(利用サービス)を選択するための入力領域104と、ログインする理由の入力領域105とを有する。ログイン付加情報に含まれる項目の一部または全部で、ログイン要求の正当性を確認することができる。ここで入力されたログイン付加情報の一部または全部が、後述するようにログインするユーザの管理者の携帯電話機5へ電子メール等で送信される(図4参照)。
【0027】
ここで入力されたログイン付加情報は、図示しない記憶部に記憶される。このとき、入力領域104に入力された情報は、アクセス先のサーバ名またはURL(Uniform Resource Locator)等、アクセス先を一意に識別可能な情報に置き換えられた後、記憶部に記憶するようにしてもよい。
【0028】
また、ログイン処理部12は、一度社内ネットワーク9へのアクセスを許可した場合であっても、アクセス監視部16または管理者インタフェース14から指示を受けたときなど、所定の場合にはそれを取り消して通信を切断する。
【0029】
管理者インタフェース14は、社内ネットワーク9へログインを希望するユーザの管理者との間で情報を送受信する。例えば、管理者インタフェース14は、電子メール機能を備える。そして、ログイン申請画面100に入力されたログイン付加情報を含むテキストファイルを生成して、アクセス要求をしたユーザの管理者の通信装置5へネットワークインタフェース11を介して送信する。このとき、送信先の電子メールアドレスは、管理者インタフェース14が、管理者テーブル15を参照してアクセス要求をしたユーザのIDと対応する管理者の携帯電話機5の電子メールアドレス152,153を取得する。
【0030】
図4は、上記電子メールを受信した管理者の携帯電話機5にログイン付加情報を表示したときの一例である。つまり、携帯電話機5の表示部51に受信した電子メールの内容が表示される。ここで、付加情報と併せて、アクセス要求をしたユーザを特定するための情報も含まれている。ユーザを特定するための情報は、受信した管理者がユーザを特定するのに十分な情報であればよい。例えば、ユーザID、ユーザ名(ニックネーム、イニシャル等を含む)、あるいは所属部署とユーザ名の組み合わせなどでもよい。
【0031】
また、管理者インタフェース14は、後述するようなアクセス監視部16からのメール通知指示を受けたときも、管理者のメールアドレスへ電子メールを送信する。
【0032】
管理者は、携帯電話機5を操作して、受信した電子メールに対する返信メールを送ることができる。返信メールには、ログイン許可、または不許可を示す情報を添付できる。管理者インタフェース14はこの返信メールを受信し、返信メールがログイン許可を示すときはその旨を、ログイン不許可を示すときはその旨または切断指示をログイン処理部12へ通知する。
【0033】
アクセス監視部16は、アクセスログ19を参照してユーザのアクセスを監視する。そして、予め申告したアクセス先と異なるところへアクセスしたときなど、不正なアクセスを検出したときは、ログイン処理部12へ切断指示をする。アクセス監視部16の処理の詳細は後述する。
【0034】
以上に説明した構成を備える認証サーバ1が行う処理の手順について、図5〜図8のフローチャートを用いて説明する。
【0035】
認証サーバ1の処理は、図5に示すように、ユーザのログインを許可するかどうかを判定するログイン処理S1と、ログインが許可された後、ユーザが社内ネットワーク9へアクセスしている間に行うアクセス中処理S2とに分かれる。
【0036】
認証サーバ1はログイン処理S1として以下の処理を行う。すなわち、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、これを受け付けてユーザ端末2にログイン申請画面100を表示させる。ユーザが、ログイン申請画面100の各入力項目に必要な情報を入力してログイン申請を行う(S11)。このログイン申請を受け付けると、ログイン処理部12が入力されたユーザIDおよびパスワードと、ユーザテーブル18に登録されているユーザIDおよびパスワードとを照合して、ユーザ認証を行う(S12)。ユーザIDおよびパスワードが一致すると、管理者インタフェース14が、ログイン付加情報を含むテキストファイルを生成する。そして、管理者テーブル15を参照して、ユーザIDに対応する管理者の電子メールアドレス152を取得する。管理者インタフェース14は、生成されたテキストファイルを電子メール機能を利用して管理者へ送信する(S13)。なお、ステップS12とステップS13とは順序が逆でもよい。つまり、ステップS13をステップS12より先に行ってもよい。
【0037】
これにより、アクセスを要求するユーザにはログイン付加情報を入力させ、これをそのユーザの管理者へ通知することができる。ログイン付加情報の通知を受けた管理者は、自分の部下が外部から社内ネットワーク9へログインするために、付加情報としてどのようなことを申請しているか、リアルタイムで確認することができる。この結果、管理者は部下の申請内容が、その部下の業務や直近の行動に照らして矛盾しないかを確認できる。
【0038】
なお、ログイン付加情報は、本実施形態で例示する項目以外に、社内ネットワーク9へのアクセス要求の正当性を管理者が確認できるような情報であれば、他の項目に関する情報を入力させてもよい。
【0039】
次に、認証サーバ1は、アクセス中処理S2として以下の処理を行う。すなわち、図示しない計時部が、ユーザが実際にログインしている時間を計測し、自己申告したログイン予定時間と対比して残り時間を求め、ユーザ端末2に表示させる(S21)。社内ネットワーク9へのログインが許可されている間に、ユーザからログイン時間の延長を求める再申請があるとステップS1のログイン処理を繰り返し(S22:Yes)、再申請された時間を残り時間に追加する。再申請がないときは、ログイン処理部12が実際にアクセスしている時間が申請されたアクセス時間を超過していないか監視する(S23)。そして、実際のログイン時間が申請された時間を超過したとき、ログイン処理部12が強制的にアクセスを遮断する(S24)。
【0040】
なお、アクセスの強制切断の前に、残り時間が所定の時間(たとえば、2分)以下になったところで、警告をしてもよい。また、ステップS22で再申請があったとき、ログイン処理S1の繰り返しは省略してもよい。
【0041】
次に、ログイン処理S1は、図5に示した処理以外に、以下のような処理でもよい。例えば、図6はログイン処理S1の他の態様について示す。この態様では、ログインに当たり管理者の承認を必要とする。すなわち、ステップS11〜S13のあとに、ログイン許可通知を受信するとログインを許可するステップS14を追加してもよい。このログイン許可通知は、例えば、ステップS13でログイン付加情報を送信した管理者の携帯電話機5からの返信メールである。ステップS14では、所定時間内に返信メールを受信しない場合や、ログインを許可しない旨の電子メールを受信したときは、ログイン処理部12はそのアクセス要求を許可しない(S14:No)。
【0042】
この態様では、管理者が携帯電話機5でログイン付加情報の通知を受けると、この内容を確認して、管理者がそのログインを許可するかどうかを判断する。これにより、不審なログイン要求は未然に拒否することができる。
【0043】
また、図6の態様のようにログインに管理者の承認を必要とするかどうかは、ログインをするユーザ、あるいはアクセス先または利用サービスに応じて定めてもよい。この場合は、ユーザに与えられている権限あるいは担当業務、アクセス先等の機密の高さなどに応じて、管理者承認の要否を定めてもよい。
【0044】
ログイン処理S1のさらに別の態様について図7に示す。この態様では、ステップS12とS13との間にユーザの追加認証を行うステップS15が挿入されている。追加認証とは、ステップS12のユーザIDおよびパスワードによる認証に加えて行われる認証で、ログイン処理部12が行う。例えば、過去の通信記録に関する情報(前回のログイン時の理由など)をログイン申請時に入力させ、ログイン処理部12がアクセスログ19に記録されている情報と照合する。この場合、ログイン申請画面100に入力領域をさらに設けて入力させるようにしてもよい。
【0045】
なお、ステップS12のユーザ認証は、ユーザIDおよびパスワードによる認証を、電子証明書による認証またはワンタイムパスワードによる認証と置き換えることもできるし、これらの2つ以上を併用して適用することもできる。
【0046】
次に、アクセス中処理S2についても同様に、図5に示した処理以外の処理を行うこともできる。他の処理態様の例を図8に示す。
【0047】
この処理態様では、切断指示を受けたかどうかの判断を行うステップS25が追加されている。このステップS25は、アクセス監視部16または管理者の携帯電話機5から切断指示を受けたかどうかを判定する。そして、切断指示があったときは、ログイン処理部12がステップS24で強制的に切断する。これにより、アクセス監視部16が例えば不正アクセスを検出したとき、あるいは管理者が不正なアクセスであると判断したときに、その時点で強制的にそのユーザのアクセスを切断することができる。
【0048】
次に、アクセス監視部16が行う処理の詳細について説明する。なお、以下の処理は、複数のユーザが社内ネットワーク9へアクセスしている場合は、ユーザIDをキーにしてユーザごとに行う。
【0049】
アクセス監視部16は、ログイン時にユーザによって申告されたログイン付加情報とアクセスログ19とを比較する。この比較は、例えば、ログイン付加情報の各項目ごとに行い、アクセスログ19に記録されたアクセス先の識別情報とが、ログイン付加情報のアクセス先とが一致するかどうかを判定する。ここで、現実のアクセス先が申告されたアクセス先と一致しない場合、直ちに不正アクセスとしてもよいが、本実施形態では、不一致の回数が所定のしきい値を越えたときに不正アクセスとして検出する。
【0050】
これにより、自己申告とは異なるアクセスを繰り返すと不正なアクセスとして検出される。
【0051】
また、現実のアクセス先に応じて重要度を予め設定しておき(例えば図9参照)、その重要度に応じて不正アクセスとして検出するためのしきい値を定めてもよい。つまり、重要度が高いアクセス先は、重要度が低いアクセス先よりも、少ない(不一致)検出回数で不正アクセスと認定する。
【0052】
図9には、アクセス先別に重要度、および不正アクセス検出のしきい値が定義された重要度定義テーブル50を示す。このテーブル50は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0053】
アクセス監視部16は、さらに、上記のアクセス先に基づく不正アクセス判定に加え、またはこれとは別に、ユーザが行っているアクセスの態様が、予め定めた不審な行為の類型に含まれるかどうかを判定する。この判定は、アクセス監視部16がアクセスログ19に記憶された内容を分析し、ユーザのアクセスの態様(ユーザが行っている行為)を特定する。そして、そのアクセス態様が不審なアクセスの類型(不審な行為)に属するかどうかを判別する。ここで、不審な行為とは、例えば、一般的に不正と思われるアクセス方法を含む。一般的に不正と思われるアクセス方法とは、例えば、連続してパスワードエラーを発生させる行為(応答コードを参照して判定する)、および所定時間内に所定数以上のサーバへアクセスするスキャン行為(IPアドレスの末尾を1から100まで順に辿るなど、実在しないサーバも含めてスキャンする行為)などである。不審な行為の中でも、さらに、危険度に応じて予めレベルを設定しておいてもよい。
【0054】
これにより、ユーザ認証をクリアしてログインしたときでも、不審な行為を行うと不正なアクセスとして検出される。
【0055】
ここで、不正なアクセス先を検出したときと同様に、不審な行為を検出すると直ちに不正アクセスとしてもよいが、本実施形態では、不審な行為の回数が所定のしきい値を越えたときに不正アクセスとして検出する。さらに、不正な行為の危険度に応じて不正アクセスとして検出するためのしきい値を定めてもよい(例えば図10)。つまり、危険度の高い不審な行為を検出したときは、危険度が低いものよりも少ない回数で不正アクセスと認定する。
【0056】
図10には、不審な行為別に危険度、および不正アクセス検出のしきい値が定義された危険度定義テーブル60を示す。このテーブル60は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0057】
上述のようにして不正アクセスを検出したと判断したときは、アクセス監視部16は、予め定められた所定の処理(対策)を実行する。例えば、アクセス監視部16は、不正アクセスを行っているユーザの管理者のメールアドレス(社内ネットワーク9内の通常のメールアドレス、または携帯電話機5のメールアドレス)へ電子メールで通知するよう管理者インタフェース14へ指示したり、強制的にアクセスを切断するためにログイン処理部12へ切断指示をしたりする。管理者へ通知する電子メールには、検出された不正アクセスを行っているユーザを特定するための情報および不正アクセスの内容などが含まれる。
【0058】
アクセス監視部16が行う対策は、現実のアクセス先または不審な行為に基づいて定めてもよいし、所定のルールに基づいて、その時々で定めて行ってもよい。所定のルールの一例を、図11および図12を用いて説明する。すなわち、図11は、示すアクセス先の重要度と不審な行為の危険度とから対策レベルを定めるマトリックス70を示し、図12は、ユーザID別の対策レベルに応じた対策テーブル80を示す。このマトリックス70および対策テーブル80は、いずれも、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0059】
まず、アクセス監視部16がマトリックス70を用いて対策レベルを定める。対策レベルが定まると、対策テーブル80を参照し、ユーザID応じて実施する対策が定まる。
【0060】
次に、アクセス中処理S2として行われるアクセス先を監視するときの処理手順を、図13に示すフローチャートを用いて説明する。
【0061】
まず、アクセス監視部16が、図示しない記憶部に記憶されているログイン付加情報およびアクセスログ19を参照して、アクセス先がユーザが自己申告したアクセス先と一致するかどうかを判定する(S31,S32)。
【0062】
現実のアクセス先が申告したものと一致しない場合(S32:No)、アクセス先別の回数をカウントするためのカウンタをカウントアップする(S33)。そして、アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S34)。所定のしきい値を越えていた場合は(S34:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S35)。
【0063】
また、アクセス行為が不正なものであるかどうかの判定を行うときの処理手順を、図14に示すフローチャートを用いて説明する。
【0064】
まず、アクセス監視部16がアクセスログ19を参照して、ユーザの行為を分析ながら監視する(S36)。そして、ユーザが不審な行為を行っていることを検出すると(S37:Yes)、行為別の回数をカウントするためのカウンタをカウントアップする(S38)。アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S39)。所定のしきい値を越えていた場合は(S39:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S40)。
【0065】
上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。
【図面の簡単な説明】
【図1】本発明を適用したユーザ認証システムの構成図である。
【図2】管理者テーブルおよびユーザテーブルのデータ項目の一例を示す図である。
【図3】ログイン申請画面の一例を示す図である。
【図4】携帯電話機5が受信した電子メールの内容を表示したときの一例を示す図である。
【図5】認証サーバが行う処理の一例を示すフローチャートである。
【図6】ログイン処理の他の態様を示すフローチャートである。
【図7】ログイン処理の他の態様を示すフローチャートである。
【図8】アクセス中処理の態様を示すフローチャートである。
【図9】重要度定義テーブルの一例を示す図である。
【図10】危険度定義テーブルの一例を示す図である。
【図11】対策レベルを定めるマトリックスの一例を示す図である。
【図12】ユーザID別対策テーブルの一例を示す図である。
【図13】アクセス先を監視するための処理の態様を示すフローチャートである。
【図14】不正な行為を判定するための処理の態様を示すフローチャートである。
【符号の説明】
1…認証サーバ、2…ユーザ端末、3…ネットワーク、4…無線基地局、5…携帯電話機、9…社内ネットワーク、11…ネットワークインタフェース部、12…ログイン処理部、13…Webページ、14…管理者インタフェース、15…管理者テーブル、16…アクセス監視部、18…ユーザテーブル、19…アクセスログ。50…重要度定義テーブル、60…危険度定義テーブル、70…対策レベルを定めるマトリックス、80…ユーザID別対策テーブル。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to security management of a computer system, and more particularly to technology for detecting unauthorized access to a computer system.
[0002]
[Prior art]
In a closed system in which access authority is given only to a predetermined user (for example, an employee) such as a company internal system, an authorized user may be permitted to access from outside the system.
[0003]
[Problems to be solved by the invention]
When such a system receives an access request from the outside, it is extremely important in terms of security management to confirm whether or not the user is a truly authorized user. Therefore, in such a system, in order to prevent unauthorized access, normally, when an access request or login request is received from a user, it is confirmed whether or not the user is an authorized user (user authentication). Known user authentication methods include password authentication and biometric authentication using fingerprints.
[0004]
However, passwords can be stolen or decrypted, and if a fingerprint is created as a dummy, unauthorized access is permitted. Once an unauthorized intrusion occurs, it is difficult to search for and crack down on the intruder.
[0005]
Accordingly, an object of the present invention is to provide a technique for detecting unauthorized access that has cleared user authentication.
[0006]
Another object of the present invention is to provide a technique for detecting unauthorized access based on contents declared by a user.
[0007]
[Means for Solving the Problems]
An unauthorized access detection device according to an embodiment of the present invention is a user accessing a computer system. Communication equipment From , Including information specifying the access destination or service used, Accepting means for accepting a report regarding the access, storage means for storing the accepted declaration content, and stored in the storing means Compare whether the access destination or usage service that does not match the information specifying the access destination or usage service is included in the acquired communication record, and if there is an inconsistent access destination or usage service, the user access is illegal Access monitoring means to detect as access When , Is provided.
[0008]
In a preferred embodiment, the receiving means is Including the access destination or use service, The report is accepted for a plurality of items, the comparison means compares the items, the detection means counts the number of mismatches between the report contents and the communication record for each item, and the number of mismatches is a predetermined number. Detect unauthorized access when exceeded.
[0009]
In a preferred embodiment, the declaration includes at least an item capable of specifying an access destination in the computer system, and the communication record includes information indicating an actual access destination accessed by the user, and the comparison The means compares the actual access destination with the declared access destination to determine whether or not they match.
[0010]
In a preferred embodiment, when the actual access destination does not match the declared access destination, a measure determined based on the actual access destination is executed.
[0011]
In a preferred embodiment, the information processing apparatus further includes a determination unit that determines whether a user access mode is included in a predetermined type based on the communication record, and the detection unit is based on a determination result of the determination unit. To detect unauthorized access.
[0012]
In a preferred embodiment, when the detection unit detects unauthorized access based on a determination result of the determination unit, a measure determined based on a type to which the access mode of the user belongs is executed.
[0013]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, a system according to an embodiment to which the present invention is applied will be described with reference to the drawings.
[0014]
The overall structure of this system is shown in FIG. The system includes an authentication server 1 for authenticating and monitoring users in order to restrict access to users other than authorized users and protect the computer system. As a preferred example of a computer system to be protected, the present embodiment will be described using an in-house network 9 of a company. A person who can access the in-house network 9 is a predetermined person such as an employee of the company. When an employee wants to access the in-house network 9, the user terminal 2 makes a login request to the authentication server 1 via the network 3 such as the Internet. If this login request is permitted, the user can access the in-house network 9.
[0015]
Further, in order to confirm the validity of the access request to the in-house network 9, the authentication server 1 communicates with the network phone 3, the wireless base station 4 and the mobile phone 5 with the administrator's mobile phone 5 that manages the user who has requested the access. Data is transmitted and received through a telephone telephone network (not shown).
[0016]
Here, the “manager” includes a person who is in a position to manage, supervise, monitor, or guide the “user” directly or indirectly. Typically, the “manager” and the “user” have a so-called supervisor-subordinate relationship, but are not necessarily limited thereto. For example, when “User” is an outsourced employee, “Administrator” may be an outsourced employee, or “User” and “Administrator” may monitor each other's actions. .
[0017]
The authentication server 1 and the user terminal 2 are both configured by, for example, a general-purpose computer system, and individual components or functions described below are realized by executing a computer program, for example. Further, the mobile phone 5 does not necessarily have to be a mobile phone of a type that is currently in practical use. For example, portable and desktop personal computers and PDAs (personal data assistants) having an Internet communication function by e-mail or WWW. Alternatively, other types of mobile communication devices such as mobile phones that have evolved from the present to the future may be replaced.
[0018]
The authentication server 1 includes a network interface unit 11, a login processing unit 12, a web page 13, an administrator interface 14, an administrator table 15, an access monitoring unit 16, a user table 18, and an access log 19. Prepare.
[0019]
The network interface unit 11 controls data input / output with respect to the network 3. Further, the network interface unit 11 records in the access log 19 a communication record (access destination or service used) of a user who is permitted to access the internal network 9. The access log 19 includes, for example, a user ID, usage time, capacity, access destination identification information (address, etc.), transmission / reception command, response code, transmission / reception character string, and the like as data items.
[0020]
The user table 18 stores personal information of users who have authority to access the corporate network 9. For example, the user table 18 includes a user ID 181, a password 182, and an e-mail address 183 as data items, as shown in FIG. When receiving the access request, the login processing unit 12 refers to the user table 18 and performs user authentication. The e-mail address 183 is an e-mail address in the in-house network 9 (in-house). When the user with the user ID 181 logs in from the user terminal 2, the login processing unit 12 transmits an email for notifying the fact of login to the email address 183.
[0021]
In the administrator table 15, information indicating the administrator of the user registered in the user table 18 is registered. For example, as shown in FIG. 2B, the administrator table 15 stores a user ID 151 and administrator email addresses 152 and 153 in association with each other. Here, there are a plurality of administrator e-mail addresses for the following reasons. That is, as will be described later, the administrator interface 14 refers to the administrator table 15 and transmits an e-mail to the administrator's mobile phone 5. At this time, priorities may be set in advance among a plurality of e-mail addresses, and the e-mail addresses may be transmitted in order from the highest e-mail address.
[0022]
The web page 13 accepts input of information from a user who has accessed the authentication server 1 or provides information to the user. An example of the web page 13 is a login application screen 100 shown in FIG. Details of the login application screen 100 will be described later.
[0023]
When the login processing unit 12 receives an access request from the user terminal 2, the login processing unit 12 determines whether to permit the request.
[0024]
For example, when a user who wishes to log in to the in-house network 9 accesses the authentication server 1 from the user terminal 2, the login application screen 100 is displayed on a display unit (not shown) of the user terminal 2. Then, the authentication server 1 receives information input from the login application screen 100.
[0025]
An example of the login application screen 100 is shown in FIG. The login application screen 100 has a user ID input area 101 and a password input area 102. The login processing unit 12 performs user authentication by comparing the user ID and password input here with those stored in the user table 18 in advance. As a result of the user authentication, if it is confirmed that the user is a legitimate user, the login processing unit 12 may permit the login. Alternatively, as will be described later, in addition to authentication using a user ID and password, login may be permitted when a login permission notification is received from the administrator. Further, additional authentication as described later may be performed.
[0026]
Login application screen 100 further includes an area for accepting input of additional information for login. In other words, the login application screen 100 has an input area 103 for a scheduled time (time for which access is desired) to continue the logged-in state, where in the in-house network 9 is accessed (access destination), or what to do ( Input area 104 for selecting the (use service) and an input area 105 for the reason for logging in. The validity of the login request can be confirmed with some or all of the items included in the login additional information. Part or all of the additional login information input here is transmitted by e-mail or the like to the cellular phone 5 of the user's administrator who logs in as described later (see FIG. 4).
[0027]
The login additional information input here is stored in a storage unit (not shown). At this time, the information input in the input area 104 is stored in the storage unit after being replaced with information that can uniquely identify the access destination, such as the server name or URL (Uniform Resource Locator) of the access destination. Also good.
[0028]
Further, even if the login processing unit 12 once permits access to the in-house network 9, it cancels it in a predetermined case such as when an instruction is received from the access monitoring unit 16 or the administrator interface 14. Disconnect communication.
[0029]
The administrator interface 14 transmits / receives information to / from an administrator of a user who wishes to log in to the internal network 9. For example, the administrator interface 14 has an electronic mail function. Then, a text file including the login additional information input on the login application screen 100 is generated and transmitted to the communication device 5 of the administrator of the user who has requested access via the network interface 11. At this time, the e-mail addresses 152 and 153 of the administrator's mobile phone 5 corresponding to the ID of the user who has made an access request by referring to the administrator table 15 are acquired as the e-mail addresses of the transmission destinations. To do.
[0030]
FIG. 4 is an example when login additional information is displayed on the cellular phone 5 of the administrator who has received the e-mail. That is, the content of the received e-mail is displayed on the display unit 51 of the mobile phone 5. Here, in addition to the additional information, information for specifying the user who requested the access is also included. The information for specifying the user may be information sufficient for the received administrator to specify the user. For example, a user ID, a user name (including a nickname, initial, etc.), or a combination of a department and a user name may be used.
[0031]
The administrator interface 14 also transmits an e-mail to the administrator's e-mail address when receiving an e-mail notification instruction from the access monitoring unit 16 as described later.
[0032]
The administrator can send a reply mail to the received electronic mail by operating the mobile phone 5. Information indicating login permission or disapproval can be attached to the reply mail. The administrator interface 14 receives this reply mail, and notifies the login processing unit 12 when the reply mail indicates that login is permitted, and when the reply mail indicates that login is not permitted.
[0033]
The access monitoring unit 16 monitors user access with reference to the access log 19. When an unauthorized access is detected, such as when accessing a location different from the access destination declared in advance, the login processing unit 12 is instructed to disconnect. Details of the processing of the access monitoring unit 16 will be described later.
[0034]
The procedure of the process performed by the authentication server 1 having the above-described configuration will be described with reference to the flowcharts of FIGS.
[0035]
As shown in FIG. 5, the processing of the authentication server 1 is performed while the user is accessing the in-house network 9 after the login is permitted and the login processing S1 for determining whether or not the user is permitted to log in. This is divided into in-access processing S2.
[0036]
The authentication server 1 performs the following process as the login process S1. That is, when a user who wishes to log in to the internal network 9 accesses the authentication server 1 from the user terminal 2, this is accepted and the login application screen 100 is displayed on the user terminal 2. A user inputs a required information in each input item of the login application screen 100 and makes a login application (S11). When this login application is accepted, the user ID and password input by the login processing unit 12 are checked against the user ID and password registered in the user table 18 to perform user authentication (S12). When the user ID and the password match, the administrator interface 14 generates a text file including login additional information. Then, the administrator's e-mail address 152 corresponding to the user ID is acquired with reference to the administrator table 15. The administrator interface 14 transmits the generated text file to the administrator using the electronic mail function (S13). Note that the order of step S12 and step S13 may be reversed. That is, step S13 may be performed before step S12.
[0037]
As a result, the user who requests access can input the login additional information and can notify the administrator of the user. The administrator who has received the notification of the additional login information can confirm in real time what his / her subordinate has applied for as additional information in order to log in to the internal network 9 from the outside. As a result, the administrator can confirm whether the application contents of the subordinates are consistent with the operations of the subordinates and the latest actions.
[0038]
In addition to the items exemplified in the present embodiment, the login additional information may be information regarding other items as long as the administrator can confirm the validity of the access request to the internal network 9. Good.
[0039]
Next, the authentication server 1 performs the following process as the in-access process S2. That is, the time measuring unit (not shown) measures the time during which the user is actually logged in, obtains the remaining time in comparison with the scheduled login time self-reported, and displays it on the user terminal 2 (S21). While the login to the internal network 9 is permitted, if the user re-applies to extend the login time, the login process in step S1 is repeated (S22: Yes), and the re-applied time is added to the remaining time. To do. When there is no re-application, it is monitored whether the time when the login processing unit 12 is actually accessing exceeds the applied access time (S23). Then, when the actual login time exceeds the requested time, the login processing unit 12 forcibly blocks access (S24).
[0040]
Note that a warning may be issued when the remaining time becomes a predetermined time (for example, 2 minutes) or less before the forced disconnection of access. Further, when there is a re-application in step S22, the repetition of the login process S1 may be omitted.
[0041]
Next, the login process S1 may be the following process in addition to the process shown in FIG. For example, FIG. 6 shows another aspect of the login process S1. In this aspect, an administrator's approval is required for login. That is, after step S11 to S13, step S14 for permitting login when a login permission notification is received may be added. This login permission notification is, for example, a reply mail from the cellular phone 5 of the administrator who transmitted the login additional information in step S13. In step S14, when a reply mail is not received within a predetermined time or when an e-mail indicating that login is not permitted is received, the login processing unit 12 does not permit the access request (S14: No).
[0042]
In this aspect, when the administrator receives the notification of the login additional information with the mobile phone 5, the administrator confirms this content and determines whether or not the administrator permits the login. Thereby, a suspicious login request can be rejected in advance.
[0043]
Further, as in the aspect of FIG. 6, whether or not the administrator needs to be approved for login may be determined according to a user who logs in, an access destination, or a use service. In this case, whether or not to approve the administrator may be determined according to the authority given to the user, the work in charge, the level of confidentiality of the access destination, or the like.
[0044]
FIG. 7 shows still another aspect of the login process S1. In this aspect, step S15 for performing additional authentication of the user is inserted between steps S12 and S13. The additional authentication is authentication performed in addition to the authentication using the user ID and password in step S12, and is performed by the login processing unit 12. For example, information relating to past communication records (such as the reason for the previous login) is input at the time of login application, and the login processing unit 12 collates with information recorded in the access log 19. In this case, an input area may be further provided on the login application screen 100 for input.
[0045]
Note that the user authentication in step S12 can replace the authentication by the user ID and the password with the authentication by the electronic certificate or the authentication by the one-time password, or can be applied in combination of two or more of these.
[0046]
Next, similarly to the in-access processing S2, processing other than the processing shown in FIG. 5 can be performed. An example of another processing mode is shown in FIG.
[0047]
In this processing mode, step S25 for determining whether or not a cutting instruction has been received is added. This step S25 determines whether or not a disconnection instruction has been received from the access monitoring unit 16 or the administrator's mobile phone 5. When a disconnection instruction is given, the login processing unit 12 forcibly disconnects in step S24. Thereby, when the access monitoring unit 16 detects unauthorized access, for example, or when the administrator determines that the access is unauthorized, the user can be forcibly disconnected at that time.
[0048]
Next, details of processing performed by the access monitoring unit 16 will be described. The following processing is performed for each user using a user ID as a key when a plurality of users are accessing the internal network 9.
[0049]
The access monitoring unit 16 compares the login additional information declared by the user at the time of login with the access log 19. This comparison is performed for each item of the login additional information, for example, and it is determined whether the access destination identification information recorded in the access log 19 matches the access destination of the login additional information. Here, when the actual access destination does not match the declared access destination, the unauthorized access may be immediately performed. However, in the present embodiment, the unauthorized access is detected when the number of mismatches exceeds a predetermined threshold. .
[0050]
Thereby, if an access different from the self-report is repeated, it is detected as an unauthorized access.
[0051]
Also, the importance level may be set in advance according to the actual access destination (see, for example, FIG. 9), and a threshold value for detecting unauthorized access may be set according to the importance level. That is, an access destination with a high importance level is identified as an unauthorized access with a smaller (mismatch) detection count than an access destination with a low importance level.
[0052]
FIG. 9 shows an importance level definition table 50 in which importance levels and threshold values for detecting unauthorized access are defined for each access destination. This table 50 is stored, for example, in a storage area (not shown) in the access monitoring unit 16.
[0053]
The access monitoring unit 16 further determines whether the mode of access being performed by the user is included in the predetermined suspicious activity type in addition to or separately from the unauthorized access determination based on the access destination. judge. In this determination, the access monitoring unit 16 analyzes the contents stored in the access log 19 and specifies the mode of user access (the action that the user is performing). Then, it is determined whether or not the access mode belongs to a suspicious access type (suspicious action). Here, for example, suspicious acts are generally considered fraudulent. Includes access methods . The access method generally considered to be illegal includes, for example, an action that continuously generates a password error (determined by referring to a response code) and a scanning action that accesses a predetermined number of servers within a predetermined time ( Scanning including nonexistent servers, such as tracing the end of the IP address in order from 1 to 100). Among suspicious acts, a level may be set in advance according to the degree of risk.
[0054]
As a result, even when the user authentication is cleared and the user logs in, a suspicious action is detected as an unauthorized access.
[0055]
Here, as in the case of detecting an unauthorized access destination, unauthorized access may be immediately performed when a suspicious activity is detected, but in this embodiment, when the number of suspicious activities exceeds a predetermined threshold value, Detect as unauthorized access. Furthermore, a threshold value for detecting as unauthorized access may be set according to the risk of unauthorized activity (for example, FIG. 10). That is, when a suspicious action with a high degree of risk is detected, it is recognized as unauthorized access with a smaller number of times than those with a low degree of risk.
[0056]
FIG. 10 shows a risk definition table 60 in which a risk level and a threshold for detecting unauthorized access are defined for each suspicious activity. The table 60 is stored in a storage area (not shown) in the access monitoring unit 16, for example.
[0057]
When it is determined that unauthorized access has been detected as described above, the access monitoring unit 16 executes predetermined processing (measures) determined in advance. For example, the access monitoring unit 16 sends an e-mail notification to the e-mail address of the administrator of the user who has made unauthorized access (the normal e-mail address in the in-house network 9 or the e-mail address of the mobile phone 5). 14 or instructing the login processing unit 12 to forcibly disconnect the access. The e-mail notified to the administrator includes information for identifying the detected user who has made unauthorized access, the contents of unauthorized access, and the like.
[0058]
The measures taken by the access monitoring unit 16 may be determined based on an actual access destination or a suspicious action, or may be determined from time to time based on a predetermined rule. An example of the predetermined rule will be described with reference to FIGS. 11 and 12. That is, FIG. 11 shows a matrix 70 for determining a countermeasure level from the importance of the access destination shown and the risk of suspicious action, and FIG. 12 shows a countermeasure table 80 corresponding to the countermeasure level for each user ID. Both the matrix 70 and the countermeasure table 80 are stored, for example, in a storage area (not shown) in the access monitoring unit 16.
[0059]
First, the access monitoring unit 16 determines a countermeasure level using the matrix 70. When the countermeasure level is determined, the countermeasure table 80 is referred to, and the countermeasure to be implemented is determined according to the user ID.
[0060]
Next, a processing procedure for monitoring an access destination performed as the in-access processing S2 will be described with reference to a flowchart shown in FIG.
[0061]
First, the access monitoring unit 16 refers to login additional information and an access log 19 stored in a storage unit (not shown) to determine whether the access destination matches the access destination self-reported by the user (S31, S32).
[0062]
If the actual access destination does not match the reported one (S32: No), a counter for counting the number of times by access destination is counted up (S33). Then, the access monitoring unit 16 determines whether or not the count value of the counter has exceeded a predetermined threshold value (S34). When the predetermined threshold value is exceeded (S34: Yes), the access monitoring unit 16 implements a predetermined measure or a measure determined based on a predetermined rule (S35).
[0063]
Further, a processing procedure for determining whether or not the access act is illegal will be described with reference to the flowchart shown in FIG.
[0064]
First, the access monitoring unit 16 refers to the access log 19 and monitors the user's action while analyzing it (S36). When it is detected that the user is performing a suspicious action (S37: Yes), a counter for counting the number of actions is counted up (S38). The access monitoring unit 16 determines whether the count value of the counter has exceeded a predetermined threshold value (S39). When the predetermined threshold value is exceeded (S39: Yes), the access monitoring unit 16 implements a predetermined measure or a measure determined based on a predetermined rule (S40).
[0065]
The above-described embodiments of the present invention are examples for explaining the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the present invention in various other modes without departing from the gist of the present invention.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a user authentication system to which the present invention is applied.
FIG. 2 is a diagram illustrating an example of data items of an administrator table and a user table.
FIG. 3 is a diagram illustrating an example of a login application screen.
FIG. 4 is a diagram showing an example when the content of an electronic mail received by the mobile phone 5 is displayed.
FIG. 5 is a flowchart illustrating an example of processing performed by an authentication server.
FIG. 6 is a flowchart showing another aspect of login processing.
FIG. 7 is a flowchart showing another aspect of login processing.
FIG. 8 is a flowchart showing an aspect of processing during access.
FIG. 9 is a diagram illustrating an example of an importance level definition table.
FIG. 10 is a diagram illustrating an example of a risk definition table.
FIG. 11 is a diagram illustrating an example of a matrix for determining countermeasure levels.
FIG. 12 is a diagram illustrating an example of a countermeasure table for each user ID.
FIG. 13 is a flowchart illustrating a mode of processing for monitoring an access destination.
FIG. 14 is a flowchart showing a mode of processing for determining an illegal act.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... Authentication server, 2 ... User terminal, 3 ... Network, 4 ... Wireless base station, 5 ... Mobile telephone, 9 ... In-house network, 11 ... Network interface part, 12 ... Login processing part, 13 ... Web page, 14 ... Management Administrator interface, 15 administrator table, 16 access monitoring unit, 18 user table, 19 access log. 50 ... Importance level definition table, 60 ... Risk level definition table, 70 ... Matrix for determining countermeasure levels, 80 ... Countermeasure table by user ID.

Claims (7)

コンピュータシステムへアクセスするユーザの通信装置から、アクセス先または利用サービスを指定する情報を含む、前記アクセスに関する申告を受け付ける受付手段と、
前記受け付けた申告内容を記憶するための記憶手段と、
前記ユーザの通信装置と前記コンピュータシステムとの間の通信記録を取得する取得手段と、
前記記憶手段に記憶されたアクセス先または利用サービスを指定する情報と一致しないアクセス先または利用サービスが、前記取得した通信記録に含まれるかを比較して、一致しないアクセス先または利用サービスがある場合、前記ユーザのアクセスを不正アクセスとして検出するアクセス監視手段と、を備える不正アクセス検出装置。Receiving means for receiving a report on access , including information specifying an access destination or a service to be used, from a communication device of a user who accesses the computer system;
Storage means for storing the received declaration content;
Obtaining means for obtaining a communication record between the user's communication device and the computer system;
When an access destination or usage service that does not match information specifying the access destination or usage service stored in the storage means is included in the acquired communication record, and there is a mismatched access destination or usage service And an unauthorized access detection device comprising: access monitoring means for detecting the user's access as unauthorized access . 前記受付手段は、前記アクセス先または利用サービスを含む、複数項目について申告を受け付け、
前記比較手段は、前記項目別に比較を行い、
前記検出手段は、前記項目別に、前記申告内容と前記通信記録との不一致回数を計数し、前記不一致回数が所定回数を超えたときに、不正アクセスを検出する請求項1記載の不正アクセス検出装置。The accepting means accepts a report for a plurality of items including the access destination or use service ,
The comparison means performs a comparison for each item,
2. The unauthorized access detection device according to claim 1, wherein the detection unit counts the number of mismatches between the report contents and the communication record for each item, and detects unauthorized access when the number of mismatches exceeds a predetermined number. . 前記申告には、少なくとも前記コンピュータシステム内のアクセス先を特定可能な項目を含み、
前記通信記録には、前記ユーザがアクセスした現実のアクセス先を示す情報を含み、
前記比較手段は、前記現実のアクセス先と前記申告されたアクセス先とを比較して、一致するかどうかを判別し、
前記現実のアクセス先と前記申告されたアクセス先とが一致しないとき、前記現実のアクセス先に基づいて定まる対策を実行することを特徴とする請求項1記載の不正アクセス検出装置。The declaration includes at least an item capable of specifying an access destination in the computer system,
The communication record includes information indicating an actual access destination accessed by the user,
The comparing means compares the actual access destination with the declared access destination to determine whether they match,
2. The unauthorized access detection device according to claim 1 , wherein when the actual access destination does not match the declared access destination, a countermeasure determined based on the actual access destination is executed . 前記通信記録に基づいて、ユーザのアクセス態様が予め定められた類型に含まれるかどうかを判定する判定手段をさらに備え、
前記検出手段は、前記判定手段の判定結果に基づいて不正アクセスを検出する請求項1記載の不正アクセス検出装置。A determination unit for determining whether the access mode of the user is included in a predetermined type based on the communication record;
The unauthorized access detection apparatus according to claim 1, wherein the detection unit detects unauthorized access based on a determination result of the determination unit. 前記検出手段が、前記判定手段の判定結果に基づいて不正アクセスを検出したとき、前記ユーザのアクセス態様が属する類型に基づいて定まる対策を実行することを特徴とする請求項記載の不正アクセス検出装置。5. The unauthorized access detection according to claim 4 , wherein when the detection unit detects unauthorized access based on a determination result of the determination unit, a countermeasure determined based on a type to which the user access mode belongs is executed. apparatus. 不正アクセスを検出する装置の動作のための方法であって、
コンピュータシステムへアクセスするユーザの通信装置から、アクセス先または利用サービスを指定する情報を含む、前記アクセスに関する申告の入力を受け付けるステップと、
受け付けた申告内容を記憶手段に記憶するステップと、
前記ユーザの通信装置と前記コンピュータシステムとの間の通信記録を取得するステップと、
前記記憶手段に記憶されたアクセス先または利用サービスを指定する情報と一致しないアクセス先または利用サービスが、前記取得した通信記録に含まれるかを比較して、一致しないアクセス先または利用サービスがある場合、前記ユーザのアクセスを不正アクセスとして検出するステップとを備える不正アクセスの検出方法。A method for operation of a device for detecting unauthorized access, comprising:
Receiving from the communication device of a user accessing the computer system an input of a declaration regarding the access , including information specifying an access destination or a service to be used ;
Storing the received declaration content in a storage means;
Obtaining a communication record between the user's communication device and the computer system;
When an access destination or usage service that does not match information specifying the access destination or usage service stored in the storage means is included in the acquired communication record, and there is a mismatched access destination or usage service the method of detecting unauthorized access and a step of detecting an access of the user as an unauthorized access. コンピュータに実行されたとき、
コンピュータシステムへアクセスするユーザの通信装置から、アクセス先または利用サービスを指定する情報を含む、前記アクセスに関する申告の入力を受け付けるステップと、
受け付けた申告内容を記憶手段に記憶するステップと、
前記ユーザの通信装置と前記コンピュータシステムとの間の通信記録を取得するステップと、
前記記憶手段に記憶されたアクセス先または利用サービスを指定する情報と一致しないアクセス先または利用サービスが、前記取得した通信記録に含まれるかを比較して、一致しないアクセス先または利用サービスがある場合、前記ユーザのアクセスを不正アクセスとして検出するステップと、を行う不正アクセス検出のためのコンピュータプログラム。When executed on the computer,
Receiving from the communication device of a user accessing the computer system an input of a declaration regarding the access , including information specifying an access destination or a service to be used ;
Storing the received declaration content in a storage means;
Obtaining a communication record between the user's communication device and the computer system;
When an access destination or usage service that does not match information specifying the access destination or usage service stored in the storage means is included in the acquired communication record, and there is a mismatched access destination or usage service A computer program for detecting unauthorized access , comprising: detecting the user's access as unauthorized access .
JP2003001392A 2003-01-07 2003-01-07 Unauthorized access detection device Expired - Lifetime JP3934062B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003001392A JP3934062B2 (en) 2003-01-07 2003-01-07 Unauthorized access detection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003001392A JP3934062B2 (en) 2003-01-07 2003-01-07 Unauthorized access detection device

Publications (2)

Publication Number Publication Date
JP2004213476A JP2004213476A (en) 2004-07-29
JP3934062B2 true JP3934062B2 (en) 2007-06-20

Family

ID=32819427

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003001392A Expired - Lifetime JP3934062B2 (en) 2003-01-07 2003-01-07 Unauthorized access detection device

Country Status (1)

Country Link
JP (1) JP3934062B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4677768B2 (en) * 2004-11-18 2011-04-27 富士通株式会社 Authentication device
JP2006155124A (en) * 2004-11-29 2006-06-15 Savant:Kk Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein
JP4490254B2 (en) * 2004-12-24 2010-06-23 エヌ・ティ・ティ・コミュニケーションズ株式会社 User authority control device, user authority control method, and user authority control program
JP4190508B2 (en) * 2005-02-23 2008-12-03 日本電信電話株式会社 Network control system and network control method
JP4578352B2 (en) * 2005-08-12 2010-11-10 シャープ株式会社 Communication mediating apparatus, data providing apparatus, and data providing system
JP2007122228A (en) * 2005-10-26 2007-05-17 Pfu Ltd Network medical inspection system
CN101366039A (en) * 2006-01-05 2009-02-11 株式会社知识潮 Illegal operation monitoring program, illegal operation monitoring method and illegal operation monitoring system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10240687A (en) * 1997-02-28 1998-09-11 Tec Corp Network system
JPH11265347A (en) * 1998-01-16 1999-09-28 Toshiba Corp Distributed network computing system, information switching device and method to be used for the system and computer readable storage medium storing information switching method program information
JP2001282625A (en) * 2000-03-31 2001-10-12 Fujitsu Ltd Security management system and security management program storage medium
JP2002163030A (en) * 2000-11-22 2002-06-07 Nec Corp System and method for controlling computer unit
JP2002342279A (en) * 2001-03-13 2002-11-29 Fujitsu Ltd Filtering device, filtering method and program for making computer execute the method

Also Published As

Publication number Publication date
JP2004213476A (en) 2004-07-29

Similar Documents

Publication Publication Date Title
CA2738466C (en) Apparatus for shielding sensitive file, server computer of the same, method and computer program product for the same
US10339298B2 (en) Weak password support in a multi-user environment
US8141138B2 (en) Auditing correlated events using a secure web single sign-on login
US20170324777A1 (en) Injecting supplemental data into data queries at network end-points
CN109409045B (en) Safety protection method and device for automatic login account of browser
US20060149848A1 (en) System, apparatuses, and method for linking and advising of network events related to resource access
US10542044B2 (en) Authentication incident detection and management
KR20060010741A (en) Network security system based on physical location
JP2017508194A (en) System and method for biometric protocol standards
CN108287987A (en) Data managing method, device, equipment and readable storage medium storing program for executing
JP3973563B2 (en) Login request receiving apparatus, login request receiving method, and program therefor
CN112800397A (en) Data asset protection method, system, electronic equipment and storage medium
JP2005234729A (en) Unauthorized access protection system and its method
AU2022202238A1 (en) Tunneled monitoring service and methods
US8978150B1 (en) Data recovery service with automated identification and response to compromised user credentials
JP3934062B2 (en) Unauthorized access detection device
JP2007226827A (en) Log-in request receiving device and access management device
JP2019075131A (en) Method for monitoring file access, program, and system
JP6842951B2 (en) Unauthorized access detectors, programs and methods
CN113239349B (en) Network security testing method for power monitoring system
JP5730735B2 (en) Security management system, method and program
CN108600178A (en) A kind of method for protecting and system, reference platform of collage-credit data
KR101025029B1 (en) Implementation method for integration database security system using electronic authentication
CN114915477A (en) Information security protection system of computer network
JP2001175600A (en) Method and device for reporting illegal access

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070314

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3934062

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110330

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110330

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120330

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120330

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130330

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140330

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term