JP4490254B2 - User authority control device, user authority control method, and user authority control program - Google Patents

User authority control device, user authority control method, and user authority control program Download PDF

Info

Publication number
JP4490254B2
JP4490254B2 JP2004373433A JP2004373433A JP4490254B2 JP 4490254 B2 JP4490254 B2 JP 4490254B2 JP 2004373433 A JP2004373433 A JP 2004373433A JP 2004373433 A JP2004373433 A JP 2004373433A JP 4490254 B2 JP4490254 B2 JP 4490254B2
Authority
JP
Japan
Prior art keywords
user
security
security point
group
vulnerability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2004373433A
Other languages
Japanese (ja)
Other versions
JP2006178855A (en
Inventor
充弘 畑田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2004373433A priority Critical patent/JP4490254B2/en
Publication of JP2006178855A publication Critical patent/JP2006178855A/en
Application granted granted Critical
Publication of JP4490254B2 publication Critical patent/JP4490254B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、コンピュータシステムの利用者権限を制御する利用者権限制御技術に関する。   The present invention relates to a user authority control technique for controlling user authority of a computer system.

インターネットなど外部の通信ネットワークと接続されることが一般的である昨今の情報システムにおいては、外部から情報システムに対する不正アクセスやウイルスによる情報資産破壊などセキュリティに関する問題が、頻繁に発生している。そのため、セキュリティ管理者は、セキュリティ対策として、ファイアウォールの設置やウイルス対策ソフトの導入などを図り、このようなセキュリティリスクから情報システムを防御している。   In recent information systems that are generally connected to an external communication network such as the Internet, security problems such as unauthorized access to the information system from the outside and destruction of information assets due to viruses frequently occur. For this reason, security managers protect their information systems from such security risks by installing firewalls and introducing antivirus software as security measures.

また、情報システムに内在するセキュリティ状態を評価するセキュリティ評価ツールを導入し、これに従ってセキュリティ対策を行う場合もある。このようなセキュリティ評価ツールは、情報システム内のコンピュータに対して、セキュリティホールの有無や設定不備など数百種類もの検査項目を実施し、発見した問題点(以下、「脆弱性」という)をそのリスク評価とともに列挙したレポートを出力するようになっているので、セキュリティ管理者は、該レポートに基づいて脆弱性を有するコンピュータに対して、パッチを適用するなどの対処を行うことにより、セキュリティ対策を施すことができるようになっている。   In some cases, a security evaluation tool for evaluating the security status inherent in the information system is introduced, and security measures are taken accordingly. Such a security assessment tool performs hundreds of types of inspection items, such as the presence of security holes and incomplete settings, on computers in the information system, and identifies the problems found (hereinafter referred to as “vulnerabilities”). Since enumerated reports are output together with the risk assessment, the security administrator can take security measures by taking countermeasures such as applying patches to the vulnerable computers based on the reports. It can be applied.

また、最近においては、「パッチを適用していない」「アンチウイルス・ソフトのパターン・ファイルのバージョンが古い」など、セキュリティ対策が不十分なコンピュータは、情報システムにネットワーク接続させない「検疫ネットワーク」という考えも広がってきており、情報システム、即ち、コンピュータ自身に対するセキュリティ意識はかなり高くなっている。   Recently, computers that have insufficient security measures, such as “no patch applied” or “anti-virus software pattern file version is old” are called “quarantine networks” that do not connect to information systems via networks. Thoughts are also spreading and the security awareness of the information system, that is, the computer itself, is considerably high.

一方、情報システムを利用するユーザに対するセキュリティ対策においては、ユーザの役割に応じて、ユーザごとにユーザ権限を設定し、情報システム内の共有資源(ファイル、プログラムなど)をアクセス制御するのが一般的な方法として普及している。   On the other hand, in security measures for users who use information systems, it is common to set user authority for each user according to the user's role and control access to shared resources (files, programs, etc.) in the information system. It is popular as a method.

尚、この出願に関連する先行技術文献情報としては、次のものがある。
特開2001−101135公報 特開2002−278797公報 マイクロソフト株式会社、“Active Directory 技術情報”、[online]、[平成16年12月15日検索]、インターネット<URL:http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/activedirectory.mspx> The prior art document information related to this application includes the following.
JP 2001-101135 A JP 2002-278797 A Microsoft Corporation, “Active Directory Technical Information”, [online], [searched on December 15, 2004], Internet <URL: http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/activedirectory. mspx>

上述したように、従来の情報システムにおいては、各ユーザごとにユーザ権限が設定されているが、一旦、設定されてしまうと、部署や役職などの変更がない限り、ユーザ権限は変更されず、ユーザ権限は固定的に設定される傾向がある。   As described above, in the conventional information system, the user authority is set for each user. Once the user authority is set, the user authority is not changed unless the department or job title is changed. User authority tends to be fixedly set.

本来、ユーザに対するセキュリティ対策として、ユーザ権限を付与する場合、そのユーザの組織における役割だけでなく、セキュリティに対する意識も考慮すべきであるが(例えば、高いセキュリティ管理レベルのユーザ権限を与えられたとしても、セキュリティリテラシーが低く、不正アクセスをしたり、コンピュータウィルスの感染の被害を招くようなユーザに対しては、低いセキュリティ管理レベルのユーザ権限を付与し直すべきである)、従来の情報システムにおいては、このような対応はなされてはいない。   Originally, when a user authority is given as a security measure for a user, not only the role of the user in the organization but also a security awareness should be considered (for example, a user authority with a high security management level is given) However, for users with low security literacy and unauthorized access or computer virus infections, low security management level user rights should be reassigned) No such response has been made.

本発明は、上記の事情を鑑みたものであり、日々のユーザのセキュリティに対する意識を反映したユーザ権限を付与することができる利用者権限制御装置、利用者権限制御方法、及び利用者権限制御プログラムを提供することを目的とする。   The present invention has been made in view of the above circumstances, and a user authority control device, a user authority control method, and a user authority control program capable of granting user authority reflecting daily user security awareness The purpose is to provide.

上記目的を達成するため、請求項1記載の本発明は、コンピュータシステムの利用者権限を動的に設定する利用者権限制御装置であって、グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶手段と、前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得手段と、前記利用者情報取得手段が取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出手段と、前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶手段から取得する閾値取得手段と、前記セキュリティポイント算出手段が算出したセキュリティポイント値と、前記閾値取得手段が取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新手段と、を有することを特徴とする。 In order to achieve the above object, the present invention as claimed in claim 1 is a user authority control apparatus for dynamically setting user authority of a computer system, wherein each group has a predetermined user's authority. Group storage means having a security right indicating a security access level indicating a level of access to resources, and a security point threshold that is a security point value obtained by quantifying unauthorized access in a predetermined period or vulnerability of a computer used by the user; in a predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or test the vulnerability of the vulnerability information of the computer the user is using the computer Information obtained from a vulnerability inspection device or information related to unauthorized access Wherein the user information acquisition means for acquiring information relating to the vulnerability of the vulnerability inspection apparatus acquires from intrusion detection system, the user information acquisition means has acquired, the risk is included in the information about the unauthorized access or the fragile degree included in the information about the vulnerability, the converted respective predetermined points according to the degree of risk or the fragility of the total value of each point converted, security points in the predetermined time period of the user Security point calculation means for calculating as a value, threshold value acquisition means for acquiring a security point threshold value of the group to which the user belongs from the group storage means, security point value calculated by the security point calculation means, and the threshold value acquisition means Security point threshold acquired by And compare, if the security point value exceeds the security point threshold, and having a a user rights updating means for updating the group to which the user belongs security rights to a lower group.

請求項2記載の本発明は、請求項1記載の発明において、前記利用者権限更新手段は、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記グループ記憶手段を参照して、前記利用者が属するグループを、前記セキュリティポイント値が前記セキュリティポイント閾値を超えないグループに更新することを特徴とする。 The present invention is claimed in claim 2, wherein, in the invention according to the first aspect, wherein the user authorization maintenance means when said security point value exceeds the security point threshold, with reference to the group storage means, said user The group to which the security point belongs is updated to a group whose security point value does not exceed the security point threshold value .

請求項3記載の本発明は、請求項1記載の発明において、利用者毎に、当該利用者が属するグループを設定した利用者権限記憶手段を、さらに有し、前記利用者権限更新手段は、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記グループ記憶手段を参照して、前記利用者権限記憶手段に記憶される前記利用者が属するグループを、前記セキュリティポイント値が前記セキュリティポイント閾値を超えないグループに更新することを特徴とする。 The present invention described in claim 3 further includes a user authority storage unit that sets a group to which the user belongs for each user according to the invention described in claim 1 , wherein the user authority update unit includes: When the security point value exceeds the security point threshold value, the group storage means is referred to, the group to which the user belongs stored in the user authority storage means belongs, and the security point value exceeds the security point threshold value. It is characterized by updating to a group that does not exceed .

請求項4記載の本発明は、請求項1乃至3のいずれか1項に記載の発明において、前記セキュリティポイント算出手段は、前記危険度および前記脆弱度に、前記不正アクセス又は前記脆弱性の発見時から対処時までの経過時間をそれぞれ乗算し、乗算した各乗算値の和に前記コンピュータの重要度を乗算することにより、前記セキュリティポイント値を算出することを特徴とする。 The present invention is claimed in claim 4, the invention according to any one of claims 1 to 3, wherein the security point calculation means, wherein the risk and the fragility of the discovery of the unauthorized access or the vulnerability The security point value is calculated by multiplying each elapsed time from time to time and multiplying the sum of each multiplied value by the importance of the computer .

請求項5記載の本発明は、コンピュータシステムの利用者権限を動的に設定する利用者権限制御方法であって、利用者権限制御装置は、グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶部を有し、前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得ステップと、前記利用者情報取得ステップで取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出ステップと、前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶部から取得する閾値取得ステップと、前記セキュリティポイント算出ステップで算出したセキュリティポイント値と、前記閾値取得ステップで取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新ステップと、を行うことを特徴とする。 The present invention as set forth in claim 5 is a user authority control method for dynamically setting user authority of a computer system, wherein the user authority control device is provided for each group with a predetermined number of users belonging to the group. A group storage unit having a security right indicating a level of access to resources and a security point threshold that is a threshold of a security point value obtained by quantifying unauthorized access in a predetermined period or vulnerability of a computer used by the user; , in the predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or vulnerability of the user computer vulnerability information a computer by using Obtained from a vulnerability inspection device that inspects or information related to unauthorized access A user information acquisition step of acquiring information about the vulnerabilities acquires from the intrusion detection system from the vulnerability inspection apparatus, acquired by the user information acquisition step, the risk included in the information about the unauthorized access or the fragile degree included in the information about the vulnerability, the converted respective predetermined points according to the degree of risk or the fragility of the total value of each point converted, security points in the predetermined time period of the user A security point calculation step to calculate as a value, a threshold acquisition step to acquire a security point threshold of a group to which the user belongs from the group storage unit, a security point value calculated in the security point calculation step, and the threshold acquisition step Secur obtained in And a user authority update step of updating a group to which the user belongs to a group having a lower security authority if the security point value exceeds the security point threshold. To do.

請求項6記載の本発明は、コンピュータシステムの利用者権限を動的に設定する利用者権限制御装置が読み取り可能な利用者権限制御プログラムであって、前記利用者権限制御装置は、グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶部を有し、前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得ステップと、前記利用者情報取得ステップで取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出ステップと、前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶部から取得する閾値取得ステップと、前記セキュリティポイント算出ステップで算出したセキュリティポイント値と、前記閾値取得ステップで取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新ステップと、を前記利用者権限制御装置に実行させることを特徴とする。 The present invention according to claim 6 is a user authority control program readable by a user authority control apparatus that dynamically sets user authority of a computer system, wherein the user authority control apparatus is provided for each group. Security that is a threshold of a security point value that quantifies the security authority indicating the access level of a user belonging to the group to a predetermined resource and the unauthorized access in a predetermined period or the vulnerability of the computer used by the user computer having a group storage unit having a point threshold in the predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or, that the user has used preparative the vulnerability information from the inspection to the vulnerability checking device vulnerabilities computer And, alternatively, the a user information acquisition step of acquiring information relating to the vulnerability of the vulnerability inspection apparatus acquires the information about the unauthorized access from the intrusion detection system, obtained in the user information acquisition step, wherein the weakness of that contained in the information about the risk or the vulnerability included in the information about the unauthorized access, the converted respective predetermined points according to the degree of risk or the fragility of the total value of each point converted, the The security point calculation step for calculating the security point value of the user for the predetermined period, the threshold acquisition step for acquiring the security point threshold value of the group to which the user belongs from the group storage unit, and the security point calculation step Security point A user right to compare a value with a security point threshold value acquired in the threshold value acquisition step, and update the group to which the user belongs to a lower security right group if the security point value exceeds the security point threshold value An updating step is executed by the user authority control apparatus.

請求項7記載の本発明は、請求項6記載の発明において、前記利用者権限更新ステップは、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記グループ記憶部を参照して、前記利用者が属するグループを、前記セキュリティポイント値が前記セキュリティポイント閾値を超えないグループに更新することを特徴とする。 The present invention is claimed in claim 7, wherein, in the invention of claim 6, wherein said user rights updating step, if the security point value exceeds the security point threshold, with reference to the group storage unit, the user The group to which the security point belongs is updated to a group whose security point value does not exceed the security point threshold value .

請求項8記載の発明は、請求項6又は請求項7記載の発明において、前記セキュリティポイント算出ステップは、前記危険度および前記脆弱度に、前記不正アクセス又は前記脆弱性の発見時から対処時までの経過時間をそれぞれ乗算し、乗算した各乗算値の和に前記コンピュータの重要度を乗算することにより、前記セキュリティポイント値を算出することを特徴とする。 Invention of claim 8, wherein, in the invention of claim 6 or claim 7, wherein the security point calculating step, the risk level and the weak level, until addressed from the time the discovery of unauthorized access or the vulnerability The security point value is calculated by multiplying the respective elapsed times, and multiplying the sum of the multiplied values by the importance of the computer .

本発明によれば、ユーザが行った不正アクセスに関する情報又はユーザが使用したコンピュータの脆弱性に関する情報のうち少なくともいずれか一方を取得し、取得したそれぞれの情報が示す危険度を定量化し、定量化したセキュリティポイント値に基づいてユーザ権限を更新するので、日々のユーザのセキュリティに対する意識を反映したユーザ権限を付与することができる。   According to the present invention, at least one of information related to unauthorized access performed by a user or information related to computer vulnerability used by the user is acquired, and the degree of risk indicated by each acquired information is quantified and quantified. Since the user authority is updated based on the security point value, the user authority reflecting the daily security awareness of the user can be given.

以下、本発明の実施の形態を図面を用いて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本発明の実施の形態に係るユーザ権限制御装置1が適用される情報システム10の概略構成図である。図1に示す情報システム10は、所定の組織(企業、団体など)内に構築された情報システムであり、ファイアウォール3を介して、インターネット網など外部の通信ネットワーク4と接続されている。情報システム10は、組織の各ユーザが利用するコンピュータ5i(i=a,b,…,n)、ユーザの不正行為(例えば、他のコンピュータに対する不正アクセスなど)を検出するIDS(Intrusion Detection System;侵入検知システム)6、及び情報システム10を利用する各ユーザのユーザ権限を動的に設定するユーザ権限制御装置1を備えている。   FIG. 1 is a schematic configuration diagram of an information system 10 to which a user authority control apparatus 1 according to an embodiment of the present invention is applied. An information system 10 shown in FIG. 1 is an information system built in a predetermined organization (company, group, etc.), and is connected to an external communication network 4 such as the Internet via a firewall 3. The information system 10 includes a computer 5i (i = a, b,..., N) used by each user of the organization, and an IDS (Intrusion Detection System) that detects user fraud (for example, unauthorized access to other computers). (Intrusion detection system) 6 and a user authority control device 1 that dynamically sets the user authority of each user who uses the information system 10.

詳しくは、ユーザ権限制御装置1は、IDS6から定期的にIDSログデータ601を取得し、該IDSログデータ601に基づいて、所定の期間におけるユーザのセキュリティ管理レベルを定量的に算出し、該セキュリティ管理レベルを反映したユーザ権限をユーザに付与するようになっている。ユーザ権限制御装置1は、図2に示すように、ユーザの情報システム10へのアクセスに際してユーザ認証を行う認証部11、IDS6から定期的にIDSログデータ601を取得する検査部12、取得したIDSログデータ601から後述する計算方法によりセキュリティポイントを計算する計算部13、計算されたセキュリティポイントから、現在、与えられているユーザ権限が適正であるか否かを判定する判定部14、ユーザ権限が適正でないときは、適正なユーザ権限に変更する権限制御部15、及びユーザ権限の制御に関する様々な情報を記憶するユーザ権限制御情報記憶部16を具備する構成である。尚、セキュリティポイントは、日々のユーザの不正行為を定量的に数値化したものであり、本実施形態においては、数値が高いほどセキュリティ管理レベルが低い状態を示している。   Specifically, the user authority control apparatus 1 periodically acquires the IDS log data 601 from the IDS 6 and quantitatively calculates the security management level of the user in a predetermined period based on the IDS log data 601. The user authority reflecting the management level is given to the user. As shown in FIG. 2, the user authority control apparatus 1 includes an authentication unit 11 that performs user authentication when a user accesses the information system 10, an inspection unit 12 that periodically acquires IDS log data 601 from the IDS 6, and the acquired IDS. A calculation unit 13 that calculates a security point from the log data 601 by a calculation method that will be described later, a determination unit 14 that determines whether or not the currently given user authority is appropriate from the calculated security point, and the user authority When it is not appropriate, the configuration includes an authority control unit 15 that changes to an appropriate user authority, and a user authority control information storage unit 16 that stores various information related to user authority control. The security point is obtained by quantitatively quantifying the daily user's fraud. In the present embodiment, the higher the value, the lower the security management level.

ここで、ユーザ権限制御情報記憶部16は、グループマスタデータベース(以下、グループマスタDBという)101、ユーザ権限データベース(以下、ユーザ権限DBという)102、認証ログデータベース(以下、認証ログDBという)103、セキュリティポイントデータベース(以下、以下、セキュリティポイントDBという)104、ポイントマスタデータベース(以下、ポイントマスタDBという)105を含む構成となっている。   Here, the user authority control information storage unit 16 includes a group master database (hereinafter referred to as group master DB) 101, a user authority database (hereinafter referred to as user authority DB) 102, and an authentication log database (hereinafter referred to as authentication log DB) 103. , A security point database (hereinafter referred to as “security point DB”) 104 and a point master database (hereinafter referred to as “point master DB”) 105.

グループマスタDB101は、図3(a)に示すように、ユーザが属するグループのセキュリティ権限を管理するデータベースで、各グループごとに与えられたグループ権限情報の他、セキュリティポイント限界値Thを備えている。図3(a)によれば、具体的には、グループ“admin”は、情報システム10の共有資源に対して読み・書き・実行のすべてが許可されており、グループ“power”は、情報システム10の共有資源に対して読み・書きは許可されているが、実行が許可されていないことを示している。尚、図3(a)に示す表は、所定の共有資源に対するグループ権限を示しているが、これとは別に各グループがどの資源をアクセス可能であるかを示す表も、グループマスタDB101で管理されている。また、セキュリティポイント限界値Thは、グループに属するための閾値となるセキュリティポイントである。例えば、グループ“admin”は、セキュリティポイントが100以下であることが要求されるので、グループ“admin”に属するユーザは、自己の算出されたセキュリティポイントが70であれば、引き続き、グループ“admin”に所属することができるが、セキュリティポイントが130であるときは、グループ“admin”に所属することができず、より低いセキュリティ権限のグループ“power”に変更される。   As shown in FIG. 3A, the group master DB 101 is a database for managing the security authority of the group to which the user belongs, and includes a security point limit value Th in addition to the group authority information given for each group. . According to FIG. 3A, specifically, the group “admin” is permitted to read, write, and execute all the shared resources of the information system 10, and the group “power” is the information system. This indicates that reading and writing are permitted for 10 shared resources, but execution is not permitted. The table shown in FIG. 3A shows the group authority for a predetermined shared resource. In addition to this, a table indicating which resources each group can access is also managed by the group master DB 101. Has been. The security point limit value Th is a security point that is a threshold value for belonging to a group. For example, since the group “admin” is required to have a security point of 100 or less, if the user belonging to the group “admin” has 70 calculated security points, the group “admin” continues. However, when the security point is 130, the user cannot belong to the group “admin” and is changed to the group “power” having lower security authority.

ユーザ権限DB102は、図3(b)に示すように、各ユーザのセキュリティ権限を管理するデータベースであり、ユーザの所属するグループ、及び最高権限に関する情報を備えている。例えば、ユーザAは、グループ“admin”に属するので、上述した図3(a)を参照すると、情報システム10の共有資源に対して読み・書き・実行のすべてが可能なユーザであることがわかる。また、最高権限は、ユーザの所属可能なグループのうち、最高のセキュリティ権限(セキュリティ管理レベルが最も高い)を有するグループを意味し、例えば、グループ“admin”に所属するユーザAの場合には、グループ“admin”が最高権限である(どんなにユーザAの行為がよくても、グループ“admin”を上限とする)。尚、本実施形態においては、最高権限を設けて、グループの変更に制限を加えているが、他の方法、例えば、最低権限(ユーザの所属可能なグループのうち最低のセキュリティ権限(セキュリティ管理レベルが最も低い)を設けてもよいし、最高権限及び最低権限の双方を設けて、グループの変更に制限を加えるようにしてもよい。   As shown in FIG. 3B, the user authority DB 102 is a database for managing the security authority of each user, and includes information on the group to which the user belongs and the highest authority. For example, since user A belongs to the group “admin”, referring to FIG. 3A described above, it can be seen that the user A is a user who can read, write, and execute all the shared resources of the information system 10. . The highest authority means a group having the highest security authority (the highest security management level) among the groups to which the user can belong. For example, in the case of the user A belonging to the group “admin”, The group “admin” has the highest authority (no matter how well the user A acts, the group “admin” is the upper limit). In this embodiment, the highest authority is set to limit the group change. However, other methods, for example, the lowest authority (the lowest security authority (security management level among the groups to which the user can belong) May be provided, or both the highest authority and the lowest authority may be provided to limit the group change.

認証ログDB103は、ユーザが情報システム10にログインし、認証されるたびに、蓄積されるアクセスログを管理するデータベースで、図3(c)に示すように、ログイン日時、ログアウト日時、ユーザID、アクセスしたコンピュータ5iのIPアドレスに関する情報を備えるようになっている。尚、ユーザIDとアクセスしたコンピュータ5iのIPアドレスを対応づけて管理しているのは、自己以外のコンピュータ5iを利用して情報システム10にアクセスすることも考えられるからである。   The authentication log DB 103 is a database that manages an access log that is accumulated whenever a user logs in to the information system 10 and is authenticated. As shown in FIG. 3C, the login date, logout date, user ID, Information regarding the IP address of the accessed computer 5i is provided. The reason why the user ID and the IP address of the accessed computer 5i are managed in association with each other is that the information system 10 may be accessed using a computer 5i other than the user ID.

セキュリティポイントDB104は、図4(a)に示すように、ユーザの日ごとのセキュリティポイントを管理するデータベースであり、後述するセキュリティポイントの算出方法により、IDSログデータ601から算出されたセキュリティポイントを記録するようになっている。尚、本実施の形態においては、日ごとにセキュリティポイントを算出し、記録するようにしているが、これ以外の一定期間(例えば、1週間、1ヶ月など)ごとにセキュリティポイントを計算するようにしてもよい。   As shown in FIG. 4A, the security point DB 104 is a database for managing security points for each user's day, and records security points calculated from the IDS log data 601 by a security point calculation method described later. It is supposed to be. In this embodiment, the security point is calculated and recorded every day. However, the security point is calculated every other fixed period (for example, one week, one month, etc.). May be.

図4(b)は、定期的にIDS6から取得するIDSログデータ601のデータ構成を示しており、IDSログデータ601は、ユーザ権限制御装置1が上述したセキュリティポイントを算出するのに用いられる。ここで、IDS6は、日々、IDSログデータ601を蓄積するものであるが、IDSログデータ601は、具体的には、日時、ログ内容、危険度、送信元アドレス、送信先アドレスに関する情報を備えており、「日時」には、不正アクセスを行った日時、「ログ内容」には、不正アクセスの内容、「危険度」には、不正アクセスの危険度(高、中、低)、「送信元IPアドレス」には、不正アクセスを行ったユーザが使ったコンピュータ5iのIPアドレス、「送信先IPアドレス」には、不正アクセスの対象となったコンピュータ5iのIPアドレスが記録されている。例えば、IDSログデータ601Aは、2004年11月1日にIPアドレスa.a.a.aを有するコンピュータ5aがIPアドレスb.b.b.bを有するコンピュータ5bに対してポートスキャン(危険度は中)を行ったことを示している。   FIG. 4B shows a data structure of the IDS log data 601 periodically acquired from the IDS 6, and the IDS log data 601 is used by the user authority control device 1 to calculate the above-described security point. Here, the IDS 6 accumulates the IDS log data 601 every day. Specifically, the IDS log data 601 includes information on date and time, log contents, risk, transmission source address, and transmission destination address. "Date and time" is the date and time of unauthorized access, "Log content" is the content of unauthorized access, "Danger level" is the risk of unauthorized access (high, medium, low), "Send The “original IP address” records the IP address of the computer 5i used by the user who performed unauthorized access, and the “destination IP address” records the IP address of the computer 5i targeted for unauthorized access. For example, the IDS log data 601A indicates that on November 1, 2004, the computer 5a having the IP address a.a.a.a performed a port scan (medium risk) for the computer 5b having the IP address b.b.b.b.

ポイントマスタDB105は、図4(c)に示すように、各IDSログデータ601の危険度をポイントに換算するためのポイントデータを管理するデータベースで、具体的には、危険度が高い行為には、ポイント3、危険度が中の行為には、ポイント2、危険度が低い行為には、ポイント1を対応させて記憶している。尚、本実施の形態においては、危険度を3段階に分けているが、危険度をより細分化して、ポイント化してもよい。   As shown in FIG. 4 (c), the point master DB 105 is a database that manages point data for converting the risk level of each IDS log data 601 into points. Point 3 is stored in association with point 2 for an action with a medium risk level and point 1 for an action with a low risk level. In this embodiment, the risk level is divided into three levels, but the risk level may be further subdivided into points.

ここで、セキュリティポイントの算出方法について説明する。   Here, a security point calculation method will be described.

ユーザ権限制御装置1は、定期的にIDSログデータ601を取得すると、IDSログデータ601の送信元IPアドレス及び日時に基づいて、認証ログDB103を検索し、該送信元IPアドレス及び日時を備える認証ログデータを特定する。例えば、IDSログデータ601Aの場合には、IPアドレス「a.a.a.a」及び日時「2004年11月1日10:10」から、認証ログデータ103Aを特定する(ログイン日時2004年11月1日9:30≦不正アクセス日時2004年11月1日10:10≦ログアウト日時2004年11月1日20:00である)。   When the user authority control apparatus 1 periodically acquires the IDS log data 601, the user authority control apparatus 1 searches the authentication log DB 103 based on the transmission source IP address and date / time of the IDS log data 601, and performs authentication including the transmission source IP address and date / time. Identify log data. For example, in the case of the IDS log data 601A, the authentication log data 103A is specified from the IP address “aaaa” and the date and time “Nov. 1, 2004 10:10” (log in date and time Nov. 1, 2004 9:30). ≦ Unauthorized access date / time November 1, 2004 10: 10 ≦ Logout date / time November 1, 2004 20:00).

認証ログデータの特定により、不正アクセスをしたユーザがわかるので、ポイントマスタDB105を参照して、該ユーザのセキュリティポイントとして加算する。例えば、IDSログデータ601Aの場合には、ユーザAがポートスキャンをしたことがわかるので、ポイントマスタDB105を参照して、ポートスキャンの危険度2ポイントをユーザAのセキュリティポイントとして加算する。取得したIDSログデータ601から、このようにして、ユーザAの不正アクセス行為すべてをユーザAのセキュリティポイントとして加算する。例えば、ユーザAが、IDSログデータ601A及び601Bに示す不正アクセス行為をしたときは、「ポートスキャン」のポイント2、及び「ssh v1のセキュリティホールを攻撃」のポイント3を加算し、セキュリティポイントは5ポイントとなる。   By identifying the authentication log data, the user who has made unauthorized access can be identified, and the point master DB 105 is referred to and added as the security point of the user. For example, in the case of the IDS log data 601A, since it is known that the user A has performed the port scan, the point master DB 105 is referred to, and the port scan risk level of 2 points is added as the user A security point. From the acquired IDS log data 601, in this way, all the unauthorized access acts of the user A are added as the security points of the user A. For example, when the user A performs an unauthorized access act shown in the IDS log data 601A and 601B, the point 2 of “port scan” and the point 3 of “attack the security hole of ssh v1” are added. 5 points.

尚、上述したユーザ権限制御装置1は、少なくとも演算機能および制御機能を備えた中央演算装置(CPU)、プログラムやデータを格納する機能を有するRAM等からなる主記憶装置(メモリ)を有する電子的な装置から構成されているものである。また、ユーザ権限制御装置1は、主記憶装置の他、ハードディスクなどの補助記憶装置を具備していてもよい。   The above-described user authority control apparatus 1 is an electronic device having a central processing unit (CPU) having at least a calculation function and a control function, and a main storage device (memory) including a RAM having a function of storing programs and data. It consists of various devices. Further, the user authority control device 1 may include an auxiliary storage device such as a hard disk in addition to the main storage device.

このうち、認証部11、検査部12、計算部13、判定部14、及び権限制御部15は、上記CPUによる演算制御機能を具体的に示したものに他ならない。また、ユーザ権限制御情報記憶部16は、上記主記憶装置及び補助記憶装置の機能を備えたものである。   Among these, the authentication part 11, the inspection part 12, the calculation part 13, the determination part 14, and the authority control part 15 are nothing but what specifically showed the arithmetic control function by said CPU. The user authority control information storage unit 16 has the functions of the main storage device and the auxiliary storage device.

また、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置またはハードディスクに格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。   A program for executing various processes according to the present embodiment is stored in the main storage device or the hard disk described above. The program can be recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM, an MO, or a DVD-ROM, or can be distributed via a communication network.

さらに、ユーザ権限制御装置1は、物理的に一つからなる装置の他、複数の装置がネットワーク接続されたシステムなどのいずれの構成であってもよい。   Further, the user authority control device 1 may be any configuration such as a system in which a plurality of devices are connected to a network in addition to a physically single device.

尚、本実施の形態においては、情報システム10内を流れるパケットを検出するため、IDS6を情報システム10内に配置したが、IDS6の配置は、用途に応じて、種々考えられるものである。例えば、情報システム10と外部の通信ネットワーク4とやりとりのパケットを検出するときは、IDS6をファイアウォール3と通信ネットワーク4の間に配置し、情報システム10と外部のネットワークを相互に流れるパケットを検出するようにしてもよい。また、情報システム2に構築されたLAN(Local Area Network)の各セグメントの境界にそれぞれ配置し、LAN間を流れるパケットを検出するようにしてもよい。   In the present embodiment, the IDS 6 is arranged in the information system 10 in order to detect a packet flowing in the information system 10. However, various arrangements of the IDS 6 can be considered depending on the application. For example, when detecting a packet exchanged between the information system 10 and the external communication network 4, the IDS 6 is arranged between the firewall 3 and the communication network 4 to detect a packet flowing between the information system 10 and the external network. You may do it. Alternatively, it may be arranged at the boundary of each segment of a LAN (Local Area Network) constructed in the information system 2 to detect packets flowing between the LANs.

次に、本実施の形態に係るユーザ権限制御装置1を適用した情報システム10の動作を図5及び6を用いて説明する。ここで、図5は、ユーザが情報システム10に対して所定の処理をするときのユーザ権限制御装置1及びIDS6の動作を説明するシーケンス図であり、図6は、ユーザ権限制御装置1がユーザのセキュリティポイントを計算し、ユーザ権限を制御する動作を説明するシーケンス図である。   Next, the operation of the information system 10 to which the user authority control apparatus 1 according to the present embodiment is applied will be described with reference to FIGS. Here, FIG. 5 is a sequence diagram for explaining the operations of the user authority control device 1 and the IDS 6 when the user performs predetermined processing on the information system 10, and FIG. It is a sequence diagram explaining the operation | movement which calculates the security point of and controls user authority.

まず、ユーザは、コンピュータ5iから情報システム10に対してログインする(ステップS10)。尚、ログインに用いるコンピュータ5iは、自己の端末でも、他人の端末でもよい。   First, the user logs in to the information system 10 from the computer 5i (step S10). Note that the computer 5i used for login may be its own terminal or another person's terminal.

これにより、ユーザ権限制御装置1は、ユーザ認証を行う(ステップS20)。尚、ユーザ認証の方法は、何であってもよく、パスワードを用いた認証でも、指紋等の生体情報を用いた認証でもよい。   Thereby, the user authority control apparatus 1 performs user authentication (step S20). The user authentication method may be anything, and may be authentication using a password or authentication using biometric information such as a fingerprint.

ユーザ認証後、ユーザ権限制御装置1は、認証ログデータを認証ログDB103に記録する(ステップS30)。具体的には、図3(c)に示すログイン日時、ユーザID及びIPアドレスが記録される。尚、記録されるIPアドレスは、ユーザが情報システム10にログインする際に用いたコンピュータ5iのIPアドレスである。   After user authentication, the user authority control apparatus 1 records authentication log data in the authentication log DB 103 (step S30). Specifically, the login date, user ID, and IP address shown in FIG. 3C are recorded. The recorded IP address is the IP address of the computer 5 i used when the user logs in to the information system 10.

次に、ユーザは、情報システム10に対して所望の処理を行う(ステップS40)。このとき、ユーザが悪意ある行為(不正アクセス;例えば、ポートスキャンや大量パケット送出など)をしたときは、IDS6はネットワーク上を流れるパケットから不正アクセスを検知し、不正アクセスの行為をIDSログデータ601として記録する(ステップS50,S60)。   Next, the user performs a desired process on the information system 10 (step S40). At this time, when the user performs a malicious action (unauthorized access; for example, port scan or mass packet transmission), the IDS 6 detects unauthorized access from a packet flowing on the network, and identifies the unauthorized access action in the IDS log data 601. (Steps S50 and S60).

次に、ユーザは、情報システム10に対する上記処理を終了し、情報システム10からログアウトする(ステップS70)。これにより、ユーザ権限制御装置1は、認証ログデータを認証ログDB103に記録する(ステップS80)。具体的には、図3(c)に示すログアウト日時が記録される。   Next, the user ends the above processing for the information system 10 and logs out from the information system 10 (step S70). Thereby, the user authority control apparatus 1 records the authentication log data in the authentication log DB 103 (step S80). Specifically, the logout date and time shown in FIG.

次に、予め定められた日時を契機として、ユーザ権限制御装置1は、IDS6からIDSログデータ601を取得する(ステップS110,S120,S130)。本実施の形態においては、ユーザ権限制御装置1がIDS6に定期的に取得指示を出し、これにより、IDS6がIDSログデータ601をユーザ権限制御装置1に送信するようになっているが、IDS6が予め定められた日時になると(又はIDSログデータ601を取得すると)、自発的にIDSログデータ601をユーザ権限制御装置1に送信するようにしてもよい。   Next, the user authority control apparatus 1 acquires the IDS log data 601 from the IDS 6 using a predetermined date and time as a trigger (Steps S110, S120, and S130). In the present embodiment, the user authority control device 1 periodically issues an acquisition instruction to the IDS 6, whereby the IDS 6 transmits the IDS log data 601 to the user authority control device 1. The IDS log data 601 may be voluntarily transmitted to the user authority control device 1 when a predetermined date and time (or when the IDS log data 601 is acquired).

IDSログデータ601を受信したユーザ権限制御装置1は、該IDSログデータ601と認証ログDB103に記録された認証ログデータから、不正アクセスをしたユーザを割り出し、ポイントマスタDB105を参照して、割り出したユーザのセキュリティポイントを算出する(ステップS140)。これは、上述したように、取得したIDSログデータ601をユーザごとに集計してポイント化するものである。   Upon receiving the IDS log data 601, the user authority control device 1 determines the unauthorized access user from the IDS log data 601 and the authentication log data recorded in the authentication log DB 103, and refers to the point master DB 105 for determination. The user's security point is calculated (step S140). As described above, the acquired IDS log data 601 is tabulated for each user.

次に、ユーザ権限制御装置1は、算出されたセキュリティポイントをセキュリティポイントDB104に記録する(ステップS150)。   Next, the user authority control apparatus 1 records the calculated security point in the security point DB 104 (step S150).

次に、ユーザ権限制御装置1は、セキュリティポイントDB104に記録したセキュリティポイントからセキュリティ管理レベルを判定する(ステップS160)。これは、ユーザが属するグループのセキュリティポイント限界値ThをグループマスタDB101及びユーザ権限DB102から取得し、取得したセキュリティポイント限界値Thと算出されたセキュリティポイントを比較するものである。   Next, the user authority control apparatus 1 determines the security management level from the security points recorded in the security point DB 104 (step S160). This obtains the security point limit value Th of the group to which the user belongs from the group master DB 101 and the user authority DB 102, and compares the acquired security point limit value Th with the calculated security point.

その結果、算出されたセキュリティポイント>セキュリティポイント限界値Thであるときは、適正なユーザ権限が設定されていないので、ユーザ権限を変更、即ち、ユーザが所属するグループを、算出されたセキュリティポイント≦セキュリティポイント限界値Thとなるように、セキュリティ権限の低いグループに変更し、ユーザ権限DB102を更新する(ステップS170,S180)。   As a result, when the calculated security point> the security point limit value Th, since the appropriate user authority is not set, the user authority is changed, that is, the group to which the user belongs is calculated with the calculated security point ≦ The security authority limit value Th is changed to a group with a low security authority, and the user authority DB 102 is updated (steps S170 and S180).

これに対して、算出されたセキュリティポイント≦セキュリティポイント限界値Thであるときは、適正なユーザ権限が設定されているので、ユーザ権限の変更は行わない(ステップS170)。   On the other hand, when the calculated security point ≦ security point limit value Th, since the appropriate user authority is set, the user authority is not changed (step S170).

従って、本実施の形態によれば、ユーザが情報システム10に対して行った不正アクセスに関するIDSログデータ601を取得し、不正アクセスを行ったユーザを特定し、該ユーザのセキュリティポイントを不正アクセスの危険度に応じたポイント計算により定量化し、定量化したセキュリティポイント値に基づいてユーザ権限を更新するので、日々のユーザの不正アクセス行為をユーザ権限に反映することができる。   Therefore, according to the present embodiment, IDS log data 601 relating to unauthorized access performed by the user to the information system 10 is acquired, the user who performed unauthorized access is identified, and the security point of the user is set for unauthorized access. Since the user authority is updated based on the point calculation according to the degree of risk, and the user authority is updated based on the quantified security point value, it is possible to reflect the daily unauthorized access act of the user in the user authority.

この結果、きちんとしたセキュリティ対策を講じていないユーザは、情報システム10の共有資源に対するアクセスが制限されるので、セキュリティ対策を講じていないユーザが引き起こすセキュリティ被害を未然に防ぐことが可能となる。   As a result, users who have not taken proper security measures are restricted from accessing the shared resources of the information system 10, so that it is possible to prevent security damage caused by users who have not taken security measures.

また、ユーザ権限(セキュリティポイント)を定期的にユーザに提示することにより、ユーザのセキュリティリテラシーの向上を図ることができる。   In addition, by regularly presenting the user authority (security point) to the user, the user's security literacy can be improved.

<その他の実施の形態>
以上、本発明の実施の形態について説明してきたが、本発明の要旨を逸脱しない範囲において、本発明の実施の形態に対して種々の変形や変更を施すことができる。例えば、上記実施の形態においては、IDS6に蓄積されるIDSログデータ601から不正アクセスに関するセキュリティポイントを算出したが、本発明はこれに限定されるものではなく、例えば、コンピュータ5iの脆弱性を検査する脆弱性検査装置7をさらに備えるようにし、脆弱性に関するセキュリティポイントを算出するようにしてもよい。 <Other embodiments>
While the embodiments of the present invention have been described above, various modifications and changes can be made to the embodiments of the present invention without departing from the spirit of the present invention. For example, in the above embodiment, the security point related to unauthorized access is calculated from the IDS log data 601 stored in the IDS 6, but the present invention is not limited to this, and for example, the vulnerability of the computer 5i is inspected. It is also possible to further include a vulnerability inspection device 7 that calculates security points related to the vulnerability.

図7は、本発明の第2の実施の形態に係るユーザ権限制御装置2が適用される情報システム20の概略構成図である。図7に示す情報システム20は、情報システム10のシステム構成に、上述した脆弱性検査装置7を加えており、ユーザ権限制御装置2は、不正アクセスに関する情報の他、コンピュータ5iの脆弱性に関する情報も取得して、ユーザのセキュリティポイントを算出するようになっている。尚、本実施の形態の脆弱性検査には、ハードウェアの欠陥やソフトウェアのバグに関する検査の他、ウィルス対策ソフトが備えるようなウィルス検査を含めるようにしてもよい。   FIG. 7 is a schematic configuration diagram of an information system 20 to which the user authority control apparatus 2 according to the second embodiment of the present invention is applied. The information system 20 shown in FIG. 7 adds the above-described vulnerability inspection device 7 to the system configuration of the information system 10, and the user authority control device 2 provides information related to the vulnerability of the computer 5i in addition to information related to unauthorized access. Is also obtained and the user's security point is calculated. The vulnerability check according to the present embodiment may include a virus check that is included in the anti-virus software in addition to a check for hardware defects and software bugs.

詳しくは、ユーザが情報システム20にログインしている際に、脆弱性検査装置7がログインしているコンピュータ5iの脆弱性を検査し、検査結果から発見された脆弱性に関する情報を脆弱性ログデータ701として記録するようになっている。脆弱性ログデータは、具体的には、図8に示すように、日時、ログ内容、脆弱度、IPアドレスに関する情報を備えており、「日時」には、脆弱性検査を行った日時、「ログ内容」には、発見された脆弱性の内容、「脆弱度」には、脆弱性の危険度(高、中、低)、「IPアドレス」には、ユーザが情報システム20にログインしたコンピュータ5iのIPアドレスが記録される。   Specifically, when the user is logged in to the information system 20, the vulnerability inspection apparatus 7 inspects the vulnerability of the computer 5i to which the user is logged in, and information on the vulnerability discovered from the inspection result is obtained as vulnerability log data. 701 is recorded. Specifically, as shown in FIG. 8, the vulnerability log data includes information about date and time, log contents, vulnerability level, and IP address. “Log content” indicates the content of the discovered vulnerability, “Vulnerability” indicates the risk level of the vulnerability (high, medium, low), and “IP address” indicates the computer that the user has logged into the information system 20 The 5i IP address is recorded.

ユーザ権限制御装置2のセキュリティポイント算出方法について説明する。   A security point calculation method of the user authority control device 2 will be described.

ユーザ権限制御装置2は、定期的にIDSログデータ601及び脆弱性ログデータ701を取得し、認証ログDB103に記録された認証ログデータから、不正アクセスしたユーザ又は脆弱性を備えるコンピュータ5iを使ったユーザを割り出し、ポイントマスタDB105’(ポイントマスタDB105’は、不正アクセスの危険度とポイントを対応付ける他、脆弱性の危険度とポイントを対応付けて管理している)を参照して、割り出したユーザのセキュリティポイントを算出する。即ち、セキュリティポイントDB104に記録されるセキュリティポイントは、不正アクセスに関するセキュリティポイントに加えて、コンピュータの脆弱性に関するセキュリティポイントも加算されるものである。   The user authority control apparatus 2 periodically acquires the IDS log data 601 and the vulnerability log data 701, and uses the unauthorized access user or the computer 5i having the vulnerability from the authentication log data recorded in the authentication log DB 103. Referring to the point master DB 105 ′ (the point master DB 105 ′ associates the risk level of unauthorized access with points and manages the risk level of vulnerability and points in association with each other) with reference to the user. Calculate security points. That is, the security point recorded in the security point DB 104 is a security point related to computer vulnerability in addition to a security point related to unauthorized access.

従って、本実施の形態によれば、第1の実施の形態の効果に加えて、ユーザが用いるコンピュータ5iの脆弱性の危険度に応じたポイント計算を加味して、セキュリティポイント値を算出しているので、より適正なユーザ権限の設定を可能とすることができる。   Therefore, according to this embodiment, in addition to the effects of the first embodiment, the security point value is calculated by taking into account the point calculation according to the vulnerability risk of the computer 5i used by the user. Therefore, more appropriate user authority can be set.

尚、第2の実施の形態においては、IDS6及び脆弱性検査装置7の双方を備えるようにしたが、脆弱性検査装置7だけを備え、脆弱性に関するセキュリティポイントだけを算出し、算出されたセキュリティポイントに基づいて、ユーザ権限を制御するようにしてもよい。   In the second embodiment, both the IDS 6 and the vulnerability inspection device 7 are provided. However, only the vulnerability inspection device 7 is provided, only the security points related to the vulnerability are calculated, and the calculated security is calculated. User authority may be controlled based on points.

また、第2の実施の形態においては、セキュリティポイントを算出するに際して、単純に不正アクセスに関するセキュリティポイントとコンピュータの脆弱性に関するセキュリティポイントを加算するようにしたが、本発明はこれに限定されるものではなく、例えば、不正アクセス又は脆弱性が発見された場合には、ユーザに通知するようにし、ユーザが発見された不正アクセス又は脆弱性に対処したかどうかをセキュリティポイントに反映するようにしてもよい。   In the second embodiment, when calculating a security point, a security point related to unauthorized access and a security point related to computer vulnerability are simply added, but the present invention is not limited to this. Instead, for example, when unauthorized access or vulnerability is found, the user is notified, and whether the user has dealt with the discovered unauthorized access or vulnerability is reflected in the security point. Good.

図9は、この一例を示す計算式である。この計算方法においては、セキュリティポイントRLは、脆弱性に関するセキュリティポイントRL_1と、不正アクセスに関するセキュリティポイントRL_2を加算し、加算したセキュリティポイントにコンピュータ重要度を乗じて算出される。ここで、コンピュータ重要度は、情報システム20におけるそれぞれのコンピュータ5iの重要性を示す指数である。また、脆弱性のセキュリティポイントRL_1は、発見された個々の脆弱度に経過時間(脆弱性が発見されてから対処されるまでの時間。尚、対処がされていない場合には、セキュリティポイント計算時までの時間)を乗じて、個々の脆弱性のセキュリティポイントrl_1を算出し、個々の脆弱性のセキュリティポイントrl_1の総和をとるものである。同様に、不正アクセスのセキュリティポイントRL_2は、個々の危険度に経過時間を乗じて、個々の不正アクセスのセキュリティポイントrl_2を算出し、個々の不正アクセスのセキュリティポイントrl_2の総和をとるものである。尚、上述した計算式の各要素は、それぞれ図9に示すようにその程度に応じた数値を持っており、計算されたセキュリティポイントRLは、数値が高いほどセキュリティ管理レベルが低い状態を示すようになっている。   FIG. 9 is a calculation formula showing this example. In this calculation method, the security point RL is calculated by adding the security point RL_1 related to the vulnerability and the security point RL_2 related to unauthorized access, and multiplying the added security point by the computer importance. Here, the computer importance is an index indicating the importance of each computer 5 i in the information system 20. In addition, the security point RL_1 of the vulnerability is the elapsed time (the time from the discovery of the vulnerability until it is dealt with. The time when the security point is calculated when the vulnerability is not dealt with. To calculate the security point rl_1 of each vulnerability, and sum the security points rl_1 of the individual vulnerabilities. Similarly, the unauthorized access security point RL_2 calculates each unauthorized access security point rl_2 by multiplying each risk level by the elapsed time, and takes the sum of each unauthorized access security point rl_2. Each element of the above-described calculation formula has a numerical value corresponding to the degree as shown in FIG. 9, and the calculated security point RL indicates that the higher the numerical value is, the lower the security management level is. It has become.

従って、図9に示すような計算式を用いて、不正アクセス又は脆弱性が発見されてから対処までの経過時間をセキュリティポイントに反映する場合には、不正アクセス又は脆弱性を放置したままのユーザは、セキュリティポイントが高く算出されるので、低いセキュリティ管理レベルとなり、情報システム20の共有資源へのアクセスが制限される。即ち、より迅速に不正アクセス又は脆弱性に対応するユーザでなければ高いセキュリティ管理レベルのユーザ権限を与えないといった運用が可能となる。   Therefore, if the calculation time as shown in FIG. 9 is used to reflect the elapsed time from the discovery of unauthorized access or vulnerability until the countermeasure is taken to the security point, the user who has left unauthorized access or vulnerability untouched Since the security point is calculated high, the security management level is low, and access to the shared resources of the information system 20 is restricted. In other words, it is possible to operate such that a user with a high security management level is not given unless the user responds to unauthorized access or vulnerability more quickly.

さらには、上記実施の形態においては、IDS6又は脆弱性検査装置7は、情報システム10又は20内のネットワーク上に配置されたが、コンピュータ5iが、IDS6又は脆弱性検査装置7の機能を備えるようにし(例えば、IDS6又は脆弱性検査装置7として機能させるプログラムがコンピュータ5iにインストールされている)、ユーザ権限制御装置1又2がコンピュータ5iからIDSログデータ601及び脆弱性ログデータ701を定期的に取得するようにし、コンピュータ5iから取得したログデータに基づいてセキュリティポイントを算出するようにしてもよい。   Furthermore, in the said embodiment, although IDS6 or the vulnerability test apparatus 7 was arrange | positioned on the network in the information system 10 or 20, the computer 5i is provided with the function of IDS6 or the vulnerability test apparatus 7. (For example, a program that functions as the IDS 6 or the vulnerability inspection device 7 is installed in the computer 5i), and the user authority control device 1 or 2 periodically sends the IDS log data 601 and the vulnerability log data 701 from the computer 5i. The security point may be calculated based on the log data acquired from the computer 5i.

本発明の実施の形態に係るユーザ権限制御装置が適用される情報システムの概略構成図である。It is a schematic block diagram of the information system to which the user authority control apparatus which concerns on embodiment of this invention is applied. 本発明の実施の形態に係るユーザ権限制御装置の構成を示す図である。It is a figure which shows the structure of the user authority control apparatus which concerns on embodiment of this invention. ユーザ権限制御情報を格納するデータベースの構成を説明する図である。It is a figure explaining the structure of the database which stores user authority control information. ユーザ権限制御情報を格納するデータベースの構成を説明する図である。It is a figure explaining the structure of the database which stores user authority control information. 本発明の実施の形態に係るユーザ権限制御装置の動作を説明するシーケンス図である。It is a sequence diagram explaining operation | movement of the user authority control apparatus which concerns on embodiment of this invention. 本発明の実施の形態に係るユーザ権限制御装置の動作を説明するシーケンス図である。It is a sequence diagram explaining operation | movement of the user authority control apparatus which concerns on embodiment of this invention. 本発明の他の実施の形態に係るユーザ権限制御装置が適用される情報システムの概略構成図である。It is a schematic block diagram of the information system with which the user authority control apparatus which concerns on other embodiment of this invention is applied. ユーザ権限制御情報を格納するデータベースの構成を説明する図である。It is a figure explaining the structure of the database which stores user authority control information. 本発明の他の実施の形態に係るユーザ権限制御装置のセキュリティポイントを計算する計算式の一例を示す図である。It is a figure which shows an example of the calculation formula which calculates the security point of the user authority control apparatus which concerns on other embodiment of this invention.

符号の説明Explanation of symbols

1,2 ユーザ権限制御装置
3 ファイアウォール
4 インターネット網(外部の通信ネットワーク)
5i コンピュータ
6 IDS
7 脆弱性検査装置
10,20 情報システム
11 認証部
12 検査部
13 計算部
14 判定部
15 権限制御部
16 ユーザ権限制御情報記憶部
101 グループマスタDB
102 ユーザ権限DB
103 認証ログDB
104 セキュリティポイントDB
105 ポイントマスタDB
601 IDSログデータ
701 脆弱性ログデータ

1, 2 User authority control device 3 Firewall 4 Internet network (external communication network)
5i computer 6 IDS
7 Vulnerability Inspection Device 10, 20 Information System 11 Authentication Unit 12 Inspection Unit 13 Calculation Unit 14 Determination Unit 15 Authority Control Unit 16 User Authority Control Information Storage Unit 101 Group Master DB
102 User authority DB
103 Authentication log DB
104 Security point DB
105 Point master DB
601 IDS log data 701 Vulnerability log data

Claims (8)

コンピュータシステムの利用者権限を動的に設定する利用者権限制御装置であって、
グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶手段と、
前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得手段と、
前記利用者情報取得手段が取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出手段と、
前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶手段から取得する閾値取得手段と、
前記セキュリティポイント算出手段が算出したセキュリティポイント値と、前記閾値取得手段が取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新手段と、
を有することを特徴とする利用者権限制御装置。 A user authority control device for dynamically setting user authority of a computer system,
For each group, a security right indicating the access level of a user belonging to the group to a predetermined resource, and a threshold of a security point value obtained by quantifying unauthorized access in the predetermined period or the vulnerability of the computer used by the user A group storage means having a security point threshold value of
In the predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or the vulnerability of the vulnerability information of the computer the user is using the computer User information acquisition means that acquires from a vulnerability inspection device to inspect, or acquires information on the unauthorized access from the intrusion detection system and acquires information on the vulnerability from the vulnerability inspection device ;
Said user information acquisition means has acquired, the fragility degree included in the information about the risk or the vulnerability included in the information about the unauthorized access, respectively converted to a predetermined point in accordance with the risk or the fragility of Security point calculation means for calculating a total value of each converted point as a security point value for the predetermined period of the user;
Threshold acquisition means for acquiring a security point threshold of the group to which the user belongs from the group storage means;
The security point value calculated by the security point calculation unit is compared with the security point threshold value acquired by the threshold value acquisition unit. If the security point value exceeds the security point threshold value, the group to which the user belongs is assigned a security authority. User authority update means to update to a lower group,
A user authority control device characterized by comprising: 前記利用者権限更新手段は、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記グループ記憶手段を参照して、前記利用者が属するグループを、前記セキュリティポイント値が前記セキュリティポイント閾値を超えないグループに更新することを特徴とする請求項1記載の利用者権限制御装置。   When the security point value exceeds the security point threshold value, the user authority update means refers to the group storage means to indicate the group to which the user belongs, and the security point value does not exceed the security point threshold value. The user authority control apparatus according to claim 1, wherein the user authority control apparatus is updated to a group. 利用者毎に、当該利用者が属するグループを設定した利用者権限記憶手段を、さらに有し、
前記利用者権限更新手段は、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記グループ記憶手段を参照して、前記利用者権限記憶手段に記憶される前記利用者が属するグループを、前記セキュリティポイント値が前記セキュリティポイント閾値を超えないグループに更新することを特徴とする請求項1記載の利用者権限制御装置。 For each user, further has a user authority storage means for setting a group to which the user belongs,
The user authority update means refers to the group storage means when the security point value exceeds the security point threshold value, and assigns the group to which the user belongs stored in the user authority storage means to the security The user authority control apparatus according to claim 1, wherein the point value is updated to a group that does not exceed the security point threshold value. 前記セキュリティポイント算出手段は、前記危険度および前記脆弱度に、前記不正アクセス又は前記脆弱性の発見時から対処時までの経過時間をそれぞれ乗算し、乗算した各乗算値の和に前記コンピュータの重要度を乗算することにより、前記セキュリティポイント値を算出することを特徴とする請求項1乃至3のいずれか1項に記載の利用者権限制御装置。 Said security point calculation means, wherein the risk and the fragility of the multiplied respectively the elapsed time until the address from the time the discovery of unauthorized access or the vulnerability importance of the computer to the sum of the multiplied values obtained by multiplying 4. The user authority control apparatus according to claim 1 , wherein the security point value is calculated by multiplying a degree . 5. コンピュータシステムの利用者権限を動的に設定する利用者権限制御方法であって、
利用者権限制御装置は、
グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶部を有し、
前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得ステップと、
前記利用者情報取得ステップで取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出ステップと、
前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶部から取得する閾値取得ステップと、
前記セキュリティポイント算出ステップで算出したセキュリティポイント値と、前記閾値取得ステップで取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新ステップと、
を行うことを特徴とする利用者権限制御方法。 A user right control method for dynamically setting user rights of a computer system,
The user authority control device
For each group, a security right indicating the access level of a user belonging to the group to a predetermined resource, and a threshold of a security point value obtained by quantifying unauthorized access in the predetermined period or the vulnerability of the computer used by the user A group storage unit having a security point threshold value of
In the predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or the vulnerability of the vulnerability information of the computer the user is using the computer User information acquisition step of acquiring from the vulnerability inspection device, or acquiring information from the intrusion detection system and acquiring information about the vulnerability from the vulnerability inspection device , acquired from the vulnerability inspection device to be inspected , or
Acquired by the user information acquisition step, the weak degree included in the information about the risk or the vulnerability included in the information about the unauthorized access, respectively converted to a predetermined point in accordance with the risk or the fragility of A security point calculation step of calculating a total value of each converted point as a security point value in the predetermined period of the user;
A threshold acquisition step of acquiring a security point threshold of a group to which the user belongs from the group storage unit;
The security point value calculated in the security point calculation step is compared with the security point threshold value acquired in the threshold acquisition step, and if the security point value exceeds the security point threshold value, the group to which the user belongs is assigned a security authority. A user authority update step for updating to a lower group,
A user authority control method characterized by: コンピュータシステムの利用者権限を動的に設定する利用者権限制御装置が読み取り可能な利用者権限制御プログラムであって、
前記利用者権限制御装置は、グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶部を有し、
前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得ステップと、
前記利用者情報取得ステップで取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出ステップと、
前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶部から取得する閾値取得ステップと、
前記セキュリティポイント算出ステップで算出したセキュリティポイント値と、前記閾値取得ステップで取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新ステップと、
を前記利用者権限制御装置に実行させることを特徴とする利用者権限制御プログラム。 A user authority control program that can be read by a user authority controller that dynamically sets user authority of a computer system,
For each group, the user authority control device includes a security authority indicating an access level to a predetermined resource of a user belonging to the group, an unauthorized access in a predetermined period, or a vulnerability of a computer used by the user. A group storage unit having a security point threshold that is a threshold of the quantified security point value;
In the predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or the vulnerability of the vulnerability information of the computer the user is using the computer A user information acquisition step of acquiring from the vulnerability inspection device, or acquiring information from the intrusion detection system and acquiring information about the vulnerability from the vulnerability inspection device ;
Acquired by the user information acquisition step, the weak degree included in the information about the risk or the vulnerability included in the information about the unauthorized access, respectively converted to a predetermined point in accordance with the risk or the fragility of A security point calculation step of calculating a total value of each converted point as a security point value in the predetermined period of the user;
A threshold acquisition step of acquiring a security point threshold of a group to which the user belongs from the group storage unit;
The security point value calculated in the security point calculation step is compared with the security point threshold value acquired in the threshold acquisition step, and if the security point value exceeds the security point threshold value, the group to which the user belongs is assigned a security authority. A user authority update step for updating to a lower group,
Is executed by the user authority control apparatus. 前記利用者権限更新ステップは、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記グループ記憶部を参照して、前記利用者が属するグループを、前記セキュリティポイント値が前記セキュリティポイント閾値を超えないグループに更新することを特徴とする請求項6記載の利用者権限制御プログラム。   In the user authority updating step, when the security point value exceeds the security point threshold value, the group storage unit is referred to and the group to which the user belongs is referred to, and the security point value does not exceed the security point threshold value. 7. The user authority control program according to claim 6, wherein the program is updated to a group. 前記セキュリティポイント算出ステップは、前記危険度および前記脆弱度に、前記不正アクセス又は前記脆弱性の発見時から対処時までの経過時間をそれぞれ乗算し、乗算した各乗算値の和に前記コンピュータの重要度を乗算することにより、前記セキュリティポイント値を算出することを特徴とする請求項6又は7記載の利用者権限制御プログラム。 Said security point calculating step, the risk level and the weak level, the multiplied respectively the elapsed time until the address from the time the discovery of unauthorized access or the vulnerability importance of the computer to the sum of the multiplied values obtained by multiplying 8. The user authority control program according to claim 6 , wherein the security point value is calculated by multiplying a degree .
JP2004373433A 2004-12-24 2004-12-24 User authority control device, user authority control method, and user authority control program Active JP4490254B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004373433A JP4490254B2 (en) 2004-12-24 2004-12-24 User authority control device, user authority control method, and user authority control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004373433A JP4490254B2 (en) 2004-12-24 2004-12-24 User authority control device, user authority control method, and user authority control program

Publications (2)

Publication Number Publication Date
JP2006178855A JP2006178855A (en) 2006-07-06
JP4490254B2 true JP4490254B2 (en) 2010-06-23

Family

ID=36732910

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004373433A Active JP4490254B2 (en) 2004-12-24 2004-12-24 User authority control device, user authority control method, and user authority control program

Country Status (1)

Country Link
JP (1) JP4490254B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4807173B2 (en) * 2006-07-25 2011-11-02 株式会社日立製作所 Security management system and method
JP2008112284A (en) * 2006-10-30 2008-05-15 Fujitsu Ltd Resource management method, resource management system and computer program
JP2008158959A (en) * 2006-12-26 2008-07-10 Sky Kk Terminal monitoring server, terminal monitoring program, data processing terminal and data processing terminal program
US20090300360A1 (en) * 2007-01-18 2009-12-03 Hiroki Sakaguchi Application setting terminal, application executing terminal, and setting information managing server
JP2009259041A (en) * 2008-04-17 2009-11-05 Toshiba Corp Server device and security control method
JP5229049B2 (en) * 2009-03-27 2013-07-03 カシオ計算機株式会社 Server device, access control system, and access control program
JP2016170651A (en) * 2015-03-13 2016-09-23 富士通株式会社 Unauthorized access detection method, device and program
WO2021070217A1 (en) * 2019-10-07 2021-04-15 株式会社Pfu Security measure management equipment, security measure management method, and program
CN113821778A (en) * 2020-06-18 2021-12-21 车主邦(北京)科技有限公司 Fingerprint authentication risk control method and device
CN117541032B (en) * 2024-01-09 2024-04-23 云南建投物流有限公司 Business digital management method and system based on transaction architecture construction

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10269184A (en) * 1997-03-28 1998-10-09 Hitachi Ltd Security management method for network system
JP2001337926A (en) * 2000-05-29 2001-12-07 Oki Electric Ind Co Ltd Client-server transaction control system
JP2002279057A (en) * 2001-03-22 2002-09-27 Ntt Data Corp Security management device
JP2004213476A (en) * 2003-01-07 2004-07-29 Nri & Ncc Co Ltd Injustice access detection device
JP2004259020A (en) * 2003-02-26 2004-09-16 Kyocera Communication Systems Co Ltd Authentication system, program, storage medium, and authentication method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10269184A (en) * 1997-03-28 1998-10-09 Hitachi Ltd Security management method for network system
JP2001337926A (en) * 2000-05-29 2001-12-07 Oki Electric Ind Co Ltd Client-server transaction control system
JP2002279057A (en) * 2001-03-22 2002-09-27 Ntt Data Corp Security management device
JP2004213476A (en) * 2003-01-07 2004-07-29 Nri & Ncc Co Ltd Injustice access detection device
JP2004259020A (en) * 2003-02-26 2004-09-16 Kyocera Communication Systems Co Ltd Authentication system, program, storage medium, and authentication method

Also Published As

Publication number Publication date
JP2006178855A (en) 2006-07-06

Similar Documents

Publication Publication Date Title
US11343280B2 (en) System and method for identifying and controlling polymorphic malware
US11449613B2 (en) Systems and methods for providing security services during power management mode
US11100232B1 (en) Systems and methods to automate networked device security response priority by user role detection
EP3127301B1 (en) Using trust profiles for network breach detection
US10154066B1 (en) Context-aware compromise assessment
Hofmeyr et al. Intrusion detection using sequences of system calls
Bhathal et al. Big data: Hadoop framework vulnerabilities, security issues and attacks
Sailer et al. Attestation-based policy enforcement for remote access
RU2536663C2 (en) System and method of protecting cloud infrastructure from illegal use
US8499330B1 (en) Enterprise desktop security management and compliance verification system and method
US8726391B1 (en) Scheduling malware signature updates in relation to threat awareness and environmental safety
US8219496B2 (en) Method of and apparatus for ascertaining the status of a data processing environment
CN113660224B (en) Situation awareness defense method, device and system based on network vulnerability scanning
KR100985074B1 (en) Malicious code prevention apparatus and method using selective virtualization, and computer-readable medium storing program for method thereof
KR20070065306A (en) End user risk managemet
JP2007172221A (en) Quarantine system, quarantine device, quarantine method, and computer program
JP2010026662A (en) Information leakage prevention system
JP2022530288A (en) How to prevent root-level access attacks and a measurable SLA security and compliance platform
Matsuda et al. Detecting apt attacks against active directory using machine leaning
JP4490254B2 (en) User authority control device, user authority control method, and user authority control program
US8862730B1 (en) Enabling NAC reassessment based on fingerprint change
US20140033272A1 (en) Evaluating a security stack in repsonse to a request to access a service
JP4448307B2 (en) Security management device, security management method, and security management program
JP2009048317A (en) Security evaluation method, security evaluation apparatus
KR102338998B1 (en) System and method for checking log integrity and proving forgery and alteration activity of log through the same

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060330

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090714

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090910

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100330

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100401

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130409

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4490254

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140409

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250