JP4490254B2 - User authority control device, user authority control method, and user authority control program - Google Patents
User authority control device, user authority control method, and user authority control program Download PDFInfo
- Publication number
- JP4490254B2 JP4490254B2 JP2004373433A JP2004373433A JP4490254B2 JP 4490254 B2 JP4490254 B2 JP 4490254B2 JP 2004373433 A JP2004373433 A JP 2004373433A JP 2004373433 A JP2004373433 A JP 2004373433A JP 4490254 B2 JP4490254 B2 JP 4490254B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- security
- security point
- group
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 11
- 238000004364 calculation method Methods 0.000 claims description 29
- 238000007689 inspection Methods 0.000 claims description 25
- 238000001514 detection method Methods 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000002354 daily effect Effects 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Description
本発明は、コンピュータシステムの利用者権限を制御する利用者権限制御技術に関する。 The present invention relates to a user authority control technique for controlling user authority of a computer system.
インターネットなど外部の通信ネットワークと接続されることが一般的である昨今の情報システムにおいては、外部から情報システムに対する不正アクセスやウイルスによる情報資産破壊などセキュリティに関する問題が、頻繁に発生している。そのため、セキュリティ管理者は、セキュリティ対策として、ファイアウォールの設置やウイルス対策ソフトの導入などを図り、このようなセキュリティリスクから情報システムを防御している。 In recent information systems that are generally connected to an external communication network such as the Internet, security problems such as unauthorized access to the information system from the outside and destruction of information assets due to viruses frequently occur. For this reason, security managers protect their information systems from such security risks by installing firewalls and introducing antivirus software as security measures.
また、情報システムに内在するセキュリティ状態を評価するセキュリティ評価ツールを導入し、これに従ってセキュリティ対策を行う場合もある。このようなセキュリティ評価ツールは、情報システム内のコンピュータに対して、セキュリティホールの有無や設定不備など数百種類もの検査項目を実施し、発見した問題点(以下、「脆弱性」という)をそのリスク評価とともに列挙したレポートを出力するようになっているので、セキュリティ管理者は、該レポートに基づいて脆弱性を有するコンピュータに対して、パッチを適用するなどの対処を行うことにより、セキュリティ対策を施すことができるようになっている。 In some cases, a security evaluation tool for evaluating the security status inherent in the information system is introduced, and security measures are taken accordingly. Such a security assessment tool performs hundreds of types of inspection items, such as the presence of security holes and incomplete settings, on computers in the information system, and identifies the problems found (hereinafter referred to as “vulnerabilities”). Since enumerated reports are output together with the risk assessment, the security administrator can take security measures by taking countermeasures such as applying patches to the vulnerable computers based on the reports. It can be applied.
また、最近においては、「パッチを適用していない」「アンチウイルス・ソフトのパターン・ファイルのバージョンが古い」など、セキュリティ対策が不十分なコンピュータは、情報システムにネットワーク接続させない「検疫ネットワーク」という考えも広がってきており、情報システム、即ち、コンピュータ自身に対するセキュリティ意識はかなり高くなっている。 Recently, computers that have insufficient security measures, such as “no patch applied” or “anti-virus software pattern file version is old” are called “quarantine networks” that do not connect to information systems via networks. Thoughts are also spreading and the security awareness of the information system, that is, the computer itself, is considerably high.
一方、情報システムを利用するユーザに対するセキュリティ対策においては、ユーザの役割に応じて、ユーザごとにユーザ権限を設定し、情報システム内の共有資源(ファイル、プログラムなど)をアクセス制御するのが一般的な方法として普及している。 On the other hand, in security measures for users who use information systems, it is common to set user authority for each user according to the user's role and control access to shared resources (files, programs, etc.) in the information system. It is popular as a method.
尚、この出願に関連する先行技術文献情報としては、次のものがある。
上述したように、従来の情報システムにおいては、各ユーザごとにユーザ権限が設定されているが、一旦、設定されてしまうと、部署や役職などの変更がない限り、ユーザ権限は変更されず、ユーザ権限は固定的に設定される傾向がある。 As described above, in the conventional information system, the user authority is set for each user. Once the user authority is set, the user authority is not changed unless the department or job title is changed. User authority tends to be fixedly set.
本来、ユーザに対するセキュリティ対策として、ユーザ権限を付与する場合、そのユーザの組織における役割だけでなく、セキュリティに対する意識も考慮すべきであるが(例えば、高いセキュリティ管理レベルのユーザ権限を与えられたとしても、セキュリティリテラシーが低く、不正アクセスをしたり、コンピュータウィルスの感染の被害を招くようなユーザに対しては、低いセキュリティ管理レベルのユーザ権限を付与し直すべきである)、従来の情報システムにおいては、このような対応はなされてはいない。 Originally, when a user authority is given as a security measure for a user, not only the role of the user in the organization but also a security awareness should be considered (for example, a user authority with a high security management level is given) However, for users with low security literacy and unauthorized access or computer virus infections, low security management level user rights should be reassigned) No such response has been made.
本発明は、上記の事情を鑑みたものであり、日々のユーザのセキュリティに対する意識を反映したユーザ権限を付与することができる利用者権限制御装置、利用者権限制御方法、及び利用者権限制御プログラムを提供することを目的とする。 The present invention has been made in view of the above circumstances, and a user authority control device, a user authority control method, and a user authority control program capable of granting user authority reflecting daily user security awareness The purpose is to provide.
上記目的を達成するため、請求項1記載の本発明は、コンピュータシステムの利用者権限を動的に設定する利用者権限制御装置であって、グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶手段と、前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は、前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得手段と、前記利用者情報取得手段が取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を、当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出手段と、前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶手段から取得する閾値取得手段と、前記セキュリティポイント算出手段が算出したセキュリティポイント値と、前記閾値取得手段が取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新手段と、を有することを特徴とする。 In order to achieve the above object, the present invention as claimed in claim 1 is a user authority control apparatus for dynamically setting user authority of a computer system, wherein each group has a predetermined user's authority. Group storage means having a security right indicating a security access level indicating a level of access to resources, and a security point threshold that is a security point value obtained by quantifying unauthorized access in a predetermined period or vulnerability of a computer used by the user; in a predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or test the vulnerability of the vulnerability information of the computer the user is using the computer Information obtained from a vulnerability inspection device or information related to unauthorized access Wherein the user information acquisition means for acquiring information relating to the vulnerability of the vulnerability inspection apparatus acquires from intrusion detection system, the user information acquisition means has acquired, the risk is included in the information about the unauthorized access or the fragile degree included in the information about the vulnerability, the converted respective predetermined points according to the degree of risk or the fragility of the total value of each point converted, security points in the predetermined time period of the user Security point calculation means for calculating as a value, threshold value acquisition means for acquiring a security point threshold value of the group to which the user belongs from the group storage means, security point value calculated by the security point calculation means, and the threshold value acquisition means Security point threshold acquired by And compare, if the security point value exceeds the security point threshold, and having a a user rights updating means for updating the group to which the user belongs security rights to a lower group.
請求項2記載の本発明は、請求項1記載の発明において、前記利用者権限更新手段は、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記グループ記憶手段を参照して、前記利用者が属するグループを、前記セキュリティポイント値が前記セキュリティポイント閾値を超えないグループに更新することを特徴とする。
The present invention is claimed in
請求項3記載の本発明は、請求項1記載の発明において、利用者毎に、当該利用者が属するグループを設定した利用者権限記憶手段を、さらに有し、前記利用者権限更新手段は、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記グループ記憶手段を参照して、前記利用者権限記憶手段に記憶される前記利用者が属するグループを、前記セキュリティポイント値が前記セキュリティポイント閾値を超えないグループに更新することを特徴とする。
The present invention described in
請求項4記載の本発明は、請求項1乃至3のいずれか1項に記載の発明において、前記セキュリティポイント算出手段は、前記危険度および前記脆弱度に、前記不正アクセス又は前記脆弱性の発見時から対処時までの経過時間をそれぞれ乗算し、乗算した各乗算値の和に前記コンピュータの重要度を乗算することにより、前記セキュリティポイント値を算出することを特徴とする。 The present invention is claimed in claim 4, the invention according to any one of claims 1 to 3, wherein the security point calculation means, wherein the risk and the fragility of the discovery of the unauthorized access or the vulnerability The security point value is calculated by multiplying each elapsed time from time to time and multiplying the sum of each multiplied value by the importance of the computer .
請求項5記載の本発明は、コンピュータシステムの利用者権限を動的に設定する利用者権限制御方法であって、利用者権限制御装置は、グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶部を有し、前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は、前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得ステップと、前記利用者情報取得ステップで取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を、当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出ステップと、前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶部から取得する閾値取得ステップと、前記セキュリティポイント算出ステップで算出したセキュリティポイント値と、前記閾値取得ステップで取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新ステップと、を行うことを特徴とする。 The present invention as set forth in claim 5 is a user authority control method for dynamically setting user authority of a computer system, wherein the user authority control device is provided for each group with a predetermined number of users belonging to the group. A group storage unit having a security right indicating a level of access to resources and a security point threshold that is a threshold of a security point value obtained by quantifying unauthorized access in a predetermined period or vulnerability of a computer used by the user; , in the predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or vulnerability of the user computer vulnerability information a computer by using Obtained from a vulnerability inspection device that inspects or information related to unauthorized access A user information acquisition step of acquiring information about the vulnerabilities acquires from the intrusion detection system from the vulnerability inspection apparatus, acquired by the user information acquisition step, the risk included in the information about the unauthorized access or the fragile degree included in the information about the vulnerability, the converted respective predetermined points according to the degree of risk or the fragility of the total value of each point converted, security points in the predetermined time period of the user A security point calculation step to calculate as a value, a threshold acquisition step to acquire a security point threshold of a group to which the user belongs from the group storage unit, a security point value calculated in the security point calculation step, and the threshold acquisition step Secur obtained in And a user authority update step of updating a group to which the user belongs to a group having a lower security authority if the security point value exceeds the security point threshold. To do.
請求項6記載の本発明は、コンピュータシステムの利用者権限を動的に設定する利用者権限制御装置が読み取り可能な利用者権限制御プログラムであって、前記利用者権限制御装置は、グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶部を有し、前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は、前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得ステップと、前記利用者情報取得ステップで取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を、当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出ステップと、前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶部から取得する閾値取得ステップと、前記セキュリティポイント算出ステップで算出したセキュリティポイント値と、前記閾値取得ステップで取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新ステップと、を前記利用者権限制御装置に実行させることを特徴とする。
The present invention according to
請求項7記載の本発明は、請求項6記載の発明において、前記利用者権限更新ステップは、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記グループ記憶部を参照して、前記利用者が属するグループを、前記セキュリティポイント値が前記セキュリティポイント閾値を超えないグループに更新することを特徴とする。
The present invention is claimed in claim 7, wherein, in the invention of
請求項8記載の発明は、請求項6又は請求項7記載の発明において、前記セキュリティポイント算出ステップは、前記危険度および前記脆弱度に、前記不正アクセス又は前記脆弱性の発見時から対処時までの経過時間をそれぞれ乗算し、乗算した各乗算値の和に前記コンピュータの重要度を乗算することにより、前記セキュリティポイント値を算出することを特徴とする。
Invention of
本発明によれば、ユーザが行った不正アクセスに関する情報又はユーザが使用したコンピュータの脆弱性に関する情報のうち少なくともいずれか一方を取得し、取得したそれぞれの情報が示す危険度を定量化し、定量化したセキュリティポイント値に基づいてユーザ権限を更新するので、日々のユーザのセキュリティに対する意識を反映したユーザ権限を付与することができる。 According to the present invention, at least one of information related to unauthorized access performed by a user or information related to computer vulnerability used by the user is acquired, and the degree of risk indicated by each acquired information is quantified and quantified. Since the user authority is updated based on the security point value, the user authority reflecting the daily security awareness of the user can be given.
以下、本発明の実施の形態を図面を用いて説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
図1は、本発明の実施の形態に係るユーザ権限制御装置1が適用される情報システム10の概略構成図である。図1に示す情報システム10は、所定の組織(企業、団体など)内に構築された情報システムであり、ファイアウォール3を介して、インターネット網など外部の通信ネットワーク4と接続されている。情報システム10は、組織の各ユーザが利用するコンピュータ5i(i=a,b,…,n)、ユーザの不正行為(例えば、他のコンピュータに対する不正アクセスなど)を検出するIDS(Intrusion Detection System;侵入検知システム)6、及び情報システム10を利用する各ユーザのユーザ権限を動的に設定するユーザ権限制御装置1を備えている。
FIG. 1 is a schematic configuration diagram of an
詳しくは、ユーザ権限制御装置1は、IDS6から定期的にIDSログデータ601を取得し、該IDSログデータ601に基づいて、所定の期間におけるユーザのセキュリティ管理レベルを定量的に算出し、該セキュリティ管理レベルを反映したユーザ権限をユーザに付与するようになっている。ユーザ権限制御装置1は、図2に示すように、ユーザの情報システム10へのアクセスに際してユーザ認証を行う認証部11、IDS6から定期的にIDSログデータ601を取得する検査部12、取得したIDSログデータ601から後述する計算方法によりセキュリティポイントを計算する計算部13、計算されたセキュリティポイントから、現在、与えられているユーザ権限が適正であるか否かを判定する判定部14、ユーザ権限が適正でないときは、適正なユーザ権限に変更する権限制御部15、及びユーザ権限の制御に関する様々な情報を記憶するユーザ権限制御情報記憶部16を具備する構成である。尚、セキュリティポイントは、日々のユーザの不正行為を定量的に数値化したものであり、本実施形態においては、数値が高いほどセキュリティ管理レベルが低い状態を示している。
Specifically, the user authority control apparatus 1 periodically acquires the
ここで、ユーザ権限制御情報記憶部16は、グループマスタデータベース(以下、グループマスタDBという)101、ユーザ権限データベース(以下、ユーザ権限DBという)102、認証ログデータベース(以下、認証ログDBという)103、セキュリティポイントデータベース(以下、以下、セキュリティポイントDBという)104、ポイントマスタデータベース(以下、ポイントマスタDBという)105を含む構成となっている。 Here, the user authority control information storage unit 16 includes a group master database (hereinafter referred to as group master DB) 101, a user authority database (hereinafter referred to as user authority DB) 102, and an authentication log database (hereinafter referred to as authentication log DB) 103. , A security point database (hereinafter referred to as “security point DB”) 104 and a point master database (hereinafter referred to as “point master DB”) 105.
グループマスタDB101は、図3(a)に示すように、ユーザが属するグループのセキュリティ権限を管理するデータベースで、各グループごとに与えられたグループ権限情報の他、セキュリティポイント限界値Thを備えている。図3(a)によれば、具体的には、グループ“admin”は、情報システム10の共有資源に対して読み・書き・実行のすべてが許可されており、グループ“power”は、情報システム10の共有資源に対して読み・書きは許可されているが、実行が許可されていないことを示している。尚、図3(a)に示す表は、所定の共有資源に対するグループ権限を示しているが、これとは別に各グループがどの資源をアクセス可能であるかを示す表も、グループマスタDB101で管理されている。また、セキュリティポイント限界値Thは、グループに属するための閾値となるセキュリティポイントである。例えば、グループ“admin”は、セキュリティポイントが100以下であることが要求されるので、グループ“admin”に属するユーザは、自己の算出されたセキュリティポイントが70であれば、引き続き、グループ“admin”に所属することができるが、セキュリティポイントが130であるときは、グループ“admin”に所属することができず、より低いセキュリティ権限のグループ“power”に変更される。
As shown in FIG. 3A, the group master DB 101 is a database for managing the security authority of the group to which the user belongs, and includes a security point limit value Th in addition to the group authority information given for each group. . According to FIG. 3A, specifically, the group “admin” is permitted to read, write, and execute all the shared resources of the
ユーザ権限DB102は、図3(b)に示すように、各ユーザのセキュリティ権限を管理するデータベースであり、ユーザの所属するグループ、及び最高権限に関する情報を備えている。例えば、ユーザAは、グループ“admin”に属するので、上述した図3(a)を参照すると、情報システム10の共有資源に対して読み・書き・実行のすべてが可能なユーザであることがわかる。また、最高権限は、ユーザの所属可能なグループのうち、最高のセキュリティ権限(セキュリティ管理レベルが最も高い)を有するグループを意味し、例えば、グループ“admin”に所属するユーザAの場合には、グループ“admin”が最高権限である(どんなにユーザAの行為がよくても、グループ“admin”を上限とする)。尚、本実施形態においては、最高権限を設けて、グループの変更に制限を加えているが、他の方法、例えば、最低権限(ユーザの所属可能なグループのうち最低のセキュリティ権限(セキュリティ管理レベルが最も低い)を設けてもよいし、最高権限及び最低権限の双方を設けて、グループの変更に制限を加えるようにしてもよい。
As shown in FIG. 3B, the user authority DB 102 is a database for managing the security authority of each user, and includes information on the group to which the user belongs and the highest authority. For example, since user A belongs to the group “admin”, referring to FIG. 3A described above, it can be seen that the user A is a user who can read, write, and execute all the shared resources of the
認証ログDB103は、ユーザが情報システム10にログインし、認証されるたびに、蓄積されるアクセスログを管理するデータベースで、図3(c)に示すように、ログイン日時、ログアウト日時、ユーザID、アクセスしたコンピュータ5iのIPアドレスに関する情報を備えるようになっている。尚、ユーザIDとアクセスしたコンピュータ5iのIPアドレスを対応づけて管理しているのは、自己以外のコンピュータ5iを利用して情報システム10にアクセスすることも考えられるからである。
The
セキュリティポイントDB104は、図4(a)に示すように、ユーザの日ごとのセキュリティポイントを管理するデータベースであり、後述するセキュリティポイントの算出方法により、IDSログデータ601から算出されたセキュリティポイントを記録するようになっている。尚、本実施の形態においては、日ごとにセキュリティポイントを算出し、記録するようにしているが、これ以外の一定期間(例えば、1週間、1ヶ月など)ごとにセキュリティポイントを計算するようにしてもよい。
As shown in FIG. 4A, the
図4(b)は、定期的にIDS6から取得するIDSログデータ601のデータ構成を示しており、IDSログデータ601は、ユーザ権限制御装置1が上述したセキュリティポイントを算出するのに用いられる。ここで、IDS6は、日々、IDSログデータ601を蓄積するものであるが、IDSログデータ601は、具体的には、日時、ログ内容、危険度、送信元アドレス、送信先アドレスに関する情報を備えており、「日時」には、不正アクセスを行った日時、「ログ内容」には、不正アクセスの内容、「危険度」には、不正アクセスの危険度(高、中、低)、「送信元IPアドレス」には、不正アクセスを行ったユーザが使ったコンピュータ5iのIPアドレス、「送信先IPアドレス」には、不正アクセスの対象となったコンピュータ5iのIPアドレスが記録されている。例えば、IDSログデータ601Aは、2004年11月1日にIPアドレスa.a.a.aを有するコンピュータ5aがIPアドレスb.b.b.bを有するコンピュータ5bに対してポートスキャン(危険度は中)を行ったことを示している。
FIG. 4B shows a data structure of the
ポイントマスタDB105は、図4(c)に示すように、各IDSログデータ601の危険度をポイントに換算するためのポイントデータを管理するデータベースで、具体的には、危険度が高い行為には、ポイント3、危険度が中の行為には、ポイント2、危険度が低い行為には、ポイント1を対応させて記憶している。尚、本実施の形態においては、危険度を3段階に分けているが、危険度をより細分化して、ポイント化してもよい。
As shown in FIG. 4 (c), the
ここで、セキュリティポイントの算出方法について説明する。 Here, a security point calculation method will be described.
ユーザ権限制御装置1は、定期的にIDSログデータ601を取得すると、IDSログデータ601の送信元IPアドレス及び日時に基づいて、認証ログDB103を検索し、該送信元IPアドレス及び日時を備える認証ログデータを特定する。例えば、IDSログデータ601Aの場合には、IPアドレス「a.a.a.a」及び日時「2004年11月1日10:10」から、認証ログデータ103Aを特定する(ログイン日時2004年11月1日9:30≦不正アクセス日時2004年11月1日10:10≦ログアウト日時2004年11月1日20:00である)。
When the user authority control apparatus 1 periodically acquires the
認証ログデータの特定により、不正アクセスをしたユーザがわかるので、ポイントマスタDB105を参照して、該ユーザのセキュリティポイントとして加算する。例えば、IDSログデータ601Aの場合には、ユーザAがポートスキャンをしたことがわかるので、ポイントマスタDB105を参照して、ポートスキャンの危険度2ポイントをユーザAのセキュリティポイントとして加算する。取得したIDSログデータ601から、このようにして、ユーザAの不正アクセス行為すべてをユーザAのセキュリティポイントとして加算する。例えば、ユーザAが、IDSログデータ601A及び601Bに示す不正アクセス行為をしたときは、「ポートスキャン」のポイント2、及び「ssh v1のセキュリティホールを攻撃」のポイント3を加算し、セキュリティポイントは5ポイントとなる。
By identifying the authentication log data, the user who has made unauthorized access can be identified, and the
尚、上述したユーザ権限制御装置1は、少なくとも演算機能および制御機能を備えた中央演算装置(CPU)、プログラムやデータを格納する機能を有するRAM等からなる主記憶装置(メモリ)を有する電子的な装置から構成されているものである。また、ユーザ権限制御装置1は、主記憶装置の他、ハードディスクなどの補助記憶装置を具備していてもよい。 The above-described user authority control apparatus 1 is an electronic device having a central processing unit (CPU) having at least a calculation function and a control function, and a main storage device (memory) including a RAM having a function of storing programs and data. It consists of various devices. Further, the user authority control device 1 may include an auxiliary storage device such as a hard disk in addition to the main storage device.
このうち、認証部11、検査部12、計算部13、判定部14、及び権限制御部15は、上記CPUによる演算制御機能を具体的に示したものに他ならない。また、ユーザ権限制御情報記憶部16は、上記主記憶装置及び補助記憶装置の機能を備えたものである。
Among these, the authentication part 11, the
また、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置またはハードディスクに格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。 A program for executing various processes according to the present embodiment is stored in the main storage device or the hard disk described above. The program can be recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM, an MO, or a DVD-ROM, or can be distributed via a communication network.
さらに、ユーザ権限制御装置1は、物理的に一つからなる装置の他、複数の装置がネットワーク接続されたシステムなどのいずれの構成であってもよい。 Further, the user authority control device 1 may be any configuration such as a system in which a plurality of devices are connected to a network in addition to a physically single device.
尚、本実施の形態においては、情報システム10内を流れるパケットを検出するため、IDS6を情報システム10内に配置したが、IDS6の配置は、用途に応じて、種々考えられるものである。例えば、情報システム10と外部の通信ネットワーク4とやりとりのパケットを検出するときは、IDS6をファイアウォール3と通信ネットワーク4の間に配置し、情報システム10と外部のネットワークを相互に流れるパケットを検出するようにしてもよい。また、情報システム2に構築されたLAN(Local Area Network)の各セグメントの境界にそれぞれ配置し、LAN間を流れるパケットを検出するようにしてもよい。
In the present embodiment, the
次に、本実施の形態に係るユーザ権限制御装置1を適用した情報システム10の動作を図5及び6を用いて説明する。ここで、図5は、ユーザが情報システム10に対して所定の処理をするときのユーザ権限制御装置1及びIDS6の動作を説明するシーケンス図であり、図6は、ユーザ権限制御装置1がユーザのセキュリティポイントを計算し、ユーザ権限を制御する動作を説明するシーケンス図である。
Next, the operation of the
まず、ユーザは、コンピュータ5iから情報システム10に対してログインする(ステップS10)。尚、ログインに用いるコンピュータ5iは、自己の端末でも、他人の端末でもよい。
First, the user logs in to the
これにより、ユーザ権限制御装置1は、ユーザ認証を行う(ステップS20)。尚、ユーザ認証の方法は、何であってもよく、パスワードを用いた認証でも、指紋等の生体情報を用いた認証でもよい。 Thereby, the user authority control apparatus 1 performs user authentication (step S20). The user authentication method may be anything, and may be authentication using a password or authentication using biometric information such as a fingerprint.
ユーザ認証後、ユーザ権限制御装置1は、認証ログデータを認証ログDB103に記録する(ステップS30)。具体的には、図3(c)に示すログイン日時、ユーザID及びIPアドレスが記録される。尚、記録されるIPアドレスは、ユーザが情報システム10にログインする際に用いたコンピュータ5iのIPアドレスである。
After user authentication, the user authority control apparatus 1 records authentication log data in the authentication log DB 103 (step S30). Specifically, the login date, user ID, and IP address shown in FIG. 3C are recorded. The recorded IP address is the IP address of the computer 5 i used when the user logs in to the
次に、ユーザは、情報システム10に対して所望の処理を行う(ステップS40)。このとき、ユーザが悪意ある行為(不正アクセス;例えば、ポートスキャンや大量パケット送出など)をしたときは、IDS6はネットワーク上を流れるパケットから不正アクセスを検知し、不正アクセスの行為をIDSログデータ601として記録する(ステップS50,S60)。
Next, the user performs a desired process on the information system 10 (step S40). At this time, when the user performs a malicious action (unauthorized access; for example, port scan or mass packet transmission), the
次に、ユーザは、情報システム10に対する上記処理を終了し、情報システム10からログアウトする(ステップS70)。これにより、ユーザ権限制御装置1は、認証ログデータを認証ログDB103に記録する(ステップS80)。具体的には、図3(c)に示すログアウト日時が記録される。
Next, the user ends the above processing for the
次に、予め定められた日時を契機として、ユーザ権限制御装置1は、IDS6からIDSログデータ601を取得する(ステップS110,S120,S130)。本実施の形態においては、ユーザ権限制御装置1がIDS6に定期的に取得指示を出し、これにより、IDS6がIDSログデータ601をユーザ権限制御装置1に送信するようになっているが、IDS6が予め定められた日時になると(又はIDSログデータ601を取得すると)、自発的にIDSログデータ601をユーザ権限制御装置1に送信するようにしてもよい。
Next, the user authority control apparatus 1 acquires the
IDSログデータ601を受信したユーザ権限制御装置1は、該IDSログデータ601と認証ログDB103に記録された認証ログデータから、不正アクセスをしたユーザを割り出し、ポイントマスタDB105を参照して、割り出したユーザのセキュリティポイントを算出する(ステップS140)。これは、上述したように、取得したIDSログデータ601をユーザごとに集計してポイント化するものである。
Upon receiving the
次に、ユーザ権限制御装置1は、算出されたセキュリティポイントをセキュリティポイントDB104に記録する(ステップS150)。 Next, the user authority control apparatus 1 records the calculated security point in the security point DB 104 (step S150).
次に、ユーザ権限制御装置1は、セキュリティポイントDB104に記録したセキュリティポイントからセキュリティ管理レベルを判定する(ステップS160)。これは、ユーザが属するグループのセキュリティポイント限界値ThをグループマスタDB101及びユーザ権限DB102から取得し、取得したセキュリティポイント限界値Thと算出されたセキュリティポイントを比較するものである。
Next, the user authority control apparatus 1 determines the security management level from the security points recorded in the security point DB 104 (step S160). This obtains the security point limit value Th of the group to which the user belongs from the
その結果、算出されたセキュリティポイント>セキュリティポイント限界値Thであるときは、適正なユーザ権限が設定されていないので、ユーザ権限を変更、即ち、ユーザが所属するグループを、算出されたセキュリティポイント≦セキュリティポイント限界値Thとなるように、セキュリティ権限の低いグループに変更し、ユーザ権限DB102を更新する(ステップS170,S180)。
As a result, when the calculated security point> the security point limit value Th, since the appropriate user authority is not set, the user authority is changed, that is, the group to which the user belongs is calculated with the calculated security point ≦ The security authority limit value Th is changed to a group with a low security authority, and the
これに対して、算出されたセキュリティポイント≦セキュリティポイント限界値Thであるときは、適正なユーザ権限が設定されているので、ユーザ権限の変更は行わない(ステップS170)。 On the other hand, when the calculated security point ≦ security point limit value Th, since the appropriate user authority is set, the user authority is not changed (step S170).
従って、本実施の形態によれば、ユーザが情報システム10に対して行った不正アクセスに関するIDSログデータ601を取得し、不正アクセスを行ったユーザを特定し、該ユーザのセキュリティポイントを不正アクセスの危険度に応じたポイント計算により定量化し、定量化したセキュリティポイント値に基づいてユーザ権限を更新するので、日々のユーザの不正アクセス行為をユーザ権限に反映することができる。
Therefore, according to the present embodiment,
この結果、きちんとしたセキュリティ対策を講じていないユーザは、情報システム10の共有資源に対するアクセスが制限されるので、セキュリティ対策を講じていないユーザが引き起こすセキュリティ被害を未然に防ぐことが可能となる。
As a result, users who have not taken proper security measures are restricted from accessing the shared resources of the
また、ユーザ権限(セキュリティポイント)を定期的にユーザに提示することにより、ユーザのセキュリティリテラシーの向上を図ることができる。 In addition, by regularly presenting the user authority (security point) to the user, the user's security literacy can be improved.
<その他の実施の形態>
以上、本発明の実施の形態について説明してきたが、本発明の要旨を逸脱しない範囲において、本発明の実施の形態に対して種々の変形や変更を施すことができる。例えば、上記実施の形態においては、IDS6に蓄積されるIDSログデータ601から不正アクセスに関するセキュリティポイントを算出したが、本発明はこれに限定されるものではなく、例えば、コンピュータ5iの脆弱性を検査する脆弱性検査装置7をさらに備えるようにし、脆弱性に関するセキュリティポイントを算出するようにしてもよい。
<Other embodiments>
While the embodiments of the present invention have been described above, various modifications and changes can be made to the embodiments of the present invention without departing from the spirit of the present invention. For example, in the above embodiment, the security point related to unauthorized access is calculated from the
図7は、本発明の第2の実施の形態に係るユーザ権限制御装置2が適用される情報システム20の概略構成図である。図7に示す情報システム20は、情報システム10のシステム構成に、上述した脆弱性検査装置7を加えており、ユーザ権限制御装置2は、不正アクセスに関する情報の他、コンピュータ5iの脆弱性に関する情報も取得して、ユーザのセキュリティポイントを算出するようになっている。尚、本実施の形態の脆弱性検査には、ハードウェアの欠陥やソフトウェアのバグに関する検査の他、ウィルス対策ソフトが備えるようなウィルス検査を含めるようにしてもよい。
FIG. 7 is a schematic configuration diagram of an
詳しくは、ユーザが情報システム20にログインしている際に、脆弱性検査装置7がログインしているコンピュータ5iの脆弱性を検査し、検査結果から発見された脆弱性に関する情報を脆弱性ログデータ701として記録するようになっている。脆弱性ログデータは、具体的には、図8に示すように、日時、ログ内容、脆弱度、IPアドレスに関する情報を備えており、「日時」には、脆弱性検査を行った日時、「ログ内容」には、発見された脆弱性の内容、「脆弱度」には、脆弱性の危険度(高、中、低)、「IPアドレス」には、ユーザが情報システム20にログインしたコンピュータ5iのIPアドレスが記録される。
Specifically, when the user is logged in to the
ユーザ権限制御装置2のセキュリティポイント算出方法について説明する。
A security point calculation method of the user
ユーザ権限制御装置2は、定期的にIDSログデータ601及び脆弱性ログデータ701を取得し、認証ログDB103に記録された認証ログデータから、不正アクセスしたユーザ又は脆弱性を備えるコンピュータ5iを使ったユーザを割り出し、ポイントマスタDB105’(ポイントマスタDB105’は、不正アクセスの危険度とポイントを対応付ける他、脆弱性の危険度とポイントを対応付けて管理している)を参照して、割り出したユーザのセキュリティポイントを算出する。即ち、セキュリティポイントDB104に記録されるセキュリティポイントは、不正アクセスに関するセキュリティポイントに加えて、コンピュータの脆弱性に関するセキュリティポイントも加算されるものである。
The user
従って、本実施の形態によれば、第1の実施の形態の効果に加えて、ユーザが用いるコンピュータ5iの脆弱性の危険度に応じたポイント計算を加味して、セキュリティポイント値を算出しているので、より適正なユーザ権限の設定を可能とすることができる。 Therefore, according to this embodiment, in addition to the effects of the first embodiment, the security point value is calculated by taking into account the point calculation according to the vulnerability risk of the computer 5i used by the user. Therefore, more appropriate user authority can be set.
尚、第2の実施の形態においては、IDS6及び脆弱性検査装置7の双方を備えるようにしたが、脆弱性検査装置7だけを備え、脆弱性に関するセキュリティポイントだけを算出し、算出されたセキュリティポイントに基づいて、ユーザ権限を制御するようにしてもよい。
In the second embodiment, both the
また、第2の実施の形態においては、セキュリティポイントを算出するに際して、単純に不正アクセスに関するセキュリティポイントとコンピュータの脆弱性に関するセキュリティポイントを加算するようにしたが、本発明はこれに限定されるものではなく、例えば、不正アクセス又は脆弱性が発見された場合には、ユーザに通知するようにし、ユーザが発見された不正アクセス又は脆弱性に対処したかどうかをセキュリティポイントに反映するようにしてもよい。 In the second embodiment, when calculating a security point, a security point related to unauthorized access and a security point related to computer vulnerability are simply added, but the present invention is not limited to this. Instead, for example, when unauthorized access or vulnerability is found, the user is notified, and whether the user has dealt with the discovered unauthorized access or vulnerability is reflected in the security point. Good.
図9は、この一例を示す計算式である。この計算方法においては、セキュリティポイントRLは、脆弱性に関するセキュリティポイントRL_1と、不正アクセスに関するセキュリティポイントRL_2を加算し、加算したセキュリティポイントにコンピュータ重要度を乗じて算出される。ここで、コンピュータ重要度は、情報システム20におけるそれぞれのコンピュータ5iの重要性を示す指数である。また、脆弱性のセキュリティポイントRL_1は、発見された個々の脆弱度に経過時間(脆弱性が発見されてから対処されるまでの時間。尚、対処がされていない場合には、セキュリティポイント計算時までの時間)を乗じて、個々の脆弱性のセキュリティポイントrl_1を算出し、個々の脆弱性のセキュリティポイントrl_1の総和をとるものである。同様に、不正アクセスのセキュリティポイントRL_2は、個々の危険度に経過時間を乗じて、個々の不正アクセスのセキュリティポイントrl_2を算出し、個々の不正アクセスのセキュリティポイントrl_2の総和をとるものである。尚、上述した計算式の各要素は、それぞれ図9に示すようにその程度に応じた数値を持っており、計算されたセキュリティポイントRLは、数値が高いほどセキュリティ管理レベルが低い状態を示すようになっている。
FIG. 9 is a calculation formula showing this example. In this calculation method, the security point RL is calculated by adding the security point RL_1 related to the vulnerability and the security point RL_2 related to unauthorized access, and multiplying the added security point by the computer importance. Here, the computer importance is an index indicating the importance of each computer 5 i in the
従って、図9に示すような計算式を用いて、不正アクセス又は脆弱性が発見されてから対処までの経過時間をセキュリティポイントに反映する場合には、不正アクセス又は脆弱性を放置したままのユーザは、セキュリティポイントが高く算出されるので、低いセキュリティ管理レベルとなり、情報システム20の共有資源へのアクセスが制限される。即ち、より迅速に不正アクセス又は脆弱性に対応するユーザでなければ高いセキュリティ管理レベルのユーザ権限を与えないといった運用が可能となる。
Therefore, if the calculation time as shown in FIG. 9 is used to reflect the elapsed time from the discovery of unauthorized access or vulnerability until the countermeasure is taken to the security point, the user who has left unauthorized access or vulnerability untouched Since the security point is calculated high, the security management level is low, and access to the shared resources of the
さらには、上記実施の形態においては、IDS6又は脆弱性検査装置7は、情報システム10又は20内のネットワーク上に配置されたが、コンピュータ5iが、IDS6又は脆弱性検査装置7の機能を備えるようにし(例えば、IDS6又は脆弱性検査装置7として機能させるプログラムがコンピュータ5iにインストールされている)、ユーザ権限制御装置1又2がコンピュータ5iからIDSログデータ601及び脆弱性ログデータ701を定期的に取得するようにし、コンピュータ5iから取得したログデータに基づいてセキュリティポイントを算出するようにしてもよい。
Furthermore, in the said embodiment, although IDS6 or the vulnerability test apparatus 7 was arrange | positioned on the network in the
1,2 ユーザ権限制御装置
3 ファイアウォール
4 インターネット網(外部の通信ネットワーク)
5i コンピュータ
6 IDS
7 脆弱性検査装置
10,20 情報システム
11 認証部
12 検査部
13 計算部
14 判定部
15 権限制御部
16 ユーザ権限制御情報記憶部
101 グループマスタDB
102 ユーザ権限DB
103 認証ログDB
104 セキュリティポイントDB
105 ポイントマスタDB
601 IDSログデータ
701 脆弱性ログデータ
1, 2 User
7
102 User authority DB
103 Authentication log DB
104 Security point DB
105 Point master DB
601
Claims (8)
グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶手段と、
前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は、前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得手段と、
前記利用者情報取得手段が取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を、当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出手段と、
前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶手段から取得する閾値取得手段と、
前記セキュリティポイント算出手段が算出したセキュリティポイント値と、前記閾値取得手段が取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新手段と、
を有することを特徴とする利用者権限制御装置。 A user authority control device for dynamically setting user authority of a computer system,
For each group, a security right indicating the access level of a user belonging to the group to a predetermined resource, and a threshold of a security point value obtained by quantifying unauthorized access in the predetermined period or the vulnerability of the computer used by the user A group storage means having a security point threshold value of
In the predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or the vulnerability of the vulnerability information of the computer the user is using the computer User information acquisition means that acquires from a vulnerability inspection device to inspect, or acquires information on the unauthorized access from the intrusion detection system and acquires information on the vulnerability from the vulnerability inspection device ;
Said user information acquisition means has acquired, the fragility degree included in the information about the risk or the vulnerability included in the information about the unauthorized access, respectively converted to a predetermined point in accordance with the risk or the fragility of Security point calculation means for calculating a total value of each converted point as a security point value for the predetermined period of the user;
Threshold acquisition means for acquiring a security point threshold of the group to which the user belongs from the group storage means;
The security point value calculated by the security point calculation unit is compared with the security point threshold value acquired by the threshold value acquisition unit. If the security point value exceeds the security point threshold value, the group to which the user belongs is assigned a security authority. User authority update means to update to a lower group,
A user authority control device characterized by comprising:
前記利用者権限更新手段は、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記グループ記憶手段を参照して、前記利用者権限記憶手段に記憶される前記利用者が属するグループを、前記セキュリティポイント値が前記セキュリティポイント閾値を超えないグループに更新することを特徴とする請求項1記載の利用者権限制御装置。 For each user, further has a user authority storage means for setting a group to which the user belongs,
The user authority update means refers to the group storage means when the security point value exceeds the security point threshold value, and assigns the group to which the user belongs stored in the user authority storage means to the security The user authority control apparatus according to claim 1, wherein the point value is updated to a group that does not exceed the security point threshold value.
利用者権限制御装置は、
グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶部を有し、
前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は、前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得ステップと、
前記利用者情報取得ステップで取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を、当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出ステップと、
前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶部から取得する閾値取得ステップと、
前記セキュリティポイント算出ステップで算出したセキュリティポイント値と、前記閾値取得ステップで取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新ステップと、
を行うことを特徴とする利用者権限制御方法。 A user right control method for dynamically setting user rights of a computer system,
The user authority control device
For each group, a security right indicating the access level of a user belonging to the group to a predetermined resource, and a threshold of a security point value obtained by quantifying unauthorized access in the predetermined period or the vulnerability of the computer used by the user A group storage unit having a security point threshold value of
In the predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or the vulnerability of the vulnerability information of the computer the user is using the computer User information acquisition step of acquiring from the vulnerability inspection device, or acquiring information from the intrusion detection system and acquiring information about the vulnerability from the vulnerability inspection device , acquired from the vulnerability inspection device to be inspected , or
Acquired by the user information acquisition step, the weak degree included in the information about the risk or the vulnerability included in the information about the unauthorized access, respectively converted to a predetermined point in accordance with the risk or the fragility of A security point calculation step of calculating a total value of each converted point as a security point value in the predetermined period of the user;
A threshold acquisition step of acquiring a security point threshold of a group to which the user belongs from the group storage unit;
The security point value calculated in the security point calculation step is compared with the security point threshold value acquired in the threshold acquisition step, and if the security point value exceeds the security point threshold value, the group to which the user belongs is assigned a security authority. A user authority update step for updating to a lower group,
A user authority control method characterized by:
前記利用者権限制御装置は、グループ毎に、当該グループに属する利用者の所定の資源へのアクセスレベルを示すセキュリティ権限と、所定の期間における不正アクセスまたは前記利用者が使用するコンピュータの脆弱性を定量化したセキュリティポイント値の閾値であるセキュリティポイント閾値を有するグループ記憶部を有し、
前記所定の期間における、利用者が行った不正アクセスに関する情報をユーザの不正行為を検出する侵入検知システムから取得し、又は、前記利用者が使用したコンピュータの脆弱性に関する情報をコンピュータの脆弱性を検査する脆弱性検査装置から取得し、あるいは、前記不正アクセスに関する情報を前記侵入検知システムから取得するとともに前記脆弱性に関する情報を前記脆弱性検査装置から取得する利用者情報取得ステップと、
前記利用者情報取得ステップで取得した、前記不正アクセスに関する情報に含まれる危険度または前記脆弱性に関する情報に含まれる脆弱度を、当該危険度または当該脆弱度に応じた所定のポイントにそれぞれ変換し、変換した各ポイントの合計値を、前記利用者の前記所定の期間におけるセキュリティポイント値として算出するセキュリティポイント算出ステップと、
前記利用者の属するグループのセキュリティポイント閾値を前記グループ記憶部から取得する閾値取得ステップと、
前記セキュリティポイント算出ステップで算出したセキュリティポイント値と、前記閾値取得ステップで取得したセキュリティポイント閾値とを比較し、前記セキュリティポイント値が前記セキュリティポイント閾値を超える場合、前記利用者が属するグループをセキュリティ権限がより低いグループに更新する利用者権限更新ステップと、
を前記利用者権限制御装置に実行させることを特徴とする利用者権限制御プログラム。 A user authority control program that can be read by a user authority controller that dynamically sets user authority of a computer system,
For each group, the user authority control device includes a security authority indicating an access level to a predetermined resource of a user belonging to the group, an unauthorized access in a predetermined period, or a vulnerability of a computer used by the user. A group storage unit having a security point threshold that is a threshold of the quantified security point value;
In the predetermined period, to obtain information about unauthorized access performed by the user from the intrusion detection system for detecting fraud user, or the vulnerability of the vulnerability information of the computer the user is using the computer A user information acquisition step of acquiring from the vulnerability inspection device, or acquiring information from the intrusion detection system and acquiring information about the vulnerability from the vulnerability inspection device ;
Acquired by the user information acquisition step, the weak degree included in the information about the risk or the vulnerability included in the information about the unauthorized access, respectively converted to a predetermined point in accordance with the risk or the fragility of A security point calculation step of calculating a total value of each converted point as a security point value in the predetermined period of the user;
A threshold acquisition step of acquiring a security point threshold of a group to which the user belongs from the group storage unit;
The security point value calculated in the security point calculation step is compared with the security point threshold value acquired in the threshold acquisition step, and if the security point value exceeds the security point threshold value, the group to which the user belongs is assigned a security authority. A user authority update step for updating to a lower group,
Is executed by the user authority control apparatus.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004373433A JP4490254B2 (en) | 2004-12-24 | 2004-12-24 | User authority control device, user authority control method, and user authority control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004373433A JP4490254B2 (en) | 2004-12-24 | 2004-12-24 | User authority control device, user authority control method, and user authority control program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006178855A JP2006178855A (en) | 2006-07-06 |
JP4490254B2 true JP4490254B2 (en) | 2010-06-23 |
Family
ID=36732910
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004373433A Active JP4490254B2 (en) | 2004-12-24 | 2004-12-24 | User authority control device, user authority control method, and user authority control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4490254B2 (en) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4807173B2 (en) * | 2006-07-25 | 2011-11-02 | 株式会社日立製作所 | Security management system and method |
JP2008112284A (en) * | 2006-10-30 | 2008-05-15 | Fujitsu Ltd | Resource management method, resource management system and computer program |
JP2008158959A (en) * | 2006-12-26 | 2008-07-10 | Sky Kk | Terminal monitoring server, terminal monitoring program, data processing terminal and data processing terminal program |
US20090300360A1 (en) * | 2007-01-18 | 2009-12-03 | Hiroki Sakaguchi | Application setting terminal, application executing terminal, and setting information managing server |
JP2009259041A (en) * | 2008-04-17 | 2009-11-05 | Toshiba Corp | Server device and security control method |
JP5229049B2 (en) * | 2009-03-27 | 2013-07-03 | カシオ計算機株式会社 | Server device, access control system, and access control program |
JP2016170651A (en) * | 2015-03-13 | 2016-09-23 | 富士通株式会社 | Unauthorized access detection method, device and program |
WO2021070217A1 (en) * | 2019-10-07 | 2021-04-15 | 株式会社Pfu | Security measure management equipment, security measure management method, and program |
CN113821778A (en) * | 2020-06-18 | 2021-12-21 | 车主邦(北京)科技有限公司 | Fingerprint authentication risk control method and device |
CN117541032B (en) * | 2024-01-09 | 2024-04-23 | 云南建投物流有限公司 | Business digital management method and system based on transaction architecture construction |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10269184A (en) * | 1997-03-28 | 1998-10-09 | Hitachi Ltd | Security management method for network system |
JP2001337926A (en) * | 2000-05-29 | 2001-12-07 | Oki Electric Ind Co Ltd | Client-server transaction control system |
JP2002279057A (en) * | 2001-03-22 | 2002-09-27 | Ntt Data Corp | Security management device |
JP2004213476A (en) * | 2003-01-07 | 2004-07-29 | Nri & Ncc Co Ltd | Injustice access detection device |
JP2004259020A (en) * | 2003-02-26 | 2004-09-16 | Kyocera Communication Systems Co Ltd | Authentication system, program, storage medium, and authentication method |
-
2004
- 2004-12-24 JP JP2004373433A patent/JP4490254B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10269184A (en) * | 1997-03-28 | 1998-10-09 | Hitachi Ltd | Security management method for network system |
JP2001337926A (en) * | 2000-05-29 | 2001-12-07 | Oki Electric Ind Co Ltd | Client-server transaction control system |
JP2002279057A (en) * | 2001-03-22 | 2002-09-27 | Ntt Data Corp | Security management device |
JP2004213476A (en) * | 2003-01-07 | 2004-07-29 | Nri & Ncc Co Ltd | Injustice access detection device |
JP2004259020A (en) * | 2003-02-26 | 2004-09-16 | Kyocera Communication Systems Co Ltd | Authentication system, program, storage medium, and authentication method |
Also Published As
Publication number | Publication date |
---|---|
JP2006178855A (en) | 2006-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11343280B2 (en) | System and method for identifying and controlling polymorphic malware | |
US11449613B2 (en) | Systems and methods for providing security services during power management mode | |
US11100232B1 (en) | Systems and methods to automate networked device security response priority by user role detection | |
EP3127301B1 (en) | Using trust profiles for network breach detection | |
US10154066B1 (en) | Context-aware compromise assessment | |
Hofmeyr et al. | Intrusion detection using sequences of system calls | |
Bhathal et al. | Big data: Hadoop framework vulnerabilities, security issues and attacks | |
Sailer et al. | Attestation-based policy enforcement for remote access | |
RU2536663C2 (en) | System and method of protecting cloud infrastructure from illegal use | |
US8499330B1 (en) | Enterprise desktop security management and compliance verification system and method | |
US8726391B1 (en) | Scheduling malware signature updates in relation to threat awareness and environmental safety | |
US8219496B2 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
CN113660224B (en) | Situation awareness defense method, device and system based on network vulnerability scanning | |
KR100985074B1 (en) | Malicious code prevention apparatus and method using selective virtualization, and computer-readable medium storing program for method thereof | |
KR20070065306A (en) | End user risk managemet | |
JP2007172221A (en) | Quarantine system, quarantine device, quarantine method, and computer program | |
JP2010026662A (en) | Information leakage prevention system | |
JP2022530288A (en) | How to prevent root-level access attacks and a measurable SLA security and compliance platform | |
Matsuda et al. | Detecting apt attacks against active directory using machine leaning | |
JP4490254B2 (en) | User authority control device, user authority control method, and user authority control program | |
US8862730B1 (en) | Enabling NAC reassessment based on fingerprint change | |
US20140033272A1 (en) | Evaluating a security stack in repsonse to a request to access a service | |
JP4448307B2 (en) | Security management device, security management method, and security management program | |
JP2009048317A (en) | Security evaluation method, security evaluation apparatus | |
KR102338998B1 (en) | System and method for checking log integrity and proving forgery and alteration activity of log through the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060330 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090714 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090910 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100105 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100304 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100330 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100401 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4490254 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140409 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |