JP4843546B2 - Information leakage monitoring system and information leakage monitoring method - Google Patents
Information leakage monitoring system and information leakage monitoring method Download PDFInfo
- Publication number
- JP4843546B2 JP4843546B2 JP2007091729A JP2007091729A JP4843546B2 JP 4843546 B2 JP4843546 B2 JP 4843546B2 JP 2007091729 A JP2007091729 A JP 2007091729A JP 2007091729 A JP2007091729 A JP 2007091729A JP 4843546 B2 JP4843546 B2 JP 4843546B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- information
- database
- risk
- plan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims description 90
- 238000000034 method Methods 0.000 title claims description 50
- 238000012550 audit Methods 0.000 claims description 77
- 230000002159 abnormal effect Effects 0.000 claims description 43
- 238000001514 detection method Methods 0.000 claims description 21
- 230000004044 response Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 description 24
- 238000012423 maintenance Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 13
- 239000003795 chemical substances by application Substances 0.000 description 12
- 239000003550 marker Substances 0.000 description 10
- 230000005856 abnormality Effects 0.000 description 8
- 230000009471 action Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 238000012790 confirmation Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Description
本発明は、情報漏洩監視システムおよび情報漏洩監視方法に関し、ネットワーク上のデータベースに蓄積される個人情報等の秘密情報の漏洩防止に関する。 The present invention relates to an information leakage monitoring system and an information leakage monitoring method, and relates to prevention of leakage of confidential information such as personal information stored in a database on a network.
近年、インターネット上の仮想商店など、ネットワークを利用した電子商取引等のサービスが普及している。これらのサービスにおいては、個人情報等の顧客情報をデータベースシステムに蓄積することが一般的である。例えば、IT機器をベースとしたインターネットのサービスにおいては、サービス運用のため、顧客情報、クレジット番号等の個人情報を取り扱う必要性があり、これらの情報は、データベースシステムに蓄積される。
これらの顧客情報は秘密情報であり、情報漏洩が生じないように厳重に管理することが求められている。
In recent years, services such as electronic commerce using networks, such as virtual shops on the Internet, have become widespread. In these services, customer information such as personal information is generally stored in a database system. For example, in Internet services based on IT equipment, there is a need to handle personal information such as customer information and credit numbers for service operation, and such information is stored in a database system.
Such customer information is confidential information, and is required to be strictly managed so that information leakage does not occur.
一方、サービス提供者がシステムに蓄積する顧客情報は、利用者の急増に伴って増加の一途をたどっている。これに伴い、これらの情報が漏洩することによるサービス提供者のリスク及び管理コストも増加している。これらの情報は、いったんインターネット上で漏洩すると、大規模なネットワークの特性上、漏洩先の全てを辿って完全に漏洩情報を削除することは困難である。 On the other hand, customer information stored in the system by service providers is steadily increasing with the rapid increase in users. Along with this, the risk and management cost of service providers due to the leakage of such information are also increasing. Once such information is leaked on the Internet, it is difficult to delete leaked information completely by tracing all leaked destinations due to the characteristics of a large-scale network.
ところで、ネットワーク上の情報漏洩に関して、インターネットの発展過程においては、外部からのネットワークへの侵入による当該情報アクセスに対する対策が主流であった。これに対し、最近は内部犯罪による脅威が増加している。
従来型の外部侵入に関しては、既に様々な対策技術が開発されている。例えば、社外からの不正アクセスに対して蓄積情報を保護する方法としては、ファイヤウォール、アクセス制御機能等多様な手法が利用されている。さらに、暗号化手法の改善、ハードウェア機器の処理速度の向上等によって、外部侵入に対する堅牢性は更に向上している。
その結果、ネットワークの内部は外部から厳重に保護されるようになっており、外部からの不正アクセスによって非合法的に当該情報が参照、取得される等による情報漏洩の脅威は少なくなっている。
By the way, regarding the information leakage on the network, in the process of developing the Internet, countermeasures against the information access by the intrusion to the network from the outside have been mainstream. On the other hand, the threat of internal crime has increased recently.
Various countermeasure techniques have already been developed for conventional external intrusion. For example, as a method for protecting stored information against unauthorized access from outside the company, various methods such as a firewall and an access control function are used. Furthermore, the robustness against external intrusion is further improved by improving the encryption method and the processing speed of the hardware device.
As a result, the inside of the network is strictly protected from the outside, and the threat of information leakage caused by illegally accessing or illegally referring to or acquiring the information is reduced.
しかし、近年の情報漏洩事件に代表される諸問題の多くは、システム開発者、システム運用者、メンテナンスなどの受託者など、ネットワーク内部の人物による不正アクセスである。
このような、保護されたネットワークの内部での不正アクセスは、前述した既存の対策技術で防止することが難しい。
すなわち、ネットワーク内部の正当なアクセス権限を持った人物のアクセスは、例え情報の引き抜きや複製などの不正アクセスであっても、表面的には正常なシステムの利用状態と何ら変わらない。このため、前述したファイヤウォールや暗号化等の社外を想定した対策技術では、内部不正アクセスの識別が困難である。そして、近年ではこのような内部不正アクセスによる情報漏洩が問題となってきている。
これらは、企業の信頼喪失、ひいては、インターネットを利用した将来のビジネスの発展を阻害しかねない。
However, many of the problems represented by recent information leakage cases are unauthorized access by persons inside the network, such as system developers, system operators, and contractors for maintenance.
Such unauthorized access within the protected network is difficult to prevent with the existing countermeasure technology described above.
That is, the access of a person having an authorized access right inside the network is not different from the normal system use state on the surface even if it is an unauthorized access such as extraction or duplication of information. For this reason, it is difficult to identify internal unauthorized access with the above-described countermeasure technology that assumes the outside, such as firewall and encryption. In recent years, information leakage due to such unauthorized internal access has become a problem.
These can hinder the trust of the company and, in turn, future business development using the Internet.
このような内部不正アクセスに対して、最近では、保護すべき情報を蓄積するデータベースそのものへのアクセスの履歴(ログ)により、ポアソン分布等の統計的手法を取り入れ、定常的なアクセスパターンを逸脱するアクセスを検出することによって、本来の正常アクセス以外の意図的な行動を検出し、管理者へ通知する技術が開発されている(特許文献1参照)。
また、システム運用者の犯罪を防止する技術として、従来システム運用者へはシステムに対する特権つまり広範なアクセス権限を付与するのが一般的であるが、運用者自体のリスクを低減するために、通常は必要最小限のアクセス権限のみを付与しておき、メンテナンス等の際など必要な場合に限って特権を付与するとした技術が開発されている(特許文献2参照)。
For such internal unauthorized access, recently, statistical methods such as Poisson distribution have been adopted based on the access history (log) to the database that stores the information to be protected, and deviated from the regular access pattern. A technique has been developed for detecting intentional behavior other than the normal normal access by detecting access and notifying the administrator (see Patent Document 1).
In addition, as a technology to prevent crimes of system operators, it has been common to grant privileges to the system, that is, broad access rights, to conventional system operators, but in order to reduce the risks of the operators themselves, A technology has been developed in which only the necessary minimum access authority is granted and privileges are granted only when necessary, such as during maintenance (see Patent Document 2).
しかしながら、前述した統計処理による不正検出は、データベースシステムを利用するアプリケーションの仕様の変更や、突発的なメンテナンス等によるデータベースアクセスが発生した場合、誤動作することが発生し得る。また、定常のアクセスパターンであることを認識することに難点がある。そのため、統計情報を概観する人的な介入が余儀なくされ、判断に対する個人差によって画一的な監視が難しい。そして、解析内容を人的な手段にて精査する必要があり、実務的な観点から管理コストの増加、監視品質のばらつきを招く。
一方、前述した状況によりアクセス権を切り替える手法においては、運用目的で一旦アクセス権が付与された状態では、その権限の範囲内で特定のデータへアクセス可能であり、悪意があればこの段階で情報を取得することが可能となってしまうという問題がある。
However, the above-described fraud detection by statistical processing may cause a malfunction when a database access due to a change in the specification of an application that uses the database system or sudden maintenance occurs. Moreover, there is a difficulty in recognizing that it is a steady access pattern. For this reason, human intervention is required to review the statistical information, and uniform monitoring is difficult due to individual differences in judgment. And it is necessary to scrutinize the contents of analysis by human means, resulting in an increase in management cost and variation in monitoring quality from a practical viewpoint.
On the other hand, in the method of switching access rights according to the situation described above, once access rights have been granted for operational purposes, specific data can be accessed within the scope of those rights, and if there is malicious information at this stage There is a problem that it becomes possible to acquire.
本発明の目的は、前述した従来の手法の問題を回避できる情報漏洩監視システムおよび情報漏洩監視方法を提供することである。 An object of the present invention is to provide an information leakage monitoring system and an information leakage monitoring method capable of avoiding the problems of the conventional methods described above.
本発明の情報漏洩監視システムは、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視システムであって、前記データベースに対する特定のユーザに関するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成するアクセス計画登録手段と、前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成するアクセス計画承認手段と、前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、前記データベースに対する実アクセス情報を監査ログデータベースに蓄積記憶する手段と、前記セキュリティポリシー情報を参照して、前記監査ログデータベースに記憶された実アクセス情報から異常アクセスを検出する異常アクセス検出手段とを備え、前記アクセス計画承認手段は、前記アクセス計画情報に関するアクセスリスク許容値の入力を受け付けるアクセスリスク許容値入力手段を有し、前記セキュリティポリシー情報には前記アクセスリスク許容値が含まれ、前記異常アクセス検出手段は、前記実アクセス情報からアクセスリスク値を算出し、このアクセスリスク値が前記アクセスリスク許容値を超えた際に異常アクセスとして検出することを特徴とする。 An information leakage monitoring system according to the present invention is an information leakage monitoring system that suppresses information leakage of a database that stores secret information, and is registered in response to a registration request for access plan information related to a specific user for the database. Generating access plan registration means, generating access plan approval means for receiving approved access plan information upon receiving an approval request for the registered access plan information, and generating security policy information of the database from the approved access plan information Security policy generation means, means for accumulating and storing actual access information for the database in an audit log database, and detecting abnormal access from the actual access information stored in the audit log database with reference to the security policy information Abnormal action And a scan detector, the access plan approval means has access risks tolerance input means for receiving an input of the access risk tolerance value for the access plan information, the said security policy information includes the access risk tolerance The abnormal access detecting means calculates an access risk value from the actual access information, and detects the abnormal access when the access risk value exceeds the access risk allowable value .
このような本発明では、特定のユーザ(前記データベースにアクセスする内部のアクセス者)は、予め自らのアクセス計画を登録し、これを承認者が承認する。承認されたアクセス計画は、システムから参照可能なポリシーに変換され、実際のアクセスの監視に利用される。そして、実アクセスのうち、予め登録ないし承認されたアクセス計画に沿ったアクセスは異常と判定されないが、アクセス計画に沿わないアクセスは異常と判定される。このため、アクセス権限を有する内部のアクセス者であっても、アクセス計画にない不正なアクセスを行うとこれが検出されることになり、内部不正アクセスの防止に利用できる。なお、アクセス計画の登録は主にアクセス者が自ら行うが、申請に基づいて他者が代行してもよい。 In the present invention, a specific user (an internal accessor accessing the database) registers his / her access plan in advance, and the approver approves it. The approved access plan is converted into a policy that can be referred to from the system, and is used for monitoring actual access. Of the actual access, access according to an access plan registered or approved in advance is not determined to be abnormal, but access that does not comply with the access plan is determined to be abnormal. For this reason, even an internal access person having access authority can detect this if an unauthorized access not included in the access plan is performed, and this can be used to prevent unauthorized internal access. The access plan is mainly registered by the accessor himself / herself, but may be substituted by another person based on the application.
本発明の情報漏洩監視システムにおいて、更に、前記異常アクセスを検出した際に予め指定された関係者へ通知する異常アクセス通知手段を備えることが望ましい。
このような本発明では、異常アクセスが検出された際に関係者への通知を行うことで、通知を受けた関係者が適宜対応することができ、内部の不正アクセスであっても防止することができる。
In the information leakage monitoring system according to the present invention, it is preferable that the information leakage monitoring system further includes an abnormal access notification means for notifying a designated person in advance when the abnormal access is detected.
In the present invention, by notifying related parties when abnormal access is detected, the related parties who have received the notification can respond appropriately and prevent even unauthorized internal access. Can do.
本発明の情報漏洩監視システムにおいて、前記アクセス計画承認手段は、前記アクセス計画情報に関するアクセスリスク許容値の入力を受け付けるアクセスリスク許容値入力手段を有し、前記セキュリティポリシー情報には前記アクセスリスク許容値が含まれ、前記異常アクセス検出手段は、前記実アクセス情報からアクセスリスク値を算出し、このアクセスリスク値が前記アクセスリスク許容値を超えた際に異常アクセスとして検出することが望ましい。
このような本発明では、承認者がアクセス者に関するアクセスリスク許容値を設定し、実アクセスにおけるアクセスリスクの評価により異常検出を行うことで、処理負荷の軽減を図りながら確実な検出を行うことができる。
In the information leakage monitoring system of the present invention, the access plan approval unit includes an access risk allowable value input unit that receives an input of an access risk allowable value related to the access plan information, and the security policy information includes the access risk allowable value. Preferably, the abnormal access detection means calculates an access risk value from the actual access information, and detects the abnormal access when the access risk value exceeds the access risk allowable value.
In the present invention, an approver sets an allowable access risk value for an accessor, and performs anomaly detection by evaluating an access risk in actual access, thereby performing reliable detection while reducing the processing load. it can.
本発明の情報漏洩監視システムにおいて、前記セキュリティポリシー情報は前記アクセスリスク許容値のみで構成されることが望ましい。
このような本発明では、異常検出をアクセス者のアクセスリスクに絞ることで、処理負荷を軽減でき、かつ十分な検出制度を確保することができる。
In the information leakage monitoring system of the present invention, it is preferable that the security policy information includes only the access risk allowable value.
In the present invention as described above, it is possible to reduce the processing load and to secure a sufficient detection system by limiting the abnormality detection to the access risk of the accessor.
本発明の情報漏洩監視システムにおいて、前記異常アクセス検出手段は、前記アクセスリスク値の計算にあたって、SQL文のステートメント、コマンドの種類、アクセス対象のオブジェクトの少なくとも何れかを含む情報に対して機密性の度合いをリスク指数として重み付けたリスクテーブルを利用することが望ましい。
このような本発明では、情報に応じてリスクテーブルを参照することでアクセスリスクの計算を簡単かつ確実に行える。
In the information leakage monitoring system according to the present invention, the abnormal access detection means is configured to provide confidentiality for information including at least one of an SQL statement statement, a command type, and an object to be accessed in calculating the access risk value. It is desirable to use a risk table that weights the degree as a risk index.
In the present invention, the access risk can be calculated easily and reliably by referring to the risk table according to the information.
本発明の情報漏洩監視システムは、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視システムであって、
前記データベースに対するアプリケーションソフトウェアのアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報として登録するアプリケーション認証情報登録手段と、
前記アプリケーション認証情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、
前記データベースに対する実アクセス情報を監査ログデータベースに蓄積記憶する手段と、
前記セキュリティポリシー情報を参照して、前記監査ログデータベースに記憶された前記アプリケーションソフトウェアの実アクセス情報に基づくアクセスパターン情報と比較することにより異常アクセスを検出する異常アクセス検出手段と
を備えたことを特徴とする。
The information leakage monitoring system of the present invention is an information leakage monitoring system that suppresses information leakage of a database that stores secret information,
Application authentication information registration means for registering an access sequence and access timing of application software to the database as application authentication information;
Security policy generation means for generating security policy information of the database from the application authentication information;
Means for accumulating and storing actual access information for the database in an audit log database;
Characterized in that said with reference to the security policy information, and a abnormality access detection means for detecting an abnormal access by comparing said audit of the application software stored in the log database access pattern information based on actual access information And
このような本発明では、アクセス者による異常アクセスとは別に、データベースを利用するアプリケーションソフトウェアの改ざん等による不正アクセスを検出することができる。
すなわち、アプリケーションソフトウェアが正常に動作している状態では、そのアクセス挙動は一定のパターンを示す。これに対し、不正アクセス等を実行するようにアプリケーションソフトウェアに改ざん等が行われると、そのアクセス挙動は正常時とは異なったものとなる。このため、アプリケーションソフトウェアの正常時のアクセス挙動(アクセスシーケンスおよびアクセスタイミング)をアプリケーション認証情報として記録しておき、これを参照して実際のアクセス挙動を検査することで、アプリケーションソフトの改ざんあるいは不正アクセスを検出することができる。
In the present invention as described above, it is possible to detect unauthorized access caused by falsification of application software using a database, in addition to abnormal access by an accessor.
That is, when the application software is operating normally, the access behavior shows a certain pattern. On the other hand, if the application software is tampered with to execute unauthorized access or the like, the access behavior becomes different from that in the normal state. For this reason, the application software's normal access behavior (access sequence and access timing) is recorded as application authentication information, and the actual access behavior is inspected with reference to this information. Can be detected.
本発明の情報漏洩監視システムにおいて、前記アプリケーションソフトウェアに関する前記セキュリティポリシー情報は前記アプリケーションソフトウェアのアクセスシーケンスのみで構成されることが望ましい。
このような本発明では、異常検出をアプリケーションソフトウェアのアクセスシーケンスのみに絞ることで、処理負荷を軽減でき、かつ十分な検出制度を確保することができる。
In the information leakage monitoring system of the present invention, it is preferable that the security policy information related to the application software is configured only by an access sequence of the application software.
In the present invention as described above, the processing load can be reduced and a sufficient detection system can be ensured by limiting the abnormality detection to only the access sequence of the application software.
本発明の情報漏洩監視方法は、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視方法であって、情報漏洩監視システムが、前記データベースに対するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成するアクセス計画登録ステップと、前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成するアクセス計画承認ステップと、前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成ステップと、前記データベースに対する実アクセス情報を監査ログデータベースに蓄積記憶する記憶ステップと、前記セキュリティポリシー情報を参照して、前記監査ログデータベースに記憶された実アクセス情報から異常アクセスを検出する異常アクセス検出ステップと、を実施し、前記アクセス計画承認ステップは、前記アクセス計画情報に関するアクセスリスク許容値の入力を受け付け、前記セキュリティポリシー情報には前記アクセスリスク許容値が含まれ、前記異常アクセス検出ステップは、前記実アクセス情報からアクセスリスク値を算出し、このアクセスリスク値が前記アクセスリスク許容値を超えた際に異常アクセスとして検出することを特徴とする。 The information leakage monitoring method of the present invention is an information leakage monitoring method for suppressing information leakage of a database that stores secret information, and the information leakage monitoring system receives a registration request for registration of access plan information for the database. An access plan registration step for generating plan information, an access plan approval step for generating approved access plan information in response to an approval request for the registered access plan information, and security policy information of the database from the approved access plan information A security policy generating step for generating the database, a storage step for accumulating and storing the actual access information for the database in the audit log database, and referring to the security policy information for abnormal access from the actual access information stored in the audit log database The Conducted an abnormal access detecting step of leaving, wherein the access plan approval step receives an input of the access risk tolerance value for the access plan information, the said security policy information includes the access risk tolerance, the abnormality In the access detection step, an access risk value is calculated from the actual access information, and an abnormal access is detected when the access risk value exceeds the access risk allowable value .
本発明の情報漏洩監視方法は、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視方法であって、情報漏洩監視システムが、前記データベースに対するアプリケーションソフトウェアのアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報として登録し、前記アプリケーション認証情報から前記データベースのセキュリティポリシー情報を生成し、前記データベースに対する実アクセス情報を監査ログデータベースに蓄積記憶し、前記セキュリティポリシー情報を参照して、前記監査ログデータベースに記憶された前記アプリケーションソフトウェアの実アクセス情報に基づくアクセスパターン情報と比較することにより異常アクセスを検出することを特徴とする。
The information leakage monitoring method of the present invention is an information leakage monitoring method for suppressing information leakage of a database that stores secret information, and the information leakage monitoring system determines the access sequence and access timing of application software to the database as application authentication information. registered as the generated an application security policy information of the database from the authentication information, the accumulated store actual access information to the audit log database to the database, with reference to the security policy information, stored in the audit log database Further, abnormal access is detected by comparing with access pattern information based on actual access information of the application software.
これらの本発明の情報漏洩監視方法では、前述した本発明の情報漏洩監視システムで説明したように、予め設定された承認済アクセス計画情報あるいはアプリケーション認証情報を参照して実際のデータベースアクセスを検査することで、アクセス者の不正アクセスあるいは改ざん等によるアプリケーションソフトウェアによる不正アクセスを検出することができる。 In these information leakage monitoring methods of the present invention, as described in the information leakage monitoring system of the present invention described above, the actual database access is inspected with reference to preset approved access plan information or application authentication information. Thus, it is possible to detect unauthorized access by application software due to unauthorized access or tampering by an accessor.
以下、本発明の実施形態を図面に基づいて説明する。
図1には、本発明が適用された電子商取引サービスシステム1が示されている。
電子商取引サービスシステム1は、ネットワークを経由して接続される多数の顧客(サービスユーザ)31に対してデータベースシステム2により電子商取引サービスを提供するものである。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 shows an electronic
The electronic
データベースシステム2は、データベースサーバ10およびアプリケーションサーバ20を備え、データベースサーバ10に各種サービスに必要な情報を記憶するとともに、アプリケーションサーバ20に格納されたアプリケーションソフトウェア21により各種サービスを提供する。
The
ここで、データベースサーバ10は顧客情報等の秘密情報を含むものであり、これらの秘密情報の漏洩を防止するために、電子商取引サービスシステム1には本発明に基づく情報漏洩監視システム40が設置されている。
以下、システム各部について詳細に説明する。
なお、以下の説明において、サービスユーザ31等の語はシステムに関与する人のことを指すが、システムに直接関与するのはコンピュータ端末等であるため、図面上では端末機器の絵柄で表示している。
また、データベースサーバ10には複数のデータベースが構築されていてもよく、そのうち少なくとも一つが情報漏洩監視システムの監視対象であればデータベースシステム2は監視対象とされる。データベースサーバ10における複数のデータベースの識別は既存のデータベース名称等で適宜識別される。
Here, the
Hereinafter, each part of the system will be described in detail.
In the following description, the term “
A plurality of databases may be constructed in the
[1]サービスユーザの接続
図2に示すように、電子商取引サービスシステム1にはDMZ(非武装地帯)3を介してインターネット等の外部ネットワーク4が接続されている。電子商取引サービスシステム1の電子商取引サービス(以下Webサービスとも呼ぶ)を利用するサービスユーザ31は、外部ネットワーク4においてルータ25およびファイヤウォール24を経由してウェブサーバ23に接続される。
ウェブサーバ23は、サービスユーザ31と電子商取引サービスシステム1のインターフェースを提供するもので、Webサービスに必要なサービスユーザ31からの情報入力や物品購入等の指示を行うための画面表示や入出力機能等をサービスユーザ31の端末に提供する。サービスユーザ31により入力される顧客情報は、ファイヤウォール22を経由してアプリケーションサーバ20へ引き渡され、データベースサーバ10に記録される。
従って、データベースサーバ10には秘密情報として厳重に管理すべき顧客情報等が蓄積される。
[1] Connection of Service User As shown in FIG. 2, an external network 4 such as the Internet is connected to the electronic
The web server 23 provides an interface between the
Therefore, customer information and the like that should be strictly managed are stored as secret information in the
[2]データベースサーバに対するアクセス
電子商取引サービスシステム1において、データベースサーバ10へのアクセスとしては、前述したアプリケーションサーバ20に格納されてWebサービスを提供するアプリケーションソフトウェア21によるものがあるほか、システムの保守管理のためのアクセスがある。
図3に示すように、データベースシステム2において、データベースサーバ10およびアプリケーションサーバ20には、その開発から運用にあたってシステム開発者を含むシステム保守担当者32の関与が必要である。また、アプリケーションソフトウェア21の設定ないし保守のために、データベースサーバ10およびアプリケーションサーバ20にはデータ保守担当者を含むアプリケーション運用担当者33の関与が必要である。更に、アプリケーションソフトウェア21の設定あるいは更新などのために、アプリケーション開発者あるいはアプリケーション保守担当者34の関与が必要となる。
[2] Access to Database Server In the electronic
As shown in FIG. 3, in the
これらのシステム保守担当者32、アプリケーション運用担当者33、アプリケーション保守担当者34によるデータベースシステム2へのアクセスについては、通常、各々の担当業務で必要となる必要最低限のアクセス権限が付与される。
ここで、データベースシステム2の内部で発生する問題の多くは、これら付与された権限の範囲内で実施可能なアクセスによって漏洩する可能性があり、従来のセキュリティ技術で防止することは非常に難しい。
そこで、本実施形態の電子商取引サービスシステム1には、データベースシステム2を監視対象とする情報漏洩監視システム40が設置されている。
As for the access to the
Here, many of the problems that occur inside the
Therefore, in the electronic
[3]情報漏洩監視システム40の概要
図1に戻って、本実施形態の情報漏洩監視システム40は、前述したアプリケーション運用担当者33、アプリケーション保守担当者34等の内部のアクセス者からの不正アクセスを監視する機能を有するとともに、前述したアプリケーションソフトウェア21の改ざんによる不正アクセスを監視する機能を有する。
[3] Overview of Information
内部のアクセス者からの不正アクセスを監視する機能として、アクセス者(32〜34)がデータベースサーバ10内のデータベースへのアクセス計画情報51の登録要求を受けて登録済アクセス計画情報52を生成し、登録済アクセス計画情報52の承認要求を受けて承認済アクセス計画情報53を生成し、承認済アクセス計画情報53からデータベースサーバ10のセキュリティポリシー情報59を生成し、セキュリティポリシー情報59を参照してデータベースサーバ10の実際のアクセス記録情報(アクセスログ12)から異常アクセスを検出する、という各手順を実行する。
As a function of monitoring unauthorized access from an internal access person, an access person (32 to 34) receives a registration request for
アプリケーションソフトウェア21の改ざんによる不正アクセスを監視する機能として、データベースサーバ10内のデータベースに対するアプリケーションソフトウェア21のアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報54として登録し、アプリケーション認証情報54からデータベースサーバ10のセキュリティポリシー情報59を生成し、セキュリティポリシー情報59を参照してデータベースサーバ10に対するアプリケーションソフトウェア21の実際のアクセス記録から異常アクセスを検出する、という各手順を実行する。
As a function of monitoring unauthorized access due to falsification of the
このような各手順を実行するために、監視対象であるデータベースシステム2にはエージェント11が設置されており、情報漏洩監視システム40にはワークフローサーバ41、ポリシーデータベース42、ログ監視サーバ43が設置されている。
In order to execute each of these procedures, the
[4]情報漏洩監視システム40の詳細
(ワークフローサーバ)
ワークフローサーバ41は、本発明の情報漏洩監視方法に基づいて、アクセス計画の登録、承認、セキュリティポリシーの生成までを行うものである。
本発明に基づく情報漏洩監視方法のうち、アクセス計画の登録、承認、セキュリティポリシーの生成までを行うものである。
[4] Details of information leakage monitoring system 40 (workflow server)
Based on the information leakage monitoring method of the present invention, the
Of the information leakage monitoring method according to the present invention, access plan registration, approval, and security policy generation are performed.
図4に示すように、ワークフローサーバ41は、アクセス計画登録手段であるアクセス計画登録機能411、アクセス計画承認手段であるアクセス計画承認機能412、セキュリティポリシー生成手段であるセキュリティポリシー生成機能413、アプリケーション認証情報登録機能415を備えるとともに、Webサーバシステム管理機能417、Webサーバ監視機能418、対策実施確認機能419を備えている。なお、本発明における異常アクセス検出手段であるポリシー判定機能432はログ監視サーバ43に配置されている。
図5には、前述したアクセス計画登録機能411により登録されるアクセス計画情報51および登録済アクセス計画情報52、アクセス計画承認機能412で生成される承認済アクセス計画情報53、アプリケーション認証情報登録機能415で生成されるアプリケーション認証情報54の詳細が示されている。
As shown in FIG. 4, the
5 shows
アクセス計画登録機能411は、アクセス者(システム保守担当者32、アプリケーション運用担当者33、アプリケーション保守担当者34)によるデータベースサーバ10内のデータベースへのアクセス計画情報51を登録することで登録済アクセス計画情報52を生成する処理を行う。
アクセス計画情報51は、監視対象であるデータベースシステム2へアクセスする必要があるアクセス者が、当該システムにアクセスする前に、「誰が、何時、どのような目的でアクセスを実施するか」等を計画情報として設定するものであり、通常は本人がアクセス計画登録機能411から登録要求することで登録済アクセス計画情報52となる。
登録済アクセス計画情報52はアクセス計画情報51と同じ内容である。
The access
The
The registered
図5において、登録済アクセス計画情報52(アクセス計画情報51も同じ)は、アクセス者(32〜34)がデータベースシステム2へのアクセスに先立ってそのアクセスに関する計画情報を入力するものであり、アクセス目的の「作業名」、アクセス者の「作業担当者名」と「所属」、アクセスする「作業日/時間帯」と「アクセス先DB名」と「アクセス先ホスト名」、「DBユーザ名」、「IPアドレス」、アクセスを行う「端末名」と「OSユーザ名」、「アクション」、「対象オブジェクト」、「担当者メールアドレス」、「ポリシー有効期限」を備えている。
In FIG. 5, registered access plan information 52 (same for access plan information 51) is for an access person (32 to 34) to input plan information regarding the access prior to accessing the
図4において、アクセス計画承認機能412は、登録済アクセス計画情報52を承認者39が承認することで承認済アクセス計画情報53を生成する処理を行う。
承認者39は、アクセス者(32〜34)等の作業者の管理責任者であり、作業者によって登録された登録済アクセス計画情報52を確認し、承認要求および必要な情報の追加入力を行う。
図5において、承認済アクセス計画情報53は、前述した登録済アクセス計画情報52の内容に、「承認者名」、「承認者メールアドレス」、承認者が入力した「アクセスリスク許容値」の情報を追加したものである。
承認者39は、登録済アクセス計画情報52に記載された業務の内容に応じて、このアクセス計画のアクセスリスク許容値を設定する。
In FIG. 4, the access
The
In FIG. 5, the approved
The
図4において、アプリケーション認証情報登録機能415は、アプリケーションソフトウェア21の改ざんによる不正アクセスを監視する機能として、データベースサーバ10に対するアプリケーションソフトウェア21のアクセスシーケンスおよびアクセスタイミングを調査し、これをアプリケーション認証情報54として登録する処理を行う。
図5において、アクセスパターン情報(M1,M2等)と、そのアプリケーションが動作する時間帯を示すアクセス時間(1,2等)の情報によって構成される。
アプリケーション認証は、Webサービスを行うシステム開発やアプリケーション開発の完了後、試験運用を実施する段階で、監視対象データベースをアクセスするアプリケーションのアクセスパターンを分析し、その特徴情報を利用して正規のアプリケーションとして認証するものであり、アプリケーション自体の改ざん、SQL文改ざん等によるデータベースへの異常アクセスを検出することができる。
アプリケーション認証に関する詳細に関しては、後述する。
In FIG. 4, the application authentication
In FIG. 5, it consists of access pattern information (M1, M2, etc.) and access time information (1, 2, etc.) indicating the time zone in which the application operates.
Application authentication is a legitimate application that analyzes the access pattern of the application that accesses the monitoring target database at the stage of test operation after the completion of system development and application development for Web services, and uses its feature information. It authenticates, and it can detect abnormal access to the database due to tampering of the application itself, tampering with SQL statements, etc.
Details regarding application authentication will be described later.
図4において、セキュリティポリシー生成機能413は、承認済アクセス計画情報53からデータベースサーバ10のセキュリティポリシー情報59を生成するとともに、アプリケーション認証情報54からデータベースサーバ10のセキュリティポリシー情報59を生成する処理を行う。
In FIG. 4, the security
(ポリシーデータベース)
ポリシーデータベース42は、本発明の情報漏洩監視方法に基づいて生成されたセキュリティポリシーを記録し、必要に応じてこの情報を提供するものである。
図5に示すように、ポリシーデータベース42には、登録済アクセス計画情報52、承認済アクセス計画情報53が登録されるとともに、予め登録されたアプリケーション認証情報54か格納されている。更に、データベースサーバ10に格納された個々のデータベース毎に予め作成されたアクセスリスクテーブル55が登録されている。
(Policy database)
The
As shown in FIG. 5, in the
アクセスリスクテーブル55は、データベースサーバ10に構築された「データベース名」、各データベースに対する「アクション名」、SQL文および対象オブジェクトを示す「オブジェクト」の組み合わせ毎に、想定されるアクセスリスクを示す「リスク指数」を記録したものである。
リスク指数は、監視対象データベースに蓄積される情報の機密性の度合いにより管理者によって設定され、大きな数値ほど機密性が高く、漏洩リスクも高いことを表している。
このアクセスリスクテーブル55を参照することで、任意のアクセス計画のリスク指数を調査することができる。
The access risk table 55 is a “risk” indicating an assumed access risk for each combination of “database name” constructed in the
The risk index is set by the administrator according to the degree of confidentiality of information stored in the monitored database, and a larger numerical value indicates higher confidentiality and higher leakage risk.
By referring to this access risk table 55, the risk index of an arbitrary access plan can be investigated.
(エージェント)
エージェント11は、情報漏洩監視システム40が本発明の情報漏洩監視方法に基づいて異常アクセス検出を行う対象であるデータベースサーバ10の実アクセス情報を提供するものである。
図4に示すように、エージェント11は、監視対象であるデータベースシステム2上に設置され、データベースサーバ10にアクセスが行われる毎にアクセスログを生成するものであり、監査ログ設定機能111、監査ログ収集機能112、監査ログ送信機能113、コマンド処理機能114を備えている。
(Agent)
The
As shown in FIG. 4, the
監査ログ設定機能111はデータベースシステム2に対して初期設定を実施するものであり、コマンド処理機能114は監視マネージャであるログ監視サーバ43からの監査ログ要求122等のコマンドを処理するものである。監査ログ収集機能112はログ監視サーバ43からの監査ログ要求122に基づいてデータベースシステム2を調べて必要な監査ログを収集するものであり、監査ログ送信機能113は収集された監査ログ121をログ監視サーバ43へ送信するものである。
The audit
図6に示すように、エージェント11においては、監視対象であるデータベースシステム2の起動時に、プロセスの初期化(S61)を行った後、データベースシステム2に対して監査ログ生成を行うための初期設定を実施する(S62)。その後、ログ監視サーバ43からのコマンドを待機し(S63)、受信したコマンド解析を行い(S64)、受信したコマンドが監査ログ要求122であれば(S65)、データベースシステム2から必要な監査ログ121を取得し(S66)、フォーマット変換を行ってログ監視サーバ43へ監査ログを送信する(S67)。
なお、データベースサーバ10に複数のデータベースがある場合、エージェント11も各データベースに対応して複数設けてもよい。
As shown in FIG. 6, in the
When there are a plurality of databases in the
(ログ監視サーバ)
ログ監視サーバ43は、本発明の情報漏洩監視方法に基づいて、エージェント11から送られるデータベースサーバ10の実アクセス情報とポリシーデータベース42から得られるセキュリティポリシー情報59とを参照し、異常アクセスの判定を行うものである。
図4に示すように、ログ監視サーバ43は、監査ログコレクタ機能431、ポリシー判定機能432、アラート機能433、監査ログデータベース439を備えている。
(Log monitoring server)
Based on the information leakage monitoring method of the present invention, the
As illustrated in FIG. 4, the
監査ログコレクタ機能431はエージェント11によって収集された監査ログ121を受信して監査ログデータベース439に蓄積するものである。
ポリシー判定機能432は、本発明における異常アクセス検出手段であり、ポリシーデータベース42に蓄積されたセキュリティポリシー情報59を参照して、監査ログデータベース439に記録された監査ログ121を分析し、予定外の異常アクセスを検出するものである。
アラート機能433はポリシー判定機能432から異常アクセス情報58が出力された際に、アラート情報57を生成し、メールサーバ44等を介して監視者38に通知するものである。
The audit
The
The
このようなログ監視サーバ43において、監査ログコレクタ機能431は、インターバルタイマーによって定期的に起動され、予め設定された時間が経過するとデータ受信処理を行う。
図7に示すように、監査ログコレクタ機能431におけるデータ受信処理は、予め設定された監視対象のデータベースシステム2の情報を取得し(S71)、エージェント11に接続(S72)して監査ログ要求122を送信し(S73)、エラーチェック(S74)ののち、エージェント11から監査ログ121を取得し(S75)、受信した監査ログ121を監査ログデータベース439に格納する(S76)。
In such a
As shown in FIG. 7, in the data reception process in the audit
ポリシー判定機能432は、監査ログコレクタ機能431におけるデータ受信処理に続いて起動される。
図7に示すように、ポリシー判定機能432は、監視対象のデータベースシステム2に関する監査ログ121を読み込み(S81)、このデータベースシステム2における監査対象データベース名に該当するセキュリティポリシー情報59をポリシーデータベース42から読み込む(S82)。次に、ポリシー判定を行うための前処理として、セキュリティポリシー情報59の構文を解析して判定しやすい情報に分解する(S83)。ポリシー判定(S84)では、アクセス計画情報51に基づく監査ログ121の判定、アプリケーション認証情報54に基づくアプリケーションのアクセス判定、リスク検知等の判定を行う。これらの何れかの判定で問題が発生した場合(S85)、アラートフラグをセットする(S86)。収集されている全てのログの判定を実施したら本処理を終える。ここでアラートフラグがセットされた場合、当該DBに関連するポリシー違反情報を監査ログDBに蓄積し、関係者へ対応を即すため、アラート情報57としてメール等で即座に通知する。
The
As shown in FIG. 7, the
前述したポリシー判定機能432によるポリシー判定(図8のS84)においては、アクセス計画情報51に基づく監査ログ121の判定、アプリケーション認証情報54に基づくアプリケーションのアクセス判定、アクセスリスク値を用いたアクセスリスク判定による異常アクセス検出を行う。
以下に各判定処理の詳細を説明する。
In the policy determination (S84 in FIG. 8) by the
Details of each determination process will be described below.
(アクセス計画判定)
ポリシー判定機能432によるポリシー判定の一つとしてアクセス計画判定機能がある。
図9に示すように、アクセス計画判定機能は、データベースユーザのアクセス権限を監視するALCポリシー、アクセス対象を監視するオブジェクトポリシー、アクセス時間帯を監視するタイムポリシー、アクセスする際に利用するデータベースコマンドを監視するアクションポリシーなどの各ポリシー判定により構成される。
各々のポリシー判定は、ログ監視サーバ43で収集される監査ログ121と、ポリシーデータベース42から読み込まれたセキュリティポリシー情報59とを比較することによって行う。また、何れのポリシー判定を利用するかは、ポリシーデータベース42から読み込まれたセキュリティポリシー情報59により決定される。
図9に示すように、セキュリティポリシー情報59で指定された検査対象データベースの判定指定を調べ(S91)、対応した判定(S92〜S96)を実施し、ポリシー違反情報を監査ログDBに蓄積する(S97)。
(Access plan judgment)
One of the policy determinations by the
As shown in FIG. 9, the access plan determination function includes an ALC policy for monitoring the access authority of a database user, an object policy for monitoring an access target, a time policy for monitoring an access time zone, and a database command used for access. It consists of each policy judgment such as the action policy to be monitored.
Each policy determination is performed by comparing the audit log 121 collected by the
As shown in FIG. 9, the determination designation of the database to be inspected designated by the
(条件リスト)
アクセス計画判定機能における各ポリシー判定では、セキュリティポリシー情報59に基づく下記の条件判定を利用する。
(a) 監査ログ121のOSユーザ名が承認済アクセス計画情報53のOSユーザ名と一致する。
(b) 監査ログ121のDBユーザ名が承認済アクセス計画情報53のDBユーザ名と一致する。
(c) 監査ログ121の対象データベース名が承認済アクセス計画情報53のアクセス先DB名と一致する。
(d) 監査ログ121のアクションが承認済アクセス計画情報53のアクションと一致する。
(e) 監査ログ121に含まれるホストIPアドレスが承認済アクセス計画情報53の端末IPアドレスと一致する。
(f) 監査ログ121に含まれるアクセス日及び時間が承認済アクセス計画情報53のポリシー有効期限内である。
(g) 監査ログ121に含まれるアクセス日時が承認済アクセス計画情報53のアクセス日及び時間帯の範囲内である。
(h) 監査ログ121に含まれるオブジェクト名が承認済アクセス計画情報53の対象オブジェクトと一致する。
(i) 監査ログ121に含まれるオブジェクトオーナが承認済アクセス計画情報53のDBユーザ名と一致する。
(Condition list)
In each policy determination in the access plan determination function, the following condition determination based on the
(A) The OS user name in the audit log 121 matches the OS user name in the approved
(B) The DB user name in the audit log 121 matches the DB user name in the approved
(C) The target database name in the audit log 121 matches the access destination DB name in the approved
(D) The action of the audit log 121 matches the action of the approved
(E) The host IP address included in the audit log 121 matches the terminal IP address of the approved
(F) The access date and time included in the audit log 121 are within the policy expiration date of the approved
(G) The access date and time included in the
(H) The object name included in the audit log 121 matches the target object of the approved
(I) The object owner included in the audit log 121 matches the DB user name of the approved
(ALCポリシー判定)
ALCポリシー判定(S92)では、前述した条件リストの条件(b)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(アクションポリシー判定)
アクションポリシー判定(S93)では、前述した条件リストの条件(d)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(タイムポリシー判定)
タイムポリシー判定(S94)では、前述した条件リストの条件(g)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(オブジェクトポリシー判定)
オブジェクトポリシー判定(S95)では、前述した条件リストの条件(h)及び条件(i)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(カスタムポリシー判定)
カスタムポリシー判定(S95)では、前述した条件リストの何れかをセキュリティポリシー生成機能413で設定する。
(ALC policy judgment)
In the ALC policy determination (S92), the condition (b) in the above-described condition list is required, and whether to include other conditions depends on the setting of the security
(Action policy judgment)
In the action policy determination (S93), the condition list condition (d) described above is required, and whether to include other conditions depends on the setting of the security
(Time policy judgment)
In the time policy determination (S94), the condition (g) in the condition list described above is essential, and whether to include other conditions depends on the setting of the security
(Object policy judgment)
In the object policy determination (S95), the condition list condition (h) and condition (i) described above are required, and whether to include other conditions depends on the setting of the security
(Custom policy judgment)
In the custom policy determination (S95), any of the above-described condition lists is set by the security
(アプリケーション認証)
ポリシー判定機能432によるポリシー判定の一つとしてアプリケーション認証機能が行われる。
アプリケーション認証機能では判定にあたってアプリケーション認証情報54(図1参照)を利用する。アプリケーション認証情報54は、データベースサーバ10にアクセスするアプリケーションソフトウェア21のアクセスシーケンスおよびアクセスタイミングを記述したものであり、予めワークフローサーバ41のアプリケーション認証情報登録機能415によって登録される。
これらのアクセスシーケンスおよびアクセスタイミング(以下認証パターンという)は、アプリケーションソフトウェア21の通常動作におけるデータベースアクセスの結果から生成される。具体的には通常動作におけるデータベースアクセスを行った際に得られるアクセスログ12(監査ログ121)を参照する。
(Application authentication)
An application authentication function is performed as one of the policy determinations by the
In the application authentication function, application authentication information 54 (see FIG. 1) is used for the determination. The
These access sequences and access timings (hereinafter referred to as authentication patterns) are generated from the results of database access in the normal operation of the
図10において、監査ログ121から、認証登録を実施するアプリケーションソフトウェア21のDBユーザ名と同じDBユーザ名を有する監査ログを抽出する(S101)。次に、セッション毎のアクセスパターンを解析するため、DBユーザ名が同じ監査ログから更にセッション情報が同一のログ情報を抽出する(S102)。
こうして抽出されたログ情報から、データベースアクセスの開始を示すマーカを検索し、一連のアクセスブロックの先頭を検出する(S103)。そこで検出されたマーカログより、DBユーザ名、IPアドレスを記録する(S104)。以降の抽出ログから順にSQL文を検出し(S105)、検出したSQL文の情報を記録し(S106)、実行時間の差を記録し(S107)してゆく。これらの処理S105〜S107は終了マーカの検出(S108)まで繰り返す。
終了マーカが検出されたら、全マーカが検出されたかを調べ(S109)、未処理のマーカが残っていれば、次のマーカログのDBユーザ名およびIPアドレスの記録(S104)から繰り返す。
全マーカが検出し終わったなら、全セッションが検出されたかを調べ(S1010)、未処理のセッションが残っていれば、次のセッション情報と同一のログ情報の抽出(S102)から繰り返す。
全セッションが検出し終わったなら処理を終了する(S1011)。その結果、図12に示すDBユーザ毎のアクセスパターン情報54Aが得られる。
In FIG. 10, an audit log having the same DB user name as the DB user name of the
A marker indicating the start of database access is searched from the log information thus extracted, and the head of a series of access blocks is detected (S103). The DB user name and IP address are recorded from the detected marker log (S104). SQL statements are sequentially detected from the subsequent extracted logs (S105), information on the detected SQL statements is recorded (S106), and a difference in execution time is recorded (S107). These processes S105 to S107 are repeated until the end marker is detected (S108).
When the end marker is detected, it is checked whether all the markers have been detected (S109). If there is any unprocessed marker, the process is repeated from the recording of the DB user name and IP address of the next marker log (S104).
If all the markers have been detected, it is checked whether all the sessions have been detected (S1010). If any unprocessed sessions remain, the process repeats from the extraction of the same log information as the next session information (S102).
If all the sessions have been detected, the process is terminated (S1011). As a result, access pattern information 54A for each DB user shown in FIG. 12 is obtained.
図11において、アクセスパターン情報54Aは、DBユーザ名541、IPアドレス542を有するとともに、複数のアクセスパターンリスト543を備えている。
アクセスパターンリスト543は、一連のSQL文情報544と、各々の時間間隔情報545とを備えている。
これらにより、DBユーザ名541、IPアドレス542で特定されるアプリケーションソフトウェア21がデータベースサーバ10内のデータベースに対して、ある時はアクセスパターン1に記述されたSQL文の発信パターンでアクセスを行い、別の時にはアクセスパターン2に記述されたパターンの動作を行うことが正常である、ということが識別できる。
このようなアクセスパターン情報54Aは、セキュリティポリシー情報59の一部としてポリシーデータベース42に記録される。そして、ポリシー判定機能432におけるアプリケーション認証機能の際に参照される。
In FIG. 11, the
The
As a result, the
Such access pattern information 54A is recorded in the
図12において、アプリケーション認証によるポリシー判定では、先ず監査ログ121の読み込みを行い(S121)、ポリシーデータベース42よりアプリケーション認証情報54を読み込む(S122)。次に、判定対象のアプリケーションDBユーザアカウントのみを抽出し(S123)、さらにセッション毎に分類する(S124)。
分類されたセッション毎の特定ログから開始マーカを検出する(S125)。開始マーカ以降のSQL文の実行順序と時間間隔を比較し(S126)、その類似性によって、認証されたアプリケーションからのアクセスか否かを判定する(S127)。
類似性が確認できなかった場合、アプリケーションの改ざんがあったと判断し、該当データベース名、マーカ名等、当該アプリケーションを特定する情報を監査ログに蓄積し(S128)、アプリケーション異常フラグをセットする(S129)。
この後、全マーカが検出されたかを調べ(S1210)、未処理のマーカが残っていれば、次のマーカについて処理S125から処理S1210を繰り返す。
全マーカが検出し終わったなら、全セッションが検出されたかを調べ(S1211)、未処理のセッションが残っていれば、処理S125から処理S1211を繰り返す。
全セッションが検出し終わったなら処理を終了する。
In FIG. 12, in the policy determination by application authentication, the
A start marker is detected from the specific log for each classified session (S125). The execution order of the SQL statements after the start marker and the time interval are compared (S126), and whether or not the access is from an authenticated application is determined based on the similarity (S127).
If the similarity cannot be confirmed, it is determined that the application has been falsified, information for identifying the application such as the corresponding database name, marker name, etc. is accumulated in the audit log (S128), and an application abnormality flag is set (S129). ).
Thereafter, it is checked whether all the markers have been detected (S1210). If any unprocessed markers remain, the processing from S125 to S1210 is repeated for the next marker.
If all the markers have been detected, it is checked whether all the sessions have been detected (S1211). If any unprocessed sessions remain, the processing from S125 to S1211 is repeated.
When all the sessions have been detected, the process is terminated.
(アクセスリスク判定)
ポリシー判定機能432によるポリシー判定の一つとしてアクセスリスク判定が行われる。
アクセスリスク判定ではアクセスリスクテーブル55(図5参照)および承認者により設定されて承認済アクセス計画情報53に記述されるアクセスリスク許容値を利用する。
図13にアクセスリスク判定によるアクセス危険度判定機能の動作フローを示す。
アクセスリスク判定では、先ず監査ログ121を読み込み(S131)、アクセス者(32〜34)によるアクセスの危険度を算出するため、ポリシーデータベース42に記録されたアクセスリスクテーブル55を読み込む(S132)。次に、分析対象のユーザアカウントに関連した監査ログを抽出し(S133)、その抽出されたログをさらにセッション毎に分類する(S134)。そして、アクセスリスクテーブル55に記述されたリスク指数をもとに、SQL文毎のリスク指数を積算し、単位時間毎の積算値の推移を記録してゆく(S135)。同様、特定ユーザアカウントの全てのセッションに関して、処理を実行する(S136)。全セッションの終了後、単位時間当たりのリスク積算値と閾値であるアクセスリスク許容値とを比較し(S137)、このアクセスリスク許容値を上回った場合にはリスク異常インシデントを監査ログDBに格納し(S138)、リスク異常フラグをセットする(S139)。
このようなアクセスリスク判定では、アクセス者に関するアクセスリスク許容値を設定し、実アクセスにおけるアクセスリスクの評価により異常検出を行うことで、処理負荷の軽減を図りながら確実な検出を行うことができる。
(Access risk assessment)
Access risk determination is performed as one of the policy determinations by the
In the access risk determination, an access risk allowable value set by the access risk table 55 (see FIG. 5) and the approved
FIG. 13 shows an operation flow of an access risk determination function based on access risk determination.
In the access risk determination, first, the
In such access risk determination, it is possible to perform reliable detection while reducing the processing load by setting an allowable access risk value for an access person and performing abnormality detection by evaluating access risk in actual access.
図4において、Webサーバシステム管理機能417は、データベースシステム2の管理を行うために必要な既存の機能を提供する。
また、Webサーバ監視機能418および対策実施確認機能419は以下の監視機能を提供する。
In FIG. 4, a Web server
The Web
(監視機能)
Webサーバ監視機能418は、前述した各判定による異常発生など、データベース毎に発生したインシデントをリアルタイムに表示、対処する機能を備える。ポリシー判定機能432によるポリシー判定の結果は、監査ログデータベース439にその都度蓄積され、迅速な対処を要求するため、その旨をメール等によるアラート情報57として送信する。
アラート情報57を受けた現場の監視者38は、アラートを発生させた監視対象データベースのアクセス者(32〜34)を特定し、実施確認を行ない、承認者39へその旨報告する。
Webサーバ監視機能418は、定期的に監査ログデータベース439をモニターしており、新規のインシデントが発生した場合、関連情報を監査ログデータベース439より取得し、監視端末に表示する。監査報告を受けた監視者38は、実施者報告に問題があった場合は、緊急対応と判断し、アラート発生の要因を作ったアクセス者(32〜34)の端末からの接続を遮断し、監視機能を利用して以降のアクセスを拒否する設定を実施する。
対策実施確認機能419は、Webサーバ監視機能418をモニタし、予め定められた時間内に前述した実施確認が取れない場合は、自動的に先述の遮断処理を実施する。
(Monitoring function)
The Web
Upon receiving the
The Web
The countermeasure
本発明を利用することにより、従来技術であるファイヤウォールや、ネットワークセキュリティにより防止することが難しかった内部犯罪による情報漏洩を防止することができる。また、IT犯罪の被害の多くは、社外からのアタックではなく、内部者によるケースが増えてきており、問題が発生した場合の会社の信用失墜によるダメージは膨大なものとなっている。従来のネットワークセキュリティでは、アクセス権付与による限定アクセスが一般的であるが、一度付与された権限の範疇で当該情報へのアクセスを行うことによる情報の漏洩の可能性に関しては抑制することができなかった問題に対しても、抑止効果が得られる。また、データベースへのアクセスは、Webサービスを利用する一般ユーザ数増加に伴いより多くのアクセスが発生し、生成される監査ログも膨大なものとなる。これら膨大なログ情報から異常アクセスを見つけ出す監視者のコスト低減や、精度向上が期待できる。さらに、内部統制等の法律遵守のためのツールとしても有効である。 By utilizing the present invention, it is possible to prevent information leakage due to internal crimes, which has been difficult to prevent by the conventional firewall and network security. In addition, most of the damages caused by IT crimes are not attacks from outside, but cases by insiders are increasing, and the damage caused by the loss of credit in the company when a problem occurs is enormous. In conventional network security, limited access by granting access rights is common, but it is not possible to suppress the possibility of information leakage by accessing the information within the scope of the rights that have been granted once. Deterrence effects can be obtained even for problems that occur. In addition, access to the database increases as the number of general users who use the Web service increases, and the generated audit log becomes enormous. It can be expected to reduce the cost and improve the accuracy of the monitor who finds abnormal access from these enormous log information. It is also effective as a tool for compliance with laws such as internal control.
なお、本発明は前述した実施形態に限定されるものではなく、本発明の目的を達成できる範囲内での変形等は本発明に含まれるものである。
前記実施形態におけるネットワーク構成あるいはシステム構成は適宜変更することができる。
例えば、前記実施形態では、承認者39とは別に監視者38を設定してアラート情報75が送られるようにしたが、アラート情報57は承認者39にも送ってもよく、あるいは承認者39が兼ねる場合は監視者38を省略してもよい。
前記実施形態における処理の詳細、手順あるいはその順序の詳細は適宜変更することができる。各処理の具体的な手法としてはその機能に応じて既存のソフトウェア技術を適宜採用することができる。
Note that the present invention is not limited to the above-described embodiments, and modifications and the like within a scope in which the object of the present invention can be achieved are included in the present invention.
The network configuration or system configuration in the embodiment can be changed as appropriate.
For example, in the above embodiment, the
Details of processing, procedures, or details of the order in the above embodiment can be changed as appropriate. As a specific method of each process, an existing software technique can be appropriately adopted according to the function.
本発明は、情報漏洩監視システムおよび情報漏洩監視方法に利用でき、ネットワーク上のデータベースに蓄積される個人情報等の秘密情報の漏洩防止に利用できる。 The present invention can be used for an information leakage monitoring system and an information leakage monitoring method, and can be used for preventing leakage of secret information such as personal information stored in a database on a network.
1 電子商取引サービスシステム
2 データベースシステム
4 外部ネットワーク
10 データベースサーバ
11 エージェント
12 アクセスログ(アクセス記録情報)
20 アプリケーションサーバ
21 アプリケーションソフトウェア
22 ファイヤウォール
23 ウェブサーバ
24 ファイヤウォール
25 ルータ
31 サービスユーザ
32 システム保守担当者
33 アプリケーション運用担当者
34 アプリケーション保守担当者
38 監視者
39 承認者
40 情報漏洩監視システム
41 ワークフローサーバ
42 ポリシーデータベース
43 ログ監視サーバ
44 メールサーバ
51 アクセス計画情報
52 登録済アクセス計画情報
53 承認済アクセス計画情報
54A アクセスパターン情報
54 アプリケーション認証情報
55 アクセスリスクテーブル
57 アラート情報
58 異常アクセス情報
59 セキュリティポリシー情報
111 監査ログ設定機能
112 監査ログ収集機能
113 監査ログ送信機能
114 コマンド処理機能
121 監査ログ
122 監査ログ要求
411 アクセス計画登録機能(アクセス計画登録手段)
412 アクセス計画承認機能(アクセス計画承認手段)
413 セキュリティポリシー生成機能(セキュリティポリシー生成手段)
415 アプリケーション認証情報登録機能(アプリケーション認証情報登録手段)
417 サーバシステム管理機能
418 サーバ監視機能
419 対策実施確認機能
431 監査ログコレクタ機能
432 ポリシー判定機能(異常アクセス検出手段)
433 アラート機能
439 監査ログデータベース
541 ユーザ名
542 アドレス
543 アクセスパターンリスト
544 文情報
545 時間間隔情報
1 Electronic
20
412 Access plan approval function (access plan approval means)
413 Security policy generation function (security policy generation means)
415 Application authentication information registration function (application authentication information registration means)
417 Server
433
Claims (5)
前記データベースに対する特定のユーザに関するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成するアクセス計画登録手段と、
前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成するアクセス計画承認手段と、
前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、
前記データベースに対する実アクセス情報を監査ログデータベースに蓄積記憶する手段と、
前記セキュリティポリシー情報を参照して、前記監査ログデータベースに記憶された実アクセス情報から異常アクセスを検出する異常アクセス検出手段と
を備え、
前記アクセス計画承認手段は、前記アクセス計画情報に関するアクセスリスク許容値の入力を受け付けるアクセスリスク許容値入力手段を有し、
前記セキュリティポリシー情報には前記アクセスリスク許容値が含まれ、
前記異常アクセス検出手段は、前記実アクセス情報からアクセスリスク値を算出し、このアクセスリスク値が前記アクセスリスク許容値を超えた際に異常アクセスとして検出する
ことを特徴とする情報漏洩監視システム。 An information leakage monitoring system that suppresses information leakage of a database that stores secret information,
An access plan registration means for generating registered access plan information in response to a request for registration of access plan information for a specific user with respect to the database;
An access plan approval means for generating an approved access plan information in response to an approval request for the registered access plan information;
Security policy generation means for generating security policy information of the database from the approved access plan information;
Means for accumulating and storing actual access information for the database in an audit log database;
An abnormal access detecting means for detecting abnormal access from the actual access information stored in the audit log database with reference to the security policy information ;
The access plan approval unit has an access risk allowable value input unit that receives an input of an access risk allowable value related to the access plan information,
The security policy information includes the access risk tolerance,
The abnormal access detecting means calculates an access risk value from the actual access information, and detects the abnormal access when the access risk value exceeds the access risk allowable value .
更に、前記異常アクセスを検出した際に予め指定された関係者へ通知する異常アクセス通知手段
を備えたことを特徴とする情報漏洩監視システム。 In the information leakage monitoring system according to claim 1,
The information leakage monitoring system further comprising: an abnormal access notification means for notifying a designated person in advance when the abnormal access is detected.
前記セキュリティポリシー情報は前記アクセスリスク許容値のみで構成される
ことを特徴とする情報漏洩監視システム。 In the information leakage monitoring system according to claim 1 or 2 ,
The information leakage monitoring system, wherein the security policy information includes only the allowable access risk value.
前記異常アクセス検出手段は、前記アクセスリスク値の計算にあたって、SQL文のステートメント、コマンドの種類、アクセス対象のオブジェクトの少なくとも何れかを含む情報に対して機密性の度合いをリスク指数として重み付けたリスクテーブルを利用する
ことを特徴とする情報漏洩監視システム。 In the information leakage monitoring system according to any one of claims 1 to 3 ,
In the calculation of the access risk value, the abnormal access detection means weights the degree of confidentiality as a risk index for information including at least one of an SQL statement statement, a command type, and an object to be accessed. An information leakage monitoring system characterized by using.
情報漏洩監視システムが、
前記データベースに対するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成するアクセス計画登録ステップと、
前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成するアクセス計画承認ステップと、
前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成ステップと、
前記データベースに対する実アクセス情報を監査ログデータベースに蓄積記憶する記憶ステップと、
前記セキュリティポリシー情報を参照して、前記監査ログデータベースに記憶された実アクセス情報から異常アクセスを検出する異常アクセス検出ステップと、
を実施し、
前記アクセス計画承認ステップは、前記アクセス計画情報に関するアクセスリスク許容値の入力を受け付け、
前記セキュリティポリシー情報には前記アクセスリスク許容値が含まれ、
前記異常アクセス検出ステップは、前記実アクセス情報からアクセスリスク値を算出し、このアクセスリスク値が前記アクセスリスク許容値を超えた際に異常アクセスとして検出する
ことを特徴とする情報漏洩監視方法。 An information leakage monitoring method for suppressing information leakage of a database for storing secret information,
Information leakage monitoring system
Receiving an access plan information registration request for the database and generating registered access plan information ; and
An access plan approval step for generating an approved access plan information in response to an approval request for the registered access plan information ;
A security policy generation step of generating security policy information of the database from the approved access plan information ;
A storage step of accumulating and storing actual access information for the database in an audit log database ;
An abnormal access detection step of detecting abnormal access from the actual access information stored in the audit log database with reference to the security policy information ;
Carried out
The access plan approval step accepts an input of an access risk allowable value related to the access plan information,
The security policy information includes the access risk tolerance,
The abnormal access detection step calculates an access risk value from the actual access information, and detects the abnormal access when the access risk value exceeds the access risk allowable value .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007091729A JP4843546B2 (en) | 2007-03-30 | 2007-03-30 | Information leakage monitoring system and information leakage monitoring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007091729A JP4843546B2 (en) | 2007-03-30 | 2007-03-30 | Information leakage monitoring system and information leakage monitoring method |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2008250728A JP2008250728A (en) | 2008-10-16 |
JP2008250728A5 JP2008250728A5 (en) | 2009-05-14 |
JP4843546B2 true JP4843546B2 (en) | 2011-12-21 |
Family
ID=39975584
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007091729A Active JP4843546B2 (en) | 2007-03-30 | 2007-03-30 | Information leakage monitoring system and information leakage monitoring method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4843546B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8356001B2 (en) * | 2009-05-19 | 2013-01-15 | Xybersecure, Inc. | Systems and methods for application-level security |
JP5294347B2 (en) * | 2011-02-16 | 2013-09-18 | Necビッグローブ株式会社 | Privilege management system and privilege management method |
US8931109B2 (en) * | 2012-11-19 | 2015-01-06 | International Business Machines Corporation | Context-based security screening for accessing data |
EP3107025A4 (en) | 2014-02-12 | 2017-03-29 | Mitsubishi Electric Corporation | Log analysis device, unauthorized access auditing system, log analysis program, and log analysis method |
KR101920613B1 (en) * | 2018-06-01 | 2018-11-21 | 주식회사 시큐브 | Security policy and audit log bi-directional lookup, comparing and tracking system and method thereof |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003233521A (en) * | 2002-02-13 | 2003-08-22 | Hitachi Ltd | File protection system |
JP4007873B2 (en) * | 2002-07-09 | 2007-11-14 | 富士通株式会社 | Data protection program and data protection method |
JP2005234729A (en) * | 2004-02-18 | 2005-09-02 | Hitachi Omron Terminal Solutions Corp | Unauthorized access protection system and its method |
JP2006155124A (en) * | 2004-11-29 | 2006-06-15 | Savant:Kk | Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein |
-
2007
- 2007-03-30 JP JP2007091729A patent/JP4843546B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2008250728A (en) | 2008-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Swanson et al. | Generally accepted principles and practices for securing information technology systems | |
JP5248612B2 (en) | Intrusion detection method and system | |
CN104283889B (en) | APT attack detectings and early warning system inside electric system based on the network architecture | |
KR100732789B1 (en) | Method and apparatus for monitoring a database system | |
CN113542279B (en) | Network security risk assessment method, system and device | |
CN112653678B (en) | Network security situation perception analysis method and device | |
KR20040035572A (en) | Integrated Emergency Response System in Information Infrastructure and Operating Method therefor | |
KR20020062070A (en) | Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof | |
CN112787992A (en) | Method, device, equipment and medium for detecting and protecting sensitive data | |
JP7204247B2 (en) | Threat Response Automation Methods | |
JP4843546B2 (en) | Information leakage monitoring system and information leakage monitoring method | |
US8978150B1 (en) | Data recovery service with automated identification and response to compromised user credentials | |
JP2005222216A (en) | System audit method and system audit device | |
CN109150853A (en) | The intruding detection system and method for role-base access control | |
JP2019075131A (en) | Method for monitoring file access, program, and system | |
CN110086812B (en) | Safe and controllable internal network safety patrol system and method | |
CN116915515A (en) | Access security control method and system for industrial control network | |
KR101081875B1 (en) | Prealarm system and method for danger of information system | |
CN113094715B (en) | Network security dynamic early warning system based on knowledge graph | |
JPH10107795A (en) | Network management system | |
KR102338998B1 (en) | System and method for checking log integrity and proving forgery and alteration activity of log through the same | |
Hakkoymaz | Classifying Database Users for Intrusion Prediction and Detection in Data Security | |
CN114037286A (en) | Big data based automatic sensitive data detection method and system for power dispatching | |
KR102488337B1 (en) | Method and apparatus for managing digital information using digital forensic | |
Sindhu et al. | Intelligent multi-agent based genetic fuzzy ensemble network intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090331 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090331 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110630 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110712 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110907 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110927 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111007 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4843546 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141014 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |