JP5155909B2 - Operation monitoring system and operation monitoring program - Google Patents

Operation monitoring system and operation monitoring program Download PDF

Info

Publication number
JP5155909B2
JP5155909B2 JP2009053347A JP2009053347A JP5155909B2 JP 5155909 B2 JP5155909 B2 JP 5155909B2 JP 2009053347 A JP2009053347 A JP 2009053347A JP 2009053347 A JP2009053347 A JP 2009053347A JP 5155909 B2 JP5155909 B2 JP 5155909B2
Authority
JP
Japan
Prior art keywords
information
log information
terminal
allowable
range
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009053347A
Other languages
Japanese (ja)
Other versions
JP2010211257A (en
Inventor
稔 和仁
直樹 本永
Original Assignee
Sky株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sky株式会社 filed Critical Sky株式会社
Priority to JP2009053347A priority Critical patent/JP5155909B2/en
Publication of JP2010211257A publication Critical patent/JP2010211257A/en
Application granted granted Critical
Publication of JP5155909B2 publication Critical patent/JP5155909B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

<P>PROBLEM TO BE SOLVED: To provide an operation monitoring system for determining the possibility that any unauthorized operation is performed for each user from the operation history of a computer terminal. <P>SOLUTION: Allowable operation range information showing a standard operation in a terminal is generated by using operation log information showing the history of the operation of the terminal. Then operating situation information showing an operation in the specific period is generated. Then, whether the operating situation information is in the allowable operation range is determined, so that the possibility of the unauthorized operation is determined. Then, control corresponding to the possibility of the unauthorized operation is executed. <P>COPYRIGHT: (C)2010,JPO&amp;INPIT

Description

本発明は、コンピュータ端末におけるユーザの操作を監視する技術に関する。特に通常の操作と異なる操作が行われているかを監視する技術に関する。   The present invention relates to a technique for monitoring a user operation on a computer terminal. In particular, the present invention relates to a technique for monitoring whether an operation different from a normal operation is being performed.

多くの企業等では、業務に用いる機密情報をコンピュータシステムで管理している。そして、企業の従業員は、業務を行う際にコンピュータ端末を用いて機密情報にアクセスし利用している。この機密情報は、企業にとってきわめて重要であるため、情報漏洩が発生する事が無いようコンピュータ端末から機密情報へのアクセスに対してさまざまな対策を講じている。   In many companies, confidential information used for business is managed by a computer system. Corporate employees use computer terminals to access and use confidential information when performing business. Since this confidential information is extremely important for companies, various measures are taken for access to confidential information from a computer terminal so that no information leakage occurs.

企業において機密情報の漏洩事故が発生する原因は、多種多様である。たとえば、企業内のネットワークに対して外部ネットワークからの不正侵入が原因となって発生する情報漏洩や、企業内のコンピュータ端末の操作が原因となって発生する情報漏洩などがある。特に企業内のコンピュータ端末の操作によって情報漏洩が発生するケースでは、情報漏洩を発生させるおそれのあるコンピュータ端末の操作に様々なものが考えられるため、一つの操作に絞って対策を立てることができないということもあり、きわめて対策が難しく深刻な問題となっている。例えば、正規の利用者による操作ではなくスパイウェア、ウィルスソフトウェア、又はファイル共有ソフトウェアなどの不正なソフトウェアによって操作が行われる場合や、悪意の有る利用者がコンピュータ端末を不正に使用して機密情報にアクセスする操作が行われる場合などが考えられる。このような情報漏洩に係る操作は、日常的な操作とは異なる操作によって行われる場合が多い。   There are a variety of reasons why confidential information leaks occur in companies. For example, there are information leakage that occurs due to unauthorized intrusion from an external network to a corporate network, and information leakage that occurs due to operation of a computer terminal within the enterprise. Especially in cases where information leakage occurs due to the operation of computer terminals in the company, there are various possible operations for computer terminals that may cause information leakage, so it is not possible to devise countermeasures focusing on one operation. For this reason, it is extremely difficult to take countermeasures and is a serious problem. For example, when an operation is performed by unauthorized software such as spyware, virus software, or file sharing software instead of an authorized user operation, or a malicious user illegally uses a computer terminal to access confidential information. The case where the operation to perform is performed is considered. Such operations related to information leakage are often performed by operations different from daily operations.

このような企業内のコンピュータ端末の不正な操作が原因となって発生する機密情報の漏洩を防止するために、コンピュータ端末の操作を監視するシステムや装置が考えられている。例えば、特許文献1のようにソフトウェアに対する動作のポリシー情報を記憶しておき、そのポリシー情報と監視対象ソフトウェアの動作とを比較する事で、正常動作からの乖離の有無を判定する技術が開示されている。   In order to prevent leakage of confidential information caused by such an unauthorized operation of a computer terminal in a company, a system or apparatus for monitoring the operation of the computer terminal has been considered. For example, as disclosed in Patent Document 1, a technique for determining whether or not there is a divergence from a normal operation is disclosed by storing policy information on the operation for software and comparing the policy information with the operation of the monitored software. ing.

また、特許文献2には、機器の操作履歴を用いて頻出操作パターンを抽出し、その頻出操作パターンとその後に行われた操作とを比較し、正常な操作であるか否かを判定する事ができる。   In Patent Document 2, a frequent operation pattern is extracted using an operation history of the device, and the frequent operation pattern is compared with a subsequent operation to determine whether the operation is normal. Can do.

特開2006−53788JP 2006-53788 A 特開2005−259160JP-A-2005-259160

上述の特許文献1では、正常と判定するために予めポリシー情報の設定を行う作業や正常動作が保障された環境を用いて動作モデルを生成する必要があり、管理者にとって煩雑な作業が必要となっている。さらに、コンピュータ端末の利用者毎に操作方法が異なる場合に的確に監視することができない。また、システムリソースへのアクセス規則が決定した後では、アクセスが許可されている場合では操作に変化があっても検出することができない。 In the above-mentioned Patent Document 1, it is necessary to generate an operation model using an environment in which policy information is set in advance and an environment in which normal operation is guaranteed in order to determine that the operation is normal. It has become. Furthermore, when the operation method differs for each user of the computer terminal, it cannot be accurately monitored. In addition, after the access rule to the system resource is determined, even if the operation is changed, it cannot be detected when the access is permitted.

また、上述の特許文献2も同様に、頻出操作パターンに一致する限りは正常とみなされるため、過去に行われた操作のパターン変化には対応できるが、それ以外の操作にかかる変化を検出する事ができない。 Similarly, since the above-described Patent Document 2 is regarded as normal as long as it matches the frequent operation pattern, it can cope with a pattern change of an operation performed in the past, but detects a change related to other operations. I can't do anything.

本発明は、上記従来技術の問題点を解消し、コンピュータ端末に対する操作の変化から利用者が不正操作を行っていないかを判定することを課題とする。具体的には、コンピュータ端末の操作履歴を用いて許容できる操作範囲を生成し、更に生成した操作範囲を用いて、利用者が行うコンピュータ端末の操作について不正操作か否かを判定する技術を提供することを課題とする。 It is an object of the present invention to solve the above-described problems of the prior art and to determine whether a user has performed an unauthorized operation from a change in operation on a computer terminal. Specifically, a technique is provided for generating an allowable operation range using the operation history of the computer terminal, and further determining whether the operation of the computer terminal performed by the user is an unauthorized operation using the generated operation range. The task is to do.

本発明は、端末の操作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部と、前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成部と、前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成部と、前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定部とを備え、
前記不正操作判定部は、不正操作の可能性の度合いを積算し、判定ポイントとして判定のタイミングを示す情報と共に判定ポイント記憶部に記憶する手段と、判定ポイント記憶部に記憶された情報に基づいて、単位時間ごとの判定ポイントを集計し、不正操作の発生傾向を算出する発生傾向算出手段と、前記算出した発生傾向に応じて不正操作の可能性を判定する手段と、を有することを特徴とする操作監視システムである。
The present invention provides an operation log information storage unit that stores operation log information indicating a history of operation of the terminal, and an allowable operation range that indicates a standard operation in the terminal based on the operation log information of the operation log information storage unit. An operation range information that generates information, and operation log information for a specific period of the terminal is extracted from the operation log information storage unit, and operation status information that indicates the operation status of the terminal is generated according to the extracted operation log information An operation status generation unit that performs an illegal operation determination unit that determines the possibility of an unauthorized operation based on the allowable operation range information and the operation status information ,
The unauthorized operation determination unit integrates the degree of possibility of unauthorized operation and stores it in the determination point storage unit together with information indicating the determination timing as a determination point, based on information stored in the determination point storage unit A generation tendency calculating means for counting determination points for each unit time and calculating an occurrence tendency of an unauthorized operation; and a means for determining a possibility of an unauthorized operation according to the calculated occurrence tendency. it is an operation monitoring system that.

本発明のように構成する事により、端末で行われた操作から許容できる操作範囲を生成することができ、その許容できる操作範囲から外れた操作に対して不正操作の可能性を判定することができるようになる。これによって、端末の日常的な操作に合わせて不正操作の判定を行うことができる。 By configuring as in the present invention, it is possible to generate an allowable operation range from the operation performed on the terminal, and to determine the possibility of an illegal operation for an operation outside the allowable operation range. become able to. As a result, it is possible to determine the unauthorized operation in accordance with the daily operation of the terminal.

許容操作範囲情報とは、端末の標準的な操作としての許容できる範囲を示す情報のことである。 The allowable operation range information is information indicating an allowable range as a standard operation of the terminal.

操作状況情報とは、特定の期間内の端末の操作を示す情報のことである。 The operation status information is information indicating the operation of the terminal within a specific period.

本発明の操作監視システムにおける前記操作状況生成部は、前記操作ログ情報記憶部に記憶される前記特定期間の操作ログ情報のうち、特定の操作を示す操作ログ情報の操作日時を基準とする所定期間における操作状況を示す操作状況情報を生成する操作監視システムと構成することもできる。   The operation status generating unit in the operation monitoring system of the present invention is a predetermined based on the operation date and time of the operation log information indicating a specific operation among the operation log information of the specific period stored in the operation log information storage unit. It can also be configured as an operation monitoring system that generates operation status information indicating an operation status in a period.

本発明を上述のように構成する事により、特定の操作(リスクの高い操作など)に関連する操作を判定対象とする事ができるようになるため、特定の操作に関連する不正操作の可能性を判定できるようになる。 By configuring the present invention as described above, an operation related to a specific operation (such as a high-risk operation) can be determined. Therefore, the possibility of an unauthorized operation related to the specific operation is possible. Can be determined.

上述の発明は、本発明のプログラムをコンピュータ端末に読み込ませて実行することで実現することもできる。すなわち端末の動作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部を備える操作監視システムのための操作監視プログラムであって、前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成機能と、前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成機能と前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定機能とを備え、
前記不正操作判定機能は、不正操作の可能性の度合いを積算し、判定ポイントとして判定のタイミングを示す情報と共に判定ポイント記憶部に記憶する手段と、判定ポイント記憶部に記憶された情報に基づいて、単位時間ごとの判定ポイントを集計し、不正操作の発生傾向を算出する発生傾向算出手段と、前記算出した発生傾向に応じて不正操作の可能性を判定する手段と、をコンピュータに実現させる操作監視プログラムとして構成してもよい。
The above-described invention can also be realized by reading and executing the program of the present invention on a computer terminal. That is, an operation monitoring program for an operation monitoring system including an operation log information storage unit that stores operation log information indicating a history of operation of the terminal, the terminal based on the operation log information of the operation log information storage unit An allowable operation range generation function for generating an allowable operation range information indicating a standard operation in the operation, and extracting operation log information for a specific period of the terminal from the operation log information storage unit, and the terminal according to the extracted operation log information comprising of an operation status generating function for generating an operation state information indicating the operation status, on the basis of the allowable operating range information and the said operation status information, and a tamper determination function of determining the possibility of unauthorized operation,
The unauthorized operation determination function is based on means for accumulating the degree of possibility of unauthorized operation and storing in the determination point storage unit together with information indicating the determination timing as a determination point, and information stored in the determination point storage unit An operation for causing a computer to generate an occurrence tendency calculation unit for calculating determination tendency of fraudulent operation and a means for determining possibility of fraudulent operation according to the calculated occurrence tendency. You may comprise as a monitoring program.

この操作監視プログラムも、上述の操作監視プログラムと同様の作用効果を伴うものであり、上述した種々の特徴構成を備えることもできる。 This operation monitoring program also has the same effects as the above-described operation monitoring program, and can also have the various feature configurations described above.

上述のように構成された本発明によれば、端末の操作履歴から許容できる操作範囲を生成し、そして端末の操作が許容できる範囲内であるか否かを判定する。そして、端末に対する操作の変化を把握し、不正操作が行われている可能性を判定する事ができ、情報漏洩を軽減する効果を得ることができる。 According to the present invention configured as described above, an allowable operation range is generated from the operation history of the terminal, and it is determined whether or not the operation of the terminal is within the allowable range. And the change of operation with respect to a terminal can be grasped | ascertained, the possibility that unauthorized operation is performed can be determined, and the effect which reduces information leakage can be acquired.

本発明のシステム構成の概念を模式的に示す図。The figure which shows typically the concept of the system configuration | structure of this invention. 本発明のハードウェア構成の概念を模式的に示す図。The figure which shows typically the concept of the hardware constitutions of this invention. 本発明のシステムの機能ブロックを模式的に示す図。The figure which shows typically the functional block of the system of this invention. 本発明の処理プロセスを模式的に示すフローチャート。The flowchart which shows the processing process of this invention typically. 操作ログ情報の一例を模式的に示す図。The figure which shows an example of operation log information typically. 操作ログ情報を集計した結果(許容操作範囲情報用)を模式的に示す図。The figure which shows typically the result (for allowable operation range information) which totaled operation log information. 許容範囲設定値記憶部を模式的に示す図。The figure which shows a tolerance | permissible_range setting value memory | storage part typically. 許容範囲設定値記憶部を模式的に示す図。The figure which shows a tolerance | permissible_range setting value memory | storage part typically. 許容操作範囲情報を模式的に示す図。The figure which shows permissible operation range information typically. 操作ログ情報を集計した結果(操作状況情報用)を模式的に示す図。The figure which shows typically the result (for operation condition information) which totaled operation log information. 不正操作判定の結果と制御内容を模式的に示す図。The figure which shows typically the result of unauthorized operation determination, and the control content. 表示装置の表示を模式的に示す図。The figure which shows the display of a display apparatus typically. 操作ログ情報を集計した結果(許容操作範囲情報用)を模式的に示す図。The figure which shows typically the result (for allowable operation range information) which totaled operation log information. 操作ログ情報の一例を模式的に示す図。The figure which shows an example of operation log information typically. 環境情報を模式的に示す図。The figure which shows environmental information typically. 環境情報とリスクポイントとの関係を模式的に示す図。The figure which shows typically the relationship between environmental information and a risk point. 操作ポイントの集計した結果を模式的に示す図。The figure which shows typically the result of having totaled the operation point. 基準操作ログ情報と関連操作取得期間の関係を模式的に示す図。The figure which shows typically the relationship between reference | standard operation log information and a related operation acquisition period. 基準操作ログ情報の条件と関連操作取得期間の内容を模式的に示す図。The figure which shows typically the conditions of reference | standard operation log information, and the content of a related operation acquisition period. 操作内容とポイントを模式的に示す図。The figure which shows operation content and a point typically. 表示装置の部署毎のレポート表示を模式的に示す図。The figure which shows typically the report display for every department of a display apparatus. 表示装置の端末毎のレポート表示を模式的に示す図。The figure which shows typically the report display for every terminal of a display apparatus.

〔実施例1−構成〕
以下、図面を用いて本発明の実施形態を説明する。図1は、本発明の操作監視システムの全体の構成図を示す。本発明は図1に示すように、管理サーバAが、通信ネットワークN(以下、「ネットワークN」という)を介して、複数のクライアント端末B(以下、「端末B」という)と接続されるという形で構成されている。 Example 1 Configuration
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows an overall configuration diagram of the operation monitoring system of the present invention. In the present invention, as shown in FIG. 1, a management server A is connected to a plurality of client terminals B (hereinafter referred to as “terminal B”) via a communication network N (hereinafter referred to as “network N”). It is composed of shapes.

ネットワークNは、企業や学校等の限られた施設内において情報を物理的に送るケーブルと、LANスイッチやハブ等でなる中継機器を備えたCSMA/CD(Carrier Sense Multiple Access with Collision Detection)方式のイーサネット(Ethernet)(商標)型のLANとして構成されたものであるが、このネットワークNとしてイーサネット型のLAN以外に、インターネットの技術を用いたイントラネットで構築されたものや、WAN(Wide Area Network)の技術によって構築されるものでも良い。   Network N is a CSMA / CD (Carrier Sense Multiple Access with Collision Detection) system with a cable that physically transmits information in a limited facility such as a company or school, and a relay device such as a LAN switch or hub. Although it is configured as an Ethernet (trademark) type LAN, the network N is constructed by an intranet using Internet technology in addition to the Ethernet type LAN, or a WAN (Wide Area Network). It may be constructed by the technology.

図2は、管理サーバAのハードウェア構成の一例を模式的に示す。管理サーバAは、プログラムの演算処理を実行するCPU等の演算装置1と、情報を記憶するRAMやハードディスク等の記憶装置2と、演算装置1の処理結果や記憶装置2に記憶する情報をインターネットやLAN等のネットワークを介して送受信する通信装置5と、ディスプレイ(操作画面)等の表示装置3と、キーボードやマウスやテンキー等の入力装置4と、を少なくとも有している。端末上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュール等)が演算装置1に読み込まれることでその処理が実行される。各機能は、記憶装置2に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置2から読み出し、読み出した情報を適宜、演算装置1における処理に用いる。また、管理サーバAは、複数の端末に、その機能が分散配置されていても良い。   FIG. 2 schematically shows an example of the hardware configuration of the management server A. The management server A includes an arithmetic device 1 such as a CPU that executes arithmetic processing of a program, a storage device 2 such as a RAM and a hard disk for storing information, processing results of the arithmetic device 1 and information stored in the storage device 2 on the Internet. And a communication device 5 that transmits and receives via a network such as a LAN, a display device 3 such as a display (operation screen), and an input device 4 such as a keyboard, a mouse, and a numeric keypad. Each function (each unit) realized on the terminal is executed when a unit (program, module, or the like) that executes the process is read into the arithmetic unit 1. When using the information stored in the storage device 2 in the processing, each function reads the corresponding information from the storage device 2 and uses the read information in the processing in the arithmetic device 1 as appropriate. Further, the management server A may have its functions distributed to a plurality of terminals.

端末Bのハードウェア構成は管理サーバAとほぼ同様で、図2に示したとおり、演算装置1と、記憶装置2と、表示装置3と、入力装置4と、通信装置5とを有している。   The hardware configuration of the terminal B is almost the same as that of the management server A. As shown in FIG. 2, the terminal B includes the arithmetic device 1, the storage device 2, the display device 3, the input device 4, and the communication device 5. Yes.

図3は、本発明のファイル管理システムを構成する管理サーバAと端末Bの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していても良い。   FIG. 3 shows a functional block diagram of the management server A and terminal B constituting the file management system of the present invention. Each component and each means in the present invention are logically distinguished from each other in function, and may be physically or practically the same area.

管理サーバAの内部には、ネットワークNを介して端末Bと様々な情報の送受信するためのネットワークI/F10、端末Bで行われた動作・制御を示す操作ログ情報を取得する操作ログ情報取得部11、取得した端末Bの操作ログ情報を記憶する操作ログ情報記憶部12、操作ログ情報から端末Bの標準的な操作の許容範囲を示す許容操作範囲情報を生成する許容操作範囲生成部13、特定期間における端末Bの操作状況を示す操作状況情報を生成する操作状況生成部14、許容操作範囲情報と操作状況情報とに基づいて不正操作の可能性を判定する不正操作判定部15、判定結果に基づいて各種制御を行う制御部16を備えている。   Inside the management server A, a network I / F 10 for transmitting and receiving various information to and from the terminal B via the network N, and operation log information acquisition for acquiring operation log information indicating operation / control performed by the terminal B Unit 11, an operation log information storage unit 12 that stores the acquired operation log information of terminal B, and an allowable operation range generation unit 13 that generates allowable operation range information indicating a standard operation allowable range of terminal B from the operation log information. An operation status generation unit 14 that generates operation status information indicating the operation status of the terminal B in a specific period, an unauthorized operation determination unit 15 that determines the possibility of an unauthorized operation based on the allowable operation range information and the operation status information, A control unit 16 that performs various controls based on the results is provided.

端末Bの内部には、ネットワークNを介して管理サーバAと様々な情報を送受信するためのネットワークI/F20、端末Bにおける各種動作・制御を実行させる端末制御部21、端末Bにおいて実行された動作・制御の履歴を示す操作ログ情報を生成する操作ログ情報生成部22、生成された操作ログ情報を管理サーバAに送信する操作ログ情報送信部23、端末Bに対する各種の制御指示を受信する端末指示受信部24を備えている。   In the terminal B, the network I / F 20 for transmitting / receiving various information to / from the management server A via the network N, the terminal control unit 21 for executing various operations / controls in the terminal B, and the terminal B are executed. An operation log information generation unit 22 that generates operation log information indicating an operation / control history, an operation log information transmission unit 23 that transmits the generated operation log information to the management server A, and receives various control instructions for the terminal B. A terminal instruction receiving unit 24 is provided.

通常、管理サーバA、端末Bの内部にある各構成部は、その処理を実行する手段(プログラムやモジュール等)がハードウェアに読み込まれることでその処理が実行されるが、これらをハードウェアとの組み合わせにより構成しても良いし、ロジック等を組み合わせたハードウェアのみで構成しても構わない。   Normally, each component in the management server A and terminal B executes the processing by reading the hardware (program, module, etc.) that executes the processing into hardware. It may be configured by a combination of the above, or may be configured only by hardware combining logic and the like.

以下、図3に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。   The operation of each component will be described below based on the functional block diagram constituting the present invention shown in FIG.

端末制御部21は、端末Bにおける各種のハードウェア及びソフトウェアの動作・制御を行う。本実施例において端末の動作・制御とは、アプリケーション、OS、ミドルウェア、ファームウェアなどで実行されるあらゆる動作をさすものとする。   The terminal control unit 21 operates and controls various hardware and software in the terminal B. In this embodiment, the operation / control of the terminal refers to all operations executed by an application, OS, middleware, firmware, and the like.

操作ログ情報生成部22は、端末Bにおいて行われた動作・制御の履歴を示す操作ログ情報(後述)を生成する。操作ログ情報は、端末制御部21で行われた制御に基づいて生成される。   The operation log information generation unit 22 generates operation log information (described later) indicating the history of operation / control performed in the terminal B. The operation log information is generated based on the control performed by the terminal control unit 21.

操作ログ情報送信部23は、操作ログ情報生成部22で生成した操作ログ情報を管理サーバAに送信する。つまり、操作ログ情報はネットワークI/F20を介して管理サーバAに送信される。通常、操作ログ情報送信部23は、端末制御部21において動作や制御が実行される毎に生成される操作ログ情報を管理サーバAに送信する。また、前述の方法に限らず、所定のタイミングもしくは一定周期で管理サーバへ操作ログ情報の送信を行っても良く、操作ログ情報の生成と管理サーバAへの送信が同一タイミングで実行されなくても良い。   The operation log information transmission unit 23 transmits the operation log information generated by the operation log information generation unit 22 to the management server A. That is, the operation log information is transmitted to the management server A via the network I / F 20. Usually, the operation log information transmission unit 23 transmits operation log information generated every time operation or control is executed in the terminal control unit 21 to the management server A. Further, the operation log information may be transmitted to the management server at a predetermined timing or at a constant cycle, not limited to the above-described method, and the generation of the operation log information and the transmission to the management server A are not performed at the same timing. Also good.

操作ログ情報とは、端末Bにおいて、入力装置4を用いたユーザの操作やアプリケーション等の指示による発生した通知・要求に従って動作・制御が実行された履歴を示す情報である。具体的には、端末識別情報、ユーザ識別情報、操作日時、操作内容、操作対象情報、付加情報、等を含むものをいう。これら操作ログ情報に含まれる情報は一例であって限定されるものではなく、本発明の目的を達する限りにおいて、一部の情報のみを用いても良い。操作ログ情報の例を図5に模式的に示す。   The operation log information is information indicating a history of operations / controls performed in the terminal B according to notifications / requests generated by user operations using the input device 4 and instructions from applications and the like. Specifically, it includes information including terminal identification information, user identification information, operation date / time, operation content, operation target information, additional information, and the like. The information included in the operation log information is an example and is not limited, and only a part of the information may be used as long as the object of the present invention is achieved. An example of operation log information is schematically shown in FIG.

上述の操作日時には、本実施例では動作・制御が実行された日時が含まれるが、操作ログ情報が生成された日時でも良いし、管理サーバAに送信した日時でも良い。また、日時を数値化した値としてもかまわない。   In the present embodiment, the operation date and time includes the date and time when the operation / control was executed. However, the operation date and time when the operation log information was generated or the date and time when the operation log information was transmitted to the management server A may be used. Further, the date and time may be converted into a numerical value.

上述の操作内容とは、端末Bにおいて実行された内容であって、ミドルウェアまたはOS等において実行されるソフトウェアやハードウェア等の動作・制御の内容のことをいる。より具体的には、キー入力、ポインティングデバイスの操作(ボタン押下、移動など)、外部記憶媒体の着脱(検出・削除または接続・切断など)、外部出力機器(プリンタなど)との接続、ファイル操作(作成、削除、複製、移動、ファイル名変更、ファイル読み込み、ファイル書込み等)、フォルダ操作(作成、削除、複製、移動、フォルダ名変更等)、メール送信・受信、アプリケーション操作(起動、終了等)、ドライブの追加・削除・検知、ネットワークの接続・切断、IPアドレス変更、コンピュータ名変更、記憶媒体の書き込み、印刷、メディア作成(CD−R、DVD−R等の作成)、クリップボードへの複製、Webページアクセス、ファイルダウンロード、ファイルアップロード、端末起動・端末終了等を示す情報がある。なお、これらは一例であって限定されるものではない。   The above-described operation contents are contents executed in the terminal B, and are contents of operation / control of software or hardware executed in the middleware or OS. More specifically, key input, pointing device operation (button press, movement, etc.), external storage medium attachment / detachment (detection / deletion or connection / disconnection, etc.), connection with external output device (printer, etc.), file operation, etc. (Create, delete, duplicate, move, rename file, read file, write file, etc.), folder operations (create, delete, duplicate, move, rename folder, etc.), send / receive email, application operations (start, end, etc.) ), Add / delete / detect drive, connect / disconnect network, change IP address, change computer name, write storage media, print, create media (create CD-R, DVD-R, etc.), copy to clipboard , Web page access, file download, file upload, terminal activation / terminal termination, etc. . In addition, these are examples and are not limited.

上述の操作対象情報とは、操作内容に応じて実行される対象のことをいう。本実施例においては、端末Bによって操作または制御されたアプリケーションの識別情報(アプリケーション識別情報)、ファイルの識別情報(ファイル識別情報)、フォルダ情報、Webページアドレス、メールアドレス(送信先、送信元)、ネットワークの識別情報(ネットワークドメイン名などのネットワークを一義的に識別する情報)などが含まれる。前述の例以外であっても目的を達する限りにおいていかなる情報で有ってもかまわない。   The above-described operation target information refers to a target to be executed according to the operation content. In this embodiment, the identification information (application identification information) of the application operated or controlled by the terminal B, the identification information of the file (file identification information), the folder information, the Web page address, and the mail address (transmission destination, transmission source) And network identification information (information that uniquely identifies the network such as a network domain name). Any information other than the above examples may be used as long as the purpose is achieved.

上述のアプリケーション識別情報とは、アプリケーションを一義的に識別可能な情報のことをいう。上述のファイル識別情報とは、ファイルを一義的に識別可能な情報のことをいう。上述のフォルダ情報とは、フォルダを一義的に識別可能な情報のことをいう。上述のWebページアドレスとは、一般的にURL(Uniform Resource Locatorの略)であり、ネットワーク上の情報資源、文書や画像などの場所を指し示す情報のことをいう。   The above-described application identification information refers to information that can uniquely identify an application. The above-described file identification information refers to information that can uniquely identify a file. The above folder information refers to information that can uniquely identify a folder. The above-described Web page address is generally a URL (abbreviation of Uniform Resource Locator), and refers to information indicating a location such as an information resource, a document, or an image on a network.

上述の付加情報とは、操作内容・操作対象情報にしたがって付加的に取得される情報のことをいい、操作内容によって、付加情報として取得される情報の内容が変わる。より具体的には、データ量、印刷ページ数、ファイル容量、ファイル数などがある。例えば、操作内容がファイルダウンロードであれば、ダウンロードを行ったデータ量などである。なお、これらは一例であって限定されるものではない。   The additional information mentioned above refers to information that is additionally acquired according to the operation content / operation target information, and the content of the information acquired as additional information varies depending on the operation content. More specifically, there are data amount, number of printed pages, file capacity, number of files, and the like. For example, if the operation content is a file download, it is the amount of data downloaded. In addition, these are examples and are not limited.

制御指示受信部24は、管理サーバAの制御部16によって決定された制御指示をネットワークI/F20を介して受信する。受信した制御指示は端末制御部21に通知される。   The control instruction receiving unit 24 receives the control instruction determined by the control unit 16 of the management server A via the network I / F 20. The received control instruction is notified to the terminal control unit 21.

操作ログ情報取得部11は、端末Bから送られてくる操作ログ情報をネットワークI/F10を介して取得する。   The operation log information acquisition unit 11 acquires operation log information sent from the terminal B via the network I / F 10.

操作ログ情報記憶部12は、操作ログ情報取得部11で取得した操作ログ情報を記憶する。操作ログ情報の記憶は、端末識別情報毎またはユーザ識別情報毎に記憶しても良い。さらに、操作ログ情報のをデータベース等を用いて記憶・管理するようにしても良い。   The operation log information storage unit 12 stores the operation log information acquired by the operation log information acquisition unit 11. Operation log information may be stored for each terminal identification information or each user identification information. Furthermore, the operation log information may be stored and managed using a database or the like.

許容操作範囲生成部13は、操作ログ情報記憶部12に記憶されている操作ログ情報から端末Bの標準的な操作の範囲を示す許容操作範囲情報を生成する。そして、生成した許容操作範囲情報を不正操作判定部15に通知する。なお、生成した結果を許容操作範囲情報記憶部(図示せず)に記憶させ、適時読み出して使用できるようにすると好適である。   The allowable operation range generation unit 13 generates allowable operation range information indicating a standard operation range of the terminal B from the operation log information stored in the operation log information storage unit 12. Then, the generated allowable operation range information is notified to the unauthorized operation determination unit 15. The generated result is preferably stored in an allowable operation range information storage unit (not shown) so that it can be read out and used at appropriate times.

上述の許容操作範囲情報とは、操作ログ情報に基づいて端末Bの標準的な操作の範囲を数値化した値(許容範囲値)を含む情報のことをいう。この標準的な操作とは、端末使用者の日常的な範例となる操作のことをいう。許容操作範囲情報には、端末識別情報、許容範囲値などが含まれる。許容範囲値には、操作内容、操作対象情報、付加情報の平均実行回数、平均実行時刻、平均実行周期などが含まれる。許容操作範囲情報の具体的な例としては、操作ログ情報が示す任意の操作が実行された回数の範囲、実行された時刻の範囲、または実行された時間間隔の範囲などが挙げられる。ここでいう範囲には、少なくとも最大値または最小値を示す値が含まれているものとする。 The allowable operation range information described above refers to information including a value (allowable range value) obtained by quantifying the standard operation range of the terminal B based on the operation log information. This standard operation refers to an operation that becomes a daily example of a terminal user. The allowable operation range information includes terminal identification information, an allowable range value, and the like. The allowable range value includes operation details, operation target information, average number of executions of additional information, average execution time, average execution cycle, and the like. Specific examples of the allowable operation range information include a range of the number of times that an arbitrary operation indicated by the operation log information has been executed, a range of time of execution, a range of time intervals of execution, and the like. The range here includes at least a value indicating the maximum value or the minimum value.

上述の許容操作範囲情報の生成方法について詳細に説明する。許容操作範囲生成部13は、操作ログ情報記憶部12から特定の端末Bの操作ログ情報を抽出し、端末Bにおける操作の基準値(操作基準値)を算出する操作基準値算出手段と、操作基準値に基づいて操作の許容範囲を示す許容範囲値を算出し、その許容範囲値を許容操作範囲情報とする許容範囲値生成手段と、を備える。 A method for generating the above-described allowable operation range information will be described in detail. The allowable operation range generation unit 13 extracts operation log information of a specific terminal B from the operation log information storage unit 12, calculates an operation reference value (operation reference value) of the operation at the terminal B, And an allowable range value generating means for calculating an allowable range value indicating an allowable range of operation based on the reference value and using the allowable range value as allowable operating range information.

上述の操作基準値算出手段は、まず、操作ログ情報記憶部12から特定の端末Bから出力された、標準的な操作を判定するための所定期間内における操作ログ情報を抽出する。標準的な操作を判定するための所定期間内は、当該端末Bの標準的な操作を判定することができるとユーザが判断した任意の期間としても良いし、予め定められた固定値で有っても良い。または、操作ログ情報記憶部12内に保存されている端末Bのすべての操作ログ情報を抜き出すことができるような期間であっても良い。さらに、所定期間を設定する方法以外にも、予め2つの特定の操作ログ情報を定めておき、その2つの操作ログ情報にはさまれた期間を、操作ログ情報抽出を行う所定期間とするという方法も考えられる。 The above-mentioned operation reference value calculation means first extracts operation log information within a predetermined period for determining a standard operation output from the specific terminal B from the operation log information storage unit 12. The predetermined period for determining the standard operation may be an arbitrary period during which the user determines that the standard operation of the terminal B can be determined, or has a predetermined fixed value. May be. Alternatively, it may be a period in which all the operation log information of the terminal B stored in the operation log information storage unit 12 can be extracted. Further, in addition to the method of setting a predetermined period, two specific operation log information are determined in advance, and a period between the two operation log information is set as a predetermined period for extracting operation log information. A method is also conceivable.

次に、操作基準算出手段は、抽出した操作ログ情報に応じて操作基準値を算出する。この算出する操作基準値としては、(1)単位時間における任意の操作の実行回数の平均値(平均実行回数)、(2)任意の操作の実行時刻の平均値(平均実行時刻)、(3)任意の操作の実行の時間間隔の平均値(平均実行周期)などがある。以下、それぞれについて説明する。 Next, the operation reference calculation means calculates an operation reference value according to the extracted operation log information. As the operation reference value to be calculated, (1) an average value of execution times of arbitrary operations in a unit time (average execution time), (2) an average value of execution times of arbitrary operations (average execution time), (3 ) There is an average value of the time interval of execution of an arbitrary operation (average execution cycle). Each will be described below.

〔操作基準値1(平均実行回数)〕
平均実行回数とは、抽出した操作ログ情報を用いて、同じ操作内容に関して単位時間においてに実行された実行回数の平均値を算出して求める操作基準値のことをいう。例えば、図6(a)のように同じ操作内容について1日毎の実行回数を算出していたとする。操作内容「複製」の場合、1日目から10日目までの各日の実行回数として、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」が取得できる。そして、この取得した10日間の実行回数から1日間の平均実行回数「5」を算出する。 [Operation standard value 1 (Average number of executions)]
The average number of executions refers to an operation reference value obtained by calculating an average value of the number of executions executed per unit time for the same operation content using the extracted operation log information. For example, assume that the number of executions per day is calculated for the same operation content as shown in FIG. In the case of the operation content “duplicate”, the number of executions of each day from the first day to the tenth day is “5”, “4”, “4”, “5”, “6”, “7”, “6” ”,“ 4 ”,“ 5 ”,“ 4 ”. Then, an average execution count “5” for one day is calculated from the acquired execution count for 10 days.

〔操作基準値2(平均実行時刻)〕
平均実行時刻とは、抽出した操作ログ情報を用いて、同じ操作内容に関してその操作内容が実行された操作日時から実行時刻の平均値を算出して求める操作基準値のことをいう。例えば、図6(b)のように操作内容「端末起動」の1日目から10日目までの各日の実行時刻(「時:分」)を、「8:59」、「8:55」、「9:06」、「8:56」、「9:02」、「9:04」、「8:58」、「9:01」、「9:05」、「9:05」と取得していたとする。そして、この取得した10日間の実行時刻から平均実行時刻「9:01」を算出する。 [Operation standard value 2 (Average execution time)]
The average execution time is an operation reference value obtained by calculating an average value of execution times from the operation date and time when the operation content is executed for the same operation content using the extracted operation log information. For example, as shown in FIG. 6B, the execution time (“hour: minute”) of the operation contents “terminal activation” from the first day to the tenth day is set to “8:59”, “8:55”. ”,“ 9:06 ”,“ 8:56 ”,“ 9:02 ”,“ 9:04 ”,“ 8:58 ”,“ 9:01 ”,“ 9:05 ”,“ 9:05 ” Suppose you have acquired. Then, the average execution time “9:01” is calculated from the acquired execution time of 10 days.

〔操作基準値3(平均実行周期)〕
平均実行周期とは、抽出した操作ログ情報を用いて、同じ操作内容が実行される時間間隔の平均を算出して求める操作基準値のことをいう。本実施例では、端末の動作時間において実行された実行回数に基づいてその操作内容の実行周期を算出し、実行周期の平均値を算出する。例えば、図6(a)(b)のように、単位時間を端末Bの動作時間(起動〜終了までの時間)とした場合における同じ操作内容の実行回数から実行周期を算出する。つまり、1日目から10日目までの10日間の実行周期(「時間:分」)は、「1:35」、「2:01」、「1:54」、「1:36」、「1:19」、「1:08」、「1:23」、「1:59」、「1:36」、「2:00」と取得できる。そして、この取得した実行周期から平均実行周期「1:39」を算出する。 [Operation standard value 3 (average execution cycle)]
The average execution cycle is an operation reference value obtained by calculating an average of time intervals in which the same operation content is executed using the extracted operation log information. In the present embodiment, the execution cycle of the operation content is calculated based on the number of executions executed during the operation time of the terminal, and the average value of the execution cycles is calculated. For example, as shown in FIGS. 6A and 6B, the execution cycle is calculated from the number of executions of the same operation content when the unit time is the operation time of the terminal B (time from start to end). In other words, the 10-day execution cycle (“hour: minute”) from the first day to the tenth day is “1:35”, “2:01”, “1:54”, “1:36”, “ 1:19 "," 1:08 "," 1:23 "," 1:59 "," 1:36 "," 2:00 ". Then, an average execution period “1:39” is calculated from the acquired execution period.

上述に操作基準値の算出内容について記載したが、これに限らず、本発明の目的を達する限りにおいて、いかなる方法および情報を用いても良い。また、上述の同じ操作内容の算出において、特定の操作を予め決定しておき、その操作内容を含む操作ログ情報に対して算出するようにしてもかまわない。 Although the calculation content of the operation reference value has been described above, the present invention is not limited to this, and any method and information may be used as long as the object of the present invention is achieved. In addition, in the calculation of the same operation content described above, a specific operation may be determined in advance, and the operation log information including the operation content may be calculated.

続いて、算出された操作基準値は、許容範囲値生成手段に通知される。 Subsequently, the calculated operation reference value is notified to the allowable range value generating means.

許容範囲値生成手段は、取得した操作基準値を使用し許容範囲値を生成する。そして、生成された許容範囲値を許容操作範囲情報として不正操作判定部16に通知する。 The allowable range value generation means generates an allowable range value using the acquired operation reference value. The generated allowable range value is notified to the unauthorized operation determination unit 16 as allowable operation range information.

許容範囲値の生成方法として、(1)操作基準値から固定の許容範囲値を取得する方法、(2)操作基準値から許容範囲値を算出する方法、(3)操作基準値に対する割合から許容範囲値を算出方法、などがある。以降にそれぞれについて詳細に説明する。 As a method for generating an allowable range value, (1) a method for obtaining a fixed allowable range value from the operation reference value, (2) a method for calculating the allowable range value from the operation reference value, and (3) an allowable value based on a ratio to the operation reference value. There are methods for calculating the range value. Each will be described in detail below.

〔許容範囲値算出方法1〕
操作基準値から固定の許容範囲値を取得する方法とは、予め操作基準値にかかる許容範囲値を許容範囲設定値記憶部(図示せず)に記憶させ、取得した操作基準値に応じた許容範囲値を取得するという方法のことをいう。例えば、図7(a)が許容範囲設定値記憶部に記憶されている場合に、操作基準値が操作内容における平均実行回数「5」とすると、許容範囲値は、最大値「15」、最小値「0」が取得される。 [Allowable range value calculation method 1]
The method of acquiring a fixed allowable range value from the operation reference value is that the allowable range value related to the operation reference value is stored in advance in an allowable range set value storage unit (not shown), and the allowable range according to the acquired operation reference value A method of obtaining a range value. For example, when FIG. 7A is stored in the allowable range setting value storage unit, if the operation reference value is the average execution count “5” in the operation content, the allowable range value is the maximum value “15”, the minimum value The value “0” is acquired.

〔許容範囲値算出方法2〕
操作基準値から許容範囲値を算出する方法とは、予め操作基準値にかかる範囲加算値と範囲減算値とを許容範囲設定値記憶部に記憶させ、取得した操作基準値に範囲加算値の加算を行った値を許容範囲値の最大値とし、範囲減算値の減算を行った値を許容範囲値の最小値として算出する方法のことをいう。例えば、図8(b)が許容範囲設定値記憶部に記憶されている場合に、操作基準値が操作内容「端末起動」における平均実行時刻(「時:分」)「9:01」とすると、許容範囲値は、最大値「9:11」、最小値「8:51」が取得される。 [Allowable range value calculation method 2]
The method for calculating the allowable range value from the operation reference value is to store the range addition value and the range subtraction value for the operation reference value in the allowable range set value storage unit in advance and add the range addition value to the acquired operation reference value. This is a method of calculating the value obtained by performing the subtraction of the range subtraction value as the minimum value of the allowable range value. For example, when FIG. 8B is stored in the allowable range setting value storage unit, the operation reference value is the average execution time (“hour: minute”) “9:01” in the operation content “terminal activation”. As the allowable range value, the maximum value “9:11” and the minimum value “8:51” are acquired.

〔許容範囲値算出方法3〕
操作基準値に対する割合から許容範囲値を算出方法とは、予め許容割合を用いて、取得した操作基準値に許容割合を乗じて許容範囲値を取得する方法のことをいう。許容割合とは、操作基準値に対して許容できる範囲の最大値・最小値を示す割合である。例えば、予め操作基準値に対して60%〜120%が許容範囲となる許容割合が定義されている場合に、操作基準値が操作内容における平均実行回数「5」とすると、許容範囲値は、最大値「6」、最小値「3」が取得される。 [Allowable range calculation method 3]
The method for calculating the allowable range value from the ratio to the operation reference value refers to a method of acquiring the allowable range value by multiplying the acquired operation reference value by the allowable ratio using the allowable ratio in advance. The allowable ratio is a ratio indicating the maximum value / minimum value within the allowable range with respect to the operation reference value. For example, when an allowable ratio in which 60% to 120% is an allowable range with respect to the operation reference value is defined in advance, if the operation reference value is the average execution count “5” in the operation content, the allowable range value is The maximum value “6” and the minimum value “3” are acquired.

上述のように算出された許容範囲値は、許容操作範囲情報として不正操作判定部15に通知される。また、通知とともに許容操作範囲情報記憶部(図示せず)に記憶すると良い。 The allowable range value calculated as described above is notified to the unauthorized operation determination unit 15 as allowable operation range information. Moreover, it is good to memorize | store in a permissible operation range information storage part (not shown) with a notification.

なお、上述では平均実行回数と平均実行時刻に対する例を説明したがこれに限らず、他の情報として、例えば、平均実行周期、平均終了時刻、平均動作時間などを用いることもできる。 In addition, although the example with respect to average execution frequency and average execution time was demonstrated above, it is not restricted to this, For example, an average execution period, an average end time, an average operation time etc. can also be used.

さらに、2以上の許容操作範囲情報を算出し、不正操作判定部15に通知するようにしてもかまわない。 Further, two or more allowable operation range information may be calculated and notified to the unauthorized operation determination unit 15.

操作状況生成部14は、操作ログ情報記憶部12内の特定期間における端末Bの操作ログ情報を抽出し、抽出した操作ログ情報から端末Bの操作状況を示す操作状況情報を生成する。そして、生成した操作状況情報を不正操作判定部15に通知する。 The operation status generation unit 14 extracts the operation log information of the terminal B in a specific period in the operation log information storage unit 12, and generates operation status information indicating the operation status of the terminal B from the extracted operation log information. Then, the generated operation status information is notified to the unauthorized operation determination unit 15.

上述の操作状況情報とは、特定の期間内の操作ログ情報に基づいて端末Bの操作を数値化した値(操作状況値)を含む情報のことである。操作状況情報には、端末識別情報、操作状況値などが含まれる。操作状況値には、操作内容、操作対象情報、付加情報の実行回数、実行時刻、実行周期などが含まれる。 The above-described operation status information is information including a value (operation status value) obtained by quantifying the operation of the terminal B based on the operation log information within a specific period. The operation status information includes terminal identification information, an operation status value, and the like. The operation status value includes operation details, operation target information, number of executions of additional information, execution time, execution cycle, and the like.

上述の特定期間は、端末Bの操作の傾向や状況を判断するために必要な期間である。具体的には、1日、または1時間などといった期間が設定される。また、さらに企業などにおいて業務時間(例えば、9時〜17時の8時間)、休日(例えば、土曜日、日曜日の2日)といった期間を用いても良い。通常、特定期間は許容操作範囲情報を生成するための期間より短い期間となる。また、特定期間は、許容操作範囲情報を生成するための期間に含まれない期間が好適であるが、特定期間を含んでもかまわない。 The above-mentioned specific period is a period necessary for determining the operation tendency and situation of the terminal B. Specifically, a period such as one day or one hour is set. Further, a period such as business hours (for example, 8 hours from 9:00 to 17:00) and holidays (for example, Saturday and Sunday) may be used in a company or the like. Usually, the specific period is shorter than the period for generating the allowable operation range information. Further, the specific period is preferably a period that is not included in the period for generating the allowable operation range information, but may include the specific period.

操作状況生成部14において生成する操作状況値には、(1)特定期間の実行回数、(2)特定期間の実行時刻、(3)特定期間の実行周期、などがある。 The operation status value generated by the operation status generation unit 14 includes (1) the number of executions of a specific period, (2) the execution time of the specific period, and (3) the execution cycle of the specific period.

〔操作状況値1(実行回数)〕
特定期間の実行回数は、抽出した操作ログ情報を用いて、特定期間内に同じ操作内容が単位時間当たりに実行された回数を算出し、操作状況値として生成する。一例として、図10(a)のように11日目の1日間の操作ログ情報が抽出された場合、操作内容「複製」の操作状況値(実行回数)「10」が生成される。 [Operation status value 1 (number of executions)]
The number of executions in a specific period is generated as an operation status value by calculating the number of times the same operation content was executed per unit time within the specific period using the extracted operation log information. As an example, when operation log information for one day on the 11th day is extracted as shown in FIG. 10A, an operation status value (number of executions) “10” of the operation content “duplicate” is generated.

〔操作状況値2(実行時刻)〕
特定期間の実効時刻は、抽出した操作ログ情報を用いて、特定期間内に所定の操作内容が実行された操作日時を抽出し、操作状況値として生成する。一例として、図10(b)のように11日目の1日間の操作ログ情報が抽出された場合、操作内容「端末起動」の操作状況値(実行時刻)「10:30」が生成される。なお、特定期間内に所定の操作内容を含む操作ログ情報が抽出された場合は、平均の実行時刻としてもかまわない。 [Operation status value 2 (execution time)]
The effective time of the specific period is generated as an operation status value by extracting the operation date and time when a predetermined operation content was executed within the specific period using the extracted operation log information. As an example, when operation log information for one day on the 11th day is extracted as shown in FIG. 10B, an operation status value (execution time) “10:30” of the operation content “terminal activation” is generated. . In addition, when operation log information including predetermined operation contents is extracted within a specific period, the average execution time may be used.

〔操作状況値3(実行周期)〕
特定期間の実行周期は、抽出した操作ログ情報を用いて、特定期間内に同じ操作内容が単位時間当たりに実行された回数から実行周期を算出し、操作状況値として生成する。一例として、図10(a)のように11日目の1日間の操作ログ情報が抽出された場合、操作内容「複製」の操作状況値(実行周期)「00:39」が生成される。 [Operation status value 3 (execution cycle)]
The execution cycle of the specific period is generated as the operation status value by calculating the execution cycle from the number of times the same operation content is executed per unit time within the specific period using the extracted operation log information. As an example, when operation log information for one day on the 11th day is extracted as shown in FIG. 10A, an operation status value (execution cycle) “00:39” of the operation content “duplicate” is generated.

本実施例では、特定期間と単位時間が等しいとして記載したが、特定期間と単位時間が異なる場合で有っても良い。操作状況生成部16は、操作状況値を単位時間あたりに換算して算出する。 In the present embodiment, the specific period and the unit time are described as being equal. However, the specific period may be different from the unit time. The operation status generation unit 16 calculates the operation status value by converting it per unit time.

上述のように生成された操作状況値は、操作状況情報として不正操作判定部15に通知される。また、生成された2以上の操作状況情報を不正操作判定部15に通知するようにしてもかまわない。 The operation status value generated as described above is notified to the unauthorized operation determination unit 15 as operation status information. Further, the two or more pieces of generated operation status information may be notified to the unauthorized operation determination unit 15.

不正操作判定部15は、許容操作範囲生成部13で生成された許容操作範囲情報を取得するとともに、操作状況生成部14から操作状況情報を取得する。そして、取得した許容操作範囲情報と操作状況情報とを用い、操作状況情報が許容操作範囲内であるかを比較し不正操作の可能性を判定する。そして、その判定結果を制御部16に通知する。 The unauthorized operation determination unit 15 acquires the allowable operation range information generated by the allowable operation range generation unit 13 and acquires the operation status information from the operation status generation unit 14. Then, using the acquired allowable operation range information and the operation status information, whether or not the operation status information is within the allowable operation range is compared to determine the possibility of an unauthorized operation. Then, the control unit 16 is notified of the determination result.

上述の処理を具体的に説明すると、取得した許容操作範囲情報から許容範囲値の最大値及び最小値を抽出し、取得した操作状況情報の操作状況値がその範囲内であるかを比較する。比較の結果、範囲内である場合は、判定結果を「問題なし」とし、範囲外である場合は、判定結果を「不正操作」とする。 Specifically, the above-described processing is performed by extracting the maximum value and the minimum value of the allowable range value from the acquired allowable operation range information, and comparing whether the acquired operation status value is within the range. If the result of the comparison is within the range, the determination result is “no problem”, and if the result is out of the range, the determination result is “unauthorized operation”.

また、不正操作判定部15は、不正操作である可能性の判定を1つの情報の比較結果に基づいて行っても良いし、複数の情報に基づいて行っても良い。つまり、実行回数、実行周期、実行時刻などいずれかの1つのみで判定しても良いし、それぞれを組み合わせて判定するようにしてもかまわない。 Further, the unauthorized operation determination unit 15 may determine the possibility of an unauthorized operation based on a comparison result of one information, or may perform based on a plurality of information. That is, the determination may be made based on only one of the number of executions, the execution cycle, the execution time, etc., or may be determined in combination.

たとえば、複数の情報で判定を行う場合には、各情報において「範囲内」もしくは「範囲外」であるかを比較し、「範囲内」の情報数と「範囲外」の情報数を用いて判定する。判定の方法として、「範囲内」の情報数が所定値より多い場合に判定結果を「問題なし」とする、「範囲外」の情報数が所定数以下の場合に判定結果を「問題なし」にする、「範囲内」「範囲外」のそれぞれの比率を算出し、「範囲内」が所定比率以上であった場合に判定結果を「問題なし」にする、などが考えられる。また、それぞれの情報数もしくは比率を判定結果として制御部16に通知するようにしても良い。 For example, when making a determination with multiple pieces of information, it is compared whether each information is “in range” or “out of range”, and the number of “in range” information and the number of information “out of range” are used. judge. As a determination method, the determination result is “no problem” when the number of “in-range” information is larger than a predetermined value, and the determination result is “no problem” when the number of “out-of-range” information is less than a predetermined number The ratio of “within range” and “out of range” is calculated, and the determination result is set to “no problem” when “within range” is equal to or greater than a predetermined ratio. Moreover, you may make it notify the control part 16 of each information number or ratio as a determination result.

また、許容操作範囲情報を許容操作範囲情報記憶部(図示せず)から取得するようにしてもかまわない。これによって、許容操作範囲生成部13で予め生成されている許容操作範囲情報を活用する事ができるため、処理の軽減を行うことができるようになる。 Moreover, you may make it acquire permissible operation range information from a permissible operation range information storage part (not shown). As a result, the allowable operation range information generated in advance by the allowable operation range generation unit 13 can be utilized, so that the processing can be reduced.

制御部16は、不正操作判定部15から判定結果を取得し、その判定結果に応じて制御の内容を決定する。決定した制御内容は、端末Bに制御指示として送信する。具体的には、当該端末Bに対して、不正操作が行われた事を端末Bの表示装置3に表示する、端末Bの操作制限を行う、などの制御を指示する情報をネットワークI/F10を介して送信する。 The control unit 16 acquires a determination result from the unauthorized operation determination unit 15 and determines the content of control according to the determination result. The determined control content is transmitted to terminal B as a control instruction. Specifically, the network I / F 10 indicates information for instructing the terminal B to display information indicating that the unauthorized operation has been performed on the display device 3 of the terminal B, or to restrict the operation of the terminal B. To send through.

また、端末Bに対する制御指示ではなく、管理者端末(所定の端末B)へ通知する、管理サーバAの表示装置に表示する、判定結果を操作判定結果記憶部(図示せず)に記憶する、レポート形式にして管理端末への表示もしくは印刷する、などの制御を実行しても良い。 Also, not a control instruction for the terminal B, but a notification to the administrator terminal (predetermined terminal B) is displayed on the display device of the management server A, and a determination result is stored in an operation determination result storage unit (not shown). Control such as display on a management terminal or printing in a report format may be executed.

〔実施例1−処理プロセス〕
次に本発明の操作監視システムの処理プロセスの一例を、図3の機能ブロック図、図4のフローチャート等を用いて説明する。なお、以下の説明では、判定対象の端末B「ABC12345」がネットワークNを介して管理サーバAと接続され、操作の判定には操作内容「複製」の実行回数および実行周期を用いることとする。 Example 1 Treatment Process
Next, an example of the processing process of the operation monitoring system of the present invention will be described with reference to the functional block diagram of FIG. 3, the flowchart of FIG. In the following description, it is assumed that the determination target terminal B “ABC12345” is connected to the management server A via the network N, and the operation count “duplication” and the execution cycle are used for the operation determination.

端末Bの操作ログ情報送信部23は、操作ログ情報生成部22で生成された端末において実行された操作を示す操作ログ情報を管理サーバAに送信する。 The operation log information transmission unit 23 of the terminal B transmits operation log information indicating an operation executed on the terminal generated by the operation log information generation unit 22 to the management server A.

管理サーバAは、操作ログ情報取得部11によって端末Bの操作ログ情報を取得し、操作ログ情報記憶部12に記憶する(S101)。 The management server A acquires the operation log information of the terminal B by the operation log information acquisition unit 11 and stores it in the operation log information storage unit 12 (S101).

許容操作範囲生成部13は、操作ログ情報記憶部12から判定対象である端末Bの操作ログ情報を抽出し、その操作ログ情報を用いて判定対象の端末Bの標準的な操作である許容操作範囲情報を生成する。そして、生成した許容操作範囲情報を不正操作判定部15に通知する(S102)。   The allowable operation range generation unit 13 extracts the operation log information of the terminal B that is the determination target from the operation log information storage unit 12, and uses the operation log information to allow an allowable operation that is a standard operation of the terminal B that is the determination target. Generate range information. Then, the generated allowable operation range information is notified to the unauthorized operation determination unit 15 (S102).

上述の動作について、操作ログ情報記憶部12から標準的な操作を判定するための期間を10日間とした場合を用いて具体的に説明する。   The above operation will be specifically described using a case where the period for determining a standard operation from the operation log information storage unit 12 is 10 days.

許容操作範囲生成部13は、操作ログ情報から端末「ABC12345」の10日分の操作ログ情報を抽出する。そして、抽出した操作ログ情報を用いて、日毎の実行回数と実行周期とに係る許容操作範囲値を算出する。   The allowable operation range generation unit 13 extracts operation log information for 10 days of the terminal “ABC12345” from the operation log information. Then, using the extracted operation log information, an allowable operation range value related to the number of executions and the execution cycle for each day is calculated.

まず、日毎の実行回数に係る許容操作範囲値の算出について説明する。抽出した操作ログ情報から操作内容「複製」を示す操作ログ情報が日毎に何回実行されたのかを計数する。計数の結果、1日目から10日目の日毎に操作内容「複製」が実行された回数は、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」となる(図6(a)参照)。よって、1日の実行された平均実行回数(操作基準値)として5回が算出される。そして、操作基準値から固定の許容範囲値を取得する方法(許容範囲値算出方法2)を用いて許容範囲値を算出する(図8(a)参照)。詳細には、算出した平均実行回数が5回であり、図8(a)の実行回数が0〜10の範囲であるため、範囲減算値「0」、範囲加算値「2」が決定され、平均実行回数および範囲減算値・範囲加算値を用いて許容範囲値を算出すると、最大値「7」・最小値「5」となる(図9(a)参照)。   First, calculation of the allowable operation range value related to the number of executions per day will be described. From the extracted operation log information, the number of times of operation log information indicating the operation content “duplicate” was executed every day is counted. As a result of the counting, the number of times the operation content “Duplicate” is executed every day from the first day to the tenth day is “5”, “4”, “4”, “5”, “6”, “7”, “6”, “4”, “5”, “4” (see FIG. 6A). Therefore, five times are calculated as the average number of executions (operation reference value) executed per day. Then, the allowable range value is calculated using a method of acquiring a fixed allowable range value from the operation reference value (allowable range value calculation method 2) (see FIG. 8A). Specifically, since the calculated average execution count is 5 and the execution count of FIG. 8A is in the range of 0 to 10, the range subtraction value “0” and the range addition value “2” are determined. When the allowable range value is calculated using the average number of executions and the range subtraction value / range addition value, the maximum value is “7” and the minimum value is “5” (see FIG. 9A).

次に、実行周期に係る許容操作範囲値の算出について説明する。抽出した操作ログ情報を用いて、日毎の端末「ABC12345」の動作時間(起動していた時間)を算出する。日毎の端末動作時間(「時間:分」)は、「7:56」、「8:07」、「7:39」、「8:03」、「7:58」、「7:56」、「8:18」、「7:57」、「8:00」、「8:00」となる(図6(b)参照)。抽出した日毎の動作時間を上述で計数した日毎の実行回数で除算した値(実行周期)を算出すると、「1:35」、「2:01」、「1:54」、「1:36」、「1:19」、「1:08」、「1:23」、「1:59」、「1:36」、「2:00」となる(図6(a)参照)。この結果から平均実行周期(操作基準値)として「1:39」が算出される。そして、操作基準値から固定の許容範囲値を取得する方法(許容範囲値算出方法2)用いて許容範囲値を算出する(図8(c)参照)。詳細には、平均実行周期「1:39」であるため、図8(c)の実行周期が1:00〜2:00の範囲にあたり、範囲減算値「0:20」、範囲加算値「0:20」が決定され、平均実行周期および範囲減算値・範囲加算値を用いて許容範囲値を算出すると、最大値「1:59」、最小値「1:19」となる(図9(a)参照)。   Next, calculation of the allowable operation range value related to the execution cycle will be described. Using the extracted operation log information, the operation time (time during which the terminal “ABC12345” is activated) is calculated for each day. The terminal operation time per day (“hour: minute”) is “7:56”, “8:07”, “7:39”, “8:03”, “7:58”, “7:56” “8:18”, “7:57”, “8:00”, and “8:00” (see FIG. 6B). When a value (execution cycle) obtained by dividing the extracted daily operation time by the number of executions per day counted above is calculated, “1:35”, “2:01”, “1:54”, “1:36” , “1:19”, “1:08”, “1:23”, “1:59”, “1:36”, “2:00” (see FIG. 6A). From this result, “1:39” is calculated as the average execution cycle (operation reference value). Then, the allowable range value is calculated using a method of acquiring a fixed allowable range value from the operation reference value (allowable range value calculating method 2) (see FIG. 8C). Specifically, since the average execution cycle is “1:39”, the execution cycle in FIG. 8C falls within the range of 1:00 to 2:00, and the range subtraction value “0:20” and the range addition value “0”. : 20 ”is determined, and when the allowable range value is calculated using the average execution period and the range subtraction value / range addition value, the maximum value is“ 1:59 ”and the minimum value is“ 1:19 ”(FIG. 9A )reference).

上述のように算出された平均実行回数と平均実行周期との許容操作値を許容操作範囲情報に設定し、その許容操作範囲情報を不正操作判定部15に通知する。   The allowable operation values of the average execution count and the average execution cycle calculated as described above are set in the allowable operation range information, and the allowable operation range information is notified to the unauthorized operation determination unit 15.

操作状況生成部13は、操作ログ情報記憶部12から特定期間における判定対象の端末Bの操作ログ情報を抽出し、その操作ログ情報を用いて判定対象の端末Bの操作状況を示す操作状況情報を生成する。そして、生成した操作状況情報を不正操作判定部15に通知する(S103)。   The operation status generation unit 13 extracts the operation log information of the terminal B to be determined in the specific period from the operation log information storage unit 12, and uses the operation log information to indicate the operation status of the terminal B to be determined Is generated. Then, the generated operation status information is notified to the unauthorized operation determination unit 15 (S103).

上述の動作について、特定期間を11日目の1日間とした場合を用いて具体的に説明する。   The above operation will be specifically described using a case where the specific period is one day of the eleventh day.

操作状況生成部13は、操作ログ情報から端末「ABC12345」の11日目の操作ログ情報を抽出する。そして、抽出した操作ログ情報を用いて、11日目の操作内容「複製」に関する実行回数と実行周期を算出する。算出は、許容操作範囲情報生成部12と同様に算出を行う。よって、算出された操作状況値は、実行回数「10」、実行周期「0:39」となる(図10(a)参照)。そして、算出された操作状況値を操作状況情報として不正操作判定部15に通知する。   The operation status generation unit 13 extracts the operation log information on the 11th day of the terminal “ABC12345” from the operation log information. Then, using the extracted operation log information, the number of executions and the execution cycle regarding the operation content “duplication” on the 11th day are calculated. The calculation is performed in the same manner as the allowable operation range information generation unit 12. Accordingly, the calculated operation status value is the number of executions “10” and the execution cycle “0:39” (see FIG. 10A). Then, the calculated operation status value is notified to the unauthorized operation determination unit 15 as operation status information.

不正操作判定部15は、操作状況情報と許容操作範囲情報とを比較し、操作状況が許容操作範囲内であるかによって不正操作の可能性を判定する(S104)。   The unauthorized operation determination unit 15 compares the operation status information with the allowable operation range information, and determines the possibility of an unauthorized operation depending on whether the operation status is within the allowable operation range (S104).

上述の動作について具体的に説明する。不正操作判定部15は、操作状況情報として、実行回数「10」、実行周期「0:39」を取得し、許容操作範囲情報として、実行回数の最大値「7」・最小値「5」と実行周期の最大値「1:59」・最小値「1:19」を取得する。そして、実行回数および実行周期のそれぞれについて比較を実行する。   The above operation will be specifically described. The unauthorized operation determination unit 15 acquires the number of executions “10” and the execution cycle “0:39” as the operation status information, and sets the maximum number of executions “7” and the minimum value “5” as the allowable operation range information. The maximum value “1:59” and the minimum value “1:19” of the execution cycle are acquired. Then, the comparison is performed for each of the number of executions and the execution cycle.

不正操作判定部15は、操作状況情報の実行回数が許容操作範囲情報の実行回数の範囲内に含まれているかを比較する。比較の結果は、「範囲外」となる。次に、操作状況情報の実行周期が許容操作範囲情報の実行周期に含まれているかを比較する。比較の結果は、「範囲外」となる。   The unauthorized operation determination unit 15 compares whether the number of executions of the operation status information is included in the range of the number of executions of the allowable operation range information. The result of the comparison is “out of range”. Next, it is compared whether the execution cycle of the operation status information is included in the execution cycle of the allowable operation range information. The result of the comparison is “out of range”.

続いて、不正操作判定部15は、比較結果が「範囲外」である比率を算出する。本実施例では比較結果が「範囲外」である比率は100%である。よって、不正操作の可能性の判定結果は100%となり、この判定結果を制御部16に通知する。   Subsequently, the unauthorized operation determination unit 15 calculates a ratio in which the comparison result is “out of range”. In this example, the ratio that the comparison result is “out of range” is 100%. Therefore, the determination result of the possibility of unauthorized operation is 100%, and this determination result is notified to the control unit 16.

制御部16は、不正操作判定部15の判定結果に基づいて制御を実行する(S105)。   The control unit 16 performs control based on the determination result of the unauthorized operation determination unit 15 (S105).

制御部16は、判定結果として不正操作である可能性を示す比率を取得し、その判定結果と予め設定されているしきい値とから判定される制御内容を実行する(図11(a)参照)。また、制御を実行するとともに判定結果を操作判定記憶部(図示せず)に記憶する。   The control unit 16 acquires a ratio indicating the possibility of an unauthorized operation as a determination result, and executes control content determined from the determination result and a preset threshold value (see FIG. 11A). ). Further, the control is executed and the determination result is stored in an operation determination storage unit (not shown).

具体的には、制御部16は、判定結果として100%を不正操作判定部15から取得したため、その判定結果に対応する制御内容が操作制限(操作禁止)の制御指示を端末「ABC12345」に通知する、管理者への通知として管理サーバAに表示装置3に表示する、といった制御を実行することとなる。   Specifically, since the control unit 16 acquires 100% as the determination result from the unauthorized operation determination unit 15, the control content corresponding to the determination result notifies the terminal “ABC12345” of a control instruction for operation restriction (operation prohibition). Then, control such as displaying on the display device 3 on the management server A as a notification to the administrator is executed.

そして、端末「ABC12345」の制御指示受信部24は、管理サーバAから操作制限(操作禁止)を受信すると、端末「ABC12345」に接続されている入力装置のキーボードやポインティングデバイスからの入力操作を禁止するように端末制御部21に通知する。そして、端末制御部21は、入力装置からの入力操作を禁止にする。   When receiving the operation restriction (operation prohibition) from the management server A, the control instruction receiving unit 24 of the terminal “ABC12345” prohibits an input operation from the keyboard or pointing device of the input device connected to the terminal “ABC12345”. To the terminal control unit 21. And the terminal control part 21 prohibits input operation from an input device.

また、制御部16は、管理サーバAに表示装置3に通知画面を表示する(図12参照)。管理サーバAの表示装置3に表示された画面を確認した管理者は、表示画面の内容にしたがって所望の処理を実行させることができる。本実施例では、端末「ABC12345」の電源OFF、操作制限の解除、警告画面の表示などを選択させ、それぞれに応じた制御を端末「ABC12345」に制御指示として送信させることができる。   Further, the control unit 16 displays a notification screen on the display device 3 on the management server A (see FIG. 12). The administrator who has confirmed the screen displayed on the display device 3 of the management server A can execute a desired process according to the content of the display screen. In this embodiment, it is possible to select power OFF of the terminal “ABC12345”, release of the operation restriction, display of a warning screen, and the like, and to transmit control corresponding to each to the terminal “ABC12345” as a control instruction.

本実施例のように構成する事により、端末B毎に行われている操作が異なる場合であったとしても、端末B毎の操作に合せて許容できる操作の範囲を変化させる事で、高い精度で不正操作の可能性の判定を行うことができる操作監視システムが可能となる。たとえば、定型的な操作のみが行われている端末Bでは、許容できる操作の範囲を狭くし、そうでない端末Bにおいては、許容できる操作の範囲を広くする、となり端末特有の操作に適応した判定が可能となる。   By configuring as in the present embodiment, even if the operation performed for each terminal B is different, it is possible to achieve high accuracy by changing the allowable operation range according to the operation for each terminal B. Thus, an operation monitoring system capable of determining the possibility of unauthorized operation can be realized. For example, in the terminal B in which only a routine operation is performed, the allowable operation range is narrowed, and in the other terminal B, the allowable operation range is widened. Is possible.

さらに、本実施例では、許容操作範囲情報、操作状況情報の生成において、操作内容を用いたがこれに限らず、操作ログ情報の操作対象や付加情報を用いてもかまわない。例えば、操作対象を用いた場合は、Webサイトの閲覧や閲覧時間、共有フォルダのアクセスやアクセス時間、アプリケーションの実行・実行時間などを用いて判定することができる(図6(c)、図7(c)、図8(c)、図9(c)、図10(c)参照)。また、例えば、付加情報を用いた場合は、データのダウンロード量、印刷ページ数、ファイル数、ファイルサイズなどを用いて判定することもできる(図6(d)、図7(d)、図8(d)、図9(d)、図10(d)参照)。   Furthermore, in the present embodiment, the operation content is used in the generation of the allowable operation range information and the operation status information. However, the present invention is not limited to this, and the operation target and additional information of the operation log information may be used. For example, when the operation target is used, the determination can be made by using the browsing / browsing time of the website, the access / access time of the shared folder, the execution / execution time of the application (FIG. 6C, FIG. 7). (See (c), FIG. 8 (c), FIG. 9 (c), FIG. 10 (c)). Further, for example, when additional information is used, the determination can be made by using the data download amount, the number of printed pages, the number of files, the file size, and the like (FIGS. 6D, 7D, and 8). (See (d), FIG. 9 (d), and FIG. 10 (d)).

さらに、本実施例では、許容操作範囲情報、操作状況情報の生成において、操作内容のみを用いて一致する操作ログ情報の判定をしたがこれに限らず、操作ログ情報に含まれる操作内容、操作対象情報、付加情報を組み合わせて一致する操作ログ情報の抽出・判定を行うようにしてもかまわない。一致する操作ログ情報についていくつかの例を以降に示す。操作内容「複製」かつ操作対象情報「複製先フォルダが自端末」を含む操作ログ情報、操作内容「複製」かつ操作対象情報「複製元フォルダが共有フォルダ」を含む操作ログ情報、操作内容「複製」かつ操作対象情報「外部記憶媒体」を含む操作ログ情報、操作内容「メール送信」かつ操作対象情報「送信先メールアドレスが所定のドメイン以外」を含む操作ログ情報、などである。これらは、一例であって限定されるものではなく、いかなる組み合わせで有ってもかまわない。   Furthermore, in this embodiment, in the generation of the allowable operation range information and the operation status information, the operation log information that matches is determined using only the operation content, but not limited to this, the operation content and operation included in the operation log information are determined. A combination of target information and additional information may be used to extract and determine matching operation log information. Some examples of the matching operation log information are shown below. Operation log information including operation content “Duplicate” and operation target information “Destination folder is own terminal”, operation log information including operation content “Duplicate” and operation target information “Copy source folder is shared folder”, operation content “Replication” Operation log information including operation target information “external storage medium”, operation log information including operation content “mail transmission” and operation target information “destination mail address is other than a predetermined domain”, and the like. These are examples and are not limited, and may be in any combination.

さらに、本実施例では、操作内容「複製」のみを用いて判定するようにしたが、複数の操作内容を一致する操作とみなして処理を行ってもかまわない。つまり、二以上操作をグループ化させておき、当該操作グループに含まれる操作の実行回数や実行周期を用いるようにしてもかまわない。また、操作内容だけでなく、操作対象情報、付加情報を用いてグループ化することも当然に可能である。   Furthermore, in this embodiment, the determination is made using only the operation content “duplicate”, but the processing may be performed by regarding a plurality of operation content as an operation that matches. That is, two or more operations may be grouped and the number of executions or the execution cycle of operations included in the operation group may be used. Further, it is naturally possible to perform grouping using not only the operation content but also operation target information and additional information.

さらに、本実施例では、許容操作範囲情報として最大値・最小値の両方を用いて説明をしたが、最大値もしくは最小値のいずれか一方が予め固定値として定められている場合には許容操作範囲情報として固定値で無い方のみを生成するようにしてもかまわない。つまり、たとえば実行回数を用いた場合に固定値として最小値「0」が予め設定されている場合には、最大値のみを生成し、最小値を生成しなくてもかまわない。   Furthermore, in the present embodiment, the description has been made using both the maximum value and the minimum value as the allowable operation range information. However, when either the maximum value or the minimum value is determined as a fixed value in advance, the allowable operation range information is described. Only the non-fixed value may be generated as the range information. That is, for example, when the execution count is used and the minimum value “0” is preset as a fixed value, only the maximum value may be generated and the minimum value may not be generated.

また、判定結果をレポート形式に表示もしくは印刷するともできる。例えば、図21、図22に示すように判定の対象となった端末の不正操作の可能性を「○」「△」「×」といった視覚的にわかりやすい表示もしくは印刷をさせるようにすることもできる。さらに図21のように予め二以上の端末Bをグループ化(部署毎など)しておき、制御部16は当該グループ内の端末Bの不正操作の可能性について自動的に集計してレポート形式で表示させることもできる。この場合は、予め端末識別情報と所属などを示す属性情報とを関連付けた端末情報を端末情報記憶部(図示せず)に記憶させておくこととする。   Also, the determination result can be displayed or printed in a report format. For example, as shown in FIG. 21 and FIG. 22, the possibility of unauthorized operation of the terminal subject to determination can be displayed or printed in a visually understandable manner such as “◯”, “△”, and “×”. . Furthermore, as shown in FIG. 21, two or more terminals B are grouped in advance (for each department, etc.), and the control unit 16 automatically sums up the possibility of unauthorized operation of the terminals B in the group in a report format. It can also be displayed. In this case, terminal information in which terminal identification information and attribute information indicating affiliation and the like are associated in advance is stored in a terminal information storage unit (not shown).

本実施例では、端末Bの標準的な操作を判定する所定期間における標準偏差を算出し、その標準偏差を用いて許容操作範囲情報を生成する場合について説明する。   In this embodiment, a case will be described in which a standard deviation in a predetermined period for determining a standard operation of the terminal B is calculated, and allowable operation range information is generated using the standard deviation.

以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。     Hereinafter, each component and the processing process will be described. Note that a description of the same configuration and operation as in the first embodiment will be omitted.

許容操作範囲生成部13は、操作ログ情報記憶部12から特定の端末Bの操作ログ情報を抽出し、端末Bにおける操作の標準偏差および平均値を算出する標準偏差算出手段と、標準偏差に応じて操作の許容範囲(最大値・最小値)を示す許容範囲値を算出し、その許容範囲値を許容操作範囲情報とする許容範囲値生成手段と、を備える。 The allowable operation range generation unit 13 extracts operation log information of a specific terminal B from the operation log information storage unit 12, calculates a standard deviation and an average value of operations at the terminal B, and a standard deviation according to the standard deviation And an allowable range value generating means for calculating an allowable range value indicating an allowable range (maximum value / minimum value) of the operation and using the allowable range value as allowable operation range information.

標準偏差算出手段は、まず、実施例1と同様に操作ログ情報を抽出し、単位時間毎の集計値を計数する。次に、この計数された情報を母集団とする標準偏差および平均値を算出する。例えば、図13(a)の操作内容が「複製」とすると、1日目から10日目までの10日間の実行回数として、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」を取得する。よって、この10日間のデータを母集団とする標準偏差「1.054(小数点4桁以下四捨五入)」が算出される。また、10日間の平均実行回数「5」が算出される。そして、算出した標準偏差と平均を許容範囲値生成手段に通知する。   The standard deviation calculation means first extracts operation log information as in the first embodiment, and counts the total value for each unit time. Next, a standard deviation and an average value using the counted information as a population are calculated. For example, if the operation content in FIG. 13A is “duplicate”, the number of executions for 10 days from the first day to the tenth day is “5”, “4”, “4”, “5”, “ “6”, “7”, “6”, “4”, “5”, “4” are acquired. Therefore, the standard deviation “1.054 (rounded off to the fourth decimal place)” is calculated with the 10-day data as the population. Also, the average number of executions “5” for 10 days is calculated. Then, the calculated standard deviation and average are notified to the allowable range value generating means.

許容範囲値生成手段は、標準偏差算出手段から標準偏差および平均値を取得する。そして、予め定められている上限偏差値から最大値、下限偏差値から最小値を算出する。   The allowable range value generating means acquires the standard deviation and the average value from the standard deviation calculating means. Then, the maximum value is calculated from the predetermined upper limit deviation value, and the minimum value is calculated from the lower limit deviation value.

例えば、上述のとおり、標準偏差「1.054」、平均実行回数「5」が取得された場合において、予め、上限偏差値「70」、下限偏差値「30」が設定されているとする。まず、最大値の算出式として、最大値={(上限偏差値−50)×標準偏差}÷10+平均値であるため、最大値=7(小数点以下四捨五入)となる。同様に最小値={(上限偏差値−50)×標準偏差}÷10+平均値であるため、最小値=3(小数点以下四捨五入)となる。よって、許容操作範囲情報として、最大値「7」・最小値「3」が生成される。   For example, as described above, when the standard deviation “1.054” and the average number of executions “5” are acquired, the upper limit deviation value “70” and the lower limit deviation value “30” are set in advance. First, since the maximum value = {(upper limit deviation value−50) × standard deviation} ÷ 10 + average value is used as the maximum value calculation formula, the maximum value = 7 (rounded off after the decimal point). Similarly, since the minimum value = {(upper limit deviation value−50) × standard deviation} ÷ 10 + average value, the minimum value = 3 (rounded off after the decimal point). Therefore, the maximum value “7” and the minimum value “3” are generated as the allowable operation range information.

本実施例のように構成する事により、操作のばらつきに応じた不正操作の判定を行うことができる操作監視システムが可能となる。つまり、操作がばらついている場合は、許容範囲が広く設定されるようになり、操作がばらついていない場合には、許容範囲が狭く設定されるようになる。   By configuring as in the present embodiment, an operation monitoring system capable of performing an unauthorized operation determination according to a variation in operation is possible. That is, when the operation varies, the allowable range is set wide, and when the operation does not vary, the allowable range is set narrow.

上述の実施例1においては、許容操作範囲情報を生成する際に操作基準値を生成し、その操作基準値に対応する最大値および最小値を許容範囲設定値記憶部から取得するようにしたが、本実施例では、端末Bの操作ログ情報を抽出した期間内における最大値および最小値を抽出し、その値を用いて許容操作範囲情報として生成する場合について説明する。   In the first embodiment, the operation reference value is generated when the allowable operation range information is generated, and the maximum value and the minimum value corresponding to the operation reference value are acquired from the allowable range setting value storage unit. In the present embodiment, a case will be described in which the maximum value and the minimum value in the period in which the operation log information of the terminal B is extracted are generated as the allowable operation range information using the values.

以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。     Hereinafter, each component and the processing process will be described. Note that a description of the same configuration and operation as in the first embodiment will be omitted.

許容操作範囲生成部13は、操作ログ情報記憶部12から特定の端末Bの操作ログ情報を抽出し、端末Bにおける操作の最大値および最小値を抽出し、抽出した最大値および最小値を許容操作範囲情報とする許容範囲値抽出手段、を備える。 The allowable operation range generation unit 13 extracts operation log information of a specific terminal B from the operation log information storage unit 12, extracts the maximum value and minimum value of the operation at the terminal B, and allows the extracted maximum value and minimum value. An allowable range value extracting means for operating range information is provided.

許容操作範囲抽出手段は、まず、実施例1と同様に操作ログ情報を抽出し、単位時間毎の集計値を計数する。次に、この計数された情報から最大値および最小値を抽出する。例えば、図6(a)において操作内容「複製」の場合、1日目から10日目までの10日間の実行回数として、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」が取得できる。よって、最大値「7」と最小値「4」が抽出される。この抽出された最大値および最小値を許容操作範囲情報とする。   The allowable operation range extraction means first extracts operation log information as in the first embodiment, and counts the total value for each unit time. Next, the maximum value and the minimum value are extracted from the counted information. For example, in the case of the operation content “Duplicate” in FIG. 6A, the number of executions for 10 days from the first day to the tenth day is “5”, “4”, “4”, “5”, “6” ”,“ 7 ”,“ 6 ”,“ 4 ”,“ 5 ”,“ 4 ”. Therefore, the maximum value “7” and the minimum value “4” are extracted. The extracted maximum value and minimum value are set as allowable operation range information.

本実施例のように構成する事により、操作基準値から許容操作範囲情報を求める手順が省略されるため、判定にかかる処理の負荷を軽減する効果も得ることができる。   By configuring as in the present embodiment, the procedure for obtaining the allowable operation range information from the operation reference value is omitted, so that an effect of reducing the processing load related to the determination can be obtained.

本実施例では、操作状況情報の操作状況値において、特定期間内の最大値と最小値を抽出し、それぞれの最大値同士および最小値同士を比較する場合について説明する。   In the present embodiment, a case will be described in which the maximum value and the minimum value within a specific period are extracted from the operation status values of the operation status information, and the maximum values and the minimum values are compared with each other.

以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。   Hereinafter, each component and the processing process will be described. Note that a description of the same configuration and operation as in the first embodiment will be omitted.

操作状況生成部14は、特定期間における端末Bの操作ログ情報を抽出し、抽出した操作ログ情報から端末Bの操作状況を示す操作状況値として最大値・最小値を計数する。そして、生成された操作状況値を操作状況情報として不正操作状況判定部15に通知する。   The operation status generation unit 14 extracts the operation log information of the terminal B in the specific period, and counts the maximum value and the minimum value as the operation status values indicating the operation status of the terminal B from the extracted operation log information. Then, the generated operation status value is notified to the unauthorized operation status determination unit 15 as operation status information.

不正操作状況情報15は、許容操作範囲生成部13から許容操作情報を取得し、操作状況情報判定部14から操作状況情報を取得する。そして、許容操作範囲情報の最大値・最小値と操作状況情報の最大値・最小値とを比較する。そして、比較結果を制御部16に通知する。   The unauthorized operation status information 15 acquires allowable operation information from the allowable operation range generation unit 13 and acquires operation status information from the operation status information determination unit 14. Then, the maximum value / minimum value of the allowable operation range information is compared with the maximum value / minimum value of the operation status information. Then, the comparison result is notified to the control unit 16.

上述の処理について、図9(c)、図10(c)を用いて具体的に説明する。なお、特定期間は11日目および12日目の2日間、操作内容「Webページアクセス」かつ操作対象情報「WebサイトD」のWebページ、の操作状況値は実行回数(操作状況値1)として判定を行うものとする。   The above process will be specifically described with reference to FIGS. 9C and 10C. Note that the operation period value of the operation period “Web page access” and the operation target information “Web site D” is the number of executions (operation condition value 1) on the 11th and 12th days. Judgment shall be made.

許容操作範囲生成部13は、操作対象「WebサイトD」の許容操作範囲情報を実施例1と同様な方法を用いて生成し、許容操作範囲値の最大値「6」・最小値「4」を取得する(図9(c)参照)。そして、生成した許容操作範囲値は、許容操作範囲情報として不正操作判定部15に通知される。   The allowable operation range generation unit 13 generates the allowable operation range information of the operation target “Web site D” using the same method as in the first embodiment, and the maximum value “6” and the minimum value “4” of the allowable operation range value. (See FIG. 9C). The generated allowable operation range value is notified to the unauthorized operation determination unit 15 as allowable operation range information.

次に、操作状況生成部16は、特定期間11日目と12日目における操作対象「WebサイトD」に対するアクセスの実行回数を計数し、11日目の実行回数「10」、12日目の実行回数「14」を取得する(図10(c)参照)。よって、操作状況値は、最大値「14」・最小値「10」となる。そして、生成した操作状況値を操作状況情報として不正操作判定部15に通知する。   Next, the operation status generation unit 16 counts the number of executions of access to the operation target “Web site D” on the 11th day and the 12th day of the specific period. The number of executions “14” is acquired (see FIG. 10C). Therefore, the operation status value is the maximum value “14” and the minimum value “10”. Then, the generated operation status value is notified to the unauthorized operation determination unit 15 as operation status information.

不正操作判定部15は、許容操作範囲情報と操作状況情報とを取得する。続いて、許容操作範囲情報の最大値「6」と操作状況情報の最大値「14」とを比較する。比較の結果、操作状況情報の最大値が許容操作範囲情報を超えていると判定される。次に、許容操作範囲情報の最小値「4」と操作状況情報の最小値「5」とを比較する。比較の結果、操作状況情報の最小値は、許容操作範囲情報の最小値よりも大きいため、許容範囲を超えていないと判定できる。   The unauthorized operation determination unit 15 acquires allowable operation range information and operation status information. Subsequently, the maximum value “6” of the allowable operation range information is compared with the maximum value “14” of the operation status information. As a result of the comparison, it is determined that the maximum value of the operation status information exceeds the allowable operation range information. Next, the minimum value “4” of the allowable operation range information is compared with the minimum value “5” of the operation status information. As a result of the comparison, since the minimum value of the operation status information is larger than the minimum value of the allowable operation range information, it can be determined that the allowable range is not exceeded.

不正操作判定部15は、上述の最大値・最小値の比較結果から不正操作の可能性は50%と判定することができる。   The unauthorized operation determination unit 15 can determine that the possibility of an unauthorized operation is 50% from the comparison result of the maximum value and the minimum value.

本実施例のように構成する事により、許容操作範囲情報を算出する際に操作基準値を算出する必要が無くなり、処理の負荷を軽減する効果を得るとともに上述の実施例と同様に各端末の操作に基づいた判定を行うことができる。   By configuring as in this embodiment, it is not necessary to calculate the operation reference value when calculating the allowable operation range information, and the effect of reducing the processing load is obtained, and each terminal has the same effect as in the above embodiment. Determination based on the operation can be performed.

本発明は、端末Bの環境情報を加味して判定を行うように構成することもできる。つまり、操作ログ情報を用いて、端末Bのハードウェア・ソフトウェアの環境に関する情報を判定し、端末Bの環境に合わせた許容操作範囲情報・操作状況情報を生成するように構成することもできる。   The present invention can also be configured to make a determination in consideration of the environment information of the terminal B. In other words, the operation log information can be used to determine information related to the hardware / software environment of the terminal B and to generate allowable operation range information / operation status information in accordance with the environment of the terminal B.

上述の環境情報とは、端末Bのハードウェアもしくはソフトウェアに関する情報のことをいい、具体的には、ネットワークの接続状況、外部機器の接続状況、ソフトウェアのインストール状況などに関する情報である。ネットワークの接続状況とは、例えば、有線ネットワーク接続中(LANケーブルを用いた接続)、無線ネットワーク接続中、イントラネットへの接続中、インターネットへの接続中、未接続などといった情報である。外部機器の接続状況とは、外部記憶媒体、プリンタ、スキャナなどとの接続を示す情報である。ソフトウェアのインストール状況とは、端末B内に有る実行モジュール・実行プログラムなどのインストール情報である。   The above-mentioned environmental information refers to information related to the hardware or software of the terminal B, and specifically, is information related to the network connection status, external device connection status, software installation status, and the like. The network connection status is information such as a wired network connection (connection using a LAN cable), a wireless network connection, an intranet connection, an Internet connection, or no connection. The connection status of the external device is information indicating connection with an external storage medium, a printer, a scanner, or the like. The software installation status is installation information such as execution modules and execution programs in the terminal B.

以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。     Hereinafter, each component and the processing process will be described. Note that a description of the same configuration and operation as in the first embodiment will be omitted.

〔実施例5−構成〕
本発明の操作監視システムは、さらに環境情報生成部(図示せず)および環境情報記憶部(図示せず)を備えている。 Example 5 Configuration
The operation monitoring system of the present invention further includes an environment information generation unit (not shown) and an environment information storage unit (not shown).

環境情報生成部は、端末Bの操作ログ情報取得部11から操作ログ情報を取得し、取得した操作ログ情報に基づいて環境情報を生成し、環境情報記憶部に記憶する。この環境情報は、操作ログ情報の操作内容、操作対象情報、付加情報等を用いて端末Bの環境に関する情報を判定して生成される。   The environment information generation unit acquires operation log information from the operation log information acquisition unit 11 of the terminal B, generates environment information based on the acquired operation log information, and stores it in the environment information storage unit. This environment information is generated by determining information regarding the environment of the terminal B using the operation content, operation target information, additional information, and the like of the operation log information.

操作ログ情報取得部11は、端末Bから操作ログ情報を取得すると、環境情報記憶部に保存されている環境情報を操作ログ情報に関連付けて操作ログ情報記憶部12に記憶する。   When the operation log information acquisition unit 11 acquires operation log information from the terminal B, the operation log information storage unit 12 stores the environment information stored in the environment information storage unit in association with the operation log information.

許容操作範囲生成部13は、操作ログ情報記憶部12から標準的な操作を判定するための期間の操作ログ情報を抽出し、各操作ログ情報に含まれる操作内容、操作対象情報、付加情報および環境情報を用いて許容操作範囲情報を生成する。具体的には、操作ログ情報毎に含まれる環境情報に応じて、予め環境情報毎に定義されているリスクポイントを判定する。そして、操作内容・操作対象情報・付加情報およびリスクポイントを用いて操作ログ情報の操作ポイントを算出し、その操作ポイントを集計した値を用いて許容操作範囲値を生成する。   The allowable operation range generation unit 13 extracts operation log information for a period for determining a standard operation from the operation log information storage unit 12, and includes operation contents, operation target information, additional information, and the like included in each operation log information. The allowable operation range information is generated using the environment information. Specifically, risk points defined in advance for each environment information are determined according to the environment information included for each operation log information. Then, the operation point of the operation log information is calculated using the operation content / operation object information / additional information and the risk point, and an allowable operation range value is generated using a value obtained by collecting the operation points.

操作状況生成部14は、操作ログ情報記憶部12から特定期間の操作ログ情報を抽出し、各操作ログ情報に含まれる操作内容、操作対象情報、付加情報および環境情報を用いて操作状況情報を生成する。具体的には、操作ログ情報毎に含まれる環境情報に応じて、予め環境毎に定義されているリスクポイントを判定する。そして、操作内容・操作対象情報・付加情報およびリスクポイントを用いて操作ログ情報の操作ポイントを算出し、その操作ポイントを集計した値を用いて操作状況値を生成する。   The operation status generation unit 14 extracts operation log information for a specific period from the operation log information storage unit 12, and uses the operation content, operation target information, additional information, and environment information included in each operation log information as operation status information. Generate. Specifically, risk points defined in advance for each environment are determined according to the environment information included for each operation log information. Then, the operation point of the operation log information is calculated using the operation content / operation object information / additional information and the risk point, and an operation status value is generated using a value obtained by collecting the operation points.

〔実施例5−処理プロセス〕
次に本実施例の処理プロセスの一例を、図3の機能ブロック図、図4のフローチャート等を用いて説明する。なお、以下の説明では、判定対象の端末B「ABC12345」がネットワークNを介して管理サーバAと接続され、本操作の判定に用いる操作内容は「複製」、操作状況値は実行回数(操作状況値1)を用いる。そして、環境情報はネットワーク接続状況を用いることとする。 Example 5-Treatment process
Next, an example of the processing process of the present embodiment will be described with reference to the functional block diagram of FIG. 3, the flowchart of FIG. In the following description, the determination target terminal B “ABC12345” is connected to the management server A via the network N, the operation content used for the determination of this operation is “copy”, and the operation status value is the number of executions (operation status The value 1) is used. The environment information uses the network connection status.

操作ログ情報取得部11は、端末Bから操作ログ情報を取得すると環境情報生成部に操作ログ情報を通知する。また、環境情報記憶部から環境情報を抽出し、取得した操作ログ情報と関連付けて操作ログ情報記憶部12に記憶する(S101)。操作ログ情報記憶部12に記憶された操作ログ情報を図14に模式的に示す。   When the operation log information acquisition unit 11 acquires the operation log information from the terminal B, the operation log information acquisition unit 11 notifies the environment information generation unit of the operation log information. Further, the environment information is extracted from the environment information storage unit, and stored in the operation log information storage unit 12 in association with the acquired operation log information (S101). The operation log information stored in the operation log information storage unit 12 is schematically shown in FIG.

環境情報生成部は、操作ログ情報取得部11から操作ログ情報を取得し、取得した操作ログ情報から抽出したネットワーク接続状況を環境情報として取得する。この環境情報の一つであるネットワーク接続状況について具体的に説明する。たとえば、操作内容「ネットワーク接続」、操作対象情報「有線接続」、付加情報「インターネット接続」を含む操作ログ情報を取得した場合、ネットワーク接続状況「有線ネットワーク接続中(インターネット)」と判定し、その内容を環境情報として生成する。また、操作内容「ネットワーク切断」、操作対象情報「有線接続」、付加情報「インターネット接続」を含む操作ログ情報を取得した場合、ネットワーク接続状況「有線ネットワーク未接続」と判定し、その内容を環境情報として生成する(図15参照)。   The environment information generation unit acquires operation log information from the operation log information acquisition unit 11, and acquires the network connection status extracted from the acquired operation log information as environment information. The network connection status, which is one of the environmental information, will be specifically described. For example, when operation log information including the operation content “network connection”, operation target information “wired connection”, and additional information “Internet connection” is acquired, it is determined that the network connection status is “wired network connection (Internet)”. Generate contents as environmental information. In addition, when operation log information including operation content “network disconnection”, operation target information “wired connection”, and additional information “Internet connection” is acquired, it is determined that the network connection status is “wired network not connected” and the content is Information is generated (see FIG. 15).

許容操作範囲生成部13は、標準的な操作を判定するための所定期間の操作ログ情報を抽出し、その操作ログ情報とそれに関連する環境情報とに応じて操作ポイントを算出する。そして、操作ポイントを用いて許容操作範囲情報を生成する(S102)。   The allowable operation range generation unit 13 extracts operation log information for a predetermined period for determining a standard operation, and calculates an operation point according to the operation log information and related environment information. Then, the allowable operation range information is generated using the operation point (S102).

上述の処理を具体的に説明すると、取得した操作ログ情報のうち、操作内容「複製」である操作ログ情報と環境情報(ネットワーク接続状況)とを抽出する。次に、環境情報(ネットワーク接続状況)の内容に応じてリスクポイントテーブル(図16参照)からリスクポイントを取得し、そのリスクポイントをその操作ログ情報の操作ポイントとする。例えば、操作ログ情報が図14(a)で有った場合、環境情報(ネットワーク接続)「有線ネットワーク接続中(インターネット)」であるため、リスクポイントは「2」となる(図16参照)。よって、その操作ログ情報の操作ポイントは「2」となる。   More specifically, the above processing is extracted from the acquired operation log information, operation log information having operation content “duplicate” and environment information (network connection status). Next, a risk point is acquired from the risk point table (see FIG. 16) according to the contents of the environment information (network connection status), and the risk point is set as an operation point of the operation log information. For example, if the operation log information is shown in FIG. 14A, the risk point is “2” because it is environment information (network connection) “wired network connection (Internet)” (see FIG. 16). Therefore, the operation point of the operation log information is “2”.

続いて、操作ログ情報毎の操作ポイントの算出を行った後、単位時間あたりの操作ポイントを集計する(図17参照)。そして、10日間における1日の操作ポイントの平均値は、「6.4」算出される。そして、この操作ポイントを用いて許容操作範囲情報が算出される。   Subsequently, after calculating the operation points for each operation log information, the operation points per unit time are totaled (see FIG. 17). Then, the average value of the daily operation points in 10 days is calculated as “6.4”. Then, allowable operation range information is calculated using this operation point.

操作状況生成部14は、特定期間における操作ログ情報を取得し、その操作ログ情報と環境情報とに応じて操作ポイントを算出する。そして、操作ポイントを用いて操作状況情報を生成する(S103)。特定期間である11日目の操作ポイントは、10と算出される。   The operation status generation unit 14 acquires operation log information in a specific period, and calculates an operation point according to the operation log information and environment information. Then, operation status information is generated using the operation points (S103). The operation point on the 11th day which is the specific period is calculated as 10.

本実施例のように構成する事によって、端末Bの環境に応じて不正操作であるかの判定をより厳密に行うことができるようになる。   By configuring as in the present embodiment, it is possible to more strictly determine whether the operation is an unauthorized operation according to the environment of the terminal B.

本実施例では、許容操作範囲情報および操作状況情報に環境情報を反映させて操作ポイントを算出するように構成したが、許容操作範囲情報または操作状況情報のいずれか一方に対してのみ環境情報を反映させるように構成してもかまわない。   In this embodiment, the operation point is calculated by reflecting the environment information in the allowable operation range information and the operation status information. However, the environment information is only applied to either the allowable operation range information or the operation status information. You may comprise so that it may reflect.

本実施例では、操作ログ情報を用いて環境情報を判定するとしたが、端末Bのハードウェア・ソフトウェアに関する情報を端末Bから取得し、その取得した情報に基づいて環境情報を生成するようにしてもかまわない。以下、具体的に説明する。   In the present embodiment, the environment information is determined using the operation log information. However, the hardware / software information of the terminal B is acquired from the terminal B, and the environment information is generated based on the acquired information. It doesn't matter. This will be specifically described below.

端末制御部21は、端末Bのハードウェア構成およびインストールされているソフトウェアに関する情報を資産情報として取得する。そして、取得した資産情報をネットワークI/F20を介して管理サーバAに通知する。そして、管理サーバAは、端末Bから資産情報を取得し、環境情報として環境情報記憶部に記憶する。   The terminal control unit 21 acquires information regarding the hardware configuration of the terminal B and installed software as asset information. Then, the acquired asset information is notified to the management server A via the network I / F 20. And the management server A acquires asset information from the terminal B, and memorize | stores it in an environmental information storage part as environmental information.

上述の処理について管理サーバAは、資産情報の送信要求を端末Bに指示する事によって端末Bから資産情報を取得するように構成しても良いし、端末Bが定期的に管理サーバAに資産情報を通知するように構成してもよい。   Regarding the above-described processing, the management server A may be configured to acquire the asset information from the terminal B by instructing the terminal B to send the asset information transmission request, or the terminal B periodically sends the asset information to the management server A. You may comprise so that information may be notified.

また、本実施例では、操作ログ情報を端末Bから取得する毎に環境情報を生成し、操作ログ情報に関連付けて記憶するようにしたが、許容操作範囲生成部13および操作状況生成部14において操作ログ情報記憶部12から操作ログ情報を取得する毎に環境情報の生成しリスクポイントの取得を行うようにしてもかまわない。これによって、判定に使用する環境情報を予め関連付けて記憶する必要がなく、判定のために使用する環境情報を変更する事ができ、さまざまな環境情報に対する判定が可能となる。   In this embodiment, the environment information is generated every time operation log information is acquired from the terminal B and stored in association with the operation log information. However, in the allowable operation range generation unit 13 and the operation status generation unit 14, Each time operation log information is acquired from the operation log information storage unit 12, environmental information may be generated and risk points may be acquired. Thus, it is not necessary to associate and store the environment information used for the determination in advance, the environment information used for the determination can be changed, and it is possible to determine various environment information.

上述の実施例では、許容操作範囲情報の生成を標準的な操作を判定するための任意の期間、操作状況情報の生成を任意の特定期間としたが、本実施例では、所定の操作ログ情報(基準操作ログ情報)の操作日時を基点とした一定の期間の操作ログ情報に基づいて許容操作範囲情報および操作状況情報を生成し、判定する場合について説明する。   In the above-described embodiment, the generation of the allowable operation range information is an arbitrary period for determining a standard operation and the generation of the operation status information is an arbitrary specific period. However, in the present embodiment, predetermined operation log information A case will be described in which allowable operation range information and operation status information are generated and determined based on operation log information for a certain period based on the operation date and time of (reference operation log information).

上述の基準操作ログ情報とは、操作ログ情報を取得する期間を決定するための基準となる操作ログ情報である。この基準操作ログ情報は、予め定められた条件に一致する操作ログ情報であるものとする。   The above-mentioned reference operation log information is operation log information serving as a reference for determining a period for acquiring operation log information. This reference operation log information is operation log information that matches a predetermined condition.

以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成部
または動作については、詳細な説明を省略する。 Hereinafter, each component and the processing process will be described. Detailed descriptions of the same components or operations as those in the first embodiment will be omitted.

〔実施例6−構成〕
許容操作範囲情報生成部13は、操作ログ情報記憶部12から操作ログ情報を順次取得し、取得した操作ログ情報と基準操作ログ情報とを比較する。そして、比較の結果、基準操作ログ情報と判定された場合、関連操作取得期間を判定し、その期間内に含まれる操作ログ情報を操作ログ情報記憶部12から抽出する。この一連の処理を標準的な操作を判定するための所定期間、繰り返し実行する。続いて、抽出した操作ログ情報に応じて集計を行い、許容操作範囲情報を生成する。 Example 6 Configuration
The allowable operation range information generation unit 13 sequentially acquires operation log information from the operation log information storage unit 12, and compares the acquired operation log information with reference operation log information. If it is determined as reference operation log information as a result of the comparison, a related operation acquisition period is determined, and operation log information included in the period is extracted from the operation log information storage unit 12. This series of processing is repeatedly executed for a predetermined period for determining a standard operation. Subsequently, tabulation is performed according to the extracted operation log information to generate allowable operation range information.

上述の関連操作取得期間とは、基準操作ログ情報の操作日時を基準とした期間または時間範囲のことをいう。つまり、基準操作ログ情報の操作日時から操作ログ情報の取得を開始する日時および操作ログ情報の取得を終了する日時で示される期間のことである(図19参照)。なお、関連操作取得期間は、基準操作ログ情報の操作日時を基準として、それより以前・以後のいずれでも良い。さらに、関連操作取得期間には、特定の操作ログ情報の日時を含んでいても良いし、含まなくても良い。   The related operation acquisition period described above refers to a period or time range based on the operation date and time of the reference operation log information. That is, this is a period indicated by the date and time when acquisition of operation log information starts and the date and time when acquisition of operation log information ends from the operation date and time of the reference operation log information (see FIG. 19). The related operation acquisition period may be before or after the operation date and time of the reference operation log information. Furthermore, the related operation acquisition period may or may not include the date and time of specific operation log information.

例えば、基準操作ログ情報の操作内容が「外部記憶媒体の検出」であり、関連操作取得期間が「基準操作ログ情報の0分前〜基準操作ログ情報の10分後」であったとする(図19参照)と、操作ログ情報記憶部12から取得した操作ログ情報の操作内容が「外部記憶媒体の検出」であるかを判定する。判定の結果、合致した場合は、その操作ログ情報以降の10分間の操作ログ情報を抽出する。つまり、図18の場合であれば、「開始A〜終了A]、「開始B〜終了B」の間の操作ログ情報が抽出されることとなる。そして、許容操作範囲情報生成部13は、取得した操作ログ情報に応じて操作の集計を行い、許容操作範囲情報を生成する。   For example, it is assumed that the operation content of the reference operation log information is “detection of external storage medium” and the related operation acquisition period is “0 minutes before reference operation log information to 10 minutes after reference operation log information” (FIG. 19) and whether or not the operation content of the operation log information acquired from the operation log information storage unit 12 is “detection of external storage medium”. As a result of the determination, if they match, operation log information for 10 minutes after the operation log information is extracted. That is, in the case of FIG. 18, operation log information between “start A to end A” and “start B to end B” is extracted. Then, the allowable operation range information generation unit 13 aggregates operations according to the acquired operation log information, and generates allowable operation range information.

操作状況情報生成部14は、操作ログ情報記憶部12から操作ログ情報を取得し、その取得した操作ログ情報の操作内容と基準操作ログ情報の操作内容とを比較する。そして、比較の結果、基準操作ログ情報と判定された場合、予め定義されている関連操作取得期間に含まれる操作ログ情報を操作ログ情報記憶部12から抽出する。そして、抽出した操作ログ情報に基づいて集計を行い、操作状況情報を生成する。   The operation status information generation unit 14 acquires operation log information from the operation log information storage unit 12 and compares the operation content of the acquired operation log information with the operation content of the reference operation log information. If it is determined as the reference operation log information as a result of the comparison, the operation log information included in the related operation acquisition period defined in advance is extracted from the operation log information storage unit 12. Then, aggregation is performed based on the extracted operation log information, and operation status information is generated.

例えば、操作状況生成部14は、操作ログ情報記憶部12から順次取得した操作ログ情報の操作内容が「外部記憶媒体の検出」であるかを判定する。判定の結果、合致した場合は、その操作ログ情報以降の10分間の操作ログ情報を抽出する。つまり、図18の場合であれば、「開始C〜終了C]の間の操作ログ情報が抽出されることとなる。続いて、操作状況生成部14は、取得した操作ログ情報に応じて操作の集計を行い、操作状況情報を生成する。   For example, the operation status generation unit 14 determines whether the operation content of the operation log information sequentially acquired from the operation log information storage unit 12 is “detection of external storage medium”. As a result of the determination, if they match, operation log information for 10 minutes after the operation log information is extracted. That is, in the case of FIG. 18, the operation log information between “start C to end C” is extracted. Subsequently, the operation status generation unit 14 operates according to the acquired operation log information. The operation status information is generated.

このように所定の操作ログ情報を基準とした一定の範囲に限定して操作ログ情報を抽出する事によって、所定の操作ログ情報と連動して行われる操作が不正操作であるかを判定することができるようになる。   In this way, by extracting operation log information within a predetermined range based on predetermined operation log information, it is determined whether an operation performed in conjunction with the predetermined operation log information is an illegal operation. Will be able to.

さらに本実施例では、基準操作ログ情報は、許容操作範囲生成部13および操作状況生成部14において、許容操作範囲情報および操作状況情報を生成するための操作ログ情報を操作ログ情報記憶部12から抽出するための期間を決定するための基準として用いていたが、基準操作ログ情報それ自体を用いて、その基準操作ログ情報が端末Bから出力された回数を用いて許容操作範囲情報および操作状況情報を生成するという構成としても構わない。   Further, in the present embodiment, the reference operation log information is obtained from the operation log information storage unit 12 as operation log information for generating allowable operation range information and operation status information in the allowable operation range generation unit 13 and the operation status generation unit 14. Although it was used as a reference for determining the period for extraction, the allowable operation range information and the operation status using the reference operation log information itself and the number of times the reference operation log information was output from the terminal B A configuration in which information is generated may be used.

本実施例は、許容操作範囲情報と操作状況情報とを比較した結果から判定ポイントを生成し、その判定ポイントの累積を用いて制御を行う場合について説明する。   In this embodiment, a case will be described in which a determination point is generated from a result of comparing the allowable operation range information and the operation status information, and control is performed using the accumulation of the determination point.

上述の判定ポイントとは、端末Bで行われた操作について不正操作の可能性の度合いを累積した値のことをいう。言い換えると、許容操作範囲情報と操作状況情報との比較の結果に応じて求められたポイントを積算した値のことである。本実施例では、判定ポイントの値が大きいほど不正操作の可能性が高いと判定する。   The above-described determination point refers to a value obtained by accumulating the degree of possibility of unauthorized operation for the operation performed on the terminal B. In other words, it is a value obtained by integrating the points obtained according to the comparison result between the allowable operation range information and the operation status information. In this embodiment, it is determined that the greater the value of the determination point, the higher the possibility of an unauthorized operation.

以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成部
または動作については、詳細な説明を省略する。 Hereinafter, each component and the processing process will be described. Detailed descriptions of the same components or operations as those in the first embodiment will be omitted.

〔実施例7−構成〕
本実施例において、本発明の操作監視システムは判定ポイント記憶部(図示せず)をさらに備えるものとする。 Example 7-Configuration
In the present embodiment, the operation monitoring system of the present invention further includes a determination point storage unit (not shown).

操作ポイント記憶部は、不正操作判定部15において許容操作情報と操作状況情報との比較の結果に応じたポイントを積算した判定ポイントを記憶する。   The operation point storage unit stores a determination point obtained by accumulating points according to the comparison result between the allowable operation information and the operation status information in the unauthorized operation determination unit 15.

不正操作判定部15は、許容操作範囲情報と操作状況情報とを比較する。その比較結果、操作状況情報が許容操作範囲外である場合、比較判定に用いた対象に応じてポイントを決定する(図20参照)。そして、決定したポイントを判定ポイント記憶部から判定ポイントに加算する。ここで判定に用いた対象とは、操作ログ情報に含まれる操作内容、操作対象情報、付加情報などに対する実行回数、実行周期などを指す。   The unauthorized operation determination unit 15 compares the allowable operation range information with the operation status information. If the operation result information is outside the allowable operation range as a result of the comparison, points are determined according to the object used for the comparison determination (see FIG. 20). Then, the determined point is added to the determination point from the determination point storage unit. The target used for the determination here refers to the operation content, the operation target information, the number of executions for the additional information, the execution cycle, and the like included in the operation log information.

制御部16は、判定ポイント記憶部から判定ポイントを取得する。取得した判定ポイントに応じて、端末Bに対する操作制御・警告通知や管理者端末に対する通知を行う(図11(b)参照)。   The control unit 16 acquires a determination point from the determination point storage unit. Depending on the acquired determination point, operation control / warning notification for the terminal B and notification for the administrator terminal are performed (see FIG. 11B).

さらに、不正操作判定部15は、判定ポイントを積算するだけでなく、所定のタイミングや周期的に判定ポイントを減算するようにすると好適である。つまり、不正操作判定部15において、不正な操作であると判定すると判定ポイントを加算し、不正な操作で無い(操作状況情報が許容操作範囲内である)と判定された場合、判定に用いた対象に応じてポイントを決定し、決定したポイントを判定ポイントから減算するようにしてもかまわない。これによって、継続的に不正な操作を行っている端末に対してのみ制御を行うことができるようになる。   Furthermore, it is preferable that the unauthorized operation determination unit 15 not only accumulates the determination points but also subtracts the determination points at a predetermined timing or periodically. That is, when the unauthorized operation determination unit 15 determines that the operation is an unauthorized operation, the determination point is added, and when it is determined that the operation is not an unauthorized operation (the operation status information is within the allowable operation range), it is used for the determination. The point may be determined according to the object, and the determined point may be subtracted from the determination point. As a result, it is possible to control only the terminal that is continuously performing unauthorized operations.

本実施例は、本システムを周期的に実行するようにすると好適である。また、それに限らず、管理者による指示や所定の操作ログ情報などの所定のタイミングで実行するようにしてもかまわない。   In the present embodiment, it is preferable to periodically execute this system. Further, the present invention is not limited to this, and it may be executed at a predetermined timing such as an instruction from an administrator or predetermined operation log information.

本実施例は、判定ポイントが大きいほど不正操作の可能性が高いとしたがこれに限らず、判定ポイントが小さいほど不正操作の可の正が高いとなるようにしてもかまわない。この場合は、正常値であるポイント(最高ポイント)が判定ポイント記憶部に記憶されており、不正操作判定部16の結果に応じて記憶されている判定ポイントが減算され、減算された判定ポイントを用いて制御を行うように構成することも当然に可能である。   In this embodiment, the possibility of an unauthorized operation is higher as the determination point is larger. However, the present invention is not limited to this, and the possibility of an unauthorized operation may be higher as the determination point is smaller. In this case, the point that is a normal value (the highest point) is stored in the determination point storage unit, the determination point stored according to the result of the unauthorized operation determination unit 16 is subtracted, and the subtracted determination point is Of course, it is also possible to configure so as to perform control.

上述の実施例7では、判定ポイントを設け、判定ポイントの積算値に応じて制御を行う方法について説明したが、本実施例では、不正操作判定部15において判定ポイントが算出される毎に、判定ポイント記憶部に順次記憶し、その値の経時的な変化に応じて不正操作の可能性を判定し、制御を行うという方法について説明する。   In the above-described seventh embodiment, the method of providing the determination point and performing the control according to the integrated value of the determination point has been described. However, in this embodiment, the determination is performed every time the determination point is calculated by the unauthorized operation determination unit 15. A method of sequentially storing the data in the point storage unit, determining the possibility of an unauthorized operation according to the change with time of the value, and performing control will be described.

不正操作判定部15は、許容操作範囲情報と操作状況情報とを比較する。その結果、操作状況情報が許容操作範囲外であると判定された場合、判定に用いた対象に応じてポイントを決定する(図20参照)。そして、決定したポイントを判定ポイント記憶部に判定のタイミングを示す情報(例えば、○日目や操作日時など)とともに記憶する。     The unauthorized operation determination unit 15 compares the allowable operation range information with the operation status information. As a result, when it is determined that the operation status information is outside the allowable operation range, a point is determined according to the target used for the determination (see FIG. 20). And the determined point is memorize | stored in the determination point memory | storage part with the information (For example, (circle) day, operation date, etc.) which shows the timing of determination.

次に、不正操作判定部15は、判定ポイント記憶部に判定のタイミングを示す情報毎に記憶されたポイントに基づいて、単位時間毎のポイントを集計し、不正操作の発生傾向を求め、その発生傾向に応じて不正操作の可能性の判定を行う。   Next, the unauthorized operation determination unit 15 aggregates the points for each unit time based on the points stored for each piece of information indicating the determination timing in the determination point storage unit, and determines the occurrence tendency of the unauthorized operation. The possibility of unauthorized operation is determined according to the tendency.

上述の不正操作の発生傾向とは、不正操作が増加傾向に有るもしくは減少傾向に有るといった傾向のことをいう。   The above-mentioned tendency for the occurrence of unauthorized operations refers to the tendency that the unauthorized operations are increasing or decreasing.

不正操作判定部15は、不正操作の発生傾向を算出する発生傾向算出手段と、発生傾向に基づいて不正操作の可能性の判定を行う判定手段とを備える。   The unauthorized operation determination unit 15 includes an occurrence tendency calculation unit that calculates an occurrence tendency of an unauthorized operation, and a determination unit that determines the possibility of an unauthorized operation based on the occurrence tendency.

発生傾向算出手段は、判定ポイント記憶部からポイントを取得する。そして、取得したポイントから単位時間毎にポイントを集計する。そして、その集計されたポイントの変化の近似直線式を算出する。算出された近似直線式の傾き・切線を制御手段に通知する。つまり、例えば判定する期間が10日間の場合に、日毎にポイントを集計し、その10日間の日毎の集計されたポイントの近似直線式を算出する。そして、その近似直線式の傾き・切線を制御手段に通知する。   The occurrence tendency calculation means acquires points from the determination point storage unit. Then, the points are totaled from the acquired points every unit time. Then, an approximate linear equation of the change of the aggregated points is calculated. The control unit is notified of the calculated inclination / cut line of the approximate linear equation. That is, for example, when the determination period is 10 days, the points are totaled for each day, and an approximate linear expression of the totaled points for each day of the 10 days is calculated. Then, the control unit is notified of the inclination / cut line of the approximate linear equation.

発生傾向に近似直線式によって、例えば、傾きがプラス値である場合は増加傾向にあり、傾きがマイナス値で有る場合は減少傾向と判定できる。さらに傾きの絶対値が大きい場合(プラス値/マイナス値のいずれの場合でも)は、操作が急激に変化している事を示すため、不正操作の可能性が高い傾向にあると判断するようにしても良い。さらに、切線の大きさを用いて、継続的に不正操作が行われているとすることもできる。   For example, when the slope is a positive value, it can be determined that the trend is increasing, and when the slope is a negative value, it can be determined that the trend is decreasing. Further, when the absolute value of the slope is large (in either case of positive value / negative value), it indicates that the operation is changing rapidly. Therefore, it is determined that the possibility of the unauthorized operation is high. May be. Further, it may be assumed that unauthorized operations are continuously performed using the size of the cut line.

判定手段は、不正操作の発生傾向が増加傾向である、操作が急激に変化した、などの場合に不正操作の可能性が有るもしくは高いと判定し、などといった発生傾向に応じて不正操作の判定を行う。   Judgment means determines that there is a possibility of or high fraudulent operation when the tendency of fraudulent operation is increasing or the operation has changed abruptly. I do.

上述の実施例では、操作ログ情報を用いて操作基準値を算出し、許容操作範囲情報および操作状況情報を求めていたが、取得した操作ログ情報が禁止操作であるかを判定し、その禁止操作の回数等を用いて操作基準値を算出し、許容操作範囲情報および操作状況情報を求めて、不正操作の判定を行うようにしてもかまわない。   In the above-described embodiment, the operation reference value is calculated using the operation log information, and the allowable operation range information and the operation status information are obtained. However, it is determined whether the acquired operation log information is a prohibited operation, and the prohibition is performed. An operation reference value may be calculated using the number of operations, etc., and the allowable operation range information and operation status information may be obtained to determine unauthorized operation.

上述の禁止操作とは、端末Bにおいて実行が禁止もしくは制限されている操作のことである。   The above-described prohibited operation is an operation whose execution is prohibited or restricted at the terminal B.

具体的には、操作ログ情報取得部11において取得した操作ログ情報が禁止操作であるかを判定し、判定の結果を操作ログ情報記憶部12に記憶する。操作ログ情報記憶部12に記憶する際に、禁止操作の情報を操作ログ情報に関連付けると好適である。そして、その禁止操作の情報に基づいて許容操作範囲情報、操作状況情報を生成し、不正操作の判定を行う(図6(e)、図7(e)、図9(e)、図10(e)参照)。   Specifically, it is determined whether the operation log information acquired by the operation log information acquisition unit 11 is a prohibited operation, and the determination result is stored in the operation log information storage unit 12. When storing in the operation log information storage unit 12, it is preferable to associate the prohibited operation information with the operation log information. Then, based on the information of the prohibited operation, allowable operation range information and operation status information are generated, and an unauthorized operation is determined (FIGS. 6E, 7E, 9E, and 10). e)).

なお、禁止操作となる条件については、予め禁止となる操作内容、操作対象情報および付随情報などを定義し、記憶部等に記憶しておくと好適である。   As for the conditions for the prohibited operation, it is preferable to define the prohibited operation content, operation target information, accompanying information, and the like in advance and store them in a storage unit or the like.

本実施例では、操作ログ情報に含まれる各種データ量を示す情報を用いて判定する場合について説明する。具体的には、操作ログ情報の付加情報に含まれるデータ量、印刷ページ数、およびファイル数等の各種データ量を示す情報を抽出し、単位時間あたりのデータ量の積算値を用いて許容操作範囲情報および操作状況情報を生成し、不正操作の判定を行う。   In the present embodiment, a case will be described in which determination is performed using information indicating various data amounts included in operation log information. Specifically, information indicating various data amounts such as the amount of data, the number of printed pages, and the number of files included in the additional information of the operation log information is extracted, and the allowable operation is performed using the integrated value of the data amount per unit time. Generate range information and operation status information, and determine unauthorized operations.

上述のデータ量を示す情報に関する例を以下に示す。操作ログ情報が操作内容「ファイルダウンロード」かつ付加情報「ダウンロードするデータ量」の場合のデータ量(図6(d)、図7(d)、図9(d)、図10(d)参照)、操作ログ情報が操作内容「印刷」かつ付加情報「印刷ページ数」の場合の印刷ページ数、操作ログ情報が操作内容「印刷」かつ付加情報「ファイル数」の場合のファイル数、操作ログ情報が操作内容「メール送信」かつ付加情報「添付ファイル数」の場合のファイル数、操作ログ情報の操作内容「メール送信」かつ付加情報「添付ファイルのデータ量」の場合の添付ファイルのデータ量などがある。なお、これらは、一例であって限定されるものではなく、いかなるデータ量を示す情報を用いてもかまわない。   An example relating to the information indicating the data amount described above is shown below. Data amount when operation log information is operation content “file download” and additional information “data amount to be downloaded” (refer to FIG. 6D, FIG. 7D, FIG. 9D, and FIG. 10D) , The number of print pages when the operation log information is the operation content “print” and the additional information “number of print pages”, the number of files when the operation log information is the operation content “print” and the additional information “number of files”, the operation log information The number of files when the operation content is "Send mail" and the additional information "Number of attached files", the amount of attached file data when the operation content of the operation log information is "Send mail" and the additional information is "Attached file data amount", etc. There is. Note that these are examples and are not limited, and information indicating any data amount may be used.

上述の実施例では、端末識別情報を用いて端末毎に判定するように説明したが、操作ログ情報に含まれるユーザ識別情報を用いて判定することも当然に可能である。これによって、ユーザが端末を特定せずに使用している場合の不正操作を判定することができる。   In the above-described embodiment, the terminal identification information is used to make the determination for each terminal. However, it is naturally possible to make the determination using the user identification information included in the operation log information. This makes it possible to determine an unauthorized operation when the user is using the terminal without specifying it.

本発明の操作監視システムの各機能・各構成は、管理サーバA、端末Bにおいて適
宜、分散配置しても良い。 Each function and each configuration of the operation monitoring system of the present invention may be appropriately distributed in the management server A and the terminal B.

上述の構成の他、管理サーバAを設けず、端末Bに必要な構成部を設けるようにしても良い。具体的には、端末Bは、端末制御部21、操作ログ情報生成部22、操作ログ情報取得部11、操作ログ情報記憶部12、許容操作範囲生成部13、操作状況生成部14、不正操作判定部15、制御部16、を設けるようにすることで、端末Bのみで操作監視を行うことも可能である。これによって、管理サーバAに問い合わせる必要が無く、高速に処理を行うことができるようになる。   In addition to the above-described configuration, the management server A may not be provided, and a configuration unit necessary for the terminal B may be provided. Specifically, the terminal B includes a terminal control unit 21, an operation log information generation unit 22, an operation log information acquisition unit 11, an operation log information storage unit 12, an allowable operation range generation unit 13, an operation status generation unit 14, an unauthorized operation. By providing the determination unit 15 and the control unit 16, it is possible to perform operation monitoring only by the terminal B. As a result, there is no need to make an inquiry to the management server A, and processing can be performed at high speed.

なお分散配置のバリエーションはさまざまなパターンがあり、いかなる配置形態で
も良い。このように、管理サーバA、端末Bにおける処理について、ほかの端末やサー
バの機能を利用する場合には情報の送受信を行う情報送受信部を適宜設け、問い合わせの
送信・問い合わせの結果の受信を行うようにすることで実現するようにすると良い。 Note that there are various patterns of dispersion arrangement, and any arrangement form may be used. As described above, in the processes in the management server A and the terminal B, when using functions of other terminals and servers, an information transmission / reception unit for transmitting / receiving information is appropriately provided to transmit an inquiry and receive an inquiry result. It is better to realize by doing so.

A:管理サーバ
B:端末
C:周辺機器
1:演算装置
2:記憶装置
3:表示装置
4:入力装置
5:通信装置
11:操作ログ情報取得部
12:操作ログ情報記憶部
13:許容操作範囲生成部
14:操作状況生成部
15:不正操作判定部:
16:制御部
21:端末制御部
22:操作ログ情報生成部
23:操作ログ情報送信部
24:制御指示受信部
A: Management server B: Terminal C: Peripheral device 1: Computing device 2: Storage device 3: Display device 4: Input device 5: Communication device 11: Operation log information acquisition unit 12: Operation log information storage unit 13: Allowable operation range Generation unit 14: Operation status generation unit 15: Unauthorized operation determination unit:
16: Control unit 21: Terminal control unit 22: Operation log information generation unit 23: Operation log information transmission unit 24: Control instruction reception unit

Claims (3)

端末の操作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部と、
前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成部と、
前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成部と、
前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定部とを備え、
前記不正操作判定部は、
不正操作の可能性の度合いを積算し、判定ポイントとして判定のタイミングを示す情報と共に判定ポイント記憶部に記憶する手段と、
判定ポイント記憶部に記憶された情報に基づいて、単位時間ごとの判定ポイントを集計し、不正操作の発生傾向を算出する発生傾向算出手段と、
前記算出した発生傾向に応じて不正操作の可能性を判定する手段と、
を有することを特徴とする操作監視システム An operation log information storage unit for storing operation log information indicating a history of operation of the terminal;
Based on operation log information in the operation log information storage unit, an allowable operation range generation unit that generates allowable operation range information indicating a standard operation in the terminal;
An operation status generation unit that extracts operation log information in a specific period of the terminal from the operation log information storage unit, and generates operation status information indicating an operation status of the terminal according to the extracted operation log information;
An unauthorized operation determination unit that determines the possibility of an unauthorized operation based on the allowable operation range information and the operation status information ;
The unauthorized operation determination unit
Means for accumulating the degree of possibility of fraudulent operation and storing it in the determination point storage unit together with information indicating the determination timing as a determination point;
Based on the information stored in the determination point storage unit, the determination points for each unit time are totaled, and an occurrence tendency calculating means for calculating the occurrence tendency of unauthorized operations,
Means for determining the possibility of unauthorized operation according to the calculated occurrence tendency;
Operation monitoring system that, comprising a. 前記操作状況生成部は、
前記操作ログ情報記憶部に記憶される前記特定期間の操作ログ情報のうち、特定の操作を示す操作ログ情報の操作日時を基準とする所定期間における操作状況を示す操作状況情報を生成する
ことを特徴とする請求項1記載の操作監視システム The operation status generator is
Generating operation status information indicating an operation status in a predetermined period based on the operation date and time of the operation log information indicating a specific operation among the operation log information of the specific period stored in the operation log information storage unit; operation monitoring system according to claim 1, wherein. 端末の動作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部を備える操作監視システムのための操作監視プログラムであって、
前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成機能と、
前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成機能と
前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定機能とを備え、
前記不正操作判定機能は、
不正操作の可能性の度合いを積算し、判定ポイントとして判定のタイミングを示す情報と共に判定ポイント記憶部に記憶する手段と、
判定ポイント記憶部に記憶された情報に基づいて、単位時間ごとの判定ポイントを集計し、不正操作の発生傾向を算出する発生傾向算出手段と、
前記算出した発生傾向に応じて不正操作の可能性を判定する手段と、
をコンピュータに実現させる操作監視プログラム
An operation monitoring program for an operation monitoring system including an operation log information storage unit that stores operation log information indicating a history of operation of a terminal,
Based on operation log information in the operation log information storage unit, an allowable operation range generation function for generating allowable operation range information indicating a standard operation in the terminal;
An operation status generation function for extracting operation log information in a specific period of the terminal from the operation log information storage unit, and generating operation status information indicating an operation status of the terminal according to the extracted operation log information ;
Based on the allowable operation range information and the operation status information, an unauthorized operation determination function that determines the possibility of unauthorized operation ,
The unauthorized operation determination function is
Means for accumulating the degree of possibility of fraudulent operation and storing it in the determination point storage unit together with information indicating the determination timing as a determination point;
Based on the information stored in the determination point storage unit, the determination points for each unit time are totaled, and an occurrence tendency calculating means for calculating the occurrence tendency of unauthorized operations,
Means for determining the possibility of unauthorized operation according to the calculated occurrence tendency;
An operation monitoring program that enables a computer to implement this function .
JP2009053347A 2009-03-06 2009-03-06 Operation monitoring system and operation monitoring program Active JP5155909B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009053347A JP5155909B2 (en) 2009-03-06 2009-03-06 Operation monitoring system and operation monitoring program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009053347A JP5155909B2 (en) 2009-03-06 2009-03-06 Operation monitoring system and operation monitoring program

Publications (2)

Publication Number Publication Date
JP2010211257A JP2010211257A (en) 2010-09-24
JP5155909B2 true JP5155909B2 (en) 2013-03-06

Family

ID=42971399

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009053347A Active JP5155909B2 (en) 2009-03-06 2009-03-06 Operation monitoring system and operation monitoring program

Country Status (1)

Country Link
JP (1) JP5155909B2 (en)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102971741A (en) * 2010-12-21 2013-03-13 北京中天安泰信息科技有限公司 Method for standardizing computer system action
JP5944655B2 (en) 2011-02-17 2016-07-05 キヤノン電子株式会社 Information processing apparatus, control method therefor, and computer program
JP5639501B2 (en) * 2011-02-22 2014-12-10 Sky株式会社 Theft state determination system and theft state determination program
JPWO2012153746A1 (en) * 2011-05-12 2014-07-31 日本電気株式会社 Fraud detection system, fraud detection device, fraud detection method, and nonvolatile medium
JP5677592B2 (en) * 2012-01-11 2015-02-25 株式会社日立製作所 Data processing method, data processing system, and data processing apparatus
WO2014003511A1 (en) * 2012-06-29 2014-01-03 주식회사 카스 Terminal for checking scale calibration records, system for managing scale calibration records, and method for checking scale calibration records
KR101323595B1 (en) 2012-06-29 2013-11-01 주식회사 카스 Terminal, system, and method for managing calibration record of scale
US8914886B2 (en) * 2012-10-29 2014-12-16 Mcafee, Inc. Dynamic quarantining for malware detection
US10346616B2 (en) * 2013-07-15 2019-07-09 General Electric Company Systems and methods for data loss prevention
JP6156175B2 (en) 2014-02-13 2017-07-05 富士ゼロックス株式会社 Information processing apparatus and program
JP6247749B2 (en) * 2014-04-15 2017-12-13 株式会社Ubic Information leakage detection device, information leakage detection method, and information leakage detection program
US10635160B2 (en) * 2016-05-16 2020-04-28 Tibco Software Inc. Stepback mechanism to develop and diagnose process applications
JP6851212B2 (en) * 2017-02-09 2021-03-31 Sky株式会社 Access monitoring system
JP7163593B2 (en) 2018-03-09 2022-11-01 富士通株式会社 Fraud monitoring program, fraud monitoring method, and information processing device
JP7352345B2 (en) * 2018-11-28 2023-09-28 キヤノン電子株式会社 Information processing device, its control method, information processing system, and program
JP6636605B1 (en) * 2018-12-12 2020-01-29 株式会社ミッドランドItソリューション History monitoring method, monitoring processing device, and monitoring processing program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7624174B2 (en) * 2003-05-22 2009-11-24 Microsoft Corporation Self-learning method and system for detecting abnormalities
WO2005048119A1 (en) * 2003-11-17 2005-05-26 Intelligent Wave Inc, Unauthorized operation judgment system, unauthorized operation judgment method, and unauthorized operation judgment program
JP2005222216A (en) * 2004-02-04 2005-08-18 Mitsubishi Electric Corp System audit method and system audit device
JP2008152326A (en) * 2006-12-14 2008-07-03 Seiko Epson Corp Information apparatus, illegal use management method for information apparatus and its program
JP2008192091A (en) * 2007-02-07 2008-08-21 Intelligent Wave Inc Log analysis program, log analysis device, and log analysis method

Also Published As

Publication number Publication date
JP2010211257A (en) 2010-09-24

Similar Documents

Publication Publication Date Title
JP5155909B2 (en) Operation monitoring system and operation monitoring program
JP5112751B2 (en) Self-inspection system for security measures
US8341734B1 (en) Method and system to audit physical copy data leakage
JP5541130B2 (en) Management device, management method, and management program
US7805630B2 (en) Detection and mitigation of disk failures
JP5966270B2 (en) System and device management program
JP6160064B2 (en) Application determination program, failure detection apparatus, and application determination method
CN110457953B (en) Method and device for detecting integrity of file
JP2009217637A (en) Security state display, security state display method, and computer program
JP2007304868A (en) Print manager, log information collector, print management system, print management method, print management program, and storage medium
JP5284012B2 (en) Client / server system and client / server system audit method
JP5628703B2 (en) Theft state determination terminal and theft state determination program
JP7352345B2 (en) Information processing device, its control method, information processing system, and program
JP6851212B2 (en) Access monitoring system
JP5320053B2 (en) Asset information management system and asset information management program
US10438011B2 (en) Information processing apparatus and non-transitory computer readable medium
US20210067554A1 (en) Real-time notifications on data breach detected in a computerized environment
JP6330280B2 (en) Alert output device, alert output method, and alert output program
JP2018005607A (en) Information processing device and program
JP2013235408A (en) Log management system, log management server, and program
JP2009098968A (en) Management system, management server, and management program
JP6075147B2 (en) Print management system, print management method and program
JP2018198000A (en) Monitoring program, monitoring method and information processing device
CN108063771B (en) Method and device for monitoring encrypted compressed file
JP2016170827A (en) Equipment management device, asset management device, and equipment management method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110823

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120914

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120925

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121016

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121207

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151214

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5155909

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151214

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250