JP5334739B2 - Log monitoring program, log monitoring system - Google Patents
Log monitoring program, log monitoring system Download PDFInfo
- Publication number
- JP5334739B2 JP5334739B2 JP2009185478A JP2009185478A JP5334739B2 JP 5334739 B2 JP5334739 B2 JP 5334739B2 JP 2009185478 A JP2009185478 A JP 2009185478A JP 2009185478 A JP2009185478 A JP 2009185478A JP 5334739 B2 JP5334739 B2 JP 5334739B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- user
- computer
- folder
- monitoring program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ユーザがコンピュータ上で行なった操作のログを監視する技術に関するものである。 The present invention relates to a technique for monitoring a log of operations performed on a computer by a user.
従来、ユーザがコンピュータ上で行なった操作のログを監視し、不正な情報流出行為などを検出または阻止する技術が開発されている。このような技術では、ユーザがコンピュータ上で行なった操作のログを収集し、ログの内容を解析することにより、不正行為を識別する。 2. Description of the Related Art Conventionally, a technique has been developed that monitors a log of an operation performed by a user on a computer and detects or prevents an illegal information leakage action. In such a technique, a log of operations performed by a user on a computer is collected, and the contents of the log are analyzed to identify an illegal act.
しかし、ログを収集したとしても、システム管理者がリアルタイムで毎日ログ解析を行うことは、人員コスト、時間コストの面から見て効率的ではない。また、ログ解析を専門に行うサーバを用意せず、個別のログをシステム管理者などが逐一確認するような環境では、ログ管理を軽視しがちな傾向がある。ログ管理がおろそかになると、不正行為の追跡可能性が途切れ、再発防止のための予防対策を十分に実施することができない懸念がある。 However, even if logs are collected, it is not efficient in terms of personnel costs and time costs for system administrators to perform daily log analysis in real time. Moreover, in an environment where a server that specializes in log analysis is not prepared and individual logs are checked by a system administrator or the like, log management tends to be neglected. If log management is neglected, there is a concern that the traceability of fraud is interrupted and preventive measures for preventing recurrence cannot be fully implemented.
一方、ログ管理サーバのトラブル、または不正行為者がログ管理サーバとの間の通信を故意に切断することなどによって、ログ管理サーバがログを収集することができなくなる場合がある。この場合、不正行為者がログを隠蔽することができるため、不正行為を追跡調査することが困難になる可能性がある。 On the other hand, the log management server may not be able to collect logs due to trouble with the log management server or an unauthorized person intentionally disconnecting communication with the log management server. In this case, since the fraudster can conceal the log, it may be difficult to trace the fraud.
下記特許文献1では、上記のように、ログ管理サーバとの通信が途切れた環境でも、クライアント側でログ収集を継続しておき、通信が回復した時点でログ管理サーバがログを一括して収集する技術が開示されている。
In the following
上記特許文献1に記載の技術では、ログをサーバ側に送信することができない場合は、いったん印刷ジョブを受け付けておき、後に通信が再開されるときに改めてログをサーバ側に送信している。また、上記特許文献1に記載の技術では、サーバとの通信が途切れている間は、ログを収集してはいるものの、ログ解析は通信が回復した後に行なわれることになる。そのためユーザ行為とそのログのチェックとの間にタイムラグがあり、その間はセキュリティ監視レベルが低下する懸念がある。
In the technique described in
本発明は、上記のような課題を解決するためになされたものであり、ログ管理サーバとの間の通信が途切れた場合でもユーザが操作を継続することができるようにしつつ、不正行為を抑止することのできるログ監視技術を提供することを目的とする。 The present invention has been made to solve the above-described problems, and suppresses fraud while allowing the user to continue operation even when communication with the log management server is interrupted. An object of the present invention is to provide a log monitoring technique that can be used.
本発明に係るログ監視プログラムは、収集したログを所定のフォルダに送信し、送信したログを削除する。ログサイズが所定の閾値を超えると、ログを取得する対象となっているユーザ操作を禁止する。 The log monitoring program according to the present invention transmits the collected logs to a predetermined folder and deletes the transmitted logs. When the log size exceeds a predetermined threshold, a user operation for which a log is to be acquired is prohibited.
本発明に係るログ監視プログラムによれば、ログを所定のフォルダに送信して削除することができる間は、ユーザは操作を継続することができる。また、通信が一時的に途切れたなどの理由で所定のフォルダにアクセスできない場合でも、ログのサイズが所定の閾値に達するまでは、ユーザは操作を継続することができる。ユーザがログの送信を故意に長時間妨げてログサイズが所定の閾値を超過したような場合には、ユーザは操作を行なうことができなくなるので、故意によるログ隠蔽行為に対して抑止効果を発揮することができる。 According to the log monitoring program of the present invention, the user can continue the operation while the log can be transmitted to the predetermined folder and deleted. Further, even when the predetermined folder cannot be accessed because communication is temporarily interrupted, the user can continue the operation until the log size reaches a predetermined threshold. If the user intentionally prevents log transmission for a long time and the log size exceeds a predetermined threshold, the user will not be able to perform an operation, so it will deter the intentional log concealment act. can do.
<実施の形態1>
図1は、本発明の実施の形態1に係るログ監視システム1000の構成図である。ログ監視システム1000は、クライアント端末100、ログ格納サーバ200を有する。クライアント端末100とログ格納サーバ200は、ネットワーク300を介して接続されている。
<
FIG. 1 is a configuration diagram of a
クライアント端末100は、ユーザが作業を行うためのコンピュータであり、演算部110、記憶部120を備える。
The
演算部110は、CPU(Central Processing Unit)などの演算装置である。演算装置110は、クライアント端末100の動作を制御する他、ユーザがクライアント端末100上で行なった操作のうち監視対象となるもののログを監査ログ122として取得し、記憶部120に格納する。また、ログ監視プログラム121を実行し、ログの監視を行なう。以後の説明では、記載の便宜上、ログ監視プログラム121をログ監視に係る動作主体として説明する場合があるが、実際の動作主体は演算部110であることを付言しておく。
The calculation unit 110 is a calculation device such as a CPU (Central Processing Unit). In addition to controlling the operation of the
クライアント端末100のOS(オペレーティングシステム)としてWindows(登録商標)を用いる場合であれば、OS標準の機能として監査ログ122を取得することができる。それ以外のOSを用いる場合は、類似の機能を有効化するか、もしくは類似の機能を有するログ取得プログラムをクライアント端末100にインストールし、監査ログ122と同等のログを取得できるようにすればよい。
If Windows (registered trademark) is used as the OS (operating system) of the
記憶部120は、HDD(Hard Disk Drive)などの書き込み可能な記憶装置で構成され、ログ監視プログラム121、監査ログ122を格納する。
The
ログ監視プログラム121は、ログ監視処理に係る演算部110の動作を規定するソフトウェアプログラムである。ログ監視プログラム121は、監査ログ122を収集してログ格納サーバ200の共有フォルダ221にアップロード(送信)する。また、その際に所定の規則にしたがって不正行為のログが存在するか否かをチェックし、存在する場合はその旨をシステム管理者に通知する。これについては後述の図3〜図4を用いて改めて説明する。
The log monitoring program 121 is a software program that defines the operation of the arithmetic unit 110 related to log monitoring processing. The log monitoring program 121 collects the audit log 122 and uploads (transmits) it to the shared
監査ログ122は、後述の図2で説明する構成を有する。演算部110は、必ずしもユーザによる全ての操作を監査ログ122に記録する必要はなく、重要ファイルへのアクセスなどに限定してログを記録してもよい。 The audit log 122 has a configuration described in FIG. The calculation unit 110 does not necessarily need to record all user operations in the audit log 122, and may record the log only for access to important files.
ログ格納サーバ200は、ログ監視プログラム121が収集したログをアップロードするためのサーバであり、演算部210、記憶部220を備える。
演算部210は、CPUなどの演算装置であり、ログ格納サーバ200の動作を制御する。
The
The
記憶部220は、HDDなどの書き込み可能な記憶装置で構成され、共有フォルダ221を有する。共有フォルダ221は、ログ監視プログラム121が収集したログをアップロードするためのファイルフォルダである。共有フォルダ221のパスは、クライアント端末100のユーザには非公開とする。さらに、「隠しフォルダ」属性を付与するなどしてもよい。
The
図2は、監査ログ122の構成とデータ例を示す図である。クライアント端末100の演算部110は、ユーザが行なう所定の操作を監視し、その監視結果を監査ログ122に記録する。
FIG. 2 is a diagram illustrating a configuration of the audit log 122 and data examples. The computing unit 110 of the
図2の例では、監査ログ122は所定の共有機密フォルダおよび制御メディア(CD−ROMドライブなど)へのアクセスを記録している。また、アクセス日時、アクセスしたユーザ名、アクセスしたコンピュータ名、アクセスしたコンピュータのアドレスなども併せて記録する。監査ログ122に記録する内容はこれらに限られず、ユーザの操作を監視することができるものであれば、任意の項目でよい。 In the example of FIG. 2, the audit log 122 records access to a predetermined shared secret folder and a control medium (such as a CD-ROM drive). In addition, the date and time of access, the name of the accessed user, the name of the accessed computer, the address of the accessed computer, etc. are also recorded. The content to be recorded in the audit log 122 is not limited to these, and any item may be used as long as the user's operation can be monitored.
以上、ログ監視システム1000の構成について説明した。次に、ログ監視システム1000がユーザの操作を監視する動作について説明する。
The configuration of the
図3は、ログ監視システム1000の動作を説明する動作フローである。以下、図3の各ステップについて説明する。
FIG. 3 is an operation flow for explaining the operation of the
(図3:ステップS301)
クライアント端末100のユーザは、クライアント端末100上でファイル作成などの操作を行う。演算部110は、その操作が監査ログ122の記録対象である場合は、監査ログ122にその操作の内容を記録する。このとき、演算部110は、監査ログ122をクライアント端末100のユーザが改変することができないように、監査ログ122のアクセス権限を適切に設定しておく。
(FIG. 3: Step S301)
The user of the
(図3:ステップS302)
ログ監視プログラム121は、所定の時間間隔、またはクライアント端末100のユーザが指示した時点で監査ログ122を収集し、共有フォルダ221にアップロードする。このときの通信プロトコルは、例えばFTP(File Transfer Protocol)やNetBEUIなどを用いることができる。共有フォルダ221のパス(ネットワーク上のアドレス)は、ログ監視プログラム121に埋め込んでおくか、またはログ監視プログラム121をクライアント端末100にインストールする際にシステム管理者などが設定して記憶部120に格納しておく。
(FIG. 3: Step S302)
The log monitoring program 121 collects the audit log 122 at a predetermined time interval or when the user of the
(図3:ステップS302:補足その1)
本ステップにおいて、ログ監視プログラム121は、収集した監査ログ122を共有フォルダ221にアップロードする際に、所定の規則に基づき、不正行為に該当する可能性がある操作のログを抽出する。例えば、情報漏洩の原因になり得る行為に関連するキーワード(アクセス対象:外付けHDD、ファイル操作:保存など)が含まれる監査ログ122のレコードを抽出する、といった手法が考えられる。この規則は、例えばログ監視プログラム121をクライアント端末100にインストールする際に、システム管理者などが設定し、記憶部120にその規則を記述したファイルなどを格納しておく。
(FIG. 3: Step S302: Supplement 1)
In this step, when uploading the collected audit log 122 to the shared
(図3:ステップS302:補足その2)
ログ監視プログラム121は、収集した監査ログ122の中に、不正行為に該当する行為のログが含まれていた場合には、後述の図4で説明するような電子メールをシステム管理者等の所定の宛先に送信するなどして、その旨を通知する。その他の通知手法として、例えば管理端末にダイアログ画面を表示する、ログを出力する、などが考えられる。
(FIG. 3: Step S302: Supplement 2)
When the collected audit log 122 includes a log of an act corresponding to an illegal act, the log monitoring program 121 sends an e-mail as described later with reference to FIG. This is notified, for example, by sending to the destination. Other notification methods include, for example, displaying a dialog screen on the management terminal and outputting a log.
(図3:ステップS303)
ログ監視プログラム121は、ステップS302で共有フォルダ221にアップロードした分の監査ログ122を、記憶部120から削除する。
(FIG. 3: Step S303)
The log monitoring program 121 deletes from the
(図3:ステップS303:補足)
ステップS302において、クライアント端末100とログ格納サーバ200の間のネットワーク接続が途切れている場合や、ログ格納サーバ200がダウンしている場合などは、ログ監視プログラム121は監査ログ122を共有フォルダ221にアップロードすることができない。この場合、ログ監視プログラム121は、監査ログ122のアップロードを中止する。また、アップロードすることができなかったので、その分を記憶部120から削除することも中止する。
(FIG. 3: Step S303: Supplement)
In step S302, when the network connection between the
(図3:ステップS304)
ログ監視プログラム121は、監査ログ122のサイズが規定の閾値に達しているか否かをチェックする。閾値に達していなければ、ステップS301に戻り同様の手順を繰り返す。閾値に達していれば、次のステップS305に進む。この閾値は、例えばログ監視プログラム121をクライアント端末100にインストールする際に、システム管理者などが設定し、記憶部120にその規則を記述したファイルなどを格納しておく。
(FIG. 3: Step S304)
The log monitoring program 121 checks whether the size of the audit log 122 has reached a predetermined threshold value. If the threshold value has not been reached, the process returns to step S301 and the same procedure is repeated. If the threshold is reached, the process proceeds to the next step S305. This threshold is set by a system administrator or the like when the log monitoring program 121 is installed in the
(図3:ステップS305)
ログ監視プログラム121は、監査ログ122を記録する対象となっているユーザ操作を禁止する。具体的には、該当するファイル、フォルダ、制御メディアなどへのアクセス権限を当該ユーザから剥奪する、といった手段を用いる。これにより、ユーザは監査ログ122を共有フォルダ221に定期的にアップロードすることを促されるので、不正行為を心理的に抑制する効果を発揮することができる。
(FIG. 3: Step S305)
The log monitoring program 121 prohibits user operations that are targets for recording the audit log 122. Specifically, a means for revoking access authority to the corresponding file, folder, control medium, etc. from the user is used. As a result, the user is prompted to upload the audit log 122 to the shared
図4は、図3のステップS302でログ監視プログラム121がシステム管理者に送信する電子メールの1例を示す図である。この電子メールには、ステップS302で抽出したユーザ操作の内容と、その操作をシステム管理者が本当に許可しているか否かを確認するよう促すメッセージとが記載されている。 FIG. 4 is a diagram showing an example of an e-mail that the log monitoring program 121 transmits to the system administrator in step S302 of FIG. This e-mail describes the contents of the user operation extracted in step S302 and a message that prompts the user to confirm whether or not the system administrator really permits the operation.
以上、ログ監視システム1000の動作について説明した。次に、共有フォルダ221にアップロードされた監査ログ122を用いてシステム管理者が不正行為の監査を行なう手順を、下記(ステップ1)〜(ステップ3)で説明する。
The operation of the
(不正行為の監査手順:ステップ1)
システム管理者は、図4で説明した電子メールを受け取り、記載されているメッセージを確認する。システム管理者は、そのメッセージから、ユーザが行なった行為、そのユーザ名、アクセス対象、日時などを把握する。
(Procedure for audit of fraud: Step 1)
The system administrator receives the e-mail described with reference to FIG. 4 and confirms the described message. From the message, the system administrator knows the action performed by the user, the user name, the access target, the date and time, and the like.
(不正行為の監査手順:ステップ2)
システム管理者は、ステップ1で把握したアクセス対象に対して、当該ユーザにアクセス権限を与えているか否かを確認する。当該操作が正当なアクセス権限に基づく行為である場合は、本監査手順を終了する。当該操作が正当なアクセス権限に基づいていない場合や、通常は行なわない操作である場合など、不正行為に該当する可能性があると判断する場合は、次のステップ3に進む。
(Procedure for audit of fraud: Step 2)
The system administrator confirms whether or not the user has access authority for the access target grasped in
(不正行為の監査手順:ステップ3)
システム管理者は、図4で説明した電子メール、および必要に応じて共有フォルダ221に格納されている監査ログ122を用いて、不正行為を行なった可能性のあるユーザを特定し、聞き取り調査などを行なう。
(Injustice audit procedure: Step 3)
The system administrator uses the e-mail described in FIG. 4 and, if necessary, the audit log 122 stored in the shared
以上、共有フォルダ221にアップロードされた監査ログ122を用いてシステム管理者が不正行為の監査を行なう手順を説明した。これ以外にも、クライアント端末100に格納されている監査ログ122と、共有フォルダ221にアップロードされた監査ログ122とを比較することにより、不正行為の監査を行なうこともできる。その手順を、下記の(ステップ1)〜(ステップ3)で説明する。
The procedure for the system administrator to audit fraud using the audit log 122 uploaded to the shared
(不正行為の監査手順その2:ステップ1)
システム管理者は、不正行為が発生したことが判明した場合などにおいて、クライアント端末100を使用するユーザに、監査ログ122を提出するよう要求する。これは、不正行為を行なった者が、監査ログ122の該当するレコードを削除している可能性があるからである。
(Audit Procedure II: Step 1)
The system administrator requests the user who uses the
(不正行為の監査手順その2:ステップ2)
システム管理者は、ユーザが提出した監査ログ122と、共有フォルダ221に格納されている監査ログ122とを比較する。比較作業自体は、適当なファイル比較ソフトウェアなどを用いて行なってもよい。
(Injustice audit procedure # 2: Step 2)
The system administrator compares the audit log 122 submitted by the user with the audit log 122 stored in the shared
(不正行為の監査手順その2:ステップ3)
システム管理者は、ユーザが提出した監査ログ122と、共有フォルダ221に格納されている監査ログ122とが異なっている場合は、その異なっている部分の操作を行なったユーザに理由を問い合わせる。これにより、不正行為者が監査ログ122を不正に削除することを抑止し、また発見することを図る。
(Injustice audit procedure 2: Step 3)
When the audit log 122 submitted by the user is different from the audit log 122 stored in the shared
以上のように、本実施の形態1によれば、ログ監視プログラム121は、監査ログ122を共有フォルダ221にアップロードし、アップロードした分の監査ログ122を削除する。これにより、システム管理者は、共有フォルダ221にアップロードされた監査ログと、クライアント端末100上の監査ログ122とを比較して、不正行為の兆候を発見することができ、セキュリティを向上させることができる。
As described above, according to the first embodiment, the log monitoring program 121 uploads the audit log 122 to the shared
また、本実施の形態1によれば、ログ監視プログラム121は、記憶部120が格納している監査ログ122のサイズが所定の閾値を超えると、監査ログ122を取得する対象となっているユーザ操作を禁止する。これにより、ユーザは定期的に監査ログ122をシステム管理者へ提出するように促されるので、監査ログ122を不正に削除、改変などする行為を心理的に抑制する効果がある。
Further, according to the first embodiment, the log monitoring program 121 is the user who is the target of acquiring the audit log 122 when the size of the audit log 122 stored in the
また、本実施の形態1によれば、ログ監視プログラム121は、監査ログ122を共有フォルダ221にアップロードする際に、所定の規則に合致するユーザ操作のレコードを抽出し、システム管理者に電子メールで通知する。システム管理者は、全ての監査ログ122をチェックする必要がなくなり、その電子メールに記載されているログレコードのみをチェックすれば足りる。これにより、システム管理者の負担を軽減することができる。
Further, according to the first embodiment, when uploading the audit log 122 to the shared
また、本実施の形態1によれば、ログ格納サーバ200は特別な機能を必要とせず、単に適当なアクセス権限等を付与した共有フォルダ221を提供するのみで足りる。これにより、ログ格納サーバ200を容易かつ安価に構成することができるので、ログ監視システム1000の構築期間、コスト等の観点から有利である。
Further, according to the first embodiment, the
<実施の形態2>
本発明の実施の形態2では、共有フォルダ221に監査ログ122をアップロードする際に、監査ログ122を整形する動作例を説明する。その他の構成は実施の形態1と同様であるため、以下では差異点を中心に説明する。
<
In the second embodiment of the present invention, an operation example of shaping the audit log 122 when uploading the audit log 122 to the shared
図5は、本実施の形態2に係るログ監視システム1000の構成図である。本実施の形態2において、ログ監視プログラム121は、収集した監査ログ122をそのまま共有フォルダ221にアップロードするのではなく、整形ログ123として整形する。ログ監視プログラム121は、整形ログ123を共有フォルダ221にアップロードする。
FIG. 5 is a configuration diagram of the
図6は、整形ログ123の構成例を示す図である。比較のため、整形の前後に係る構成を併記した。図6(a)は整形前の監査ログ122、図6(b)〜(d)は監査ログ122を整形した得た整形ログ123の構成を示す。ここでは、一意性が高いMACアドレスをキーにして整形した例を示した。 FIG. 6 is a diagram illustrating a configuration example of the shaping log 123. For comparison, configurations related to before and after shaping are also shown. 6A shows the configuration of the audit log 122 before shaping, and FIGS. 6B to 6D show the configuration of the shaping log 123 obtained by shaping the audit log 122. FIG. Here, an example in which the MAC address having high uniqueness is used as a key is shown.
図6(b)〜(d)は、監査ログ122のうち、性質が共通するものを切り出し、それぞれユーザテーブル、日時テーブル、操作テーブルとして構成した例を示す。 FIGS. 6B to 6D show examples in which audit logs 122 having common properties are cut out and configured as a user table, a date / time table, and an operation table, respectively.
図6のように、所定のログ項目をキーとして監査ログ122を整形すると、各テーブル間で重複する項目が生じる場合があるため、一般にデータサイズは大きくなる。ただし、検索対象項目を絞り込むことができるので、ログ解析処理を高速化することができる。例えば、特定のユーザ名に係る監査ログ122を抽出したい場合は、図6(b)のユーザテーブルのみを検索すればよい。 As shown in FIG. 6, when the audit log 122 is formatted using a predetermined log item as a key, an item that overlaps between the tables may occur, and thus the data size generally increases. However, since the search target items can be narrowed down, the log analysis processing can be speeded up. For example, if it is desired to extract the audit log 122 relating to a specific user name, only the user table shown in FIG.
以上のように、本実施の形態2によれば、ログ監視プログラム121は、監査ログ122を共有フォルダ221にアップロードする際に整形処理を施す。これにより、共有フォルダ221にアップロードされる監査ログは整形後のものとなるため、ログ解析処理を高速に行うことができ、システム管理者が監査を行なう際の負担などを軽減することができる。
As described above, according to the second embodiment, the log monitoring program 121 performs the shaping process when uploading the audit log 122 to the shared
<実施の形態3>
実施の形態1では、監査ログ122のサイズが所定の閾値を超えると、監査ログ122の取得対象となっているユーザ操作を禁止する動作を説明した。しかし、突然操作を禁止されると、ユーザが戸惑う可能性もある。そこで本実施の形態3では、ユーザ操作を禁止する前に警告メッセージを通知する動作例を説明する。その他の構成と動作は実施の形態1〜2いずれかと同様である。
<
In the first embodiment, the operation for prohibiting the user operation that is the acquisition target of the audit log 122 when the size of the audit log 122 exceeds a predetermined threshold has been described. However, if the operation is suddenly prohibited, the user may be confused. Therefore, in the third embodiment, an operation example for notifying a warning message before prohibiting a user operation will be described. Other configurations and operations are the same as those in the first and second embodiments.
図7は、本実施の形態3におけるログ監視システム1000の動作を説明する動作フローである。以下、図7の各ステップについて説明する。
FIG. 7 is an operation flow for explaining the operation of the
(図7:ステップS301)
本ステップは、図3の同ステップと同様である。
(FIG. 7: Step S301)
This step is the same as the step in FIG.
(図7:ステップS701)
ログ監視プログラム121は、監査ログ122のサイズが所定の警告閾値に達しているか否かをチェックする。この警告閾値は、ステップS304において用いられる閾値よりも小さい値(例えば同閾値の80%程度の数値)が設定されている。監査ログ122のサイズが警告閾値に達していなければステップS302にスキップし、警告閾値に達していればステップS702に進む。
(FIG. 7: Step S701)
The log monitoring program 121 checks whether the size of the audit log 122 has reached a predetermined warning threshold value. The warning threshold value is set to a value smaller than the threshold value used in step S304 (for example, a numerical value of about 80% of the threshold value). If the size of the audit log 122 has not reached the warning threshold, the process skips to step S302, and if the size has reached the warning threshold, the process proceeds to step S702.
(図7:ステップS702)
ログ監視プログラム121は、監査ログ122のサイズがステップS304の閾値に近づいている旨の警告メッセージを画面表示するなどして、クライアント端末100に通知する。これにより、ユーザは監査ログ122を共有フォルダ221にアップロードすることを促される。
(FIG. 7: Step S702)
The log monitoring program 121 notifies the
(図7:ステップS302〜S305)
これらのステップは、図3の同ステップと同様である。
(FIG. 7: Steps S302 to S305)
These steps are the same as those in FIG.
以上のように、本実施の形態3によれば、ログ監視プログラム121は、記憶部120が格納している監査ログ122のサイズが所定の警告閾値を超えると、ユーザにその旨の警告メッセージを通知する。これにより、ユーザの操作を図7のステップS304で突然禁止するということがなくなり、ユーザに不便を強いる可能性を低減することができる。
As described above, according to the third embodiment, when the size of the audit log 122 stored in the
<実施の形態4>
以上の実施の形態1〜3では、共有フォルダ221のパスを非公開とし、ユーザが共有フォルダ221を閲覧することができないようにしたことを説明した。本発明の実施の形態4では、共有フォルダ221のセキュリティをより万全に構成する3つの例を説明する。その他の構成は、実施の形態1〜3いずれかと同様である。
<
In the above first to third embodiments, it has been described that the path of the shared
<実施の形態4:共有フォルダ221のセキュリティ構成例その1>
演算部210は、システム管理者の指示に基づき、共有フォルダ221のアクセス権限を以下のように設定する。
<Embodiment 4: Security configuration example 1 of shared
The
(共有フォルダ221のアクセス権限その1)
ログ格納サーバ200のシステム管理者は、共有フォルダ221に格納されているログファイルに対するフルアクセス権限(読み/書き/削除全て許可)を有する。
(
The system administrator of the
(共有フォルダ221のアクセス権限その2)
共有フォルダ221にネットワーク300を介してアクセスするユーザに対しては、共有フォルダ221が格納しているファイル一覧の取得を禁止する。これにより、ログ格納サーバ200の外部ユーザは、共有フォルダ221が格納するファイルにアクセスすることが実質的にできなくなる。
図3のステップS302において、ログ監視プログラム121は、以下の追加動作を実行する。
(Access right of shared
Users who access the shared
In step S302 of FIG. 3, the log monitoring program 121 executes the following additional operation.
(図3:ステップS302:補足その3)
ログ監視プログラム121は、共有フォルダ221にアップロードする監査ログ122に対してユーザが書き込み権限のみ有するように、監査ログ122をアップロードする。監査ログ122をアップロードする際にログ監視プログラム121がそのアクセス権限を指定するようにしてもよいし、ログ格納サーバ200の演算部210が共有フォルダ221内のファイルに対するアクセス権限を強制的に設定するようにしてもよい。その他、例えばログ格納サーバ200のOS上で共有フォルダ221のアクセス権限を設定しておいてもよいし、適当な通信プログラムを介してログ格納サーバ200とログ監視プログラム121が通信して共有フォルダ221のアクセス権限を設定するようにしてもよい。
(FIG. 3: Step S302: Supplement 3)
The log monitoring program 121 uploads the audit log 122 so that the user has only write authority for the audit log 122 uploaded to the shared
<実施の形態4:共有フォルダ221のセキュリティ構成例その2>
図3のステップS302において、ログ監視プログラム121は、以下の追加動作を実行する。
<Embodiment 4: Security configuration example 2 of shared
In step S302 of FIG. 3, the log monitoring program 121 executes the following additional operation.
(図3:ステップS302:補足その4)
ログ監視プログラム121は、共有フォルダ221にアップロードする監査ログ122のファイル名として、ランダム文字列または所定の規則に基づいて暗号化された文字列を用いる。ここでいう暗号化とは、クライアント端末100のユーザが共有フォルダ221内のファイル名を容易に知ることができないようなファイル名を生成することをいう。暗号化の手法には、任意の公知技術を用いることができる。
(FIG. 3: Step S302: Supplement No. 4)
The log monitoring program 121 uses a random character string or a character string encrypted based on a predetermined rule as the file name of the audit log 122 uploaded to the shared
本構成例では、クライアント端末100のユーザは、共有フォルダ221上の監査ログ122のファイル名を知ることができなくなるので、共有フォルダ221に対する不正アクセスを防ぐことができる。
In this configuration example, since the user of the
<実施の形態4:共有フォルダ221のセキュリティ構成例その3>
システム管理者は、クライアント端末100のOS上で、ログ監視プログラム121に一般ユーザとは異なる特殊なユーザ権限を割り当てておく。ログ監視プログラム121は、共有フォルダ221に監査ログ122をアップロードする際に、そのユーザ権限でのみ当該ファイルを読み/書き/削除などすることができるように指定する。これにより、クライアント端末100の一般ユーザは、共有フォルダ221にアップロードされた監査ログ122にアクセスすることができなくなる。
<Embodiment 4: Example 3 of Security Configuration of
The system administrator assigns a special user authority different from the general user to the log monitoring program 121 on the OS of the
以上、本実施の形態4では、共有フォルダ221のセキュリティをより万全に構成する3つの例を説明した。なお、3つの例を任意に組み合わせることもできる。
As described above, in the fourth embodiment, the three examples for fully configuring the security of the shared
<実施の形態5>
以上の実施の形態1〜4では、記憶部120が格納している監査ログ122のサイズが所定の閾値を超えると、監査ログ122を記録する対象となっているユーザ操作を禁止することを説明した。しかし、必ずしもユーザが故意に監査ログ122を長期間アップロードしていないとは限らず、やむを得ない事情による場合(例えばネットワーク300の長期的な障害など)も考えられる。
<Embodiment 5>
In the first to fourth embodiments described above, it is described that when the size of the audit log 122 stored in the
そこで、本発明の実施の形態5では、システム管理者が許可した場合に限り、監査ログ122のサイズが閾値を超えていても、ユーザが操作を継続できるようにする動作例を説明する。その他の構成と動作は、実施の形態1〜4いずれかと同様である。
図8は、本実施の形態5におけるログ監視システム1000の動作を説明する動作フローである。以下、図8の各ステップについて説明する。
Therefore, in the fifth embodiment of the present invention, an operation example is described in which the user can continue the operation even when the size of the audit log 122 exceeds the threshold only when the system administrator permits it. Other configurations and operations are the same as those in the first to fourth embodiments.
FIG. 8 is an operation flow for explaining the operation of the
(図8:ステップS301〜S304)
これらのステップは、図3の同ステップと同様である。ただし、ステップS304の後にステップS801が新たに挿入されている。
(FIG. 8: Steps S301 to S304)
These steps are the same as those in FIG. However, step S801 is newly inserted after step S304.
(図8:ステップS801)
ログ管理プログラム121は、ユーザがログ管理プログラム121に対して所定のパスワードを入力したか否かを判定する。入力した場合はステップS301に戻り、同様の手順を繰り返す。入力していない場合は、ステップS305へ進む。本ステップにおける所定のパスワードとは、システム管理者がユーザからの連絡を受けて通知する、ステップS305の禁止処理を解除するためのパスワードである。ログ管理プログラム121は、このパスワードが入力された場合は、例外的にステップS305を実行せず、もしくはステップS304における閾値をより大きな値に変更して、ユーザの操作を継続させる。
(FIG. 8: Step S801)
The log management program 121 determines whether or not the user has input a predetermined password to the log management program 121. If entered, the process returns to step S301 and the same procedure is repeated. If not, the process proceeds to step S305. The predetermined password in this step is a password for canceling the prohibition process in step S305, which is notified by the system administrator in response to a contact from the user. When this password is input, the log management program 121 exceptionally does not execute step S305 or changes the threshold value in step S304 to a larger value and continues the user operation.
(図8:ステップS305)
本ステップは、図3の同ステップと同様である。
以上のように、本実施の形態5によれば、ネットワーク故障などのやむを得ない事情により、ユーザの意図に関わらず監査ログ122を共有フォルダ221にアップロードすることができない場合は、システム管理者の許可の下、ユーザの操作を継続させることができる。
(FIG. 8: Step S305)
This step is the same as the step in FIG.
As described above, according to the fifth embodiment, if the audit log 122 cannot be uploaded to the shared
なお、本実施の形態5において、システム管理者がユーザに通知するパスワードに、有効期限を設けておいてもよい。ログ監視プログラム121は、ユーザがステップS801で所定のパスワードを入力し、その有効期限を超過した後で、監査ログ122のサイズが依然として閾値を超えている場合は、ステップS305を実行し、またはステップS304における閾値を元の値に戻して、ユーザの操作を禁止する。これにより、ユーザはできる限り早く障害の復旧等を行なうよう促されるので、セキュリティの観点からも好ましい。 In the fifth embodiment, an expiration date may be set for the password notified to the user by the system administrator. The log monitoring program 121 executes step S305 if the size of the audit log 122 still exceeds the threshold after the user inputs a predetermined password in step S801 and the expiration date is exceeded, or step S305 is executed. The threshold value in S304 is returned to the original value, and the user's operation is prohibited. As a result, the user is prompted to recover from the failure as soon as possible, which is preferable from the viewpoint of security.
また、本実施の形態5において、システム管理者がユーザに通知するパスワードは、一度限り有効なワンタイムパスワードとしてもよい。これにより、ユーザがそのパスワードを使いまわし続けることを回避できる。 In the fifth embodiment, the password notified to the user by the system administrator may be a one-time password that is valid only once. As a result, it is possible to prevent the user from continuing to reuse the password.
100:クライアント端末、110:演算部、120:記憶部、121:ログ監視プログラム、122:監査ログ、123:整形ログ、200:ログ格納サーバ、210:演算部、220:記憶部、221:共有フォルダ、300:ネットワーク、1000:ログ監視システム。 100: client terminal, 110: calculation unit, 120: storage unit, 121: log monitoring program, 122: audit log, 123: shaping log, 200: log storage server, 210: calculation unit, 220: storage unit, 221: sharing Folder, 300: Network, 1000: Log monitoring system.
Claims (11)
前記コンピュータに、
前記ログを収集するログ収集ステップと、
前記ログ収集ステップで収集したログを所定のフォルダに送信して送信元のログを削除するログ送信ステップと、
前記ログ収集ステップで収集したログのサイズが所定の閾値を超えると前記ログを取得する対象に該当するユーザの操作を禁止する禁止ステップと、
を実行させ、
前記禁止ステップにおいては、前記コンピュータに、
前記ログを取得する対象に該当するユーザの操作に対応する前記コンピュータ上のアクセス権限を前記ユーザから剥奪することにより、前記アクセス権限に対応する当該ユーザの操作を禁止させる
ことを特徴とするログ監視プログラム。 A program for causing a computer to execute processing for monitoring a log of operations performed by a user,
In the computer,
A log collection step for collecting the logs;
A log transmission step of transmitting the log collected in the log collection step to a predetermined folder and deleting the log of the transmission source;
A prohibiting step of prohibiting a user operation corresponding to a target for acquiring the log when the size of the log collected in the log collecting step exceeds a predetermined threshold;
Was executed,
In the prohibition step, the computer is
Log monitoring characterized in that the user's operation corresponding to the access authority is prohibited by depriving the user of the access authority on the computer corresponding to the user's operation corresponding to the log acquisition target. program.
所定の規則に合致するユーザ操作の記録が存在するか否かをチェックさせ、合致するものが存在すればその旨を通知させる
ことを特徴とする請求項1記載のログ監視プログラム。 In the log transmission step, the computer
2. The log monitoring program according to claim 1, wherein it is checked whether or not there is a record of a user operation that matches a predetermined rule, and if there is a match, a message to that effect is sent.
収集した前記ログのうち所定の項目をキーとして前記ログを整形させる
ことを特徴とする請求項1または請求項2記載のログ監視プログラム。 In the log collecting step, the computer
The log monitoring program according to claim 1 or 2, wherein the log is shaped using a predetermined item as a key in the collected logs.
ことを特徴とする請求項1から請求項3までのいずれか1項に記載のログ監視プログラム。 4. The computer according to claim 1, wherein when the size of the log on the computer exceeds a predetermined warning threshold value smaller than the threshold value, the computer is caused to execute a step of notifying the user of the warning. The log monitoring program according to any one of the preceding items.
前記フォルダ上における前記ログに対する前記ユーザのアクセス権限が当該ログに対する書き込みのみ許可する状態となるように前記ログを送信させる
ことを特徴とする請求項1から請求項4までのいずれか1項に記載のログ監視プログラム。 In the log transmission step, the computer
The log is transmitted so that the user's access authority to the log on the folder is in a state of permitting only writing to the log. Log monitoring program.
前記フォルダに送信する前記ログのファイル名としてランダム文字列または所定の規則に基づいて暗号化された文字列を使用させる
ことを特徴とする請求項1から請求項5までのいずれか1項に記載のログ監視プログラム。 In the log transmission step, the computer
The random character string or a character string encrypted based on a predetermined rule is used as a file name of the log to be transmitted to the folder. Log monitoring program.
ことを特徴とする請求項1から請求項6までのいずれか1項に記載のログ監視プログラム。 7. The method according to claim 1, further comprising: allowing the computer to execute the step of exceptionally permitting the act prohibited in the prohibition step only for a predetermined period when the predetermined password is received. The log monitoring program described.
その有効期限を過ぎても前記ログのサイズが前記所定の閾値を超えている場合は、前記禁止ステップで禁止した行為を再度禁止するステップを前記コンピュータに実行させる
ことを特徴とする請求項7記載のログ監視プログラム。 The password has an expiration date,
8. The computer according to claim 7, wherein if the size of the log exceeds the predetermined threshold even after the expiration date, the computer is caused to execute a step of prohibiting again the act prohibited in the prohibiting step. Log monitoring program.
前記フォルダを有するサーバと、
を有することを特徴とするログ監視システム。 A computer that executes the log monitoring program according to any one of claims 1 to 8,
A server having the folder;
A log monitoring system comprising:
前記フォルダに対する前記ユーザのアクセス権限を、
前記フォルダが格納しているファイルの一覧を前記ユーザに取得させない状態とする
ことを特徴とする請求項9記載のログ監視システム。 The server
The user's access rights to the folder,
The log monitoring system according to claim 9, wherein the user is not allowed to acquire a list of files stored in the folder.
ことを特徴とする請求項9または請求項10記載のログ監視システム。 The log monitoring system according to claim 9 or 10, wherein the server gives a hidden folder attribute to the folder.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009185478A JP5334739B2 (en) | 2009-08-10 | 2009-08-10 | Log monitoring program, log monitoring system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009185478A JP5334739B2 (en) | 2009-08-10 | 2009-08-10 | Log monitoring program, log monitoring system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011039720A JP2011039720A (en) | 2011-02-24 |
JP5334739B2 true JP5334739B2 (en) | 2013-11-06 |
Family
ID=43767435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009185478A Active JP5334739B2 (en) | 2009-08-10 | 2009-08-10 | Log monitoring program, log monitoring system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5334739B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9836344B2 (en) | 2014-08-08 | 2017-12-05 | Canon Kabushiki Kaisha | Information processing apparatus, control method for controlling information processing apparatus, and storage medium |
CN108491483A (en) * | 2018-03-12 | 2018-09-04 | 北京奇虎科技有限公司 | A kind of method and apparatus of remote supervisor operating status |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018045344A (en) * | 2016-09-13 | 2018-03-22 | 富士電機株式会社 | Controller, control system and control method |
JP6838970B2 (en) * | 2017-01-05 | 2021-03-03 | キヤノン株式会社 | Image forming device, image forming system, control method and program |
JP6976748B2 (en) | 2017-06-30 | 2021-12-08 | キヤノン株式会社 | Image forming device, server device, information processing system, image forming device control method, and program |
JP7192655B2 (en) | 2019-05-17 | 2022-12-20 | 株式会社リコー | Information processing device, information processing system, program, and information processing method |
JP2022090243A (en) * | 2020-12-07 | 2022-06-17 | 株式会社リコー | Information processing device, information processing method and program |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2983801B2 (en) * | 1993-06-30 | 1999-11-29 | 三洋電機株式会社 | Information file device |
JP2005149267A (en) * | 2003-11-18 | 2005-06-09 | Intelligent Wave Inc | Evidence screen storage program, evidence screen storage method, and evidence screen storage system |
JP4844106B2 (en) * | 2005-12-02 | 2011-12-28 | 富士ゼロックス株式会社 | Program, method and computer system for user authentication control |
JP4912084B2 (en) * | 2006-08-23 | 2012-04-04 | 株式会社日立ソリューションズ | Audit log recording control method and information leakage monitoring program |
JP4247277B2 (en) * | 2007-02-06 | 2009-04-02 | Sky株式会社 | Terminal monitoring device and program thereof |
JP2009054674A (en) * | 2007-08-24 | 2009-03-12 | Tokyo Electron Ltd | Manufacturing device, operation log storage means, and program |
JP2009053896A (en) * | 2007-08-27 | 2009-03-12 | Fuji Xerox Co Ltd | Unauthorized operation detector and program |
JP4175574B1 (en) * | 2007-10-17 | 2008-11-05 | クオリティ株式会社 | Management system, management server, and management program |
JP5124241B2 (en) * | 2007-11-12 | 2013-01-23 | 株式会社リコー | Information processing apparatus, information processing method, information processing program, and recording medium |
JP2009151485A (en) * | 2007-12-19 | 2009-07-09 | Nec Corp | Suspicious behavior detecting system, suspicious behavior detecting method, and suspicious behavior detecting program |
JP4678884B2 (en) * | 2008-01-29 | 2011-04-27 | 株式会社日立情報システムズ | Portable storage media management system |
-
2009
- 2009-08-10 JP JP2009185478A patent/JP5334739B2/en active Active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9836344B2 (en) | 2014-08-08 | 2017-12-05 | Canon Kabushiki Kaisha | Information processing apparatus, control method for controlling information processing apparatus, and storage medium |
CN108491483A (en) * | 2018-03-12 | 2018-09-04 | 北京奇虎科技有限公司 | A kind of method and apparatus of remote supervisor operating status |
CN108491483B (en) * | 2018-03-12 | 2021-10-08 | 北京奇虎科技有限公司 | Method and device for remotely monitoring running state of program |
Also Published As
Publication number | Publication date |
---|---|
JP2011039720A (en) | 2011-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5334739B2 (en) | Log monitoring program, log monitoring system | |
US9348984B2 (en) | Method and system for protecting confidential information | |
US7793110B2 (en) | Posture-based data protection | |
US8245042B2 (en) | Shielding a sensitive file | |
JP5186363B2 (en) | Cascading security architecture | |
JP4759513B2 (en) | Data object management in dynamic, distributed and collaborative environments | |
US7673324B2 (en) | Method and system for tracking an operating performed on an information asset with metadata associated therewith | |
JP4299249B2 (en) | Copy prevention apparatus, copy prevention method, and program for causing computer to execute the method | |
US8499152B1 (en) | Data positioning and alerting system | |
US20080083037A1 (en) | Data loss and theft protection method | |
KR101389459B1 (en) | Method and apparatus for privacy information outflow prevention, and method and server apparatus for supprot privacy information protection in client apparatus | |
KR20120010227A (en) | Mitigations for potentially compromised electronic devices | |
JP4185546B2 (en) | Information leakage prevention device, information leakage prevention program, information leakage prevention recording medium, and information leakage prevention system | |
US9881154B2 (en) | Hardware-assisted log protection devices and systems | |
CN101694683A (en) | Method for preventing Trojans ferrying via movable memories to steal files | |
JP2010146325A (en) | Content protection apparatus and content protection program | |
GB2535579A (en) | Preventing unauthorized access to an application server | |
JP4830576B2 (en) | Information processing apparatus, data management method, program | |
JP5310075B2 (en) | Log collection system, information processing apparatus, log collection method, and program | |
KR100939106B1 (en) | Method for preventing unauthorized copies of data stored in removable storage apparatus and system adapted to the same | |
JP4899196B2 (en) | Data management system, terminal computer, management computer, data management method and program thereof | |
CN108063771B (en) | Method and device for monitoring encrypted compressed file | |
JP2010067012A (en) | Takeout monitoring system for file | |
CN115328393A (en) | Data storage method and system | |
KR20240002326A (en) | Data protection method and device for a file server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120105 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130329 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130416 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130611 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130723 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130730 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5334739 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |