JP5936798B2 - ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 - Google Patents
ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 Download PDFInfo
- Publication number
- JP5936798B2 JP5936798B2 JP2015562585A JP2015562585A JP5936798B2 JP 5936798 B2 JP5936798 B2 JP 5936798B2 JP 2015562585 A JP2015562585 A JP 2015562585A JP 2015562585 A JP2015562585 A JP 2015562585A JP 5936798 B2 JP5936798 B2 JP 5936798B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- log
- application
- record
- destination server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004458 analytical method Methods 0.000 title claims description 59
- 238000012550 audit Methods 0.000 title claims description 33
- 238000000034 method Methods 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 23
- 238000012545 processing Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 18
- 230000008859 change Effects 0.000 description 13
- 230000015654 memory Effects 0.000 description 12
- 238000007726 management method Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 7
- 238000007689 inspection Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000001934 delay Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000005429 filling process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は情報システムにおいて、業務サーバへのアクセスログを分析し、監査する技術に関する。
ログを用いた監査方式では、アクセスログと本人の権限を対比し、本人の権限を越えたリソースへのアクセスや操作がないかを点検する方式が主流であった。しかし、本人の権限内の操作であっても、不適切なタイミングでの操作(例.修正モジュール等の更新がないのに、モジュールを変更する)が可能であった。このため悪意を持った犯行や、誤操作などを点検時に検出することが困難であるという課題があった。
この課題に対して、以下の特許文献1では、利用申請ワークフローとアクセスログを用いて、ログの分析および監査を実施する仕組みが開示されている。
従来の監査方式では、利用申請ログとアクセスログにより監査を行うため、利用申請ログに情報の残らない業務サーバ間のアクセスや、申請された利用時間内の外部犯行者によるアクセスを検出できない。このため、不適切なアクセスを正しく点検できないという課題があった。
この発明は、業務サーバに対する不正アクセスを適切に検出する装置の提供を目的とする。
この発明のログ分析装置は、
アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置から前記申請ログを収集し、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置から前記操作ログを収集し、
アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録する前記アクセス先サーバ装置から前記アクセスログを収集するログ収集部と、
前記ログ収集部が収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定する判定部と
を備えたことを特徴とする。
アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置から前記申請ログを収集し、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置から前記操作ログを収集し、
アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録する前記アクセス先サーバ装置から前記アクセスログを収集するログ収集部と、
前記ログ収集部が収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定する判定部と
を備えたことを特徴とする。
この発明により、業務サーバに対する不正アクセスを適切に検出する装置を提供できる。
実施の形態1.
図1〜図16を参照して、実施の形態1の不正アクセス監査システム1001を説明する。
図1は、特権IDを用いた不適切なアクセスを監査する、不正アクセス監査システム1001の構成を示す。
図1〜図16を参照して、実施の形態1の不正アクセス監査システム1001を説明する。
図1は、特権IDを用いた不適切なアクセスを監査する、不正アクセス監査システム1001の構成を示す。
不正アクセス監査システム1001は、ログ分析サーバ100(ログ分析装置)、作業申請ワークフローサーバ200(申請ログ保有装置)、管理者端末装置300、運用者端末装置400(アクセス装置)、ID利用制御部500(アクセス中継装置)、業務サーバ装置600(アクセス先サーバ装置)、利用者端末装置700を備える。なお、ID利用制御部500は作業申請ワークフローサーバ200に組み込まれても構わない。
以下では、作業申請ワークフローサーバ200はWFサーバ200と記し、管理者端末装置300は管理者端末300と記し、運用者端末装置400は運用者端末400と記し、ID利用制御部500はID制御部500と記し、業務サーバ装置600は業務サーバ600と記し、利用者端末装置700は利用者端末700と記す。
不正アクセス監査システム1001では、ログ分析サーバ100、WFサーバ200、管理者端末300、運用者端末400及びID制御部500は業務ネットワーク800に接続している。業務サーバ600は管理ネットワーク810を介してID制御部500に接続している。利用者端末700はサービスネットワーク820を介して業務サーバ600に接続している。利用者は利用者端末700からサービスネットワーク820を経由して、業務サーバ600の業務アプリケーションに対してリクエストを送信する。
(ログ分析サーバ100)
ログ分析サーバ100は、ログ収集部110、ログ情報管理部120、ログ解析部130(判定部)を備える。
(1)ログ収集部110は、WFサーバ200、ID制御部500、業務サーバ600のそれぞれから、利用申請ログ211(以下、申請ログ211と記す)、操作ログ511、アクセスログ611を収集する。
(2)ログ情報管理部120は、ログ収集部110によって収集された申請ログ211等のログ情報を保管する。
(3)ログ解析部130は、ログ情報管理部120によって保管されているログ情報を入力とし、各ログに記録されているレコード(後述する)の対応関係を解析する。ログ解析部130はこの解析によって、業務サーバ600へのアクセスが、不適切なアクセスかどうかを判定し、判定結果を出力する。
ログ分析サーバ100は、ログ収集部110、ログ情報管理部120、ログ解析部130(判定部)を備える。
(1)ログ収集部110は、WFサーバ200、ID制御部500、業務サーバ600のそれぞれから、利用申請ログ211(以下、申請ログ211と記す)、操作ログ511、アクセスログ611を収集する。
(2)ログ情報管理部120は、ログ収集部110によって収集された申請ログ211等のログ情報を保管する。
(3)ログ解析部130は、ログ情報管理部120によって保管されているログ情報を入力とし、各ログに記録されているレコード(後述する)の対応関係を解析する。ログ解析部130はこの解析によって、業務サーバ600へのアクセスが、不適切なアクセスかどうかを判定し、判定結果を出力する。
図2の(a)〜(f)は、WFサーバ200、管理者端末300、運用者端末400,ID制御部500、業務サーバ600、利用者端末700の構成を示す。WFサーバ200等は、記憶部、通信を行う通信部、情報処理を行う処理部を備える。
以下に、不正アクセス監査システム1001において、運用者Yに関連する作業の流れを説明する。
図3は、運用者Yの業務サーバ600に対する変更操作の流れを示すフローチャートである。
図4は、図3をシーケンス化した図である。
図3は、運用者Yの業務サーバ600に対する変更操作の流れを示すフローチャートである。
図4は、図3をシーケンス化した図である。
運用者Yは、ベンダから業務サーバ600の修正モジュールが公開された場合や、業務サーバ600を利用する顧客の要望がある場合に、特権ID(Administrator権限を持つID)にて業務サーバ600にログインし、モジュール更新や設定変更などの変更操作を行う。このような場合、不適切なタイミングのアクセス(業務サーバ600における不要な変更操作などの誤操作)を防ぐために、運用者Yは、WFサーバ200に対して利用申請を行うものとする。
(S101)
運用者Yは、業務サーバ600を利用するための利用申請である申請情報401を、運用者端末400(通信部420)からWFサーバ200に送信する(S101)。申請情報401の送信は、以下の様である。運用者端末400(通信部420)はWFサーバ200(通信部220)との通信により、WFサーバ200から作業申請ワークフロー201(以下、申請WF201と記す)を呼び出す。運用者端末400の処理部430は、運用者端末400の画面に申請WF201を表示する。運用者Yは画面に表示された申請WF201に申請情報401を記入(処理部430が記入処理を実施)する。
通信部420は申請情報401が記入された申請WF201をWFサーバ200に送信する。
運用者Yは、業務サーバ600を利用するための利用申請である申請情報401を、運用者端末400(通信部420)からWFサーバ200に送信する(S101)。申請情報401の送信は、以下の様である。運用者端末400(通信部420)はWFサーバ200(通信部220)との通信により、WFサーバ200から作業申請ワークフロー201(以下、申請WF201と記す)を呼び出す。運用者端末400の処理部430は、運用者端末400の画面に申請WF201を表示する。運用者Yは画面に表示された申請WF201に申請情報401を記入(処理部430が記入処理を実施)する。
通信部420は申請情報401が記入された申請WF201をWFサーバ200に送信する。
図5は申請情報401の内容を示す図である。
図6は、申請情報401の具体例を示す。図5のように、申請情報401は、以下の(1)〜(5)の情報を含む。
(1)特権ID11
特権ID11は、業務サーバ600に対してログインするアカウントである。パスワード情報は、ID制御部500にて管理しておき、中継する際にパスワード情報を付与する形態が望ましいが(後述のS105で説明する、ID制御部500によるログインのID、パスワード及び特権IDの保有)、特権ID11は申請情報401の中に含めても良い。
(2)利用者情報12
利用者情報12は、運用者Yを識別するための情報であり、例えば運用者Yの識別子(ID)である。
(3)業務サーバ識別子13
業務サーバ識別子13は、ログインする業務サーバ600のホスト名などの識別子である。
(4)利用期間14
利用期間14(アクセス予定期間情報)は、申請情報401の申請内容に従った操作を、いつからいつまでの予定で実施するかを示す期間である。
(5)利用予定のコマンド/プロトコル15
利用予定のコマンド/プロトコル15は、業務サーバ600に対して、どのようなプロトコルでアクセスするか、また、どのような作業(コマンド)を実行するかを示すコマンドあるいはプロトコルである。
図6は、申請情報401の具体例を示す。図5のように、申請情報401は、以下の(1)〜(5)の情報を含む。
(1)特権ID11
特権ID11は、業務サーバ600に対してログインするアカウントである。パスワード情報は、ID制御部500にて管理しておき、中継する際にパスワード情報を付与する形態が望ましいが(後述のS105で説明する、ID制御部500によるログインのID、パスワード及び特権IDの保有)、特権ID11は申請情報401の中に含めても良い。
(2)利用者情報12
利用者情報12は、運用者Yを識別するための情報であり、例えば運用者Yの識別子(ID)である。
(3)業務サーバ識別子13
業務サーバ識別子13は、ログインする業務サーバ600のホスト名などの識別子である。
(4)利用期間14
利用期間14(アクセス予定期間情報)は、申請情報401の申請内容に従った操作を、いつからいつまでの予定で実施するかを示す期間である。
(5)利用予定のコマンド/プロトコル15
利用予定のコマンド/プロトコル15は、業務サーバ600に対して、どのようなプロトコルでアクセスするか、また、どのような作業(コマンド)を実行するかを示すコマンドあるいはプロトコルである。
(S102)
WFサーバ200(通信部220)は申請情報401を受信する。処理部230が申請情報401の起票を行うとともに、通信部220が管理者Xの管理者端末300に電子メール等で、申請情報401に対する承認依頼の通知を行う(S102)。
WFサーバ200(通信部220)は申請情報401を受信する。処理部230が申請情報401の起票を行うとともに、通信部220が管理者Xの管理者端末300に電子メール等で、申請情報401に対する承認依頼の通知を行う(S102)。
(S103)
管理者Xは管理者端末300(通信部320)によるWFサーバ200との通信により申請WF201を管理者端末300の画面に表示する。申請WF201の表示は処理部330が行う。管理者Xは、申請WF201で申請情報401の内容を確認し、問題がなければ承認する(S103)。承認状況は処理部330によって申請WF201に記載され、管理者端末300(通信部320)からWFサーバ200に送信される。
管理者Xは管理者端末300(通信部320)によるWFサーバ200との通信により申請WF201を管理者端末300の画面に表示する。申請WF201の表示は処理部330が行う。管理者Xは、申請WF201で申請情報401の内容を確認し、問題がなければ承認する(S103)。承認状況は処理部330によって申請WF201に記載され、管理者端末300(通信部320)からWFサーバ200に送信される。
(S104)
WFサーバ200の処理部230は、申請情報401が承認済みであることを申請ログ211に記録する。また、通信部220は申請情報401をID制御部500に通知する(S104)。
WFサーバ200の処理部230は、申請情報401が承認済みであることを申請ログ211に記録する。また、通信部220は申請情報401をID制御部500に通知する(S104)。
図7は申請ログ211に含まれる情報の内容を示す図である。申請ログ211は、業務サーバ600へのアクセスを申請する複数の申請レコードが記録されている。一つの申請が、一つの申請レコード(1レコード)である。図4の申請情報401(S101)は申請ログ211に記録される一つの申請レコードである。また、図7の申請ログ211は、一つの申請レコードを示している。
一つの申請レコードは、特権ID11が対応付けられており、また利用期間14(アクセス期間予定情報)を含む。また一つの申請レコードは、利用予定のコマンド/プロトコル15(予定コマンド情報)を持つ。図7の特権ID11〜利用予定コマンド/プロトコル15は、図5の特権ID11〜利用予定コマンド/プロトコル15である。承認状況16は管理者端末300による承認結果である。
図8は申請ログ211の具体例である。図8における利用予定コマンド/プロトコル15の項目の内容に関しては、例えばTelnetのコマンドについては、ホワイトリスト、ブラックリストなどグループ化して、どのホワイトリスト(またはブラックリスト以外)を指定するかといった情報を記録しても良い。
一つの申請レコードは、特権ID11が対応付けられており、また利用期間14(アクセス期間予定情報)を含む。また一つの申請レコードは、利用予定のコマンド/プロトコル15(予定コマンド情報)を持つ。図7の特権ID11〜利用予定コマンド/プロトコル15は、図5の特権ID11〜利用予定コマンド/プロトコル15である。承認状況16は管理者端末300による承認結果である。
図8は申請ログ211の具体例である。図8における利用予定コマンド/プロトコル15の項目の内容に関しては、例えばTelnetのコマンドについては、ホワイトリスト、ブラックリストなどグループ化して、どのホワイトリスト(またはブラックリスト以外)を指定するかといった情報を記録しても良い。
(S105)
運用者Yは、運用者端末400により、(申請WF201に登録された)予定の日時になった場合、Telnetやリモートデスクトッププロトコル(RDP)を用いて、ID制御部500に対して変更操作のためのログイン操作を行う(S105)。運用者端末400におけるログイン処理は、処理部430が行う。このログインにはIDとパスワードとを用いるが、IDおよびパスワードの組は、運用者Yを識別するために予めID制御部500に登録されているものを用いる。例えば、IDは図5の利用者情報12の運用者YのID、パスワードは社内システムの利用のために運用者Yに与えられているパスワードである。ID制御部500には、これらのIDとパスワードの組が登録されている。
運用者Yは、運用者端末400により、(申請WF201に登録された)予定の日時になった場合、Telnetやリモートデスクトッププロトコル(RDP)を用いて、ID制御部500に対して変更操作のためのログイン操作を行う(S105)。運用者端末400におけるログイン処理は、処理部430が行う。このログインにはIDとパスワードとを用いるが、IDおよびパスワードの組は、運用者Yを識別するために予めID制御部500に登録されているものを用いる。例えば、IDは図5の利用者情報12の運用者YのID、パスワードは社内システムの利用のために運用者Yに与えられているパスワードである。ID制御部500には、これらのIDとパスワードの組が登録されている。
(S106)
ID制御部500は、運用者Yの利用しているIDおよびプロトコルから、対応する申請情報401が存在すること、また、申請された利用期間内のアクセスであることを確認して、利用の可否を判断する(S106)。ID制御部500は、S104で申請情報401を受信済みである。よって、ID制御部500は、S105のログインにおけるID及び使用するプロトコルと、申請情報401(図5)における利用者情報12及び利用予定コマンド/プロトコル15との比較により、S105のログインに対応する申請情報401が存在するか確認できる。申請情報401が存在する場合、ID制御部500は、S105のログインが申請情報401の利用期間14内であるか判断する。
ID制御部500は、運用者Yの利用しているIDおよびプロトコルから、対応する申請情報401が存在すること、また、申請された利用期間内のアクセスであることを確認して、利用の可否を判断する(S106)。ID制御部500は、S104で申請情報401を受信済みである。よって、ID制御部500は、S105のログインにおけるID及び使用するプロトコルと、申請情報401(図5)における利用者情報12及び利用予定コマンド/プロトコル15との比較により、S105のログインに対応する申請情報401が存在するか確認できる。申請情報401が存在する場合、ID制御部500は、S105のログインが申請情報401の利用期間14内であるか判断する。
(S107、S108)
申請情報401が存在しないまたは利用期間内ではない場合は利用不可である。この場合は、ID制御部500が運用者Y(運用者端末400)からのリクエストを破棄する。利用可(申請情報401が存在し、かつ、利用期間内)である場合は、ID制御部500は、運用者端末400(処理部430)による変更操作の内容を、業務サーバ600に対して中継する(S107)。この中継に際しては、ID制御部500は、通知された申請情報401に記載された特権IDで業務サーバ600にログインし、変更操作の内容を中継する。また、中継する変更操作の内容を、ID制御部500は操作ログ511に記録する(S108)。なお、図5の特権ID11の項目の説明で述べたように、申請情報401に特権ID11が記載されていない場合は、S105のログインで使用されるID及びパスワードの組と対応付けられた特権IDを、ID制御部500が予め保有する構成でも構わない。
申請情報401が存在しないまたは利用期間内ではない場合は利用不可である。この場合は、ID制御部500が運用者Y(運用者端末400)からのリクエストを破棄する。利用可(申請情報401が存在し、かつ、利用期間内)である場合は、ID制御部500は、運用者端末400(処理部430)による変更操作の内容を、業務サーバ600に対して中継する(S107)。この中継に際しては、ID制御部500は、通知された申請情報401に記載された特権IDで業務サーバ600にログインし、変更操作の内容を中継する。また、中継する変更操作の内容を、ID制御部500は操作ログ511に記録する(S108)。なお、図5の特権ID11の項目の説明で述べたように、申請情報401に特権ID11が記載されていない場合は、S105のログインで使用されるID及びパスワードの組と対応付けられた特権IDを、ID制御部500が予め保有する構成でも構わない。
図9は、ID制御部500によって記録される操作ログ511の内容(アクセス状態)を示す。
図10は、操作ログ511の具体例を示す。図9における特権ID11−5、利用者情報12−5、利用期間14−5(アクセス期間情報)は、図5の特権ID11、利用者情報12、利用期間14に対応する。また、操作内容17−5は、図5の申請情報401における利用予定コマンド/プロトコル15に対応する。操作ログ511は、複数の操作レコードが記録されている。中継する一つの操作が、一つの操作レコードとなる。図9、図10は一つの操作レコードを示している。特権ID11−5は、S107のログインに使用したIDである。一つの操作レコードは特権ID11−5が対応付けられている。利用者情報12−5は、存在が確認された申請情報401に記載の利用者情報12である。利用期間14−5(アクセス期間情報)は、中継期間である。操作内容17−5(中継コマンド情報)は、中継した変更操作における利用予定コマンドやプロトコルである。
図10は、操作ログ511の具体例を示す。図9における特権ID11−5、利用者情報12−5、利用期間14−5(アクセス期間情報)は、図5の特権ID11、利用者情報12、利用期間14に対応する。また、操作内容17−5は、図5の申請情報401における利用予定コマンド/プロトコル15に対応する。操作ログ511は、複数の操作レコードが記録されている。中継する一つの操作が、一つの操作レコードとなる。図9、図10は一つの操作レコードを示している。特権ID11−5は、S107のログインに使用したIDである。一つの操作レコードは特権ID11−5が対応付けられている。利用者情報12−5は、存在が確認された申請情報401に記載の利用者情報12である。利用期間14−5(アクセス期間情報)は、中継期間である。操作内容17−5(中継コマンド情報)は、中継した変更操作における利用予定コマンドやプロトコルである。
(S109)
業務サーバ600(処理部630)は、OSのセキュリティログなどの機能によって、ID制御部500によって中継された変更操作の内容をアクセスログ611に記録する。
業務サーバ600(処理部630)は、OSのセキュリティログなどの機能によって、ID制御部500によって中継された変更操作の内容をアクセスログ611に記録する。
図11は、業務サーバ600によって記録されるアクセスログ611の内容(アクセス状態)を示す。
図12は、アクセスログ611の具体例を示す。アクセスログ611は、複数のアクセスレコードが記録されている。業務サーバ600への一つの操作(1アクセス)が、一のアクセスレコードとなる。図11、図12は一つのアクセスレコードを示している。図11において、利用者ID11−6は特権IDであり、図9の特権ID11−5に対応し、S107のログイン(図4)で使用されたIDである。一つのアクセスレコードには特権IDが対応付けられている。操作内容17−6は、図9の操作内容17−5に対応し、業務サーバ600に対する操作やコマンドの情報である。利用期間14−6(アクセス期間情報)は、利用期間14−5に対応し、他の装置から業務サーバ600に対して変更操作が実行された期間である。
図12は、アクセスログ611の具体例を示す。アクセスログ611は、複数のアクセスレコードが記録されている。業務サーバ600への一つの操作(1アクセス)が、一のアクセスレコードとなる。図11、図12は一つのアクセスレコードを示している。図11において、利用者ID11−6は特権IDであり、図9の特権ID11−5に対応し、S107のログイン(図4)で使用されたIDである。一つのアクセスレコードには特権IDが対応付けられている。操作内容17−6は、図9の操作内容17−5に対応し、業務サーバ600に対する操作やコマンドの情報である。利用期間14−6(アクセス期間情報)は、利用期間14−5に対応し、他の装置から業務サーバ600に対して変更操作が実行された期間である。
図13〜図15を参照して、不正アクセス監査時における点検作業の流れを説明する。
図13は、点検作業のフローを示す。
図14、図15は図13をシーケンス化した図であり、図14の「A」は図15の「A」と同一である。図14はログ収集のシーケンスであり、図15はログ収集後の、不正アクセスの監査のシーケンスである。
図13は、点検作業のフローを示す。
図14、図15は図13をシーケンス化した図であり、図14の「A」は図15の「A」と同一である。図14はログ収集のシーケンスであり、図15はログ収集後の、不正アクセスの監査のシーケンスである。
(S201)
監査者(例えば管理者X)は管理者端末300(監査者が管理者の場合)を用いることにより、WFサーバ200、ID制御部500及び業務サーバ600のそれぞれから、申請ログ211、操作ログ511、アクセスログ611を収集するスケジュール(例えば、毎日夜間に実施)を、予め申請WF201に登録することで利用申請する(S201)。スケジュールの登録作業は、ログ分析サーバ100が、ID制御部500の中継を介して(後述のS203)業務サーバ600のアクセスログ611を収集するために実施する。また、管理者端末300の処理部330によって、申請WF201には、ログ収集のスケジュールと共に、後述のS203−1(図14)のログインで用いる「ID、パスワード」、及びS203−2(図14)のログインで用いる特権IDが登録される。これらが記載された申請WF201の情報は、管理者端末300(監査者の端末)の通信部320によって、ログ分析サーバ100に送信される。なお、S201では申請WF201にスケジュール等を登録したが、スケジュールやID等は、ログ分析サーバ100に、端末から直接設定しても構わない。
監査者(例えば管理者X)は管理者端末300(監査者が管理者の場合)を用いることにより、WFサーバ200、ID制御部500及び業務サーバ600のそれぞれから、申請ログ211、操作ログ511、アクセスログ611を収集するスケジュール(例えば、毎日夜間に実施)を、予め申請WF201に登録することで利用申請する(S201)。スケジュールの登録作業は、ログ分析サーバ100が、ID制御部500の中継を介して(後述のS203)業務サーバ600のアクセスログ611を収集するために実施する。また、管理者端末300の処理部330によって、申請WF201には、ログ収集のスケジュールと共に、後述のS203−1(図14)のログインで用いる「ID、パスワード」、及びS203−2(図14)のログインで用いる特権IDが登録される。これらが記載された申請WF201の情報は、管理者端末300(監査者の端末)の通信部320によって、ログ分析サーバ100に送信される。なお、S201では申請WF201にスケジュール等を登録したが、スケジュールやID等は、ログ分析サーバ100に、端末から直接設定しても構わない。
(S202)
予定時刻になった場合、ログ収集部110は、OSのスケジュール機能などを利用して起動される。起動された後、ログ収集部110は、FTPなどのプロトコルで、申請ログ211、操作ログ511を収集し、ログ情報管理部120に格納する(S202)。
予定時刻になった場合、ログ収集部110は、OSのスケジュール機能などを利用して起動される。起動された後、ログ収集部110は、FTPなどのプロトコルで、申請ログ211、操作ログ511を収集し、ログ情報管理部120に格納する(S202)。
(S203)
また、ログ収集部110は、ID制御部500を経由し、リモートデスクトップ等の機能を用いて業務サーバ600に接続し、ログイン操作を実施する(S203)。ログイン操作の自動化は、リモートデスクトッププロトコル(RDP)の制御によって実施するか、リモートデスクトップ機能に対するキー操作の再生機能などを用いて実現する。ログ分析サーバ100によるID制御部500へのログイン(図14のS203−1)には、S201で登録された「ID、パスワード」の組が使用される。ID制御部500による業務サーバ600へのログイン(図14のS203−2)には、S201で登録された特権IDが使用される。
また、ログ収集部110は、ID制御部500を経由し、リモートデスクトップ等の機能を用いて業務サーバ600に接続し、ログイン操作を実施する(S203)。ログイン操作の自動化は、リモートデスクトッププロトコル(RDP)の制御によって実施するか、リモートデスクトップ機能に対するキー操作の再生機能などを用いて実現する。ログ分析サーバ100によるID制御部500へのログイン(図14のS203−1)には、S201で登録された「ID、パスワード」の組が使用される。ID制御部500による業務サーバ600へのログイン(図14のS203−2)には、S201で登録された特権IDが使用される。
(S204、S205)
業務サーバ600の処理部630は、監査対象期間のアクセスログ611を出力する(S204)。ログ収集部110は、処理部630が出力したファイル(アクセスログ611)を、ファイルコピーや、その他のプロトコルを用いることにより、ID制御部500を介して収集し、ログ情報管理部120に格納する(S205)。
業務サーバ600の処理部630は、監査対象期間のアクセスログ611を出力する(S204)。ログ収集部110は、処理部630が出力したファイル(アクセスログ611)を、ファイルコピーや、その他のプロトコルを用いることにより、ID制御部500を介して収集し、ログ情報管理部120に格納する(S205)。
(S206、S207)
次に、図15を参照して説明する。ログ収集後の監査時には、ログ解析部130が、ログ情報管理部120から、監査期間に該当するアクセスログ611から、期間の最も早い(古い)一つのアクセスレコードを抽出する(S206)。アクセスログ611は図11の内容を有するが、アクセスログ611の一つのアクセスレコードは、上記のように、業務サーバ600への1操作を単位とする。つまり一つのアクセスレコードは1操作である。ログ解析部130は、抽出したアクセスレコードから、操作日時(操作日時14−6)、操作の実施者(利用者ID(特権ID)11−6))、操作内容(操作内容17−6)を抽出する(S207)。なお、アクセスレコードの内容によっては、特権IDとの対応が一つのアクセスレコードに記録されていない場合がある。つまり、一つの特権IDに複数の操作が対応して記録される場合がある。このような場合、ログ解析部130は、ログイン操作のレコードまで遡って検索し、利用した特権IDを判別する。
次に、図15を参照して説明する。ログ収集後の監査時には、ログ解析部130が、ログ情報管理部120から、監査期間に該当するアクセスログ611から、期間の最も早い(古い)一つのアクセスレコードを抽出する(S206)。アクセスログ611は図11の内容を有するが、アクセスログ611の一つのアクセスレコードは、上記のように、業務サーバ600への1操作を単位とする。つまり一つのアクセスレコードは1操作である。ログ解析部130は、抽出したアクセスレコードから、操作日時(操作日時14−6)、操作の実施者(利用者ID(特権ID)11−6))、操作内容(操作内容17−6)を抽出する(S207)。なお、アクセスレコードの内容によっては、特権IDとの対応が一つのアクセスレコードに記録されていない場合がある。つまり、一つの特権IDに複数の操作が対応して記録される場合がある。このような場合、ログ解析部130は、ログイン操作のレコードまで遡って検索し、利用した特権IDを判別する。
(S208)
S208はアクセスレコードと申請ログ211との比較である。ログ解析部130は、申請ログ211の中に、アクセスレコードの特権ID11−6と特権ID11が一致し、かつ、アクセスレコードの操作日時14−6(アクセス期間情報)が利用期間14(アクセス予定期間情報)に含まれる申請レコードがないか検索する(S208)。対応する申請レコードがない場合には、ログ解析部130は不適切なアクセス(未申請での操作)があったと判定し、アクセスレコードの属性として記録する(S213)。
S208はアクセスレコードと申請ログ211との比較である。ログ解析部130は、申請ログ211の中に、アクセスレコードの特権ID11−6と特権ID11が一致し、かつ、アクセスレコードの操作日時14−6(アクセス期間情報)が利用期間14(アクセス予定期間情報)に含まれる申請レコードがないか検索する(S208)。対応する申請レコードがない場合には、ログ解析部130は不適切なアクセス(未申請での操作)があったと判定し、アクセスレコードの属性として記録する(S213)。
(S209)
S209は申請レコードと操作ログ511との比較である。対応する申請レコードがS208でヒットした場合、ログ解析部130は、この申請レコードに含まれる特権ID11(または利用者ID)及び利用期間14をキーとして、申請レコードに対応する操作ログ511の操作レコードが存在するか検索する(S209)。検索条件は以下である。上記したように、ヒットした申請レコードに対して、特権ID(または利用者ID)が一致し、かつ、操作ログ511に記載された情報の開始日時、終了日時が、申請レコードの利用期間14に含まれることである。ヒットした申請レコードに対応する操作レコードがない場合には、ログ解析部130は不適切なアクセス(不適切な経路によるアクセス)があったと判定し、ヒットした申請レコードに対応するアクセスレコードの属性として記録する(S213)。
S209は申請レコードと操作ログ511との比較である。対応する申請レコードがS208でヒットした場合、ログ解析部130は、この申請レコードに含まれる特権ID11(または利用者ID)及び利用期間14をキーとして、申請レコードに対応する操作ログ511の操作レコードが存在するか検索する(S209)。検索条件は以下である。上記したように、ヒットした申請レコードに対して、特権ID(または利用者ID)が一致し、かつ、操作ログ511に記載された情報の開始日時、終了日時が、申請レコードの利用期間14に含まれることである。ヒットした申請レコードに対応する操作レコードがない場合には、ログ解析部130は不適切なアクセス(不適切な経路によるアクセス)があったと判定し、ヒットした申請レコードに対応するアクセスレコードの属性として記録する(S213)。
(S210)
S210は、S208でヒットした申請レコードと、S209でヒットした操作レコードとの比較である。ログ解析部130は、操作レコードがS209でヒットした場合には、ヒットした操作レコードの操作内容17−5(中継コマンド情報)に含まれる利用コマンドが、S208でヒットした申請レコードの利用予定コマンド/プロトコル15と合致するかをチェックする(S210)。この場合、ログ解析部130は、ヒットした操作レコード操作内容17−5の利用コマンドが、申請レコードに記載されたコマンドであること、またはホワイトリストの範囲内、ブラックリストの範囲外であることを確認する。コマンドのチェックは、許可するコマンド、禁止するコマンドを、正規表現の文字列で定義し、正規表現とのマッチングによる判定などによって実施する。
なお、利用するプロトコルによっては、コマンドレベルの情報をID制御部500でログに出力することが困難な場合があるため、この場合は操作レコードの有無のみで判定してもよい。
S210は、S208でヒットした申請レコードと、S209でヒットした操作レコードとの比較である。ログ解析部130は、操作レコードがS209でヒットした場合には、ヒットした操作レコードの操作内容17−5(中継コマンド情報)に含まれる利用コマンドが、S208でヒットした申請レコードの利用予定コマンド/プロトコル15と合致するかをチェックする(S210)。この場合、ログ解析部130は、ヒットした操作レコード操作内容17−5の利用コマンドが、申請レコードに記載されたコマンドであること、またはホワイトリストの範囲内、ブラックリストの範囲外であることを確認する。コマンドのチェックは、許可するコマンド、禁止するコマンドを、正規表現の文字列で定義し、正規表現とのマッチングによる判定などによって実施する。
なお、利用するプロトコルによっては、コマンドレベルの情報をID制御部500でログに出力することが困難な場合があるため、この場合は操作レコードの有無のみで判定してもよい。
ログ解析部130は、操作レコードの利用コマンドが申請レコードの範囲外のものであれば、不適切なアクセス(未許可のコマンド実行)があったと判定し、レコードの属性として記録する(S213)。
(S211)
ログ解析部130は、利用コマンドが申請レコードの範囲内(承認されたコマンド)であれば、アクセスレコードの属性として適切なアクセスであったこと(不適切なアクセスがなかったこと)を記録する(S211)。
ログ解析部130は、利用コマンドが申請レコードの範囲内(承認されたコマンド)であれば、アクセスレコードの属性として適切なアクセスであったこと(不適切なアクセスがなかったこと)を記録する(S211)。
(S212)
ログ解析部130は、S206からS212までの処理を、監査対象期間のアクセスログ611の最後のアクセスレコード(もっとも新しいアクセスレコード)まで繰り返し実行する(S212)。
ログ解析部130は、S206からS212までの処理を、監査対象期間のアクセスログ611の最後のアクセスレコード(もっとも新しいアクセスレコード)まで繰り返し実行する(S212)。
以上から、ログ解析部130は、以下の(1)〜(3)の条件を満たしているアクセスレコードを適切なアクセス、満たしていないアクセスレコードを、不適切なアクセスと判断することができる。
(1)関連する申請ログ211、操作ログ511、アクセスログ611が揃っている。
つまり関連する申請レコード、操作レコード及びアクセスレコードがそろっていることである。これは、S208でYES、S209でYESの場合である。
(2)操作ログ511に記録された操作レコードが、申請ログ211に記録された申請レコードの利用期間内にある。これは、S209でYESの場合である。
(3)アクセスログ611に記録されたアクセスレコードのコマンドが申請レコードの範囲内にある。
これは、S210でYESの場合である。
(1)関連する申請ログ211、操作ログ511、アクセスログ611が揃っている。
つまり関連する申請レコード、操作レコード及びアクセスレコードがそろっていることである。これは、S208でYES、S209でYESの場合である。
(2)操作ログ511に記録された操作レコードが、申請ログ211に記録された申請レコードの利用期間内にある。これは、S209でYESの場合である。
(3)アクセスログ611に記録されたアクセスレコードのコマンドが申請レコードの範囲内にある。
これは、S210でYESの場合である。
図16は、アクセスの種類とログとの対応を示す図である。「○」はログに記載(レコード)がある事を示し、「×」はログに記載(レコード)がない事を示す。例えば、「適切」は申請ログ211、操作ログ511、アクセスログ611のすべてに対応する情報(レコード)が記載されている場合であり、「不適切(未申請)」は申請ログ211、操作ログ511、アクセスログ611のどれにも情報が記載されていない場合である。図16の「△」の「※」は以下の意味である。外部犯行者の操作は偶然に利用申請期間内に入ることがある(○の場合がある)ので、申請ログ211と操作ログ511とを比較することで、正規なアクセスかが判別ができる。
実施の形態2.
図17〜図19を参照して、実施の形態2の不正アクセス監査システム1002を説明する。実施の形態2は、業務サーバ間で特権IDを用いた呼び出し関係がある場合に、以下のように、不正アクセスの有無を点検するシステムである。
図17〜図19を参照して、実施の形態2の不正アクセス監査システム1002を説明する。実施の形態2は、業務サーバ間で特権IDを用いた呼び出し関係がある場合に、以下のように、不正アクセスの有無を点検するシステムである。
図17は、業務サーバ間で呼び出しがある場合の不正アクセス監査システム1002の構成図である。不正アクセス監査システム1002は不正アクセス監査システム1001に対して、管理ネットワーク810に、プロバイダである業務サーバ600と、リクエスタである業務サーバ900(アクセス装置)とが接続している点が異なる。このように業務サーバには、呼び出される側の業務サーバ600(プロバイダ)と、呼び出す側の業務サーバ900(リクエスタ)が存在する。業務サーバ上のアプリケーションの構成によっては、プロバイダ、リクエスタを兼ねる場合もある。
ネットワーク設定(および業務アプリケーション設定)は、業務サーバ900(リクエスタ)からの呼び出しが、管理ネットワーク810に接続されたID制御部500を介して、業務サーバ600(プロバイダ)に接続するように行う。
図18は、図4に対応する図である。図18は図運用者端末400が業務サーバ担当者であり、また図4では運用者端末400がID制御部500にログイン(S105)するのに対して、図18では業務サーバ900がログインし、業務サーバ600にアクセスする。申請ログ211、操作ログ511、アクセスログ611に記録される情報は図4の場合と同様である。なお操作ログ511、アクセスログ611に記録される情報は、業務サーバ900によるアクセス内容である。
業務サーバ900の不正アクセスの監査では、図13(図14)の「点検作業の流れ」における利用申請(S201)において、利用期間、利用する特権ID等の情報を入力する。以降の処理は、実施の形態1の図13(図14及び図15)と同様になる。
図19はアクセスの種類とログとの対応を示す図であり、実施の形態1の図16と同様の図である。図19の内容は図16と同一である。
実施の形態2により、業務サーバ間のアクセスや、申請された利用時間内に外部の犯行者からのアクセスなどを検出することができるので、不適切なアクセスを正しく点検することができる。
実施の形態2により、業務サーバ間のアクセスも正しく点検できるので、監査時の例外処置が不要になり、監査作業の効率化、自動化が可能となる。また、判定しきれていなかった外部犯行者のアクセスに対して不適切であると判定することが可能になる。
実施の形態3.
図20を参照して実施の形態3の不正アクセス監査システム1003(図示せず)を説明する。不正アクセス監査システム1003の構成は、不正アクセス監査システム1001(図1)あるいは不正アクセス監査システム1002(図17)の構成と同じである。実施の形態3は、ID制御部500での作業が遅延した場合を考慮して、利用期間に関する許可を自動延長する(または設定により許可する)構成である。該当するセッションが、申請された利用期間を超えても継続している場合などに、延長処理を行う。
図20を参照して実施の形態3の不正アクセス監査システム1003(図示せず)を説明する。不正アクセス監査システム1003の構成は、不正アクセス監査システム1001(図1)あるいは不正アクセス監査システム1002(図17)の構成と同じである。実施の形態3は、ID制御部500での作業が遅延した場合を考慮して、利用期間に関する許可を自動延長する(または設定により許可する)構成である。該当するセッションが、申請された利用期間を超えても継続している場合などに、延長処理を行う。
延長処理を認める設定がある場合には、申請情報401に自動延長の許可/不許可の情報が含まれる。このため、ログ収集部110によるログ収集時には、自動延長の情報も含めて申請ログ211の収集を行う。
図20は、ログ解析部130による自動延長時の判定方法を示す図である。
図20に示すように、ログ解析部130は、
(1)作業時刻が利用期間を過ぎたレコード(アクセスログのレコード)がある。
(2)自動延長が許可となっている。
の両方の条件を満たす場合には、開始時刻のみのチェックで判定を行う。
その他の処理については実施の形態1と同様である。
図20は、ログ解析部130による自動延長時の判定方法を示す図である。
図20に示すように、ログ解析部130は、
(1)作業時刻が利用期間を過ぎたレコード(アクセスログのレコード)がある。
(2)自動延長が許可となっている。
の両方の条件を満たす場合には、開始時刻のみのチェックで判定を行う。
その他の処理については実施の形態1と同様である。
具体的には、申請レコードは、業務サーバ600へのアクセス予定期間の延長の可否を示す延長情報を含む。ログ解析部130は、延長情報の示す可否を参照して、アクセスレコードに対応する申請レコードが申請ログ211に記録されているかどうかの判定(S208)と、申請レコードに対応する操作レコードが操作ログ511に記録されているかの判定(S209)とを実行する。これによって、正規のセッションが、ID制御部500での作業遅延により、申請された利用期間を超えても継続している場合も、正規なアクセスとして扱うことができる。
以上、実施の形態1〜3を説明したが、これらの実施の形態のうち、2つ以上を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。なお、本発明はこれらの実施の形態に限定されるものではなく、必要に応じて種々の変形が可能である。
実施の形態4.
図21、図22を参照して実施の形態4を説明する。実施の形態4は、コンピュータであるログ分析サーバ100のハードウェア構成を説明する。なお、WFサーバ200、管理者端末300、運用者端末400、ID制御部500、業務サーバ600、利用者端末700及び業務サーバ900もログ分析サーバ100と同様のコンピュータである。よって以下のログ分析サーバ100の説明は、WFサーバ200等にも当てはまる。
図21、図22を参照して実施の形態4を説明する。実施の形態4は、コンピュータであるログ分析サーバ100のハードウェア構成を説明する。なお、WFサーバ200、管理者端末300、運用者端末400、ID制御部500、業務サーバ600、利用者端末700及び業務サーバ900もログ分析サーバ100と同様のコンピュータである。よって以下のログ分析サーバ100の説明は、WFサーバ200等にも当てはまる。
図21は、コンピュータであるログ分析サーバ100の外観の一例を示す図である。
図22は、ログ分析サーバ100のハードウェア資源の一例を示す図である。
図22は、ログ分析サーバ100のハードウェア資源の一例を示す図である。
外観を示す図21おいて、ログ分析サーバ100は、システムユニット970、CRT(Cathode Ray Tube)やLCD(液晶)の表示画面を有する表示装置953、キーボード954(Key Board:K/B)、マウス955、コンパクトディスク装置957(CDD:Compact Disk Drive)などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。システムユニット970は業務ネットワーク800,810,820に接続している。
またハードウェア資源を示す図22において、ログ分析サーバ100は、プログラムを実行するCPU950(Central Processing Unit)を備えている。CPU950は、バス958を介してROM(Read Only Memory)951、RAM(Random Access Memory)952、表示装置953、キーボード954、マウス955、通信ボード956、CDD957、磁気ディスク装置960と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置960の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。
RAM952は、揮発性メモリの一例である。ROM951、CDD957、磁気ディスク装置960等の記録媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部、バッファの一例である。通信ボード956、キーボード954などは、入力部、入力装置の一例である。また、通信ボード956、表示装置953などは、出力部、出力装置の一例である。通信ボード956は、ネットワークに接続されている。
磁気ディスク装置960には、オペレーティングシステム961(OS)、プログラム群962、ファイル群963が記憶されている。プログラム群962のプログラムは、CPU950、オペレーティングシステム961により実行される。
上記プログラム群962には、以上の実施の形態の説明において「〜部」として説明した機能を実行するプログラムが記憶されている。プログラムは、CPU950により読み出され実行される。
ファイル群963には、以上の実施の形態の説明において、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明した情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。また、ディスクやメモリなどの記録媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU950によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以上に述べた実施の形態の説明において、データや信号値は、RAM952のメモリ、CDD957のコンパクトディスク、磁気ディスク装置960の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital Versatile Disk)等の記録媒体に記録される。また、データや信号は、バス958や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、以上の実施の形態の説明において、「〜部」として説明したものは、「〜手段」、であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明したものは、ソフトウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU950により読み出され、CPU950により実行される。すなわち、プログラムは、以上に述べた「〜部」としてコンピュータを機能させるものである。あるいは、以上に述べた「〜部」の手順や方法をコンピュータに実行させるものである。
以上の実施の形態では、ログ分析サーバ100を説明したが、ログ分析サーバ100の動作は、プログラムとしても把握できることは以上の説明から当然である。また、ログ分析サーバ100の各「〜部」の動作は、ログ分析方法としても把握できることは以上の説明により明らかである。
X 管理者、Y 運用者、100 ログ分析サーバ、110 ログ収集部、120 ログ情報管理部、130 ログ解析部、200 WFサーバ、201 作業申請WF、210 記憶部、211 申請ログ、300 管理者端末、400 運用者端末、500 ID制御部、510 記憶部、511 操作ログ、600 業務サーバ、610 記憶部、611 アクセスログ、700 利用者端末、800 業務ネットワーク、810 管理ネットワーク、820 サービスネットワーク、900 業務サーバ、1001,1002,1003 不正アクセス監査システム。
Claims (10)
- アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置から前記申請ログを収集し、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置から前記操作ログを収集し、
アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録する前記アクセス先サーバ装置から前記アクセスログを収集するログ収集部と、
前記ログ収集部が収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定する判定部と
を備えたことを特徴とするログ分析装置。 - 前記ログ収集部は、
前記アクセス中継装置にログインし、ログインした前記アクセス中継装置を介して、前記アクセス先サーバ装置から、前記アクセスログを収集することを特徴とする請求項1記載のログ分析装置。 - 前記アクセス装置は、
前記ログ分析装置が使用される不正アクセス監査システムにおいて前記ログ分析装置と共に使用される、前記不正アクセス監査システムの運用者の端末装置と前記アクセス先サーバ装置をプロバイダとしてアクセスするリクエスタであるリクエスタサーバ装置との、いずれかであることを特徴とする請求項1または2に記載のログ分析装置。 - 前記判定部は、
前記アクセスログと前記申請ログとを比較することにより前記アクセスログに記録された前記アクセスレコードに対応する前記申請レコードが前記申請ログに記録されているかを判定し、前記申請レコードが前記申請ログに記録されている場合には前記申請レコードに対応する前記操作レコードが前記操作ログに記録されているかを判定することにより、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定することを特徴とする請求項1〜3のいずれか1項に記載のログ分析装置。 - 前記申請レコードと、前記操作レコードと、前記アクセスレコードとは、
前記アクセス先サーバ装置にログインする権限が認められた特権IDが対応付けられており、
前記申請レコードは、
前記アクセス先サーバ装置へのアクセス予定期間情報を含み、
前記操作レコードは、
前記アクセス装置による前記アクセス先サーバ装置へのアクセス期間情報を含み、
前記アクセスレコードは、
アクセスされたアクセス期間情報を含み、
前記判定部は、
前記アクセスレコードに対応する前記特権ID及び前記アクセスレコードに含まれる前記アクセス期間情報と、前記申請レコードに対応する前記特権ID及び前記申請レコードに含まれる前記アクセス予定期間情報とに基づいて、前記アクセスレコードに対応する前記申請レコードが前記申請ログに記録されているかを判定し、
前記申請レコードに対応する前記特権ID及び前記申請レコードに含まれる前記アクセス予定期間情報と、前記操作レコードに対応する前記特権ID及び前記操作レコードに含まれる前記アクセス期間情報とに基づいて、前記申請レコードに対応する前記操作レコードが前記操作ログに記録されているかを判定することを特徴とする請求項4記載のログ分析装置。 - 前記申請レコードは、
前記アクセス先サーバ装置へのアクセスに用いる予定の予定コマンドを含み、
前記操作レコードは、
中継されたアクセスに用いられた中継コマンドを含み、
前記判定部は、
前記申請レコードに対応する前記操作レコードが前記操作ログに記録されていると判定した場合に、前記申請レコードに含まれる前記予定コマンドと、前記操作レコードに含まれる前記中継コマンドとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定することを特徴とする請求項5記載のログ分析装置。 - 前記申請レコードは、
前記アクセス先サーバ装置へのアクセス予定期間の延長の可否を示す延長情報を含み、
前記判定部は、
前記延長情報の示す可否を参照して、前記アクセスレコードに対応する前記申請レコードが前記申請ログに記録されているかどうかの判定と、前記申請レコードに対応する前記操作レコードが前記操作ログに記録されているかの判定とを実行することを特徴とする請求項5または6のいずれかに記載のログ分析装置。 - アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録するアクセス先サーバ装置と、
前記アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置と、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置と、
前記アクセス先サーバ装置、前記申請ログ保有装置、前記アクセス中継装置から、それぞれ、前記アクセスログ、前記申請ログ、前記操作ログを収集するログ収集部と、前記ログ収集部が収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定する判定部とを有するログ分析装置と
を備えたことを特徴とする不正アクセス監査システム。 - コンピュータに、
アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置から前記申請ログを収集する処理、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置から前記操作ログを収集する処理、
アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録する前記アクセス先サーバ装置から前記アクセスログを収集する処理、
収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定する処理、
を実行させるためのログ分析プログラム。 - ログ収集部と、判定部とを備えたログ分析装置が行うログ分析方法であって、
前記ログ収集部が、
アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置から前記申請ログを収集し、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置から前記操作ログを収集し、
アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録する前記アクセス先サーバ装置から前記アクセスログを収集し、
前記判定部が、
前記ログ収集部が収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定することを特徴とするログ分析方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2014/053179 WO2015121923A1 (ja) | 2014-02-12 | 2014-02-12 | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5936798B2 true JP5936798B2 (ja) | 2016-06-22 |
| JPWO2015121923A1 JPWO2015121923A1 (ja) | 2017-03-30 |
Family
ID=53799693
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015562585A Expired - Fee Related JP5936798B2 (ja) | 2014-02-12 | 2014-02-12 | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9965624B2 (ja) |
| EP (1) | EP3107025A4 (ja) |
| JP (1) | JP5936798B2 (ja) |
| SG (1) | SG11201606323QA (ja) |
| WO (1) | WO2015121923A1 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6799404B2 (ja) * | 2016-07-13 | 2020-12-16 | 株式会社デンソーテン | 情報処理装置および情報処理方法 |
| CN106326085A (zh) * | 2016-08-16 | 2017-01-11 | 成都菜鸟网络技术有限公司 | 电力信息日志审计方法 |
| CN111224807B (zh) * | 2018-11-27 | 2023-08-01 | 中国移动通信集团江西有限公司 | 分布式日志处理方法、装置、设备及计算机存储介质 |
| CN109783318A (zh) * | 2019-01-07 | 2019-05-21 | 中国工商银行股份有限公司 | 智能终端金融外设安全监控方法、装置、服务器及系统 |
| CN110851340A (zh) * | 2019-11-06 | 2020-02-28 | 香港乐蜜有限公司 | 操作日志的收集方法、装置及服务器 |
| CN112214418B (zh) * | 2020-12-04 | 2021-03-02 | 支付宝(杭州)信息技术有限公司 | 一种应用程序的合规检测方法、装置和电子设备 |
| US20230247034A1 (en) * | 2022-02-01 | 2023-08-03 | Sap Se | Log entry buffer extension network |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009075940A (ja) * | 2007-09-21 | 2009-04-09 | Lac Co Ltd | ログ分析装置およびプログラム |
| US20090287744A1 (en) * | 2008-05-15 | 2009-11-19 | International Business Machines Corporation | Apparatus, system and method for healthcheck of information technology infrastructure based on log data |
| JP2012133407A (ja) * | 2010-12-17 | 2012-07-12 | Ntt Comware Corp | 不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラム |
| JP2012203624A (ja) * | 2011-03-25 | 2012-10-22 | Nomura Research Institute Ltd | 業務情報防護装置および業務情報防護方法、並びにプログラム |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004206564A (ja) | 2002-12-26 | 2004-07-22 | Hitachi Information & Control Systems Inc | 不正アクセス検証装置及び方法 |
| US20050021975A1 (en) | 2003-06-16 | 2005-01-27 | Gouping Liu | Proxy based adaptive two factor authentication having automated enrollment |
| JP2005234729A (ja) | 2004-02-18 | 2005-09-02 | Hitachi Omron Terminal Solutions Corp | 不正アクセス防御システム及びその方法 |
| JP2006067279A (ja) | 2004-08-27 | 2006-03-09 | Matsushita Electric Ind Co Ltd | 侵入検知システム及び通信装置 |
| WO2007106902A2 (en) * | 2006-03-15 | 2007-09-20 | Daniel Chien | Identifying unauthorized access to a network resource |
| JP4933218B2 (ja) | 2006-10-31 | 2012-05-16 | 株式会社野村総合研究所 | リモートアクセス制御装置 |
| JP4843546B2 (ja) | 2007-03-30 | 2011-12-21 | ヤフー株式会社 | 情報漏洩監視システムおよび情報漏洩監視方法 |
| JP4113571B1 (ja) | 2008-01-22 | 2008-07-09 | 株式会社Cskホールディングス | ログ監査装置及びログ監査プログラム |
| JP2009259214A (ja) | 2008-03-19 | 2009-11-05 | Nec Corp | 監査システム、外部監査装置、外部監査方法および外部監査プログラム |
| JP2010123014A (ja) | 2008-11-21 | 2010-06-03 | Nomura Research Institute Ltd | サーバ不正操作監視システム |
| JP5226636B2 (ja) | 2009-09-25 | 2013-07-03 | 株式会社野村総合研究所 | セキュリティ維持支援システムおよび情報端末 |
| JP5730735B2 (ja) | 2011-09-30 | 2015-06-10 | 株式会社日立ソリューションズ | セキュリティ管理システム及び方法並びにプログラム |
| US8826403B2 (en) * | 2012-02-01 | 2014-09-02 | International Business Machines Corporation | Service compliance enforcement using user activity monitoring and work request verification |
| SG11201505134TA (en) * | 2013-01-09 | 2015-08-28 | Nomura Res Inst Ltd | Access control device, access control method, and program |
-
2014
- 2014-02-12 WO PCT/JP2014/053179 patent/WO2015121923A1/ja active Application Filing
- 2014-02-12 US US15/116,074 patent/US9965624B2/en not_active Expired - Fee Related
- 2014-02-12 EP EP14882551.6A patent/EP3107025A4/en not_active Withdrawn
- 2014-02-12 SG SG11201606323QA patent/SG11201606323QA/en unknown
- 2014-02-12 JP JP2015562585A patent/JP5936798B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009075940A (ja) * | 2007-09-21 | 2009-04-09 | Lac Co Ltd | ログ分析装置およびプログラム |
| US20090287744A1 (en) * | 2008-05-15 | 2009-11-19 | International Business Machines Corporation | Apparatus, system and method for healthcheck of information technology infrastructure based on log data |
| JP2012133407A (ja) * | 2010-12-17 | 2012-07-12 | Ntt Comware Corp | 不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラム |
| JP2012203624A (ja) * | 2011-03-25 | 2012-10-22 | Nomura Research Institute Ltd | 業務情報防護装置および業務情報防護方法、並びにプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015121923A1 (ja) | 2015-08-20 |
| EP3107025A1 (en) | 2016-12-21 |
| JPWO2015121923A1 (ja) | 2017-03-30 |
| US9965624B2 (en) | 2018-05-08 |
| US20170177861A1 (en) | 2017-06-22 |
| EP3107025A4 (en) | 2017-03-29 |
| SG11201606323QA (en) | 2016-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5936798B2 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
| US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US10154066B1 (en) | Context-aware compromise assessment | |
| CN109376078B (zh) | 移动应用的测试方法、终端设备及介质 | |
| CN111416811B (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
| CN103679031B (zh) | 一种文件病毒免疫的方法和装置 | |
| US20190073483A1 (en) | Identifying sensitive data writes to data stores | |
| JP5852676B2 (ja) | 権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するための方法、コンピュータ・プログラム、およびシステム | |
| JP2015508549A (ja) | モバイル環境用のトロイの木馬化されたアプリケーションの特定 | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| JP2008117316A (ja) | 業務情報防護装置 | |
| US9021596B2 (en) | Correcting workflow security vulnerabilities via static analysis and virtual patching | |
| JP6636605B1 (ja) | 履歴監視方法、監視処理装置および監視処理プログラム | |
| JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
| JP2020194478A (ja) | 異常検知システム、及び異常検知方法 | |
| JP2020129166A (ja) | 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置 | |
| CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| JP6690674B2 (ja) | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム | |
| JP2010237836A (ja) | セキュリティ監査時期導出装置及びセキュリティ監査時期導出プログラム及び記録媒体 | |
| JP6369249B2 (ja) | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム | |
| JP2015138331A (ja) | 情報端末、実行形式監視方法、プログラム | |
| CN111324872A (zh) | 一种登录记录及操作记录的重定向集中审计方法、系统 | |
| US20230101198A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
| US11843626B2 (en) | Connected component-based collaborative filtering in recommendation intrusion detection systems | |
| US20230094066A1 (en) | Computer-implemented systems and methods for application identification and authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20160404 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160412 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160510 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5936798 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |