JP6208029B2 - 業務システムの監視装置及び監視装置の制御方法 - Google Patents
業務システムの監視装置及び監視装置の制御方法 Download PDFInfo
- Publication number
- JP6208029B2 JP6208029B2 JP2014015040A JP2014015040A JP6208029B2 JP 6208029 B2 JP6208029 B2 JP 6208029B2 JP 2014015040 A JP2014015040 A JP 2014015040A JP 2014015040 A JP2014015040 A JP 2014015040A JP 6208029 B2 JP6208029 B2 JP 6208029B2
- Authority
- JP
- Japan
- Prior art keywords
- operation information
- user
- monitoring device
- information
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、コンピュータシステムの利用者による情報の盗難や改竄を防止するためのセキュリティ管理技術に関する。
業務上の機密情報を含む情報を取り扱う業務システムにおいては、業務システムを利用した情報漏洩や改竄を防止する必要がある。一般には、ユーザごとにユーザ権限を設定し、このユーザ権限に応じて、情報へのアクセス範囲と許可する操作を決定する。
また、ユーザ権限を更新する技術として特許文献1がある。特許文献1には、「ユーザが行った不正アクセスに関する情報又はユーザが使用したコンピュータの脆弱性に関する情報のうち少なくともいずれか一方を取得し、取得したそれぞれの情報が示す危険度を定量化し、定量化したセキュリティポイント値に基づいてユーザ権限を更新すること」についての記載がある。
特許文献1には、ユーザが行った不正アクセスに関する情報に応じてユーザ権限を更新することについては記載されているが、悪意のあるユーザやなりすましの第三者がアカウントを悪用することによる、不正アクセスではない操作による情報の盗難や改竄を検出し、ユーザ権限を変更することについては開示されていない。
本発明は、コンピュータシステムの情報の盗難や改竄に繋がる危険性のあるユーザの操作を検知し、その操作の内容に応じたセキュリティ対策を実施することを目的とする。
上記目的を達成するため、本発明における業務システムの監視装置は、業務システムにログインしたアカウントで特定されるユーザが操作した内容を示す操作情報が格納された操作履歴テーブルを有し、業務システムより、新たにログインしたアカウントで特定されるユーザの操作情報を受信すると、受信した操作情報と操作履歴テーブルに格納された操作情報とで類似するものがあるかを判定する。監視装置は、類似するものがないと判定した場合、類似判定の基準を段階的に緩和して類似するものがあるかを判定する。そして、基準を緩和することで類似するものがあると判定した場合、その判定の際の基準の緩和の段階に応じたセキュリティレベルを特定し、特定したセキュリティレベルに応じた指示を業務システムに対して送信する。
本発明によれば、コンピュータシステムの情報の盗難や改竄に繋がる危険性のあるユーザの操作を検知し、その操作の内容に応じたセキュリティ対策を実施することができる。
以下、本発明の一実施形態を、図面を用いて説明する。
本実施例における業務システムの監視装置の構成を図1に示す。業務システム60に接続された監視装置50は、外部入出力インターフェース51と、記憶装置52と、CPU53と、メモリ54と、通信インターフェース55を備えた計算機である。
業務システム60が稼働する計算機では、モニタリングプログラム12が実行されている。モニタリングプログラム12は、ユーザがアクセス端末70を用いてネットワーク80を介して業務システム60を操作する際に、操作の内容を表す情報を取得する。
監視装置50は、モニタリングプログラム12の取得した操作情報を入力とする特徴抽出プログラム22と危険判定プログラム32と対策選定プログラム42を備える。
モニタリングプログラム12が取得した操作情報は、外部入出力インターフェース51を介して監視装置50に送信され、操作情報データ11として記録される。操作情報データ11は、操作を実施したユーザが業務システム60の利用を終了しログアウトした際に、特徴抽出プログラム22によって特徴を抽出された後に、破棄される。
特徴抽出プログラム22が抽出した操作の特徴は、特徴情報データ21に記録される。特徴情報データ21は、ユーザが業務システム60にログインし操作を行いログアウトするたびに更新される。
加えて、監視装置50は、危険判定プログラム32が操作情報データ11と特徴情報データ21に基づいてアカウント悪用の危険性の大きさを判定する際に用いる判定ルールを格納している緩和ルール定義31と、対策選定プログラム42が実施可能な対策を選択する際に用いる格納した対策リスト41を持つ。緩和ルール定義31と対策リスト41は、業務システム60の管理者または業務システム60を利用するユーザの管理者が外部入出力インターフェース51を介して事前に入力・編集した内容を保持している。
監視装置50は、通信インターフェースを介して、監視対象である業務システム60を実現する計算機と通信する。業務システム60は、複数台のサーバ、ストレージ、ネットワーク、ソフトウェアなどから構成された、業務プロセスの一部または全部をITシステムで実現したシステムである。
ユーザがアクセス端末70を用いてネットワーク80を介して業務システム60を操作する形態の業務システム60を監視対象とする。ここで、アクセス端末70は、PCやスマートフォンなどの通信機能を有するコンピュータデバイスなどが該当する。ネットワーク80は、LANやADSLなどの固定通信網や無線LAN、3G回線、WiMAX (R)、LTE等の移動体通信網からアクセスされるインターネットまたはVPNのような閉域網を経由した通信などが該当する。
以下、業務システム60がファイル共有サーバで実現される文書共有システム60であり、ユーザがアクセス端末70を利用してファイル共有サーバで管理しているファイルにアクセスする場合に、監視装置50の処理手順を説明する。
上述の文書共有システム60の利用ユースケースに対して、アカウント悪用の検出と防止のために、監視装置50によって監視する際の処理手順を、図2のフローチャートに沿って説明する。
監視装置50は、ユーザが、アクセス端末70を介して、あらかじめ設定されたユーザアカウントを用いて業務システム60にログインすると、そのユーザアカウントによる業務システム60の操作内容の監視を開始する。
監視装置50は、業務システム60が認証するユーザとログインセッション単位で監視を行う。業務システム60が同一のユーザアカウントによる異なる複数の同時並列のログインおよび操作を個別のセッションとして扱う場合は、それらのセッションを個別に監視する。たとえば同一のユーザアカウントで異なる接続元IPから同時にログインした場合は、別々のセッションとして監視する。
文書共有システム60は、アクセス端末70とネットワーク80に相当する接続元IPとユーザアカウントの2つの属性が共通するログインを1つのセッションとして扱うため、監視装置50はこれを1単位とし、セッション識別子(図3Lid)毎に、セッションが終了するまでの間、図2に示すフローチャートに沿って監視を行う。
まずステップS1000において、モニタリングプログラム12が、ユーザによる業務システム60に対する操作情報を取得する。
文書共有システム60の稼動する計算機上で稼動するモニタリングプログラム12は、文書共有システム60に対するユーザのログイン情報と操作情報を取得する機能と、取得した情報を監視装置50に送信する機能と、文書共有システム60のUI上に操作情報を収集している旨を表す表示を出力する機能とを有するプログラムである。操作情報は、監視装置50による監視単位を表すセッション識別子(Lid)と、ユーザの権限により業務システム60上に発生したイベントの情報であり、文書共有システム60に対するユーザ認証に用いられたユーザIDと、アクセス端末70とネットワーク80を表すIPアドレス(接続元IP)と、ログイン時刻と、ユーザの行った操作と、ユーザを表す識別子(ユーザID)と、操作の対象となったデータと、操作を行った時刻を含む。
次にステップS1010において、モニタリングプログラム12は、ユーザによる業務システム60に対する操作情報を監視装置50に送信し、監視装置50は送信された操作情報を操作情報データ11としてテーブルに記録する。文書共有システム60から取得した操作情報を記録する操作情報データ11のテーブルの構造の例を、図3に示す。
モニタリングプログラム12が文書共有システム60に対する操作を取得するたびに、操作を行ったユーザとそのセッション識別子(Lid)、操作の種類(操作)と対象(対象データ)と操作の実施タイミング(時刻)とを、図3のT2002に示す操作情報テーブルに記録する。監視単位となるセッションで共通の情報である識別子(Lid)とユーザIDと接続元IPとログイン時刻は、セッション情報テーブルとして図3のT2001に示すように別テーブルに記録している。 次にステップS1020において、危険判定プログラム32が、ステップS1000で取得した現在の操作の情報を操作情報データ11から取得し、現在の操作に類似する過去の操作の特徴情報を特徴情報データ21から取得する。過去の操作の特徴情報とは、過去に発生した操作に基づいて特徴情報データ21に記録された操作の特徴情報である。文書共有システム60における過去の操作の特徴情報を記録した、特徴情報データ21の過去の操作の特徴情報(操作履歴)テーブルの例を図4のT2101に示す。特徴データ21は、発生条件を表す情報の種類と、発生条件を表す情報の値と、特徴を現す操作情報の属性と、特徴を現す操作情報の値と、発生回数を含む。
なお、ユーザの一回の操作からは、複数の特徴情報が抽出される。ユーザAがデータ「..\crr\fo1.dwg」に対して「保存(Save)」という操作をした場合(T2002の#3)、T2101の特徴ID 0004, 0007, 0013で示される特徴情報が抽出される。 T2101の特徴ID「0013」の特徴情報は、「条件」及び「条件値」で特定される特徴ID「0004」の特徴情報で示されているユーザの操作が、「特徴値」で特定されるデータ「..\crr\fo1.dwg」に対して実施されたことを示している。
現在の操作に類似する過去の操作の特徴情報とは、モニタリングプログラム12が取得した現在の操作情報に対して、類似の条件下で過去に発生した操作に基づいて記録された操作の特徴情報である。特徴情報データ21のうち、発生条件を表す情報の種類と、発生条件を表す情報の値と、特徴を現す操作情報の属性が、現在の業務システム60に対する操作と、規定の一致条件で比較した際に一致する操作特徴群である。規定の一致条件とは、後述のステップS1042,S1043において定められる、過去の操作の特徴情報が現在の操作情報と類似するか否かを判定する一致条件であり、初期値は完全一致である。
過去の操作の特徴情報のうち、発生条件を表す情報の種類(条件)と、発生条件を表す情報の値(条件値)と、特徴を現す操作情報の属性(特徴属性)が一致し、特徴を現す操作情報の属性の値と発生回数が異なる特徴情報の組を、特徴セットと呼ぶ。
例えば、特徴情報テーブルT2101には文書共有システム60における過去の操作の特徴情報の一部が示されているが、この中には条件と条件値と特徴属性がそれぞれ完全一致する特徴情報の組である5つの特徴セット、すなわち、ユーザAの操作情報という条件下における過去の操作を表す特徴セットTs01(特徴ID 0001, 0002, 0003, 0004, 0005)、ユーザAの操作情報という条件下における過去の操作対象データを表す特徴セットTs02(特徴ID 0006, 0007, 0008, 0009)、ユーザAが操作Openを実施したという条件下における過去の操作対象データを表す特徴セットTs03(特徴ID 0010, 0011, 0012)、ユーザAが操作Saveを実施したという条件下における過去の操作対象データを表す特徴セットTs04(特徴ID 0013, 0014, 0015)、ユーザAが操作AddTextを実施したという条件下における過去の操作対象データを表す特徴セットTs05(特徴ID 0016)が示されている。
もし、現在の操作が操作情報テーブルT2002の#3に示されるSave操作であった場合、これに基づく類似の操作の特徴情報として、特徴情報テーブルT2101から前述の特徴セットTs01、Ts02、Ts04が選択される。なお、特徴セットの内容やその組み合わせは、後述のステップS1041、S1043における緩和ルールの適用段階に応じて変化する。
次に、ステップS1030において、危険判定プログラム32が、現在の操作情報と、類似する過去の操作の特徴情報との一致判定を行う。類似する過去の操作の特徴情報における特徴セット毎に、現在の操作と同じ操作が1回以上発生していた場合のみ一致とみなしステップS1051へ遷移する。
もし、現在の操作が操作情報テーブルT2002の#3に示されるSave操作であった場合には、これに基づく類似の操作の特徴情報として取得した前述の特徴セットTs01、Ts02、Ts04のうち、特徴セットTs01は特徴ID 0004で識別される特徴と、特徴セットTs02は特徴ID 0007で識別される特徴と、それぞれ現在の操作情報(TS2002の操作又は対象データ)と特徴値(T2101の特徴値)が一致するが、特徴セットTs04については、現在の操作情報と特徴セットTs04に含まれる過去の操作の特徴情報、すなわち特徴情報テーブルT2101の特徴ID 0013, 0014, 0015で識別される3つの特徴いずれとも一致しないため、不一致とみなしステップS1041へ遷移する。
ステップS1041において、危険判定プログラム32が、ステップS1030において不一致とみなした特徴セットについて、一致条件を緩和できるか否かを判定する。危険判定プログラム32は、緩和ルール定義31にあらかじめ入力された、特徴を現す操作情報の属性に応じて、その値の一致条件を多段階で緩和するルールを持つ。
例えば、操作セット内で共通する特徴を現す操作情報の属性が操作対象データである場合は、操作対象データの識別子が完全一致する段階から始まり、操作対象データの種類と格納場所が一致する段階、操作対象データの格納場所が一致する段階、操作対象データの格納場所の共通ルートへの距離が一定以内の段階、データの種類や属性が一致する段階、といった順に一致条件を緩和するルールを定めておく。
特徴を現す操作情報の属性に応じた緩和ルールに従い、ステップS1030において不一致とみなした特徴セットに含まれる特徴を現す操作情報の属性毎に判定を行い、一致条件を緩和する段階が残っている場合はステップS1042へ遷移する。ステップS1030で不一致とみなした特徴セットに含まれる特徴を現す操作情報の属性のうち、これ以上一致条件を緩和できない操作情報の属性については、ステップS1043へ遷移する。
ステップS1042では、ステップS1030で不一致とみなした特徴セットに含まれる特徴を現す操作情報の属性について、対応する緩和ルールに従って一致条件を一段階緩和し、その段階を記録して、ステップS1020へ遷移する。もし、現在の操作が操作情報テーブルT2002の#3に示されるSave操作であった場合には、前述の特徴セットTs04が不一致である。特徴セットTs04に共通する特徴の属性は操作対象データであることから、操作対象データに関する一致条件を1段階緩和し、共通のパスに存在する共通の種類のデータを示す特徴値を一致とみなすものとする。一段階緩和された一致条件を適用した場合、特徴ID 0014, 0015で識別される2つの特徴は同じものとみなされ、発生回数が合計された上で1つの特徴とみなし、特徴セットTs04は2つの特徴からなる集合として扱う。
その上で、ステップS1020へ戻り、危険判定プログラム32が、一段階緩和された一致条件に基づいて類似する過去の操作の特徴情報を特徴情報データ21から取得し、ステップS1030で一致判定を行う。ステップS1030では、現在の操作における操作対象データと共通のパスに存在する共通の種類のデータを示す特徴値を持つ特徴が、前述の特徴セットTs04に含まれるため、現在の操作情報が特徴ID 0013の特徴と一致するとみなされる。この一致条件下では、特徴セットTs01、Tso2、Ts04はいずれも一致と見なされるため、ステップS1050へ遷移する。
ステップS1043では、危険判定プログラム32が、ステップS1041において一致条件を緩和できないと見なした不一致特徴セットについて、ステップS1020において類似操作とみなす特徴情報の探索範囲を拡張できるかを判定する。
危険判定プログラム32は、緩和ルール定義31にあらかじめ入力された、類似操作とみなす特徴情報の範囲を多段階で拡張するルールを持つ。類似操作とみなす特徴情報の探索範囲は、まず、対象となるユーザアカウントが一致する範囲、すなわち、同一のユーザアカウントを用いて過去に行った操作から生成された操作の特徴情報から始まり、対象となるユーザアカウントで識別されるユーザと同じ業務を行う他のユーザを表すユーザアカウントを含むユーザアカウントグループ、このユーザと同じ組織上の部署に属する他のユーザを表すユーザアカウントを含むユーザアカウントグループ、このユーザと同じ組織に属する他のユーザを表すユーザアカウントを含むユーザアカウントグループ、といった順に、探索範囲を段階的に拡張するルールを定め、緩和ルール定義31に入力しておく。
このルールに従い、ステップS1030において不一致とみなした特徴セット毎に判定を行い、更に探索範囲を拡張する段階が残っている場合はステップS1044へ遷移し、すでに拡張する段階が残っていない場合、すなわち一致条件と探索範囲を最大限緩めた場合でも一致する過去の操作特徴が存在しなかった場合はステップS1051へ遷移する。
ステップS1044ではステップS1030において不一致とみなした特徴セットについて探索範囲を一段階拡張し、その段階を記録する。同時に一致条件の緩和段階を初期段階すなわち完全一致に戻し、ステップS1020へ遷移する。
ステップS1051では、危険判定プログラム32が、ステップS1030で判定に用いられた特徴セットの一致条件および探索範囲の緩和量に基づき、危険度を判定する。このとき、一致条件の緩和量が大きいほど、ユーザの過去の操作、すなわち通常の業務タスク実施時の利用傾向から乖離しているとみなし、危険度を高く判定する。
一致条件や探索範囲を緩和することなく全ての類似の特徴セットが現在の操作情報に一致する特徴を含んでいる場合は、ユーザの過去の操作と一致したとみなし、危険度はなしと判定する。
一致条件のみを緩和することで全ての類似の特徴セットが現在の操作情報に一致する特徴を含んでいると判定できる場合は、ユーザの過去の操作と類似したとみなし、危険度は低いと判定し、一致条件の緩和量に応じて危険度が高くなるように順位付けを行う。
探索範囲のみを緩和することで全ての類似の特徴セットが現在の操作情報に一致する特徴を含んでいると判定できる場合は、他のユーザの操作と一致したとみなし、危険度は中程度と判定し、探索範囲の緩和量に応じて危険度が高くなるように順位付けを行う。
一致条件と探索範囲の両方を緩和することで全ての類似の特徴セットが現在の操作情報に一致する特徴を含んでいると判定できる場合は、他のユーザの過去の操作と類似したとみなし、危険度は高いと判定し、一致条件の緩和量に応じて危険度が高くなるように順位付けを行う。
一致条件と探索範囲の両方を最大限緩和しても全ての類似の特徴セットが現在の操作情報に一致する特徴を含んでいると判定できない場合は、これまでユーザの組織で行われたどの過去の業務上の操作と類似しないとみなし、危険度は最高と判定する。 図8に、一致条件及び探索範囲に応じた危険度の設定値の例を示す。危険度は、0〜100の間で設定されており、レベル0は、類似判定の条件(一致条件及び探索範囲)を全く緩和していない段階を、レベル2は最大限緩和した段階を示す。危険判定プログラム32は、この設定値に基づき危険度を決定する。例えば、一致条件を緩和せずに探索範囲を一段階緩和した段階で一致する特徴が特定できた場合は、一致条件がレベル0、探索範囲がレベル1なので、危険度は20に設定される。なお、一致条件及び探索範囲を最大限緩和しても一致する特徴が特定できなかった場合、すなわちT2501のレベル2の段階でも一致する特徴が特定できなかった場合は、危険度は最大値である100が設定される。
上記の手順で危険度判定プログラムが現在の操作と過去の操作の特徴を比較することで、第三者による本来のユーザとは異なる操作や、悪意あるユーザによる通常業務とは異なる操作を検知することができる。
ステップS1052では、危険判定プログラム32が、ステップS1051における判定の精度を算出する。たとえ本人の過去の類似の特徴情報と一致しなくても、特徴セット内の合計発生回数が少ない、すなわち過去の操作の特徴情報が蓄積されていない条件下における不一致である場合は、精度を低く見積もる。一方、十分に特徴情報が蓄積されている場合、特徴セットにおける特徴情報の数が少ないほど、その条件下では決まった操作を行う可能性が高いとみなされるため、判定精度を高く見積もる。これにより、監視装置50がアカウント悪用の誤検出によって業務影響の大きい対策を選定してしまう可能性を抑止し、かつアカウント悪用の可能性が高い状況が発生した際にはより強力な対策を選定できるようにする。
もし、ステップS1042で一致条件を緩めた場合は、完全一致しなかった特徴セットに含まれる特徴の合計出現回数が少ないほど精度を低く見積もり、かつ完全一致しなかった特徴セットに含まれる特徴の数が多いほど精度を低く見積もる。ステップS1044で探索範囲を拡張した場合は、その特徴セットの中で現在の業務システム60に対する操作情報と一致した特徴について、拡張した探索範囲に含まれるユーザアカウントのうちその特徴に合致するユーザの割合が少ないほど精度を低く見積もる。加えて、危険度が最高と判定された場合、すなわち合致する特徴が見つからなかった場合は、拡張した範囲内の全特徴セットのうち抽出された特徴セットの割合が小さい、すなわち発生頻度が小さい条件下であるほど精度を低く見積もる。
次にステップS1061で、対策選定プログラム42が、ステップS1051、S1052において判定された危険度とその判定精度の値に基づき、対策が必要か否かを判定する。現在の業務システム60に対する操作の危険度がない、あるいは危険度が所定の閾値より低い場合、または現在の業務システム60に対する一連の操作それぞれの危険度の累積値が所定の閾値より小さい場合は、対策の必要なしとみなしステップS1060を終了する。
対策が必要な場合はステップS1062に遷移し、対策選定プログラム42が、対策リスト41にあらかじめ登録されている対策のうち、操作情報データ11から取得した担当業務者の現在の操作情報に基づいて、実施可能な対策を抽出する。
対策リスト41にあらかじめ登録されている対策の例を図5に示す。対策は、識別子(PlID)と識別名(対策)、実施した場合の業務影響の大きさ(業務影響)と、アカウント悪用に対する防止力の大きさ(データ盗難防止、データ破壊防止)と、対策を実施するための条件(適用可能条件)、および実施方法(省略)の情報を持つ。
まず、対策選定プログラム42は、対策リスト41にあらかじめ登録されている対策のうち、適用可能条件がユーザの現在の操作情報に合致しない対策を除外したものを、対策候補として抽出する。次に、危険度とその判定精度の値に基づきセキュリティレベルを決定し、そのセキュリティレベルに応じた対策を特定する。具体的には、危険度、判定精度、及び業務影響が1〜100の段階で設定されている場合、業務影響の値が、危険度及び判定精度の値よりも小さいものを抽出する。次に、抽出した対策のなかから、データ盗難防止またはデータ破壊防止の値のいずれかが最も大きいものを特定する。例えば、危険度が20、判定精度が80の場合、業務影響が20以下のPIID「1〜7」の対策がまず抽出される。抽出された対策のなかでは、データ破壊防止の値が100が最大値なので、PIID「6」の対策が最も有効な対策として選定される。
ステップS1063において、対策選定プログラム42は、その対策の実施方法に基づき、その対策の実施に必要なデータを現在の操作情報や危険度やその判定精度などから作成し、業務システム60に通達する。文書共有システム60は、受け取った通達に応じて該当ユーザのアクセス端末に警告文を表示する、該当ユーザのセッションを一時凍結し再認証を求めるなどの処置を施す。
ステップS1070においては、現在の操作がログアウトであるか、すなわちユーザが業務システム60の利用を終了する操作を行ったかを判定する。ログアウト操作でない場合は、引き続き監視を継続し、ユーザが業務システム60上での操作を行うたびに、ステップS1000からの処理を実施する。ログアウト操作を検出した場合は、ステップS1080へ遷移する。もし業務システム60に明確なログアウト操作がない場合は、ログインセッションの期限切れなど、ユーザが業務システム60に対する再認証が必要になったことを検出し、ステップS1080へ遷移する。
ステップS1080では、特徴抽出プログラム22が、ユーザが業務システム60にログインしてからログアウトするまでの一連の操作情報を操作情報データ11から取得し、これに基づいて特徴情報21に記録している過去の操作の特徴テーブルT2101を更新する。特徴抽出プログラム22は、操作情報データ11から取得した一連の操作情報のうち、操作情報テーブルT2002のそれぞれのレコードに対して、同じ条件下で発生した同じ操作を表す過去の操作の特徴テーブルT2101上の特徴レコードに対して、それぞれの発生回数を加算する。同じ条件下で発生した同じ操作を表す特徴レコードが過去の操作の特徴テーブルT2101に存在しない場合は、新たな特徴レコードを追加し発生回数を1とする。
特徴抽出プログラム22は、操作1件あたり最少3つの操作の特徴情報を更新する。これは、操作情報のユーザを前提条件とした操作の種類、同捜査対象データ、およびその組み合わせとしてユーザによる操作を前提条件とした操作対象データである。
最後に、操作情報データ11からログアウトしたユーザの操作情報を消去し、ユーザの監視を終了する。
実施例2では、業務システム60とアクセス端末70がネットワーク80を介さず直接接続している、または同じ装置の中に存在する業務システムの構成例を説明する。この場合、ユーザは直接アクセス端末上で稼動する業務システムを操作する。
ユーザが直接アクセス端末70上で稼動する業務システム60を操作する場合は、モニタリングプログラム12をアクセス端末70上で稼動させ、アクセス端末70と監視装置50がネットワーク80を介して接続されており、監視装置50がアクセス端末70上の業務システム60の操作を受信する。
このようなシステム構成をとる例として、ユーザが担当する業務や所属するプロジェクトの情報を管理する業務プロジェクト管理システムと、監視装置50の通信インターフェース55とを接続し、監視装置50が業務プロジェクト管理システム内の情報を受信することで緩和ルール定義31に記載される緩和ルールを動的に書き換える形態が考えられる。この形態は、ユーザとユーザの実施する業務タスクが頻繁に変更される業務システムに対して有効である。
例えば、前記文書共有システム60について、担当する業務や所属するプロジェクトによって操作対象とするデータが変わることが考えられるが、操作情報のうち操作の種類が少なく、ある共通の業務タスクを実施する際の操作列にはユーザ毎の差異が表れにくいという性質がある。
このとき、緩和ルールをあらかじめ緩和ルール定義31に記述しておく代わりに、ユーザが現在実施している業務タスクと同じ業務を実施している他のユーザや同じプロジェクトに属するユーザアカウントなどを読み出すことによって、ユーザが現在実施している業務タスクに即した緩和ルールを生成することで、ユーザの操作が現在の業務に即しているかどうかをより正確に判定することができる。
ユーザの操作が同じ業務タスクを実施している他のユーザの操作の特徴と一致する場合は危険度が低いと見なすことにより、過去の操作の特徴情報が存在しない初めて文書共有システム60を利用するユーザアカウントや、類似の過去の操作の特徴情報が存在しない業務タスクを初めて実施するユーザに対しても、アカウントの悪用の可能性を誤検出する可能性を下げることができる。
上記の例と異なり、操作情報のうち操作の種類が多く、ある共通の業務タスクを実施する際の操作列にユーザ毎の差異が表れやすいという性質の業務システムも考えられる。一例として、設計業務に用いるCADやシミュレータ等の設計業務用アプリケーションや、そのアプリケーションの稼働環境を提供する設計支援システム60を考える。
設計支援システム60を利用する複数のユーザが、同じアプリケーションを用いて同じデータを同じように加工する業務タスクを実施した場合、これを実現できる操作列は複数存在し、いずれを実施するかはユーザに委ねられる。ユーザは、個人の知識や経験の差による効率の違いや習慣や馴染みの有無など様々な観点で任意の操作列を選択し、業務を遂行する。このとき、本発明におけるモニタリングプログラム12は、提供されるアプリケーションやその稼働環境それぞれの操作情報を取得する。監視装置50は複数のモニタリングプログラム12が取得する操作情報を統合してユーザの操作情報として扱うことができる。
更に、類似操作とみなす特徴情報の探索範囲を拡張できない業務システムに対する、特徴情報の追加が考えられる。一例として、設計支援システム60を外部の業務組織に提供し、それぞれ業務組織毎に異なるアクセス端末70からネットワーク80を介してそれぞれ業務組織毎に異なるユーザアカウントで利用するパブリッククラウド形態の設計支援サービス60がある。
この設計支援サービス60は、利用方法やアクセス制御ルールの決定を利用する業務組織すなわちユーザが決定し、異なるユーザアカウントが同じデータに対して操作することがなく、異なるユーザは異なる過去の操作の特徴を持つという性質がある。この設計支援サービス60のような性質を持つ業務システム60に本発明を適用する場合、ユーザの操作を他のユーザの操作の特徴情報と比較することは適切でないため、ステップS1044を省略する。
しかし、危険度の判定粒度が大きくなってしまうため、代わりに過去の操作の特徴情報の種類を増やすなどの工夫により、一致条件の緩和ルール定義31における緩和段階を増やすことで判定粒度を小さくすることができる。
例えば、ユーザのログアウト時に過去の特徴データを更新するとき、該当ユーザの操作情報が図6の操作情報テーブルT2301に示されるものであり、T2301の#3に示されるSave操作から特徴を抽出する場合、過去の操作の特徴テーブルT2101のうち更新される特徴レコードを図6の過去の操作の特徴テーブルT2302に表す。
まず前述の最少3つの特徴に該当する特徴ID 1001, 1002, 1003の特徴にそれぞれ回数が1回ずつ加算される。最少の3つの特徴に加えて、追加の操作の属性を定義することで、特徴を追加することができる。たとえば特徴ID 1004は、ある操作の前に行われた操作を特徴として記録することで、最少の3つの特徴と同様に特徴セット毎の比較で危険度と精度を判定する
同様に、特徴の属性として、複写されたデータ間の関係や、共起する操作の関係や、操作の発生時間帯や、接続元IPの種類などを追加することができる。更に、特徴の属性を発生条件として組み合わせることで、新たな特徴パターンを生成するこができる。例えば、特定の種類のデータに対するSave操作が行われた際に共起する操作を特徴として記録することにより、あるユーザがSave操作の前に必ずCheck操作を行うといった習慣を反映した危険度判定を行い、前記の週間に外れる操作を検出することができる。
同様に、特徴の属性として、複写されたデータ間の関係や、共起する操作の関係や、操作の発生時間帯や、接続元IPの種類などを追加することができる。更に、特徴の属性を発生条件として組み合わせることで、新たな特徴パターンを生成するこができる。例えば、特定の種類のデータに対するSave操作が行われた際に共起する操作を特徴として記録することにより、あるユーザがSave操作の前に必ずCheck操作を行うといった習慣を反映した危険度判定を行い、前記の週間に外れる操作を検出することができる。
一方で、特徴ID 1006,1007は前の操作との間隔の平均と分散を記録している。第三者が正規のユーザになりすまして設計支援サービスにログインし、ユーザが設計支援システム上に格納したデータを流出させるため各データに順にアクセスするとき、その操作の前の操作との間隔は過去の操作よりも短くなり、このセッションにおける過去の操作特徴における前の操作との間隔は、前の操作との間隔の平均と分散から算出される分布から外れた異常値となると考えられる。そこで、前の操作との間隔について、特徴セット単位による比較ではなく、平均と分散の組を用いて外れ値の判定を行うことで、現在の操作情報から算出できる前の操作との間隔が過去の操作における特徴から外れている度合いによって危険度を判定する。
例えば、前の操作との間隔を特徴属性とし、ステップS1030で前の操作との間隔の平均と分散の組である特徴セットと現在の操作情報を比較する時、この一致条件の初期値は平均から標準偏差σ以下の距離にあれば一致するとし、不一致の場合にはステップS1041において一致とみなす距離を2σ、3σと段階的に緩和する一致条件の緩和ルールを定義することにより、前の操作との間隔の異常値とその異常の大きさから、成りすましの危険度を判定することができる。
また、判定の精度は、過去の操作の特徴情報で記録されている回数のほかに、標準偏差の大きさすなわち過去の操作における前の操作との間隔の分布のばらつきが大きいほど精度を低く見積もる。
同様の形式で、同時にアクセスするデータの数や、ログインからログアウトまでの滞在時間、認証失敗の頻度などを、平均と分散によって特徴情報として記録することができる。このような特徴属性の一致条件の緩和ルールは、標準偏差を用いるほかにパーセンタイルなど一般的な異常値評価手法を適用した異常値判定の閾値を段階的に緩和するものとなる。
更に、例えばアクセス制御上許可されないデータに対する操作の発生間隔の平均と分散を特徴とし、アクセス制限違反の頻発をアカウント悪用の危険性として検出するなど、他の特徴の属性を発生条件として組み合わせた特徴を抽出することもできる。
更に、例えばアクセス制御上許可されないデータに対する操作の発生間隔の平均と分散を特徴とし、アクセス制限違反の頻発をアカウント悪用の危険性として検出するなど、他の特徴の属性を発生条件として組み合わせた特徴を抽出することもできる。
前述した2種類の記録方法により、特徴の属性を増やし、抽出する特徴情報の種類を増やすことができる。この実施形態は、類似操作とみなす特徴情報の探索範囲を拡張できない業務システムに限らず、利用者の規模が大きい業務システム60や、データ流出のリスクが大きくアカウント悪用のリスクが高い業務システム60など、危険度の判定の感度を向上させたい場合にも適用できる。
以上のように、本発明に係る監視装置50は、対象とする業務システムの性質や利用形態などの要因により、異なる実施形態で適用することができる。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。
また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
50 監視装置
11 操作情報データ
12 モニタリングプログラム
21 特徴情報データ
22 特徴抽出プログラム22
31 緩和ルール定義
32 危険判定プログラム
41 対策リスト
42 対策選定プログラム
51 外部入出力インターフェース
52 記憶装置
53 CPU
54 メモリ
55 通信インターフェース
60 業務システム
70 アクセス端末
80 ネットワーク
11 操作情報データ
12 モニタリングプログラム
21 特徴情報データ
22 特徴抽出プログラム22
31 緩和ルール定義
32 危険判定プログラム
41 対策リスト
42 対策選定プログラム
51 外部入出力インターフェース
52 記憶装置
53 CPU
54 メモリ
55 通信インターフェース
60 業務システム
70 アクセス端末
80 ネットワーク
Claims (11)
- 業務システムに接続された監視装置であって、
前記監視装置は、
前記業務システムにログインしたアカウントで特定されるユーザが操作した内容を示す操作情報が格納された操作履歴テーブルを有し、
前記業務システムより、新たにログインしたアカウントで特定されるユーザの操作情報を受信すると、受信した前記操作情報と前記操作履歴テーブルに格納された操作情報とで類似するものがあるかを判定し、
類似するものがないと判定した場合、類似判定の基準を段階的に緩和して類似するものがあるかを判定し、前記基準を緩和することで類似するものがあると判定した場合、その判定の際の基準の緩和の段階に応じたセキュリティレベルを特定し、特定した前記セキュリティレベルに応じた指示を前記業務システムに対して送信することを特徴とする監視装置。 - 請求項1に記載された監視装置であって、
前記操作情報は、複数のデータ項目を含み、
前記監視装置は、
受信した前記操作情報に含まれる複数のデータ項目と、前記操作履歴テーブルに格納された操作情報に含まれる複数のデータ項目とが完全一致するか否かに応じて、前記類似判定を行い、
類似するものがないと判定した場合、前記複数のデータ項目の一致する個数の割合を下げることにより、前記類似判定の基準を緩和することを特徴とする監視装置。 - 請求項1に記載された監視装置であって、
前記操作情報は、操作したユーザを特定する情報を含み、
前記監視装置は、
前記操作履歴テーブルに格納された操作情報から、受信した前記操作情報のユーザの操作情報を抽出し、抽出したもののなかで類似するものがあるかを判定し、
類似するものがないと判定した場合、前記類似判定の対象範囲を、前記操作情報のユーザ以外のユーザの操作情報まで拡大することにより、前記類似判定の基準を緩和することを特徴とする監視装置。 - 請求項2に記載された監視装置であって、
前記複数のデータ項目には、操作しているユーザの識別子、操作対象のファイル名、ファイルに対する操作内容を特定する情報が含まれることを特徴とする監視装置。 - 請求項2に記載された監視装置であって、
前記監視装置は、
前記類似判定の基準を緩和することで類似するものがあると判定した場合、類似すると判定された操作情報で特定されるユーザの数に応じて、前記類似判定の精度を設定し、前記基準の緩和の段階と前記精度に応じて前記セキュリティレベルを決定することを特徴とする監視装置。 - 請求項3に記載された監視装置であって、
前記操作履歴テーブルには、前記操作情報毎に、その操作がされた回数を示す情報が格納されており、
前記監視装置は、
前記類似判定の基準を緩和することで類似するものがあると判定した場合、抽出された前記ユーザの操作情報の回数の合計値に応じて、前記類似判定の精度を設定し、前記基準の緩和の段階と前記精度に応じて前記セキュリティレベルを決定することを特徴とする監視装置。 - 業務システムに接続された監視装置の制御方法であって、
前記監視装置は、
前記業務システムにログインしたアカウントで特定されるユーザが操作した内容を示す操作情報が格納された操作履歴テーブルを有し、
前記業務システムより、新たにログインしたアカウントで特定されるユーザの操作情報を受信すると、受信した前記操作情報と前記操作履歴テーブルに格納された操作情報とで類似するものがあるかを判定し、
類似するものがないと判定した場合、類似判定の基準を段階的に緩和して類似するものがあるかを判定し、前記基準を緩和することで類似するものがあると判定した場合、その判定の際の基準の緩和の段階に応じたセキュリティレベルを特定し、特定した前記セキュリティレベルに応じた指示を前記業務システムに対して送信することを特徴とする監視装置の制御方法。 - 請求項7に記載された監視装置の制御方法であって、
前記操作情報は、複数のデータ項目を含み、
前記監視装置は、
受信した前記操作情報に含まれる複数のデータ項目と、前記操作履歴テーブルに格納された操作情報に含まれる複数のデータ項目とが完全一致するか否かに応じて、前記類似判定を行い、
類似するものがないと判定した場合、前記複数のデータ項目の一致する個数の割合を下げることにより、前記類似判定の基準を緩和することを特徴とする監視装置の制御方法。 - 請求項7に記載された監視装置の制御方法であって、
前記操作情報は、操作したユーザを特定する情報を含み、
前記監視装置は、
前記操作履歴テーブルに格納された操作情報から、受信した前記操作情報のユーザの操作情報を抽出し、抽出したもののなかで類似するものがあるかを判定し、
類似するものがないと判定した場合、前記類似判定の対象範囲を、前記操作情報のユーザ以外のユーザの操作情報まで拡大することにより、前記類似判定の基準を緩和することを特徴とする監視装置の制御方法。 - 請求項8に記載された監視装置の制御方法であって、
前記監視装置は、
前記類似判定の基準を緩和することで類似するものがあると判定した場合、類似すると判定された操作情報で特定されるユーザの数に応じて、前記類似判定の精度を設定し、前記基準の緩和の段階と前記精度に応じて前記セキュリティレベルを決定することを特徴とする監視装置の制御方法。 - 請求項9に記載された監視装置であって、
前記操作履歴テーブルには、前記操作情報毎に、その操作がされた回数を示す情報が格納されており、
前記監視装置は、
前記類似判定の基準を緩和することで類似するものがあると判定した場合、抽出された前記ユーザの操作情報の回数の合計値に応じて、前記類似判定の精度を設定し、前記基準の緩和の段階と前記精度に応じて前記セキュリティレベルを決定することを特徴とする監視装置の制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014015040A JP6208029B2 (ja) | 2014-01-30 | 2014-01-30 | 業務システムの監視装置及び監視装置の制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014015040A JP6208029B2 (ja) | 2014-01-30 | 2014-01-30 | 業務システムの監視装置及び監視装置の制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015141643A JP2015141643A (ja) | 2015-08-03 |
| JP6208029B2 true JP6208029B2 (ja) | 2017-10-04 |
Family
ID=53771926
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014015040A Active JP6208029B2 (ja) | 2014-01-30 | 2014-01-30 | 業務システムの監視装置及び監視装置の制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6208029B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9767291B2 (en) * | 2015-10-06 | 2017-09-19 | Netflix, Inc. | Systems and methods for security and risk assessment and testing of applications |
| CN110866291B (zh) * | 2019-11-15 | 2023-03-24 | 北京工业大学 | 一种基于双重安全机制的废旧电子产品信息清除方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6370648B1 (en) * | 1998-12-08 | 2002-04-09 | Visa International Service Association | Computer network intrusion detection |
| JP2003150550A (ja) * | 2001-11-14 | 2003-05-23 | Toshiba Corp | 情報処理システム |
| JP2008181231A (ja) * | 2007-01-23 | 2008-08-07 | Hitachi Ltd | コンピュータ成りすまし使用防止システム、コンピュータ成りすまし使用防止方法、およびコンピュータ成りすまし使用防止プログラム |
| JP2010108469A (ja) * | 2008-10-01 | 2010-05-13 | Sky Co Ltd | 操作監視システム及び操作監視プログラム |
| US8356001B2 (en) * | 2009-05-19 | 2013-01-15 | Xybersecure, Inc. | Systems and methods for application-level security |
-
2014
- 2014-01-30 JP JP2014015040A patent/JP6208029B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015141643A (ja) | 2015-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11277414B2 (en) | Trust relationships in a computerized system | |
| US20230362165A1 (en) | Identifying accounts having shared credentials | |
| US9825956B2 (en) | Systems and methods for access permission revocation and reinstatement | |
| EP3067815B1 (en) | Access relationships in a computer system | |
| US9916442B2 (en) | Real-time recording and monitoring of mobile applications | |
| EP2933973A1 (en) | Data protection method, apparatus and system | |
| US10073980B1 (en) | System for assuring security of sensitive data on a host | |
| JP6039826B2 (ja) | 不正アクセスの検知方法および検知システム | |
| JPWO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| WO2015039562A1 (zh) | 账号信息处理方法及装置 | |
| US10282239B2 (en) | Monitoring method | |
| JP6208029B2 (ja) | 業務システムの監視装置及び監視装置の制御方法 | |
| KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
| Vecchiato et al. | A security configuration assessment for android devices | |
| EP4254865A1 (en) | Method, product, and system for network security management using software representation that embodies network configuration and policy data | |
| CN115085956A (zh) | 入侵检测方法、装置、电子设备及存储介质 | |
| CN105809074B (zh) | 一种usb数据传输控制方法、装置、控制组件及系统 | |
| US20230319100A1 (en) | Method, product, and system for analyzing attack paths in computer network generated using a software representation that embodies network configuration and policy data for security management | |
| US20230319068A1 (en) | Method, product, and system for analyzing a computer network to identify attack paths using a software representation that embodies network configuration and policy data for security management | |
| US20230318845A1 (en) | Method, product, and system for generating detection signatures based on attack paths in a computer network identified using a software representation that embodies network configuration and policy data for security management using detection signature templates | |
| US20230319067A1 (en) | Method, product, and system for network security management using software representation that embodies network configuration and policy data | |
| US20230319050A1 (en) | Method, product, and system for generating a software representation that embodies network configuration and policy data of a computer network for use in security management | |
| EP3825884A1 (en) | Computer-implemented method of determining system access operation risk on a mobile device | |
| JP2016045749A (ja) | 不整合検出装置及び不整合検出方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160913 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170110 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170112 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170712 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170808 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170906 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6208029 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |