JP6247749B2 - 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム - Google Patents
情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム Download PDFInfo
- Publication number
- JP6247749B2 JP6247749B2 JP2016513817A JP2016513817A JP6247749B2 JP 6247749 B2 JP6247749 B2 JP 6247749B2 JP 2016513817 A JP2016513817 A JP 2016513817A JP 2016513817 A JP2016513817 A JP 2016513817A JP 6247749 B2 JP6247749 B2 JP 6247749B2
- Authority
- JP
- Japan
- Prior art keywords
- information leakage
- unit
- information
- user
- series
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
図1〜図2に基づいて、本発明の実施の形態を説明する。
図1は、サーバ100の要部構成を示すブロック図である。サーバ(情報漏洩検知装置)100は、コンピュータの使用に関するユーザのビヘイビアを、記憶部30に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知装置である。図1に示されるように、サーバ100は、制御部10(取得部11、抽出部12、判定部13、報知部14、出力部15)、表示部50、記憶部30、および、通信部20(受信部21、送信部22)、を備えている。
図2は、サーバ100が実行する処理の一例を示すフローチャートである。なお、以下の説明において、カッコ書きの「〜ステップ」は、情報漏洩検知方法に含まれる各ステップを表す。
サーバ100は、ユーザのダイナミクス変化(例えば、機密情報にアクセスする回数が増加したことなど)の有無に焦点を当て、事前に情報漏洩のリスクを察知することができる。すなわち、サーバ100は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができるという効果を奏する。
サーバ100の制御ブロック(特に、制御部10)は、集積回路(ICチップ)等に形成された論理回路(ハードウェア)によって実現してもよいし、CPU(Central Processing Unit)を用いてソフトウェアによって実現してもよい。後者の場合、サーバ100は、各機能を実現するソフトウェアであるプログラム(情報漏洩検知プログラム)の命令を実行するCPU、上記プログラムおよび各種データがコンピュータ(またはCPU)で読み取り可能に記録されたROM(Read Only Memory)または記憶装置(これらを「記録媒体」と称する)、上記プログラムを展開するRAM(Random Access Memory)などを備えている。そして、コンピュータ(またはCPU)が上記プログラムを上記記録媒体から読み取って実行することにより、本発明の目的が達成される。上記記録媒体としては、「一時的でない有形の媒体」、例えば、テープ、ディスク、カード、半導体メモリ、プログラマブルな論理回路などを用いることができる。また、上記プログラムは、当該プログラムを伝送可能な任意の伝送媒体(通信ネットワークや放送波等)を介して上記コンピュータに供給されてもよい。本発明は、上記プログラムが電子的な伝送によって具現化された、搬送波に埋め込まれたデータ信号の形態でも実現され得る。
上記実施の形態1では、ユーザのビヘイビアに基づいて機密情報が漏洩する危険性を検知する例を示したが、本実施の形態2においては、その確度を向上させる手法を開示する。すなわち、ユーザのビヘイビアに加えて、当該ユーザの送信メールの内容を解析することで、機密情報の漏洩の危険性を検知する。なお、本実施の形態2においては、実施の形態1と共通する内容については説明を割愛し、異なる点を中心に説明する。
以上が、実施の形態2に係るサーバ300の構成である。
本発明は上述したそれぞれの実施の形態に限定されるものではなく、請求項に示した範囲で種々の変更が可能であり、異なる実施の形態にそれぞれ開示された技術的手段を適宜組み合わせて得られる実施の形態についても、本発明の技術的範囲に含まれる。さらに、各実施の形態にそれぞれ開示された技術的手段を組み合わせることにより、新しい技術的特徴を形成できる。
Claims (13)
- コンピュータの使用に関するユーザのビヘイビアを逐次格納する記憶部と、
前記記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する抽出部と、
前記抽出部によって抽出された差異が機密情報の漏洩に関する所定の基準に達した場合に、前記所定の基準に達した前記差異に対応するビヘイビアを行ったユーザを暫定情報漏洩危険ユーザと判定する判定部と、
前記判定部が前記暫定情報漏洩危険ユーザを判定した場合に、前記暫定情報漏洩危険ユーザが送受信した電子メールを取得する取得部と、を備える情報漏洩検知装置であって、
前記記憶部は情報漏洩の危険性がある形態素とその形態素に対応する重み値とをさらに格納しており、
前記情報漏洩検知装置は、
前記電子メールから抽出した抽出形態素と、前記記憶部に格納されている形態素および前記重み値とに基づいて、当該電子メールが情報漏洩に関するものであるか否かを示すスコアを算出する分類部を備え、
前記判定部は、前記分類部によって算出された前記スコアが所定のしきい値を超えた場合に前記暫定情報漏洩危険ユーザを情報漏洩危険ユーザと判定する情報漏洩検知装置。 - 前記抽出部は、機密情報にアクセスする時間帯の変化を、前記第1系列と第2系列との差異として抽出し、
前記判定部は、前記抽出部によって抽出された時間帯の変化が、所定の時間幅を超過しているか否かを、前記所定の基準の1つとして用いる請求項1に記載の情報漏洩検知装置。 - 前記抽出部は、前記機密情報にアクセスする回数の変化を、前記第1系列と第2系列との差異として抽出し、
前記判定部は、前記抽出部によって抽出された回数の変化が、第1のしきい値を超過しているか否かを、前記所定の基準の1つとして用いる請求項1または2に記載の情報漏洩検知装置。 - 前記抽出部は、前記機密情報にアクセスする頻度の変化を、前記第1系列と第2系列との差異として抽出し、
前記判定部は、前記抽出部によって抽出された頻度の変化が、第2のしきい値を超過しているか否かを、前記所定の基準の1つとして用いる請求項1から3のいずれか1項に記載の情報漏洩検知装置。 - 前記抽出部は、アクセスする前記機密情報の種類の変化を、前記第1系列と第2系列との差異として抽出し、
前記判定部は、前記抽出部によって抽出された種類の変化が、第3のしきい値を超過しているか否かを、前記所定の基準の1つとして用いる請求項1から4のいずれか1項に記載の情報漏洩検知装置。 - 前記抽出部は、前記機密情報を移動させた回数の変化を、前記第1系列と第2系列との差異として抽出し、
前記判定部は、前記抽出部によって抽出された回数の変化が、第4のしきい値を超過しているか否かを、前記所定の基準の1つとして用いる請求項1から5のいずれか1項に記載の情報漏洩検知装置。 - 前記抽出部は、送受信した電子メールの数の変化を、前記第1系列と第2系列との差異として抽出し、
前記判定部は、前記抽出部によって抽出された数の変化が、第5のしきい値を超過しているか否かを、前記所定の基準の1つとして用いる請求項1から6のいずれか1項に記載の情報漏洩検知装置。 - 前記判定部は、前記抽出部によって抽出された差異が、前記危険性が高まっていることを示しているか否かを表す分別符号であって、当該差異にあらかじめ対応付けられた分別符号に基づいて、新たに抽出された差異が、前記危険性が高まっていることを示すか否かを判定する請求項1から7のいずれか1項に記載の情報漏洩検知装置。
- 前記判定部が前記暫定情報漏洩危険ユーザを情報漏洩危険ユーザと判定した場合に、前記コンピュータの管理者に前記情報漏洩危険ユーザと前記コンピュータを一意に識別可能な識別情報を報知する報知部を備える請求項1から8のいずれか1項に記載の情報漏洩検知装置。
- 前記形態素と前記抽出形態素とは情報漏洩の危険性に関するキーワードである請求項1から9のいずれか1項に記載の情報漏洩検知装置。
- 前記記憶部は、ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶し、
前記情報漏洩検知装置は、
前記記憶部に記憶された機密度に基づいて、前記ネットワークの外部に対するアクセスによって前記機密情報が漏洩する危険性を示す漏洩度を算出する算出部をさらに備え、
前記判定部は、前記機密度および前記漏洩度のうちの少なくとも一方が、前記機密情報が漏洩する基準を示す所定の条件を満たすか否かをさらに判定し、
前記情報漏洩検知装置は、
前記判定部によって前記所定の条件を満たすと判定された場合、前記漏洩の主体を特定する特定部をさらに備える請求項1から9のいずれか1項に記載の情報漏洩検知装置。 - 情報漏洩の危険性がある形態素とその形態素に対応する重み値を格納し、コンピュータの使用に関するユーザのビヘイビアを逐次格納する記憶部と、
前記ユーザの送受信した電子メールを取得する取得部と、
前記記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する抽出部と、
前記抽出部によって抽出された差異が機密情報の漏洩に関する所定の基準に達した場合に、前記所定の基準に達した前記差異に対応するビヘイビアを行ったユーザを暫定情報漏洩危険ユーザと判定する判定部と、
電子メールから抽出した形態素と、前記記憶部に格納されている形態素および前記重み値とに基づいて当該電子メールが情報漏洩に関するものであるか否かを示すスコアを算出する分類部とを備える情報漏洩検知装置により情報漏洩を検知する情報漏洩検知方法であって、
前記判定部が前記暫定情報漏洩危険ユーザを判定した場合に、前記取得部により前記暫定情報漏洩危険ユーザが送受信した電子メールを取得する取得工程と、
前記暫定情報漏洩危険ユーザが送受信した前記電子メールから抽出した形態素と、前記記憶部に格納されている形態素および前記重み値とに基づいて、当該電子メールが情報漏洩に関するものであるか否かを示すスコアを前記分類部により算出する算出工程と、
前記判定部により、前記算出工程によって算出された前記スコアが所定のしきい値を超えた場合に前記暫定情報漏洩危険ユーザを情報漏洩危険ユーザと判定する判定工程とを備える情報漏洩検知方法。 - 情報漏洩の危険性がある形態素とその形態素に対応する重み値を格納し、コンピュータの使用に関するユーザのビヘイビアを逐次格納する記憶部と、
前記ユーザの送受信した電子メールを取得する取得部と、
前記記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する抽出部と、
前記抽出部によって抽出された差異が機密情報の漏洩に関する所定の基準に達した場合に、前記所定の基準に達した前記差異に対応するビヘイビアを行ったユーザを暫定情報漏洩危険ユーザと判定する判定部と、
電子メールから抽出した抽出形態素と、前記記憶部に格納されている形態素および前記重み値とに基づいて当該電子メールが情報漏洩に関するものであるか否かを示すスコアを算出する分類部とを備える情報漏洩検知装置において実行されて情報漏洩を検知する情報漏洩検知プログラムであって、その情報漏洩検知プログラムは、
前記判定部が前記暫定情報漏洩危険ユーザを判定した場合に、前記取得部により前記暫定情報漏洩危険ユーザが送受信した電子メールを取得する取得工程と、
前記暫定情報漏洩危険ユーザが送受信した前記電子メールから抽出した抽出形態素と、前記記憶部に格納されている形態素および前記重み値とに基づいて、当該電子メールが情報漏洩に関するものであるか否かを示すスコアを前記分類部により算出する算出工程と、
前記判定部により、前記算出工程によって算出された前記スコアが所定のしきい値を超えた場合に前記暫定情報漏洩危険ユーザを情報漏洩危険ユーザと判定する判定工程とを、実行する情報漏洩検知プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014083816 | 2014-04-15 | ||
JP2014083816 | 2014-04-15 | ||
PCT/JP2015/061637 WO2015159926A1 (ja) | 2014-04-15 | 2015-04-15 | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2015159926A1 JPWO2015159926A1 (ja) | 2017-04-13 |
JP6247749B2 true JP6247749B2 (ja) | 2017-12-13 |
Family
ID=54324128
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016513817A Active JP6247749B2 (ja) | 2014-04-15 | 2015-04-15 | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP6247749B2 (ja) |
TW (1) | TW201606558A (ja) |
WO (1) | WO2015159926A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107645533A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 数据处理方法、数据发送方法、风险识别方法及设备 |
JP6737189B2 (ja) * | 2017-01-18 | 2020-08-05 | トヨタ自動車株式会社 | 不正判定システム及び不正判定方法 |
WO2018216100A1 (ja) * | 2017-05-23 | 2018-11-29 | 日本電気株式会社 | 行動分析システム、行動分析方法及び記録媒体 |
CN117332410B (zh) * | 2023-10-25 | 2024-04-12 | 北京航空航天大学 | 一种基于信息熵特征的电磁泄漏红黑信号辨识方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3948389B2 (ja) * | 2002-10-24 | 2007-07-25 | 富士ゼロックス株式会社 | 通信分析装置 |
JP2010009239A (ja) * | 2008-06-25 | 2010-01-14 | Kansai Electric Power Co Inc:The | 情報漏洩予測方法 |
JP5155909B2 (ja) * | 2009-03-06 | 2013-03-06 | Sky株式会社 | 操作監視システム及び操作監視プログラム |
-
2015
- 2015-04-15 WO PCT/JP2015/061637 patent/WO2015159926A1/ja active Application Filing
- 2015-04-15 JP JP2016513817A patent/JP6247749B2/ja active Active
- 2015-04-15 TW TW104112130A patent/TW201606558A/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2015159926A1 (ja) | 2015-10-22 |
JPWO2015159926A1 (ja) | 2017-04-13 |
TW201606558A (zh) | 2016-02-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
de Gusmão et al. | Cybersecurity risk analysis model using fault tree analysis and fuzzy decision theory | |
US10404737B1 (en) | Method for the continuous calculation of a cyber security risk index | |
US10496815B1 (en) | System, method, and computer program for classifying monitored assets based on user labels and for detecting potential misuse of monitored assets based on the classifications | |
US10178116B2 (en) | Automated computer behavioral analysis system and methods | |
Shahbaznezhad et al. | Employees’ behavior in phishing attacks: what individual, organizational, and technological factors matter? | |
Zafar et al. | The value of the CIO in the top management team on performance in the case of information security breaches | |
US8799462B2 (en) | Insider threat correlation tool | |
US9038187B2 (en) | Insider threat correlation tool | |
WO2020142245A1 (en) | Identification, prediction, and assessment of cyber security risk | |
US20160226905A1 (en) | Risk Scoring For Threat Assessment | |
US11238169B2 (en) | Privacy score | |
US20150066575A1 (en) | Enterprise risk assessment | |
JP6247749B2 (ja) | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム | |
US8225407B1 (en) | Incident prioritization and adaptive response recommendations | |
EP3038005A1 (en) | Alert transmission program, alert transmission method, and alert transmission apparatus | |
Haupt et al. | Robust identification of email tracking: A machine learning approach | |
US9171171B1 (en) | Generating a heat map to identify vulnerable data users within an organization | |
US20230153427A1 (en) | System and method for automated sensitive information discovery, monitoring and remediation | |
JP6145570B2 (ja) | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム | |
KR101923996B1 (ko) | 사이버 정보 유출 행위 추출 시스템 | |
Qin et al. | Using google analytics to support cybersecurity forensics | |
US20220210163A1 (en) | Techniques for deployment of deceptive decoy elements in computing environments | |
JP7409978B2 (ja) | リスク評価システムおよびリスク評価方法 | |
Dobolyi et al. | Predicting User Susceptibility to Phishing Websites | |
Paul et al. | PUBLIC DISCLOSURE OF INFORMATION SECURITY BREACH INCIDENTS: SHORT-TERM STOCK MARKET REACTION ON INDIAN LISTED FIRMS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161102 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161102 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170907 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171027 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171117 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6247749 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |