JP6247749B2 - 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム - Google Patents

情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム Download PDF

Info

Publication number
JP6247749B2
JP6247749B2 JP2016513817A JP2016513817A JP6247749B2 JP 6247749 B2 JP6247749 B2 JP 6247749B2 JP 2016513817 A JP2016513817 A JP 2016513817A JP 2016513817 A JP2016513817 A JP 2016513817A JP 6247749 B2 JP6247749 B2 JP 6247749B2
Authority
JP
Japan
Prior art keywords
information leakage
unit
information
user
series
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016513817A
Other languages
English (en)
Other versions
JPWO2015159926A1 (ja
Inventor
守本 正宏
正宏 守本
喜勝 白井
喜勝 白井
秀樹 武田
秀樹 武田
周作 野崎
周作 野崎
彰晃 花谷
彰晃 花谷
健作 信櫻
健作 信櫻
拓一 小野里
拓一 小野里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ubic Inc
Original Assignee
Ubic Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ubic Inc filed Critical Ubic Inc
Publication of JPWO2015159926A1 publication Critical patent/JPWO2015159926A1/ja
Application granted granted Critical
Publication of JP6247749B2 publication Critical patent/JP6247749B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Description

本発明は、コンピュータの使用に関するユーザのビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知装置等に関するものである。
アクセス制御を管理することによって、ネットワークの内部から機密情報が漏洩することを防止するシステムは、従来から提案されていた。例えば、下記の特許文献1には、システム全体に一貫したセキュリティポリシーを共有させて、ポリシー変更などに伴うアクセス制御を変更できるセキュリティポリシー管理システムが開示されている。また、下記の特許文献2には、ユーザに対する各データへのアクセス権限を動的に設定・変更することができるアクセス権限管理システムが開示されている。
一方、コンピュータ利用に関するビヘイビア(どのファイルにアクセスしたかなど)を記録する技術も、従来から提案されていた。例えば、下記の特許文献3には、情報ネットワークの利用者の行動を把握して、情報漏洩の予防対策に役立つ情報ファイル漏洩を検知するための表示方法が開示されている。
特開2012−194801号公報(2012年10月11日公開) 特開2013−214219号公報(2013年10月17日公開) 特開2007−304943号公報(2007年11月22日公開)
ネットワークの内部ユーザによる情報漏洩を防止するために、セキュリティポリシーを厳格に適用することによって情報が漏洩し得る経路を制限すれば、業務の効率が落ち、管理コストが高くつくという弊害が生じる。上記の特許文献1および2に記載の従来技術は、この弊害を克服可能な技術ではない。
一方、上記の特許文献3に記載の表示方法のように、上記内部ユーザのビヘイビアを記録し、問題視される所定のビヘイビアが発見された場合、管理者に警告を出すシステムでは、(a)上記所定のビヘイビアが発見された時点では、すでに機密情報が漏洩した後であることが多い、および(b)漏洩を事前に検知するために警告の要件を緩めるほど警告が頻発し、十分に監視が及ばないという問題が生じる。
本発明は、上記の問題点に鑑みてなされたものであり、その目的は、ビヘイビアの履歴を解析することによって、管理コストを増大させることなく、機密情報が漏洩する予兆を検知可能な情報漏洩検知等を提供することである。
上記課題を解決するために、本発明の一態様に係る情報漏洩検知装置は、コンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知装置であって、前記所定の記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する抽出部と、前記抽出部によって抽出された差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する判定部と、前記判定部によって達したと判定された場合、前記コンピュータの管理者に前記危険性を報知する報知部とを備えている。
ここで、上記「機密情報」は、事業活動に有用な技術上または営業上の情報であり、例えば、個人情報、技術情報(設計図、実験データ、研究レポート、製造ノウハウ)、営業情報(顧客名簿、販売マニュアル、仕入先リスト、財務データ)などが含まれる。また、上記「ビヘイビア」は、ユーザがコンピュータを使用した事実に関連する任意の情報であり、例えば、所定のディレクトリまたはデータにアクセスした事実、および/または当該アクセスの日時を含む。
上記構成によれば、上記情報漏洩検知装置は、上記第1系列と第2系列との差異が、上記所定の基準を超える程度の大きな差異である場合、上記機密情報が漏洩する危険性が高まったことを上記管理者に報知する。すなわち、上記情報漏洩検知装置は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができる。
また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、前記機密情報にアクセスする時間帯の変化を、前記第1系列と第2系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された時間帯の変化が、所定の時間幅を超過しているか否かを、前記所定の基準の1つとして用いてよい。
また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、前記機密情報にアクセスする回数の変化を、前記第1系列と第2系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された回数の変化が、第1のしきい値を超過しているか否かを、前記所定の基準の1つとして用いてよい。
また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、前記機密情報にアクセスする頻度の変化を、前記第1系列と第2系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された頻度の変化が、第2のしきい値を超過しているか否かを、前記所定の基準の1つとして用いてよい。
また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、アクセスする前記機密情報の種類の変化を、前記第1系列と第2系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された種類の変化が、第3のしきい値を超過しているか否かを、前記所定の基準の1つとして用いてよい。
また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、前記機密情報を移動させた回数の変化を、前記第1系列と第2系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された回数の変化が、第4のしきい値を超過しているか否かを、前記所定の基準の1つとして用いてよい。
また、本発明の一態様に係る情報漏洩検知装置において、前記抽出部は、送受信した電子メールの数の変化を、前記第1系列と第2系列との差異として抽出し、前記判定部は、前記抽出部によって抽出された数の変化が、第5のしきい値を超過しているか否かを、前記所定の基準の1つとして用いてよい。
また、本発明の一態様に係る情報漏洩検知装置において、前記判定部は、前記抽出部によって抽出された差異が、前記危険性が高まっていることを示しているか否かを表す分別符号であって、当該差異にあらかじめ対応付けられた分別符号に基づいて、新たに抽出された差異が、前記危険性が高まっていることを示すか否かを判定してよい。
また、本発明の一態様に係る情報漏洩検知装置において、前記報知部は、前記コンピュータを一意に識別可能な識別情報をさらに報知してよい。
上記課題を解決するために、本発明の一態様に係る情報漏洩検知方法は、コンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知方法であって、前記所定の記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する抽出ステップと、前記抽出ステップにおいて抽出した差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する判定ステップと、前記判定ステップにおいて達したと判定した場合、前記コンピュータの管理者に前記危険性を報知する報知ステップとを含んでいる。
したがって、上記情報漏洩検知方法は、上記情報漏洩検知装置と同じ効果を奏する。
上記課題を解決するために、本発明の一態様に係る情報漏洩検知プログラムは、第1のコンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知プログラムであって、第2のコンピュータに、前記所定の記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する抽出機能と、前記抽出機能によって抽出された差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する判定機能と、前記判定機能によって達したと判定された場合、前記第1のコンピュータの管理者に前記危険性を報知する報知機能とを実現させる。
すなわち、本発明の各態様に係る情報漏洩検知装置は、コンピュータによって実現されてもよい。この場合、コンピュータを上記情報漏洩検知装置が備えた各部として動作させることによって、上記情報漏洩検知装置をコンピュータにおいて実現させる情報漏洩検知プログラム、および当該情報漏洩検知プログラムを記録したコンピュータ読み取り可能な記録媒体も、本発明の範疇に入る。
したがって、上記情報漏洩検知プログラムは、上記情報漏洩検知装置と同じ効果を奏する。
本発明の一態様に係る情報漏洩検知装置、情報漏洩検知方法、および、情報漏洩検知プログラムは、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができるという効果を奏する。
本発明の実施の形態に係るサーバの要部構成を示すブロック図である。 上記サーバが実行する処理の一例を示すフローチャートである。 実施の形態2に係るサーバの要部構成を示すブロック図である。 上記サーバが実行する処理の一例を示すフローチャートである。 (a)、(b)は、ユーザのビヘイビアの変化の例を示すグラフである。
〔実施の形態1〕
図1〜図2に基づいて、本発明の実施の形態を説明する。
〔サーバ100の構成〕
図1は、サーバ100の要部構成を示すブロック図である。サーバ(情報漏洩検知装置)100は、コンピュータの使用に関するユーザのビヘイビアを、記憶部30に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知装置である。図1に示されるように、サーバ100は、制御部10(取得部11、抽出部12、判定部13、報知部14、出力部15)、表示部50、記憶部30、および、通信部20(受信部21、送信部22)、を備えている。
制御部10は、サーバ100が有する各種機能を統括的に制御する。制御部10は、取得部11、抽出部12、判定部13、報知部14、および、出力部15を含む。
取得部11は、受信部21によって受信されたデータ1を当該受信部21から取得し、当該データ1を抽出部12および出力部15に出力する。また、取得部11は、上記データ1に含まれる、コンピュータの使用に関するユーザのビヘイビアを記憶部30に逐次格納する。ここで、上記ビヘイビアは、ユーザがコンピュータを使用した事実に関連する任意の情報であり、例えば、所定のディレクトリまたはデータにアクセスした事実、および/または当該アクセスの日時を含む。
抽出部12は、記憶部30に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、上記所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する。
具体的には、抽出部12は、(1)機密情報にアクセスする時間帯の変化、(2)機密情報にアクセスする回数の変化、(3)機密情報にアクセスする頻度の変化、(4)アクセスする機密情報の種類の変化、(5)機密情報を移動させた回数の変化、または(6)送受信した電子メールの数の変化を、上記第1系列と第2系列との差異として抽出することができる。抽出部12は、抽出した上記第1系列と第2系列との差異を、差異情報2として判定部13に出力する。
上記(1)の場合、抽出部12は、取得部11によって記憶部30に蓄積されたビヘイビアの履歴を参照し、上記所定の期間(例えば、現在より1年前から現在より11ヶ月前までの1月間)においてユーザが機密情報にアクセスした時間帯と、上記直近の期間(例えば、現在より1ヶ月前から現在までの1月間)において当該機密情報にアクセスした時間とを比較する。そして、ユーザが機密情報にアクセスする時間帯が、例えば、通常の業務時間帯(例えば、9時〜18時)からオフィスに他のユーザが少ない時間帯(例えば、夜中・週末など)に変化したことを、抽出部12は上記差異として抽出できる。
上記(2)の場合、抽出部12は、上記所定の期間においてユーザが機密情報にアクセスした回数と、上記直近の期間において当該機密情報にアクセスした回数とを比較する。そして、ユーザが機密情報にアクセスする回数が、例えば、当該ユーザが業務を遂行する上で必要と認められ得る常識的な回数から、認められ得ない回数まで増加していることを、抽出部12は上記差異として抽出できる。なお、抽出部12は、ユーザが機密情報にアクセスする回数に関する移動平均を連続的に計算し、任意の時点(例えば、1年前)における移動平均値と、直近における移動平均値との差異を抽出してもよい。
上記(3)の場合、抽出部12は、上記所定の期間において機密情報にアクセスした頻度(単位時間あたりのアクセス回数)と、上記直近の期間において当該機密情報にアクセスした頻度とを比較する。そして、ユーザが機密情報にアクセスする頻度が、例えば、当該ユーザが業務を遂行する上で必要と認められ得る常識的な頻度から、認められ得ない頻度まで増加していること(短い時間で多くの機密情報にアクセスしていること)を、抽出部12は上記差異として抽出できる。
上記(4)の場合、抽出部12は、上記所定の期間においてアクセスした機密情報の種類と、上記直近の期間においてアクセスした当該機密情報の種類とを比較する。そして、ユーザがアクセスした機密情報の種類が、例えば、当該ユーザが業務を遂行する上で想定される種類を超えて、多くの種類の機密情報にアクセスしていること(すなわち、外部に持ち出すに足る機密情報を物色していること)を、抽出部12は上記差異として抽出できる。
上記(5)の場合、抽出部12は、上記所定の期間においてユーザが機密情報を移動させた回数(例えば、所定のサーバに格納されているデータを、当該ユーザが使用するコンピュータにコピーした回数など)と、上記直近の期間において移動させた回数とを比較する。そして、上記移動させた回数が、例えば、当該ユーザが業務を遂行する上で必要と認められ得る常識的な回数から、認められ得ない回数まで増加していることを、抽出部12は上記差異として抽出できる。
上記(6)の場合、抽出部12は、上記所定の期間においてユーザが送受信した電子メールの数と、上記直近の期間において送受信した電子メールの数とを比較する。そして、例えば、外部の人物とのメールのやりとりが増加していることを、抽出部12は上記差異として抽出できる。あるいは、内部の人物(例えば、ユーザの上司)とのメールのやりとりが減少していることを、抽出部12は上記差異として抽出できる。
上記(1)〜(6)に例示したように、サーバ100は、機密情報が漏洩する予兆として観察される上記変化を抽出することができる。したがって、サーバ100は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができる。
判定部13は、抽出部12によって抽出された差異が、内部において秘密管理される機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する。具体的には、判定部13は、(1)機密情報にアクセスする時間帯の変化が所定の時間幅を超過しているか否かを、上記所定の基準の1つとして判定する。また、判定部13は、(2)機密情報にアクセスする回数の変化、(3)機密情報にアクセスする頻度の変化、(4)アクセスする機密情報の種類の変化、(5)機密情報を移動させた回数の変化、または(6)送受信した電子メールの数の変化が、それぞれ所定のしきい値(第1〜5のしきい値)を超過しているか否かを、上記所定の基準の1つとして判定することができる。判定部13は、判定した結果(判定結果3)を報知部14に出力する。
ここで、上記(1)の場合における所定の時間幅、および上記(2)〜(6)の場合における所定のしきい値は、抽出部12によって抽出された差異を「異常な変化」として検出可能となるように、それぞれ設定される。したがって、サーバ100は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができる。
また、判定部13は、抽出部12によって抽出された差異(差異情報2)が、上記危険性が高まっていることを示しているか否かを表す分別符号であって、当該差異にあらかじめ対応付けられた分別符号に基づいて、新たに抽出された差異が、上記危険性が高まっていることを示すか否かを判定してよい。
すなわち、上記(1)〜(6)に例示される基準のみでは、情報漏洩に関するすべての予兆を検知できないおそれが考えられる。そこで、サーバ100は、「危険性が高まっている」または「危険性が高まっていない」を表す分別符号を、外部から受け付けることによって、上記差異を分類する(例えば、管理者が所定の入力機器を介して上記分別符号を入力することによって、当該分別符号をサーバ100に与えることができる)。そして、抽出部12によって新たに差異が抽出された場合、上記差異にあらかじめ対応付けられた分類符号に基づいて、当該新たに抽出された差異を分類できる(すなわち、当該差異が、危険性が高まっていることを示すか否かを判定できる)。
これにより、サーバ100は、未知の差異(例えば、上記(1)〜(6)に例示される基準だけでは情報漏洩の危険性が高まっていることを検知できない変化)が抽出された場合であっても、汎化能力を発揮して確実に上記危険性を検知することができる。
報知部14は、判定部13によって達したと判定された場合、コンピュータの管理者に危険性を報知する。この場合、報知部14は、上記コンピュータを一意に識別可能な識別情報(例えば、ホスト名、IPアドレス、メールアドレス、ユーザ名など)をさらに報知することができる。これにより、サーバ100は、機密情報を漏洩しようとする主体を上記管理者に特定させることができる。報知部14は、上記危険性および/または上記識別情報を含む報知情報4を表示部50に出力する。
出力部15は、取得部11から入力されたデータ1を送信部22に出力することによって、当該データ1を外部のコンピュータに送信する。
表示部50は、報知部14から入力された報知情報4にしたがって、上記危険性に関する情報を表示可能な表示装置(例えば、液晶ディスプレイ)である。なお、図1は、サーバ100が表示部50を含む構成例を示すが、表示部50は、上記危険性に関する情報をユーザに提示可能でありさえすればよく、例えば、サーバ100に通信可能に接続された外部の表示装置であってもよい。
記憶部30は、例えば、ハードディスク、SSD(solid state drive)、半導体メモリ、DVDなど、任意の記録媒体によって構成される記憶機器であり、サーバ100を制御可能な各種プログラム(情報漏洩検知プログラム)およびデータと、取得部11によって逐次格納されたユーザのビヘイビアとを記憶する。
通信部20は、所定の通信方式にしたがう通信網を介して外部と通信する。外部の機器との通信を実現する本質的な機能が備わってさえいればよく、通信回線、通信方式、または通信媒体などは限定されない。通信部20は、例えばイーサネット(登録商標)アダプタなどの機器で構成できる。また、通信部20は、例えばIEEE802.11無線通信、Bluetooth(登録商標)などの通信方式や通信媒体を利用できる。通信部20は、受信部21と送信部22とを含む。
受信部21は、通信網を介した通信によって、イントラネットに含まれる任意のコンピュータからデータ1を受信する。
送信部22は、通信網を介した通信によって、インターネットに通信可能に接続された任意のコンピュータに、出力部15から入力されたデータ1を送信する。
〔サーバ100が実行する処理〕
図2は、サーバ100が実行する処理の一例を示すフローチャートである。なお、以下の説明において、カッコ書きの「〜ステップ」は、情報漏洩検知方法に含まれる各ステップを表す。
取得部11は、受信部21が受信したデータ1を当該受信部21から取得する(ステップ1、以下「ステップ」を「S」と略記する)。抽出部12は、記憶部30に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、当該所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する(S2、抽出ステップ)。
判定部13は、機密情報が漏洩する危険性が高まったことを示唆する所定の基準に達したか否かを判定する(S3、判定ステップ)。上記所定の基準に達したと判定された場合(S3においてYES)、報知部14は、コンピュータの管理者に上記危険性を報知する(S4、報知ステップ)。
〔サーバ100が奏する効果〕
サーバ100は、ユーザのダイナミクス変化(例えば、機密情報にアクセスする回数が増加したことなど)の有無に焦点を当て、事前に情報漏洩のリスクを察知することができる。すなわち、サーバ100は、業務の効率を落としたり、高い管理コストを費やしたりするなどの弊害を生じることなく、機密情報が漏洩する危険性が高まったことを検知することができるという効果を奏する。
〔ソフトウェアによる実現例〕
サーバ100の制御ブロック(特に、制御部10)は、集積回路(ICチップ)等に形成された論理回路(ハードウェア)によって実現してもよいし、CPU(Central Processing Unit)を用いてソフトウェアによって実現してもよい。後者の場合、サーバ100は、各機能を実現するソフトウェアであるプログラム(情報漏洩検知プログラム)の命令を実行するCPU、上記プログラムおよび各種データがコンピュータ(またはCPU)で読み取り可能に記録されたROM(Read Only Memory)または記憶装置(これらを「記録媒体」と称する)、上記プログラムを展開するRAM(Random Access Memory)などを備えている。そして、コンピュータ(またはCPU)が上記プログラムを上記記録媒体から読み取って実行することにより、本発明の目的が達成される。上記記録媒体としては、「一時的でない有形の媒体」、例えば、テープ、ディスク、カード、半導体メモリ、プログラマブルな論理回路などを用いることができる。また、上記プログラムは、当該プログラムを伝送可能な任意の伝送媒体(通信ネットワークや放送波等)を介して上記コンピュータに供給されてもよい。本発明は、上記プログラムが電子的な伝送によって具現化された、搬送波に埋め込まれたデータ信号の形態でも実現され得る。
具体的には、本発明の実施の形態に係るサーバ100は、第1のコンピュータの使用に関するユーザのビヘイビアを、所定の記憶部に逐次格納し、当該ビヘイビアを解析することによって情報漏洩を検知する情報漏洩検知装置であって、第2のコンピュータに、抽出機能、判定機能、および報知機能を実現させる。
上記抽出機能、判定機能、および報知機能は、上述した抽出部12、判定部13、および報知部14よってそれぞれ実現されることができる。詳細については上述した通りである。
〔実施の形態2〕
上記実施の形態1では、ユーザのビヘイビアに基づいて機密情報が漏洩する危険性を検知する例を示したが、本実施の形態2においては、その確度を向上させる手法を開示する。すなわち、ユーザのビヘイビアに加えて、当該ユーザの送信メールの内容を解析することで、機密情報の漏洩の危険性を検知する。なお、本実施の形態2においては、実施の形態1と共通する内容については説明を割愛し、異なる点を中心に説明する。
図3は、実施の形態2に係るサーバ300の要部構成を示すブロック図である。図3に示すようにサーバ300は、記憶部30、制御部40、表示部50および通信部60を備える。
記憶部30は、上記実施の形態1に示すようにサーバ300が動作上必要とするプログラムやデータとして、さらに、ユーザが送信した送信メールを評価するためのキーワードの重み値を記憶する。当該キーワードは、管理者の指定によるものであってもよいし、機密情報の漏洩の危険性があると判定されたメールおよび当該危険性がないと判定されたメールそれぞれ複数から頻出する形態素あるいは表現、センテンスを自動的に抽出したものであってもよい。
また、当該キーワードの重み値は、当該キーワードの重み値に基づいて、送信メールを評価した場合に、機密情報の漏洩の危険性があると管理者が判断した送信メールの評価値(スコア)が、機密情報の漏洩の危険性がないと判断した送信メールのスコアよりも高くなるように設定する。そのために、当該重み値は、繰り返し学習により、例えば、以下の数式を用いて算出することとしてもよい。
上記式(1)において、wgti,0は、学習前のi番目のキーワードの重み値(初期値)であり、wgti,Lは、L回目の学習後のi番目のキーワードの重み値である。そして、γはL回目学習における学習パラメータであり、θは学習効果の閾値である。
記憶部30が、キーワードと重み値を対応付けて記憶していることにより、サーバ300は、ユーザの送信メールが機密情報の漏洩に関連するか否かを判定することができる。
制御部40は、取得部41、出力部15、抽出部42、判定部43、報知部14及び分類部45を備える。
取得部41は、取得部11が有する機能に加え、ユーザの送信メールを受信部21を介して取得する機能を有する。取得部41は、取得した送信メールを抽出部42に伝達する機能を有する。
抽出部42は、抽出部12が有する機能に加え、取得部41から伝達された送信メールからキーワードを抽出する機能を有する。抽出するキーワードは、記憶部30に記憶されているキーワードである。抽出部42は、抽出したキーワードと、抽出した送信メールとを分類部45に伝達する。
判定部43は、判定部13が有する機能に加え、分類部45から伝達された機密情報の漏洩に関連すると分類された送信メールの、分類に用いた全送信メールに対する割合を算出する機能を有する。そして、判定部43は、算出した割合が所定のしきい値(例えば、5割)を超えるか否かを判定する。判定部43は、第1系列と第2系列とのビヘイビアの差分が所定のしきい値を超えており、かつ、算出した割合が所定のしきい値を超えていると判定した場合に、報知部14に機密情報の漏洩の危険性がある旨を通知する。なお、ここでは、機密情報の漏洩に関すると分類された送信メールの全送信メールに対する割合を用いて判定することとしているが、機密情報の漏洩に関すると分類された送信メールが一定数以上あるか否かで判定することとしてもよい。
分類部45は、抽出部42から伝達されたキーワードを用いて、抽出部42がキーワードを抽出した送信メールを、機密情報の漏洩に関連するか否かを分類する機能を有する。具体的には、分類部45は、抽出部42が抽出したキーワードに対応付けられている重み値を用いて、当該キーワードを抽出した送信メールのスコアSを算出する。当該スコアSは、例えば、以下の式(2)により算出することができる。
上記式(2)において、wは、i番目のキーワードの重み値であり、s(i)は、i番目のキーワードが存在するか否かの存在関数であり、送信メール中にi番目のキーワードが存在する場合に1、存在しない場合に0となる。
そして、分類部45は、算出したスコアSが所定のしきい値を超えるか否かを判定する。所定のしきい値を超えている場合に、分類部45は、当該スコアSに対応する送信メールが機密情報の漏洩に関連すると分類し、超えていない場合に、当該スコアSに対応する送信メールが機密情報の漏洩に関連しないと分類する。分類部45は、複数の送信メールを分類し、その分類結果5を判定部43に伝達する。
報知部14は、判定部43から機密情報の漏洩の危険性がある旨を通知されると、機密情報の漏洩の危険性があることを示す表示情報を生成し、表示部50は、当該表示情報を表示することで、管理者に機密情報の漏洩の危険性があることを通知する。
通信部60は、送信部22及び受信部61を備える。
受信部61は、受信部21が有する機能に加え、さらに、ユーザの送信メールを複数受信する機能を有し、受信した複数の送信メールを取得部41に伝達する。
以上が、実施の形態2に係るサーバ300の構成である。
図4は、本実施の形態2におけるサーバ300の判定動作を示すフローチャートである。図4に示すフローチャートは、図2に示すフローチャートに、送信メールを分析する処理を加えたものである。
したがって、図2に示すフローチャートと同じ処理には同じステップ番号を付し、説明を省略する。
図4のフローチャートが図2のフローチャートと異なるのは、ステップS3以降の処理であるので、ステップS5以降のサーバ300の動作を説明する。
図4に示すように、差異が所定の基準に達していると判定部43が判定した場合には(ステップS3のYES)、サーバ300の取得部41は、判定部43が差異が所定の基準に達していると判定したビヘイビアをとっていたユーザの送信メールを取得する(ステップS5)。
サーバ300は、取得したメールに対して、記憶部30に記憶されているキーワードの重み値を用いて、取得したユーザの複数送信メールを、機密情報の漏洩に関連するか否かに分類する(ステップS6)。
そして、機密情報の漏洩に関連すると判定された送信メールの全送信メールに対する割合が所定のしきい値を超えているか否かを判定する(ステップS7)。
機密情報の漏洩に関連すると判定された送信メールの割合が所定のしきい値を超えていると判定した場合には(ステップS7のYES)、報知部14は、コンピュータの管理者に、機密情報の漏洩の危険性があることを示す情報を生成し、表示部50に表示させる(ステップS8)。機密情報の漏洩に関連すると判定された送信メールの割合が所定のしきい値以下である場合には(ステップS7のNO)、機密情報の漏洩の危険性は低いものとして、処理を終了する。この場合には、当該ユーザについて機密情報の漏洩の危険性が低いことを示す情報を報知することとしてもよい。
図5は、ユーザのビヘイビアの一日における時間的変化の一例を示すグラフである。
図5(a)は、過去のユーザのビヘイビアの一日における時間的変化の一例を示すグラフであり、図5(b)は、最近の当該ユーザのビヘイビアの一日に置ける時間的変化の一例を示すグラフである。ここでは、一日としているが、これは過去の一定期間(例えば、一年前の一週間分)や最近の一定期間(例えば、現在から一か月以内の一週間分)の平均値であってもよい。また、分析対象は一日に限らず、週単位や月単位など別の単位であってもよい。ここでは、ユーザのビヘイビアの一例として、ユーザが機密情報にアクセスしたアクセス量の変化と、メールを送信した送信本数の変化を示す。
図5(a)は、過去において、ユーザがまだ属している組織などに不平や不満を持っておらず機密情報が漏洩する危険性が低いころのユーザのビヘイビアの一例を示している。一方で、図5(b)は、組織に不平や不満を持ち出しており機密情報が漏洩する危険性が高まってきている最近のユーザのビヘイビアの一例を示している。図5(a)、図5(b)の縮尺は同じであるとする。図5(a)及び図5(b)は共に、縦軸に、メールの送信件数または機密情報へのアクセス件数を、横軸に時間をとったグラフである。
図5(a)に示されるように、機密情報の漏洩の危険性が低いうちは、ユーザのメールの送信時間に異常は見られず、機密情報へのアクセスの頻度も低い。一方で、ユーザが組織に対して何等かの理由で不平や不満を抱くようになると、機密情報を漏洩する危険性が高まる。そのような場合には、図5(b)に示されるように、従来メールを送信していなかった時間帯でのメールその送信や、機密情報へのアクセス頻度が向上することが一般的に考えられる。例えば、図5(b)の場合であれば、図5(a)と比較すればわかるように、夜の23時や24時におけるメール送信件数及び機密情報へのアクセス件数が増加している。このような時間にメールを送信したり機密情報にアクセスしたりするのは、何らかの怪しい行動をとっている可能性があるといえる。
そのような行動の変化が見受けられる状態で、当該ユーザの送信する複数のメールについて、サーバ300が分析を行い、それぞれの送信メールについて「機密情報の漏洩」に関する送信メールとそうでない送信メールとに分類して、その割合が一定割合を超えているかを判定することで、機密情報の漏洩の危険性があることを検知することができる。そして、「機密情報の漏洩」に関連すると分類された送信メールの内容をサーバ300の管理者が読むことでより機密情報の漏洩の危険性を低減することができる。
また、ここでは、「機密情報の漏洩」に関連すると分類された送信メールが、送信メール全体に占める割合が所定のしきい値を超えると判定部43により判定された場合に、当該ユーザが機密情報を漏洩する危険性があると判定することとしているが、これは、サーバ300の管理者がユーザの送信メールを確認して判定することとしてもよい。なお、本実施の形態においては、サーバ300は、機密情報の漏洩に関するか否かで分類しているが、これは、「不平・不満」に関するか否かに応じて分類することとしてもよい。不平や不満は往々にして組織に対する忠義心を薄れさせ、機密情報の漏洩に走る原因となりやすいからである。また、あるいは、特定の話題に関するか否かで分類することとしてもよい。ある時期から急に特定の話題(例えば、属している組織における新商品開発の話題)が出るようになった場合であって、ユーザのビヘイビアが常とは異なってきたとき(例えば夜中に機密情報にアクセスしているなど)には、機密情報の漏洩の危険性がある。今まで新商品についての話題がなかったのに、急に新商品について興味が湧くのはそのユーザの行動としては異常があると言え、そのビヘイビアと相まって、高確率で機密情報の漏洩の危険性があるといえ、サーバ300はその検知を行うことができる。
また、上記では、予め「機密情報の漏洩」に関連するキーワードとその重み値を記憶しておくこととしたが、ユーザの送信メールを分類する段階で、その一部に対して、機密情報の漏洩に関連するか否かを管理者が判断して分類し、分類した送信メールから頻出する単語をキーワードとして登録し、その重み値を算出することとしてもよい。
また、図4に示すフローチャートでは、ユーザの過去と現在のビヘイビアにおいて差異が所定の基準に達していると判定してから、ユーザの送信メールが機密情報の漏洩に関するか否かを判定することとしているが、この判定はいずれが先であってもよい。
また、サーバ300は、ユーザがアクセスした情報の内容に応じた機密度、あるいは、ユーザがとった行動に対する機密情報の漏洩度を設定し、その機密度及び漏洩度の少なくとも一方が、所定のしきい値を超えたことを条件に、機密情報の漏洩の危険性があることを報知することとしてもよい。
すなわち、記憶部30は、組織内においてアクセスできる各種のデータについて機密度を記憶する。当該機密度は、そのデータの機密性の高低を示す情報であり、管理者が設定した数値や「高」「中」「低」というような表現で示されてよい。また、記憶部30は、ユーザがとった所定の行動に対して機密度と同様に数値や表現で示される漏洩度を記憶する。なお、「高」「中」「低」などというように表現する場合には、数値に変換するためのアルゴリズムを備えていればよく、例えば、「高」の場合に「80」、「中」の場合に「50」、「低」の場合に「20」、というように変換して、判定部43が機密情報の漏洩の危険性があるか否かを判定できるようにするとよい。
例えば、機密度としては、一例として、機密性の高い情報(例えば、新商品の企画情報、顧客情報、取引の費用情報など)に対しては、高い数値(例えば、0〜100の間で評価するのであれば、90など)を対応付けて記憶する。また、機密性の低い情報(例えば、既に販売されている商品の情報など)は低い数値(例えば、20など)を対応付けて記憶する。そして、組織内のユーザについて、情報にアクセスした際の機密度を記憶部30を参照して特定し、その数値を当該ユーザに対応付けて記憶する。そして、判定部43は、対応付けられた機密度(1以上)の合算値が予め定められた所定のしきい値(基準)を超えた場合に機密情報の漏洩の危険性があると判定する。
また、漏洩度としても、ユーザの特定の行動、例えば、「電子メールに何らかのデータを添付して外部に送信する」、「ユーザが特定のウェブサイト(機密情報の漏洩につながる可能性のあるサイトであり、そのサイト情報を管理者が記憶部30に予め記憶しておく。当該ウェブサイトとしては、例えば、就職斡旋サイトや同業他社のホームページなど)にアクセスする」といった行動に対して漏洩度として、それぞれ例えば、「30」、「20」というように対応付けて記憶する。そして、サーバ300は、組織内のユーザが上述の特定の行動をとるか否かを監視する。監視手法としては、メールについては、メールサーバから情報を取得することができ、アクセスしたウェブサイトについてはウェブサーバから情報を取得することができる。
制御部40は、各ユーザ毎に上記特定の行動をとるごとに、当該ユーザを示すユーザ情報に対応付けて、ユーザがとった行動に対応して漏洩度を記憶部30に記憶する。そして、判定部43は、ユーザに対応付けられた漏洩度の合算値が所定のしきい値(基準)を超えた場合に、機密情報の漏洩の危険性があると判定する。
そして、サーバ300は、更に、機密情報を漏洩する危険性のあるユーザを特定する特定部を備えて、当該特定部が特定したユーザを示す情報を、機密情報が漏洩する危険性があることを示す情報ととともに、報知することとしてもよい。
特定部は、例えば、機密情報を添付したメールを取得し、その送信元に対応するユーザを特定してもよいし、あるいは、特定のサイト(例えば、転職情報サイトなどの所属する組織に対する忠誠心が低下している状態が推測可能なサイト)にアクセスしたユーザを特定してもよいし、外部の特定組織(例えば、同業他社など)とコンタクトをとった(例えば、メールを送信した)ユーザを特定することとしてもよい。
また、上述の条件には、例示していないが、その他にも機密情報の漏洩の危険性を検知するビヘイビアの変化としては、例えば、アクセス権のないデータへのアクセス頻度が高くなっている、機密情報へのアクセスが夜中に集中している、機密情報へのアクセスが網羅的になっている(機密情報をまとめてサーバからローカルにファイルをコピーしている可能性がある)、休日出勤が多くなったといった事例が考えられ、サーバ100、300は、これらのユーザのビヘイビアについての第1系列と第2系列のデータを取得して、比較を行い、機密情報の漏洩の危険性を検知することとしてもよい。
また、上述では、記憶部30は予めキーワードとその重み値を記憶しておくこととしていたが、サーバ300は、そのキーワードと重み値を決定する機能を備えていてもよい。すなわち、サーバ300は、メールについて機密情報の漏洩に関するものであるか否かの分別符号を受け付ける受付部と、受け付けたメールからキーワードになり得るデータ要素を抽出するデータ要素抽出部と、抽出したデータ要素の中からキーワードを決定する決定部と、決定されたキーワードの重み値を算出する重み付け部と、算出した重み値をキーワードに対応付けて記憶部30に記憶する格納部とをさらに備えることとしてもよい。重み付け部は例えば、上述の式(1)を用いて算出すればよい。また、決定部は、ユーザの指定、あるいは、送信メールから抽出されたデータ要素のうち登場する頻度が高いものをキーワードとして決定することとしてもよい。サーバ300が、キーワードとその重み値を決定する機能を有することで、例えば、特定のユーザに特化したメールの解析を行うことができるので、そのユーザについての機密情報の漏洩の危険性の検知の確度を向上させることができる。
また、上記ビヘイビア解析においては、特定の条件下において、第1系列と第2系列との差分に対して、一定の係数(重み付け値)を乗じた上で、機密情報の漏洩の危険性があるか否かを判断するためのしきい値との比較を行ってもよい。そのために、サーバ100やサーバ300は、差分値を補正するための補正部を備えるとよい。例えば、あるユーザについてのビヘイビア解析を行う場合に、当該ユーザの所得の増減に基づく係数を乗じてもよい。すなわち、ユーザの給料が増加していた場合には組織に対する忠誠心が向上しやすいことから、差分値が減少する係数を乗じ、給料が減額されていた場合には組織に対する忠誠心が薄れやすくなることから、差分値が増加する係数を乗じてもよい。なお、ここでは係数を乗じることとしたが、一定値を加算または減算することとしてもよい。そして、判定部13(43)は、補正後の差分値に基づく判断を行ってもよい。また、給料の増減に換えて、メールに対するレスポンス時間(メールを受信してから当該メールに返信するまでの時間)に基づく補正を行ってもよい。すなわち、メールに対するレスポンス時間が短い場合には、機密情報の漏洩の危険性は低いと考えられることから、差分値を低減してからしきい値との比較を行い、メールに対するレスポンス時間が長い場合には、機密情報の漏洩の危険性が高まっていると考えられることから、差分値を増加させてからしきい値との比較を行って、機密情報の漏洩の危険性が高まっているかを判断することとしてもよい。
また、さらには、重み付け値としては、機密情報に関連するファイルあるいはフォルダに対して、設定することとしてもよい。そして、ユーザが実際にアクセスしたファイルあるいはフォルダに対して設定されている重み付け値を、算出したビヘイビアの第1系列と第2系列との差分に対して、加味することとしてもよい。
また、あるいは、ユーザが組織に属した年数に応じて重み付け値を設定することとしてもよい。例えば、ユーザが組織に属して、x年未満である場合には、差分値が増加する重み付けを行い、組織に属した年数がy年以上である場合には、差分値が減少する重み付けを行ってもよい。組織に属した年数が短いうちは、組織に対する忠誠心は低く、組織に属した年数が長くなると、忠誠心が高まると言えるためである。
上記においては、サーバ300は、ユーザの送信メールを対象に解析・分類することとしているが、これは、ユーザの受信メールも対象としてもよいことは言うまでもない。
このように、ユーザのビヘイビア(行動)に併せて、当該ユーザの送信メールをサーバ300が分析することで、より確度の高い機密情報の漏洩の危険性を検知することができる。したがって、例えば、ユーザが夜中のメールが増え、その内容が仕事以外の内容に分類されないものである場合には、仕事と関係しない作業をしているので、組織に対する忠誠心が薄れていると言え、転じて、機密情報の漏洩の危険性が高まっているといえ、サーバ300はそのような事態を検知することができる。なお、本実施の形態2において、上述のソフトウェアによる実現例を適用できることは言うまでもない。
〔付記事項〕
本発明は上述したそれぞれの実施の形態に限定されるものではなく、請求項に示した範囲で種々の変更が可能であり、異なる実施の形態にそれぞれ開示された技術的手段を適宜組み合わせて得られる実施の形態についても、本発明の技術的範囲に含まれる。さらに、各実施の形態にそれぞれ開示された技術的手段を組み合わせることにより、新しい技術的特徴を形成できる。
本発明は、パーソナルコンピュータ、ワークステーション、メインフレームなど、任意のコンピュータに広く適用することができる。
2:差異情報(差異)、12:抽出部、13:判定部、14:報知部、30:記憶部、100:サーバ(情報漏洩検知装置)

Claims (13)

  1. コンピュータの使用に関するユーザのビヘイビアを逐次格納する記憶部と、
    前記記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する抽出部と、
    前記抽出部によって抽出された差異が機密情報の漏洩に関する所定の基準に達した場合に、前記所定の基準に達した前記差異に対応するビヘイビアを行ったユーザを暫定情報漏洩危険ユーザと判定する判定部と、
    前記判定部が前記暫定情報漏洩危険ユーザを判定した場合に、前記暫定情報漏洩危険ユーザが送受信した電子メールを取得する取得部と、を備える情報漏洩検知装置であって、
    前記記憶部は情報漏洩の危険性がある形態素とその形態素に対応する重み値とをさらに格納しており、
    前記情報漏洩検知装置は、
    前記電子メールから抽出した抽出形態素と、前記記憶部に格納されている形態素および前記重み値とに基づいて、当該電子メールが情報漏洩に関するものであるか否かを示すスコアを算出する分類部を備え、
    前記判定部は、前記分類部によって算出された前記スコアが所定のしきい値を超えた場合に前記暫定情報漏洩危険ユーザを情報漏洩危険ユーザと判定する情報漏洩検知装置。
  2. 前記抽出部は、機密情報にアクセスする時間帯の変化を、前記第1系列と第2系列との差異として抽出し、
    前記判定部は、前記抽出部によって抽出された時間帯の変化が、所定の時間幅を超過しているか否かを、前記所定の基準の1つとして用いる請求項1に記載の情報漏洩検知装置。
  3. 前記抽出部は、前記機密情報にアクセスする回数の変化を、前記第1系列と第2系列との差異として抽出し、
    前記判定部は、前記抽出部によって抽出された回数の変化が、第1のしきい値を超過しているか否かを、前記所定の基準の1つとして用いる請求項1または2に記載の情報漏洩検知装置。
  4. 前記抽出部は、前記機密情報にアクセスする頻度の変化を、前記第1系列と第2系列との差異として抽出し、
    前記判定部は、前記抽出部によって抽出された頻度の変化が、第2のしきい値を超過しているか否かを、前記所定の基準の1つとして用いる請求項1から3のいずれか1項に記載の情報漏洩検知装置。
  5. 前記抽出部は、アクセスする前記機密情報の種類の変化を、前記第1系列と第2系列との差異として抽出し、
    前記判定部は、前記抽出部によって抽出された種類の変化が、第3のしきい値を超過しているか否かを、前記所定の基準の1つとして用いる請求項1から4のいずれか1項に記載の情報漏洩検知装置。
  6. 前記抽出部は、前記機密情報を移動させた回数の変化を、前記第1系列と第2系列との差異として抽出し、
    前記判定部は、前記抽出部によって抽出された回数の変化が、第4のしきい値を超過しているか否かを、前記所定の基準の1つとして用いる請求項1から5のいずれか1項に記載の情報漏洩検知装置。
  7. 前記抽出部は、送受信した電子メールの数の変化を、前記第1系列と第2系列との差異として抽出し、
    前記判定部は、前記抽出部によって抽出された数の変化が、第5のしきい値を超過しているか否かを、前記所定の基準の1つとして用いる請求項1から6のいずれか1項に記載の情報漏洩検知装置。
  8. 前記判定部は、前記抽出部によって抽出された差異が、前記危険性が高まっていることを示しているか否かを表す分別符号であって、当該差異にあらかじめ対応付けられた分別符号に基づいて、新たに抽出された差異が、前記危険性が高まっていることを示すか否かを判定する請求項1から7のいずれか1項に記載の情報漏洩検知装置。
  9. 前記判定部が前記暫定情報漏洩危険ユーザを情報漏洩危険ユーザと判定した場合に、前記コンピュータの管理者に前記情報漏洩危険ユーザと前記コンピュータを一意に識別可能な識別情報を報知する報知部を備える請求項1から8のいずれか1項に記載の情報漏洩検知装置。
  10. 前記形態素と前記抽出形態素とは情報漏洩の危険性に関するキーワードである請求項1から9のいずれか1項に記載の情報漏洩検知装置。
  11. 前記記憶部は、ネットワークの内部において秘密に管理される機密情報を、機密性の高低を示す機密度に対応付けて記憶し、
    前記情報漏洩検知装置は、
    前記記憶部に記憶された機密度に基づいて、前記ネットワークの外部に対するアクセスによって前記機密情報が漏洩する危険性を示す漏洩度を算出する算出部をさらに備え、
    前記判定部は、前記機密度および前記漏洩度のうちの少なくとも一方が、前記機密情報が漏洩する基準を示す所定の条件を満たすか否かをさらに判定し、
    前記情報漏洩検知装置は、
    前記判定部によって前記所定の条件を満たすと判定された場合、前記漏洩の主体を特定する特定部をさらに備える請求項1から9のいずれか1項に記載の情報漏洩検知装置。
  12. 情報漏洩の危険性がある形態素とその形態素に対応する重み値を格納し、コンピュータの使用に関するユーザのビヘイビアを逐次格納する記憶部と、
    前記ユーザの送受信した電子メールを取得する取得部と、
    前記記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する抽出部と、
    前記抽出部によって抽出された差異が機密情報の漏洩に関する所定の基準に達した場合に、前記所定の基準に達した前記差異に対応するビヘイビアを行ったユーザを暫定情報漏洩危険ユーザと判定する判定部と、
    電子メールから抽出した形態素と、前記記憶部に格納されている形態素および前記重み値とに基づいて当該電子メールが情報漏洩に関するものであるか否かを示すスコアを算出する分類部とを備える情報漏洩検知装置により情報漏洩を検知する情報漏洩検知方法であって、
    前記判定部が前記暫定情報漏洩危険ユーザを判定した場合に、前記取得部により前記暫定情報漏洩危険ユーザが送受信した電子メールを取得する取得工程と、
    前記暫定情報漏洩危険ユーザが送受信した前記電子メールから抽出した形態素と、前記記憶部に格納されている形態素および前記重み値とに基づいて、当該電子メールが情報漏洩に関するものであるか否かを示すスコアを前記分類部により算出する算出工程と、
    前記判定部により、前記算出工程によって算出された前記スコアが所定のしきい値を超えた場合に前記暫定情報漏洩危険ユーザを情報漏洩危険ユーザと判定する判定工程とを備える情報漏洩検知方法。
  13. 情報漏洩の危険性がある形態素とその形態素に対応する重み値を格納し、コンピュータの使用に関するユーザのビヘイビアを逐次格納する記憶部と、
    前記ユーザの送受信した電子メールを取得する取得部と、
    前記記憶部に格納されたビヘイビアを参照し、所定の期間に含まれるビヘイビアの第1系列と、前記所定の期間とは異なる直近の期間に含まれるビヘイビアの第2系列とを比較することによって、当該第1系列と第2系列との差異を抽出する抽出部と、
    前記抽出部によって抽出された差異が機密情報の漏洩に関する所定の基準に達した場合に、前記所定の基準に達した前記差異に対応するビヘイビアを行ったユーザを暫定情報漏洩危険ユーザと判定する判定部と、
    電子メールから抽出した抽出形態素と、前記記憶部に格納されている形態素および前記重み値とに基づいて当該電子メールが情報漏洩に関するものであるか否かを示すスコアを算出する分類部とを備える情報漏洩検知装置において実行されて情報漏洩を検知する情報漏洩検知プログラムであって、その情報漏洩検知プログラムは、
    前記判定部が前記暫定情報漏洩危険ユーザを判定した場合に、前記取得部により前記暫定情報漏洩危険ユーザが送受信した電子メールを取得する取得工程と、
    前記暫定情報漏洩危険ユーザが送受信した前記電子メールから抽出した抽出形態素と、前記記憶部に格納されている形態素および前記重み値とに基づいて、当該電子メールが情報漏洩に関するものであるか否かを示すスコアを前記分類部により算出する算出工程と、
    前記判定部により、前記算出工程によって算出された前記スコアが所定のしきい値を超えた場合に前記暫定情報漏洩危険ユーザを情報漏洩危険ユーザと判定する判定工程とを、実行する情報漏洩検知プログラム。
JP2016513817A 2014-04-15 2015-04-15 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム Active JP6247749B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014083816 2014-04-15
JP2014083816 2014-04-15
PCT/JP2015/061637 WO2015159926A1 (ja) 2014-04-15 2015-04-15 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム

Publications (2)

Publication Number Publication Date
JPWO2015159926A1 JPWO2015159926A1 (ja) 2017-04-13
JP6247749B2 true JP6247749B2 (ja) 2017-12-13

Family

ID=54324128

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016513817A Active JP6247749B2 (ja) 2014-04-15 2015-04-15 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム

Country Status (3)

Country Link
JP (1) JP6247749B2 (ja)
TW (1) TW201606558A (ja)
WO (1) WO2015159926A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107645533A (zh) * 2016-07-22 2018-01-30 阿里巴巴集团控股有限公司 数据处理方法、数据发送方法、风险识别方法及设备
JP6737189B2 (ja) * 2017-01-18 2020-08-05 トヨタ自動車株式会社 不正判定システム及び不正判定方法
WO2018216100A1 (ja) * 2017-05-23 2018-11-29 日本電気株式会社 行動分析システム、行動分析方法及び記録媒体
CN117332410B (zh) * 2023-10-25 2024-04-12 北京航空航天大学 一种基于信息熵特征的电磁泄漏红黑信号辨识方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3948389B2 (ja) * 2002-10-24 2007-07-25 富士ゼロックス株式会社 通信分析装置
JP2010009239A (ja) * 2008-06-25 2010-01-14 Kansai Electric Power Co Inc:The 情報漏洩予測方法
JP5155909B2 (ja) * 2009-03-06 2013-03-06 Sky株式会社 操作監視システム及び操作監視プログラム

Also Published As

Publication number Publication date
WO2015159926A1 (ja) 2015-10-22
JPWO2015159926A1 (ja) 2017-04-13
TW201606558A (zh) 2016-02-16

Similar Documents

Publication Publication Date Title
de Gusmão et al. Cybersecurity risk analysis model using fault tree analysis and fuzzy decision theory
US10404737B1 (en) Method for the continuous calculation of a cyber security risk index
US10496815B1 (en) System, method, and computer program for classifying monitored assets based on user labels and for detecting potential misuse of monitored assets based on the classifications
US10178116B2 (en) Automated computer behavioral analysis system and methods
Shahbaznezhad et al. Employees’ behavior in phishing attacks: what individual, organizational, and technological factors matter?
Zafar et al. The value of the CIO in the top management team on performance in the case of information security breaches
US8799462B2 (en) Insider threat correlation tool
US9038187B2 (en) Insider threat correlation tool
WO2020142245A1 (en) Identification, prediction, and assessment of cyber security risk
US20160226905A1 (en) Risk Scoring For Threat Assessment
US11238169B2 (en) Privacy score
US20150066575A1 (en) Enterprise risk assessment
JP6247749B2 (ja) 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
US8225407B1 (en) Incident prioritization and adaptive response recommendations
EP3038005A1 (en) Alert transmission program, alert transmission method, and alert transmission apparatus
Haupt et al. Robust identification of email tracking: A machine learning approach
US9171171B1 (en) Generating a heat map to identify vulnerable data users within an organization
US20230153427A1 (en) System and method for automated sensitive information discovery, monitoring and remediation
JP6145570B2 (ja) 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
KR101923996B1 (ko) 사이버 정보 유출 행위 추출 시스템
Qin et al. Using google analytics to support cybersecurity forensics
US20220210163A1 (en) Techniques for deployment of deceptive decoy elements in computing environments
JP7409978B2 (ja) リスク評価システムおよびリスク評価方法
Dobolyi et al. Predicting User Susceptibility to Phishing Websites
Paul et al. PUBLIC DISCLOSURE OF INFORMATION SECURITY BREACH INCIDENTS: SHORT-TERM STOCK MARKET REACTION ON INDIAN LISTED FIRMS

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161102

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171027

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171117

R150 Certificate of patent or registration of utility model

Ref document number: 6247749

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250