JP6357093B2 - ログ解析方法、ログ解析プログラム及びログ解析装置 - Google Patents
ログ解析方法、ログ解析プログラム及びログ解析装置 Download PDFInfo
- Publication number
- JP6357093B2 JP6357093B2 JP2014250955A JP2014250955A JP6357093B2 JP 6357093 B2 JP6357093 B2 JP 6357093B2 JP 2014250955 A JP2014250955 A JP 2014250955A JP 2014250955 A JP2014250955 A JP 2014250955A JP 6357093 B2 JP6357093 B2 JP 6357093B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- record
- log
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 47
- 238000004891 communication Methods 0.000 claims description 188
- 230000008520 organization Effects 0.000 claims description 36
- 238000000605 extraction Methods 0.000 claims description 25
- 238000012546 transfer Methods 0.000 claims description 18
- 239000000284 extract Substances 0.000 claims description 8
- DFUSDJMZWQVQSF-XLGIIRLISA-N (2r)-2-methyl-2-[(4r,8r)-4,8,12-trimethyltridecyl]-3,4-dihydrochromen-6-ol Chemical compound OC1=CC=C2O[C@@](CCC[C@H](C)CCC[C@H](C)CCCC(C)C)(C)CCC2=C1 DFUSDJMZWQVQSF-XLGIIRLISA-N 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 description 42
- 238000010586 diagram Methods 0.000 description 25
- 238000000034 method Methods 0.000 description 24
- 230000008569 process Effects 0.000 description 15
- 238000012545 processing Methods 0.000 description 12
- 230000004044 response Effects 0.000 description 12
- 230000006399 behavior Effects 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 5
- 235000014510 cooky Nutrition 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000010923 batch production Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、ログ解析方法、ログ解析プログラム及びログ解析装置に関する。
いわゆる情報漏洩への対策として、様々な技術が提案されている。例えば、社員の外部サービスの利用状況を監視する技術が提案されている(特許文献1)。具体的には、アカウント情報を抽出する条件に基づいて、外部サービスのリクエストの通信データからアカウント情報を抽出し、予めアカウント情報に対応付けられているユーザ識別情報を表示するとしている。
また、プロキシサーバから定期的に取得するアクセスログデータから不正候補ログデータを抽出し、さらに不正候補ログデータを解析対象としてログデータの絞り込みを行う技術も提案されている(特許文献2)。具体的には、ネットワーク管理者によって解析対象が重要度別に分類されたアクセス先URLデータに基づいて、アクセスログデータから不正候補ログデータを抽出し、さらに所定のフィルタリング条件に基づいてフィルタリング処理を実施することで絞り込みを行うとしている。
また、クライアント端末から電子メールの送信が指示された場合において、不正メールであると判断されたときは所定の制御指示を送信するという技術も提案されている(特許文献3)。具体的には、操作ログ情報に基づいてクライアント端末が事前にアクセスしたファイルを特定するとともに、ファイル毎のキーワードを抽出し、電子メールの本文と抽出したキーワードとを用いて不正メールであるか否かを判定するとしている。
従来、通信のログを蓄積したり、蓄積したログから予め定められた条件を満たすログデータを抽出する技術は提案されている。また、所定の条件を満たすメールの送信を制御する技術も提案されている。しかしながら、漏えいを防ぐべき対象となる情報の範囲や、情報の公開を許可する範囲は画一的に判断できるものではない。すなわち、いわゆる不正であると判断すべき通信の定義は、例えば会社等の組織ごとに異なったり、同一の組織であっても時間の経過と共に変化したり、通信先によって不正であるか否かの判断が変わることもある。
本発明は、上記のような問題に鑑みてなされたものであり、組織のメンバーが行う通信に関して、組織ごとの内部事情に特化した問題を発見すること又は発見を支援することを目的とする。
本発明に係るログ解析方法は、所定の組織において利用される内部ネットワークと、外部ネットワークとの間で発生した通信の記録を複数含む通信ログを記憶する記憶部から、組織ごとの内部事情に基づいて決定された条件によって通信の記録を抽出するログ抽出ス
テップと、抽出された通信の記録を出力する出力ステップとをコンピュータが実行する。
テップと、抽出された通信の記録を出力する出力ステップとをコンピュータが実行する。
画一的に適用できる条件ではなく、組織ごとの内部事情に基づいて決定された条件によって、通信ログから通信の記録を抽出すれば、問題につながりそうな通信を柔軟に発見することができるようになる。すなわち、組織のメンバーが行う通信に関して、組織ごとの内部事情に特化した問題を発見することができる。なお、所定の組織とは、各々が外部ネットワークへのアクセスを行う複数のメンバーを有する集団であり、例えば会社等をいうものとする。
また、通信ログは、複数の通信ルートに関する通信の記録を含むものであってもよい。なお、通信ルートとは、物理的な回線や通信のプロトコルではなく、電子メールやウェブコンテンツ、インスタントメッセンジャといったオンラインサービスを単位として、送受信される情報の経路を数えるものとする。個々の通信ルートを流れた通信の記録からはメンバーの行動が把握しきれない場合もあるところ、複数の通信ルートに関する通信の記録を解析の対象とすれば、メンバーのオンライン上での行動を多角的に把握できるようになる。
また、通信ログに含まれる通信の記録は、SMTP(Simple Mail Transfer Protocol
)、POP(Post Office Protocol)又はIMAP(Internet Message Access Protocol)の少なくともいずれかを利用した通信の記録、及びHTTP(Hypertext Transfer Protocol)を利用した通信の記録であってもよい。このようにすれば、いわゆる電子メール
の送信又は受信と、ウェブコンテンツへのアクセスとを少なくとも監視の対象とすることができる。少なくともこれらのプロトコルを利用する通信を監視することで、主要な通信の記録が監視対象から漏れるのを防ぐことができる。
)、POP(Post Office Protocol)又はIMAP(Internet Message Access Protocol)の少なくともいずれかを利用した通信の記録、及びHTTP(Hypertext Transfer Protocol)を利用した通信の記録であってもよい。このようにすれば、いわゆる電子メール
の送信又は受信と、ウェブコンテンツへのアクセスとを少なくとも監視の対象とすることができる。少なくともこれらのプロトコルを利用する通信を監視することで、主要な通信の記録が監視対象から漏れるのを防ぐことができる。
また、ログ解析方法は、通信の記録の少なくとも一部を一覧表示するステップと、一覧表示された通信の記録の内容を用いて、検索キー、通信が行われた時間帯、又はこれらの組み合わせによって表される条件の入力を受けるステップとをさらに含むようにしてもよい。そして、抽出ステップにおいて、条件に基づいて通信の記録を抽出するようにしてもよい。このようにすれば、例えばユーザが一覧の内容を確認しつつ、さらに抽出する通信の記録を適切に絞り込む処理を繰り返すことができる。
また、複数の通信ルートに関する通信の記録の内容を突き合わせ、いずれかの通信ルートにのみ内容が存在する通信の記録、又はいずれの通信ルートにも内容が存在する通信の記録を抽出するステップをさらに含むようにしてもよい。このように複数の通信ルートに関する通信のログを利用することによっても、メンバーのオンライン上での行動を多角的に把握できるようになる。
なお、課題を解決するための手段に記載した構成は、本発明の課題や技術的思想を逸脱しない範囲で可能な限り組み合わせることができる。また、課題を解決するための手段の内容は、コンピュータ等の装置若しくは複数の装置を含むシステム、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとして提供することができる。なお、プログラムを保持する記録媒体を提供するようにしてもよい。
組織のメンバーが行う通信に関して、組織ごとの内部事情に特化した問題を発見すること又は発見を支援することができるようになる。
以下、図面を参照して本発明を実施するための形態について説明する。なお、実施の形態に示す構成は一例であり、本発明はこれらの構成には限定されない。
<システム構成>
図1は、本実施形態に係るシステム構成の一例を示す図である。図1のシステムは、会社等のような所定の組織が利用するイントラネット(内部ネットワークとも呼ぶ)であるローカル・エリア・ネットワーク(LAN:Local Area Network)1と、インターネット等の外部ネットワーク2と、本発明に係る解析処理を行う解析装置3とを含む。なお、外部ネットワーク2には、図示していないウェブサーバやメールサーバ、その他の様々なオンラインサービスを提供するサーバ等が接続されているものとする。なお、解析装置3は、LAN1内に接続される構成であってもよい。
図1は、本実施形態に係るシステム構成の一例を示す図である。図1のシステムは、会社等のような所定の組織が利用するイントラネット(内部ネットワークとも呼ぶ)であるローカル・エリア・ネットワーク(LAN:Local Area Network)1と、インターネット等の外部ネットワーク2と、本発明に係る解析処理を行う解析装置3とを含む。なお、外部ネットワーク2には、図示していないウェブサーバやメールサーバ、その他の様々なオンラインサービスを提供するサーバ等が接続されているものとする。なお、解析装置3は、LAN1内に接続される構成であってもよい。
LAN1には、LAN1の一端であって外部ネットワーク2との境界に設けられるプロキシサーバ11と、ウェブサーバ、メールサーバ、ファイルサーバ等であるサーバ12と、LAN1を利用する組織の構成員(メンバー)が利用するコンピュータである端末13(図1の例では、13a及び13b)と、無線LANルータ14とを含む。なお、LAN1に含まれる機器は、図示していないルータやスイッチ、ハブ等を介して、有線又は無線により接続される。プロキシサーバ11は、LAN1に接続された端末13と外部ネットワーク2との通信を仲介する代理サーバである。本実施形態では、プロキシサーバ11は、LAN1に接続された端末13と外部ネットワーク2との通信履歴(通信ログ)を蓄積し、所定のタイミングで通信ログを解析装置3に送信する。なお、端末13のユーザ(すなわち、LAN1を利用する組織のメンバー)ごとに外部ネットワーク上のサービスに対する通信の可否を定めておき、プロキシサーバ11は、端末13ごとにアクセスを制御するようにしてもよい。また、端末13の各々が閲覧したウェブサイトの情報を所定期間キャッシュしておき、当該期間内にいずれかの端末13から同一のウェブサイトへの閲覧要求があった場合には、プロキシサーバ11はキャッシュしている情報を返すようにしてもよい。また、サーバ12が外部ネットワーク2に公開される場合は、サーバ11は非武装地帯(DMZ:DeMilitarized Zone)に設置されていてもよい。端末13は、例えばデスクトップ型又はラップトップ型のパーソナルコンピュータ(PC:Personal Computer)
、ワークステーション、スレートPC、スマートフォン、携帯電話機等のコンピュータである。図1の例では端末13a及び端末13bを示したが、LAN1に接続される端末1
3の数は特に限定されない。
、ワークステーション、スレートPC、スマートフォン、携帯電話機等のコンピュータである。図1の例では端末13a及び端末13bを示したが、LAN1に接続される端末1
3の数は特に限定されない。
図2は、本実施の形態に係るプロキシサーバ11の一例を示す機能ブロック図である。プロキシサーバ11は、LAN1に接続された機器と通信を行う内部通信部111と、発生した通信のログ等を蓄積する記憶部112と、記憶部112に通信のログを記憶させるログ記録部113と、外部ネットワーク2に接続された機器と通信を行う外部通信部114と、記憶部112に蓄積された通信のログを所定のタイミングで解析装置3に送信するログ送信部115とを含む。なお、プロキシサーバ11は、LAN1と外部ネットワーク2との間で送受信される情報の宛先の変換等を行う図示していない代理処理部等も有する。また、ログ送信部115が通信ログを解析装置3に送信するタイミングは任意であり、月次、日次等のバッチ処理として行ってもよいし、通信が発生する度に送信するようにしてもよい。
図3A〜図3Fは、記憶部112に記憶されるログの一例を示す表である。本実施形態では、ウェブページの閲覧や電子メールの送信などによって発生する通信を、例えばHTMLファイルごとやメールごとといった所定の単位で1レコードに記録する。そして、通信履歴(「通信ログ」とも呼ぶ)には複数のレコード(「通信の記録」とも呼ぶ)が含まれるものとする。なお、図3A〜図3Fの例では、記憶部112に格納する情報を行及び列からなる一般的な表で例示したが、通信ログを記憶する際の形式は特に限定されない。例えばRDBMS(Relational Database Management System)を採用してもよいし、い
わゆるNoSQLと呼ばれるような、キーバリュー型、オブジェクトデータベース、マルチバリューデータベース等の管理システムを採用してもよい。また、CSV(Comma-Separated Values)のようなデリミタ区切りで内容を記憶する形式を採用してもよい。
わゆるNoSQLと呼ばれるような、キーバリュー型、オブジェクトデータベース、マルチバリューデータベース等の管理システムを採用してもよい。また、CSV(Comma-Separated Values)のようなデリミタ区切りで内容を記憶する形式を採用してもよい。
図3Aは、HTTP(Hypertext Transfer Protocol)又はHTTPS(Hypertext Transfer Protocol Secure)を用いた通信のログの一例であり、ウェブコンテンツの閲覧を
行った場合のログを示す。すなわち、端末13が備えるウェブブラウザと、外部ネットワーク2に接続されたウェブサーバとの間で、HTML(HyperText Markup Language)等
で記載されたコンテンツを送受信する場合に、プロキシサーバ11の記憶部112には、図3Aに示すような項目を含む1つのレコードが記録される。なお、ウェブブラウザが1つのウェブページを表示するためには、例えばウェブページ内に含まれる画像の各々についてウェブブラウザからのリクエストとウェブサーバからのレスポンスとが送受信される。図3Aに示すログは、これらのリクエストやレスポンスをそれぞれ記録するのではなく、例えば1つのHTMLファイルに関する通信を1レコードとして記録するものとする。図3Aに示すログは、送信日時、受信日時、ホスト名、サーバ情報、リファラ、ユーザエージェント、送信元IPアドレス、送信先IPアドレス、利用ポート、ログイン情報、Cookie情報、文字コード情報、HTTPリクエストURL、HTTPリクエストボディの内容、HTTPレスポ
ンスボディの内容、ファイル名、その他HTTPヘッダ情報といった項目を含む。これらの項目に対応する内容は、リクエストやレスポンスのヘッダやボディ、TCPヘッダやIPヘッダ等からそれぞれ取得することができる。
行った場合のログを示す。すなわち、端末13が備えるウェブブラウザと、外部ネットワーク2に接続されたウェブサーバとの間で、HTML(HyperText Markup Language)等
で記載されたコンテンツを送受信する場合に、プロキシサーバ11の記憶部112には、図3Aに示すような項目を含む1つのレコードが記録される。なお、ウェブブラウザが1つのウェブページを表示するためには、例えばウェブページ内に含まれる画像の各々についてウェブブラウザからのリクエストとウェブサーバからのレスポンスとが送受信される。図3Aに示すログは、これらのリクエストやレスポンスをそれぞれ記録するのではなく、例えば1つのHTMLファイルに関する通信を1レコードとして記録するものとする。図3Aに示すログは、送信日時、受信日時、ホスト名、サーバ情報、リファラ、ユーザエージェント、送信元IPアドレス、送信先IPアドレス、利用ポート、ログイン情報、Cookie情報、文字コード情報、HTTPリクエストURL、HTTPリクエストボディの内容、HTTPレスポ
ンスボディの内容、ファイル名、その他HTTPヘッダ情報といった項目を含む。これらの項目に対応する内容は、リクエストやレスポンスのヘッダやボディ、TCPヘッダやIPヘッダ等からそれぞれ取得することができる。
図3Bは、HTTP(Hypertext Transfer Protocol)又はHTTPS(Hypertext Transfer Protocol Secure)を用いた通信のログの一例であり、情報の投稿や共有を行った
場合のログを示す。すなわち、端末13から、外部ネットワーク2に接続されたウェブサーバ等に対し、テキストやファイルの送信が行われた場合にこれらの投稿を示す1つのレコードが記録される。図3Bに示すログは、送信日時、受信日時、ホスト名、サーバ情報、リファラ、ユーザエージェント、送信元IPアドレス、送信先IPアドレス、利用ポート、ログイン情報、Cookie情報、文字コード情報、HTTPリクエストURL、HTTPリクエストボデ
ィの内容、HTTPレスポンスボディの内容、投稿者名、投稿内容、情報閲覧履歴、所属グループ情報、ファイル名、その他HTTPヘッダ情報といった項目を含む。これらの項目に対応
する内容も、リクエストやレスポンスのヘッダやボディ、TCPヘッダやIPヘッダ等からそれぞれ取得することができる。なお、投稿者や投稿内容、ログイン情報、所属グループ情報等の項目は、例えばアクセス先のドメイン名やサービスごとにリクエストボディ等を解析することにより、送受信される内容を適宜項目わけして表示するようにすればよい。
場合のログを示す。すなわち、端末13から、外部ネットワーク2に接続されたウェブサーバ等に対し、テキストやファイルの送信が行われた場合にこれらの投稿を示す1つのレコードが記録される。図3Bに示すログは、送信日時、受信日時、ホスト名、サーバ情報、リファラ、ユーザエージェント、送信元IPアドレス、送信先IPアドレス、利用ポート、ログイン情報、Cookie情報、文字コード情報、HTTPリクエストURL、HTTPリクエストボデ
ィの内容、HTTPレスポンスボディの内容、投稿者名、投稿内容、情報閲覧履歴、所属グループ情報、ファイル名、その他HTTPヘッダ情報といった項目を含む。これらの項目に対応
する内容も、リクエストやレスポンスのヘッダやボディ、TCPヘッダやIPヘッダ等からそれぞれ取得することができる。なお、投稿者や投稿内容、ログイン情報、所属グループ情報等の項目は、例えばアクセス先のドメイン名やサービスごとにリクエストボディ等を解析することにより、送受信される内容を適宜項目わけして表示するようにすればよい。
図3Cは、HTTP(Hypertext Transfer Protocol)又はHTTPS(Hypertext Transfer Protocol Secure)を用いた通信のログの一例であり、ファイルの転送又は共有サ
ービスを利用した場合のログを示す。すなわち、端末13から、外部ネットワーク2に接続されたウェブサーバ等に対し、ファイルの送信が行われた場合にファイル送信を示す1つのレコードが記録される。図3Cに示すログは、送信日時、受信日時、ホスト名、サーバ情報、リファラ、ユーザエージェント、送信元IPアドレス、送信先IPアドレス、利用ポート、ログイン情報、Cookie情報、文字コード情報 、HTTPリクエストURL、HTTPリクエストボディの内容、HTTPレスポンスボディの内容、ファイル名、その他HTTPヘッダ情報といった項目を含む。これらの項目に対応する内容も、リクエストやレスポンスのヘッダやボディ、TCPヘッダやIPヘッダ等からそれぞれ取得することができる。
ービスを利用した場合のログを示す。すなわち、端末13から、外部ネットワーク2に接続されたウェブサーバ等に対し、ファイルの送信が行われた場合にファイル送信を示す1つのレコードが記録される。図3Cに示すログは、送信日時、受信日時、ホスト名、サーバ情報、リファラ、ユーザエージェント、送信元IPアドレス、送信先IPアドレス、利用ポート、ログイン情報、Cookie情報、文字コード情報 、HTTPリクエストURL、HTTPリクエストボディの内容、HTTPレスポンスボディの内容、ファイル名、その他HTTPヘッダ情報といった項目を含む。これらの項目に対応する内容も、リクエストやレスポンスのヘッダやボディ、TCPヘッダやIPヘッダ等からそれぞれ取得することができる。
図3Dは、HTTP(Hypertext Transfer Protocol)又はHTTPS(Hypertext Transfer Protocol Secure)を用いた通信のログの一例であり、ウェブメールサービスを利
用した場合のログを示す。すなわち、端末13から、外部ネットワーク2に接続されたウェブサーバ等に対し、メール送信の指示が行われた場合にメール送信を示す1つのレコードが記録される。図3Dに示すログは、送信日時、受信日時、ホスト名、サーバ情報、リファラ、ユーザエージェント、コンテンツタイプ、送信元IPアドレス、送信先IPアドレス、ポート番号、ログイン情報、Cookie情報、文字コード情報、HTTPリクエストURL、HTTP
リクエストボディの内容、HTTPレスポンスボディの内容、その他HTTPヘッダ、送信メールアドレス、受信メールアドレス、メール件名、メール本文、メール添付データといった項目を含む。これらの項目に対応する内容も、リクエストやレスポンスのヘッダやボディ、TCPヘッダやIPヘッダ等からそれぞれ取得することができる。
用した場合のログを示す。すなわち、端末13から、外部ネットワーク2に接続されたウェブサーバ等に対し、メール送信の指示が行われた場合にメール送信を示す1つのレコードが記録される。図3Dに示すログは、送信日時、受信日時、ホスト名、サーバ情報、リファラ、ユーザエージェント、コンテンツタイプ、送信元IPアドレス、送信先IPアドレス、ポート番号、ログイン情報、Cookie情報、文字コード情報、HTTPリクエストURL、HTTP
リクエストボディの内容、HTTPレスポンスボディの内容、その他HTTPヘッダ、送信メールアドレス、受信メールアドレス、メール件名、メール本文、メール添付データといった項目を含む。これらの項目に対応する内容も、リクエストやレスポンスのヘッダやボディ、TCPヘッダやIPヘッダ等からそれぞれ取得することができる。
図3Eは、SMTP(Simple Mail Transfer Protocol)又はSMTPoverSSL
を用いた通信のログの一例であり、いわゆる電子メールを送信した場合のログを示す。すなわち、端末13から、外部ネットワーク2に接続されたメールサーバ等に対し、メール送信の指示が行われた場合にメール送信を示す1つのレコードが記録される。図3Eに示すログは、メール送信日時、送信元IPアドレス、接続メールサーバアドレス、ポート番号、コンテンツタイプ、送信先メールアドレス、送信元メールアドレス、メッセージID、メール件名、メール本文、メール添付データ、SSL証明書情報、ログイン情報、ユーザエー
ジェントといった項目を含む。これらの項目に対応する内容は、TCPヘッダやIPヘッダのほか、メールヘッダやメールボディから適宜取得することができる。
を用いた通信のログの一例であり、いわゆる電子メールを送信した場合のログを示す。すなわち、端末13から、外部ネットワーク2に接続されたメールサーバ等に対し、メール送信の指示が行われた場合にメール送信を示す1つのレコードが記録される。図3Eに示すログは、メール送信日時、送信元IPアドレス、接続メールサーバアドレス、ポート番号、コンテンツタイプ、送信先メールアドレス、送信元メールアドレス、メッセージID、メール件名、メール本文、メール添付データ、SSL証明書情報、ログイン情報、ユーザエー
ジェントといった項目を含む。これらの項目に対応する内容は、TCPヘッダやIPヘッダのほか、メールヘッダやメールボディから適宜取得することができる。
図3Fは、POP(Post Office Protocol)又はPOPoverSSLを用いた通信のログの一例であり、いわゆる電子メールを受信した場合のログを示す。すなわち、端末13から、外部ネットワーク2に接続されたメールサーバ等に対し、メール受信が行われた場合にメール受信を示す1つのレコードが記録される。なお、IMAP(Internet Message Access Protocol)又はIMAPoverSSLを用いた通信のログも同様である。図3Fに示すログは、メール受信日時、送信元IPアドレス、接続メールサーバアドレス、ポート番号、コンテンツタイプ、メッセージID、送信者メールアドレス、受信メールアドレス、メール件名、メール本文、メール添付データ、SSL証明書情報、ログイン情報といっ
た項目を含む。これらの項目に対応する内容も、TCPヘッダやIPヘッダのほか、メールヘッダやメールボディから適宜取得することができる。
た項目を含む。これらの項目に対応する内容も、TCPヘッダやIPヘッダのほか、メールヘッダやメールボディから適宜取得することができる。
上述の通り、例えばHTTPを利用して送受信される情報は、オンラインサービスごとにリクエストボディやレスポンスボディに独自の項目を含むことがある。図3Gは、ウェブメールを送る際に送信されるHTTPリクエストの一例を示す。また、HTTPリクエストは、1行の空白をはさんでリクエストヘッダとリクエストボディとを含む。そして、図3Gのリクエストボディは、アンパサンド(&)で始まる「to」、「cc」、「bcc」、
「subjectbox」、「composeid」、「from」、「subject」・・・といった項目と、これらの項目に対応付けてイコール(=)で接続された内容とを含んでいる。本実施形態では、プロキシサーバ11の記憶部112に、取得すべき項目を予め設定しておき、図3Dに示したような通信ログを記録する。図3Gの例では、例えば項目「to」の内容を通信ログの「送信先メールアドレス」として記録し、項目「from」の内容を通信ログの「送信元メールアドレス」として記録し、項目「subject」の内容を通信ログの「メール件名」として
記憶し、項目「body」の内容を通信ログの「メール本文」として記録する。以上のようなリクエストボディの構造はオンラインサービスごとに異なるため、あらかじめ構造を解析して通信ログを記録できるようにしておく。すなわち、宛先、件名、内容といった電子メールの構成要素や、掲示板、メッセンジャ等への投稿データの構成要素を表す項目(属性)であって、リクエストボディから抽出すべき項目を予めオンラインサービスごとに保持しておき、各項目に対応付けられた内容を示す文字列を取得する。
「subjectbox」、「composeid」、「from」、「subject」・・・といった項目と、これらの項目に対応付けてイコール(=)で接続された内容とを含んでいる。本実施形態では、プロキシサーバ11の記憶部112に、取得すべき項目を予め設定しておき、図3Dに示したような通信ログを記録する。図3Gの例では、例えば項目「to」の内容を通信ログの「送信先メールアドレス」として記録し、項目「from」の内容を通信ログの「送信元メールアドレス」として記録し、項目「subject」の内容を通信ログの「メール件名」として
記憶し、項目「body」の内容を通信ログの「メール本文」として記録する。以上のようなリクエストボディの構造はオンラインサービスごとに異なるため、あらかじめ構造を解析して通信ログを記録できるようにしておく。すなわち、宛先、件名、内容といった電子メールの構成要素や、掲示板、メッセンジャ等への投稿データの構成要素を表す項目(属性)であって、リクエストボディから抽出すべき項目を予めオンラインサービスごとに保持しておき、各項目に対応付けられた内容を示す文字列を取得する。
なお、監視の対象とする通信ログは上述したプロトコルを利用するソフトウェアで送受信されるものには限られない。例えばインスタントメッセンジャの機能を有するソフトウェアについて、送受信されるパケットの内容を解析し、監視対象としてもよい。本実施形態では、上述した通信ログがプロキシサーバ11の記憶部112に蓄積され、所定のタイミングで解析装置3に送信されるものとする。
また、本実施形態に係るプロキシサーバは、SSL(/TLS)通信を復号し、ログを平文で蓄積する。図4A、図4Bは、SSL通信を説明するための模式的なシーケンス図である。図4Aは、SSL暗号化通信の開始までに行うハンドシェイクを説明するための図である。まず、端末13は外部ネットワークに存在するサーバ(ここでは、ウェブサーバとする)に対してSSL通信の開始を要求する。このとき、プロキシサーバ11は通信を仲介する(図4A:(1)、(2))。一方、ウェブサーバはサーバ証明書を端末13に向けて送信する(図4A:(3))。このとき、ウェブサーバの公開鍵が送信される。また、これを中継するプロキシサーバ11は、ウェブサーバの公開鍵を保持し(図4A:(4))、端末13へは、例えばウェブサーバの証明書に記述されている識別名(Subject DN(Distinguished Name))等に基づいて生成及び署名した証明書を送信する(図4A:(5))。なお、秘密鍵を利用可能な既存の証明書を送信するようにしてもよい。このような中間者攻撃の手法を用いた処理は、例えばSSLsplitのような既存のツールを用いて実行することもできる。その後、端末13は、共通鍵を生成し(図4A:(6))、プロキシサーバ11から受信した公開鍵で暗号化して、ウェブサーバへ向けて送信する(図4A:(7))。これを中継するプロキシサーバ11は、例えば自身が生成及び署名して端末13に送信した証明書の公開鍵と対になる秘密鍵を用いて、端末13から受信した共通鍵を復号し、記憶部に保持する。また、プロキシサーバ11は、復号化された共通鍵をウェブサーバの公開鍵で暗号化し、ウェブサーバへ送信する(図4A:(9))。そして、ウェブサーバは端末13が生成した共通鍵を受信する(図4A:(10))。
図4Bは、SSL暗号化通信が確立した後の通信を示す模式的なシーケンス図である。まず、端末13は、共通鍵を用いて、送信する平文から暗号文を生成し(図4B:(11))、暗号文をウェブサーバへ送信する(図4B(12))。これを中継するプロキシサーバ11は、自身が保持している共通鍵を用いて通信の内容を復号し、ログにレコードを記録する(図4B:(13))。そして、端末から受信した暗号文をウェブサーバへ転送する(図4B(14))。一方、ウェブサーバは、共通鍵を用いて受信した暗号文を復号
する(図4B:(15))。そして、応答の内容を、共通鍵を用いて暗号化し(図4B:(16))、暗号文を端末13へ送信する(図4B(17))。これを中継するプロキシサーバ11は、自身が保持している共通鍵を用いて通信の内容を復号し、ログにレコードを記録する(図4B:(18))。そして、ウェブサーバから受信した暗号文を端末13へ転送する(図4B(19))。その後、端末13は、共通鍵を用いて受信した暗号文を復号する(図4B:(20))。以上のように、本実施形態に係るプロキシサーバ11は、SSL暗号化通信の内容もログに蓄積することができる。
する(図4B:(15))。そして、応答の内容を、共通鍵を用いて暗号化し(図4B:(16))、暗号文を端末13へ送信する(図4B(17))。これを中継するプロキシサーバ11は、自身が保持している共通鍵を用いて通信の内容を復号し、ログにレコードを記録する(図4B:(18))。そして、ウェブサーバから受信した暗号文を端末13へ転送する(図4B(19))。その後、端末13は、共通鍵を用いて受信した暗号文を復号する(図4B:(20))。以上のように、本実施形態に係るプロキシサーバ11は、SSL暗号化通信の内容もログに蓄積することができる。
図4は、本実施形態に係る解析装置3の一例を示す機能ブロック図である。本実施形態に係る解析装置3は、LAN1のプロキシサーバ11が蓄積した通信ログを、外部ネットワーク2を介して受信するログ取得部31と、受信した通信ログを記憶する記憶部32と、通信ログから所定のレコードを抽出するための条件の入力を受ける条件入力部33と、入力された条件に合致するレコードを抽出する抽出部34と、抽出されたレコードを出力する出力部35とを含む。本実施形態では、抽出部34は入力された抽出条件に基づいて、例えば図3A〜図3Fに示した項目に対して行う文字列の検索(完全一致、部分一致等)や、日時等の項目に対する範囲検索、送信元又は送信先等の項目ごとに行う通信回数等の集計等の処理を行う。また、例えば図3A〜図3Fに示した様々な通信ログから横断的にレコードを抽出したり、様々な通信ログに含まれるレコードを突き合わせて所定の情報を抽出することもできる。
LAN1内の端末13から電子メールを送信する手段には、いわゆるメーラのようにSMTPやIMAPを利用して電子メールを送信するソフトウェアもあれば、ブラウザによってアクセスすることができるHTTPを利用して電子メールを送信するウェブメールサービスもある。したがって、LAN1内の端末13から様々なプロトコルを利用する様々なサービスの通信ログを横断的に検索することができれば、端末13のユーザの通信の監視漏れを低減することができる。
図6A及び図6Bは、解析処理を行うソフトウェアのユーザインターフェースの一例を示す図である。ユーザインターフェースは、通信ログの検索条件を入力するための「条件入力欄」と、検索結果を表示するための「結果出力欄」を有している。
図6Aは、HTTPを利用した通信のログから、「upload」を検索文字列としてレコードを抽出する例を示している。検索の対象とする項目は、例えば図3A〜図3Dに示した項目のいずれかに絞ってもよいし、いずれかの項目に対応する内容に検索文字列が含まれていれば抽出できるようにしてもよい。また、図6Aの例では、日時の検索範囲を2014年5月13日から2014年5月20日に絞っている。そして、図6Aの例では、抽出されたレコードについて、送信日時、送信元IPアドレス、送信先IPアドレス、利用ポート、ホスト名、(添付)ファイル名といった項目の内容を表示している。HTTPを利用した通信を検索対象としているため、図6Aの例では、例えばウェブメールに添付したファイルや、ファイル共有サービスに転送したファイル等、様々なサービスに関して通信のログを横断的に監視することができるようになる。なお、図6Aに示した項目は一例であり、図3A〜図3Dに示したログに含まれる任意の項目を表示することができる。
図6Bは、SMTPを利用した通信のログから就業時間外(Off hours)に送信された
メールの一覧を抽出した例を示している。なお、就業時間を示す開始時刻及び終了時刻は、別途定義しておくものとする。図6Bの例では、抽出されたレコードについて、送信日時、送信元IPアドレス、送信先IPアドレス、送信元メールアドレス、送信先メールアドレス、メール件名、メッセージID、メール添付データ、メール本文といった項目の内容を表示している。なお、メール本文は、例えば各リンクをクリックすることにより詳細な内容が表示される。図6Aに示したHTTPを利用した通信だけでなく、監視対象とす
るプロトコルを増やすことで、メンバーのネットワーク上での行動を漏れなく監視することができるようになる。また、吹き出しに示すように、添付ファイルやメール本文をクリックすることで詳細な内容を表示できるようにしてもよい。図6Bに示した項目も一例であり、図3Eに示したログに含まれる任意の項目を表示することができる。同様に、図3Fに示した、POP又はIMAPを用いた通信のログについても、少なくとも一部の項目を表示するようなユーザインターフェースを出力することができる。
メールの一覧を抽出した例を示している。なお、就業時間を示す開始時刻及び終了時刻は、別途定義しておくものとする。図6Bの例では、抽出されたレコードについて、送信日時、送信元IPアドレス、送信先IPアドレス、送信元メールアドレス、送信先メールアドレス、メール件名、メッセージID、メール添付データ、メール本文といった項目の内容を表示している。なお、メール本文は、例えば各リンクをクリックすることにより詳細な内容が表示される。図6Aに示したHTTPを利用した通信だけでなく、監視対象とす
るプロトコルを増やすことで、メンバーのネットワーク上での行動を漏れなく監視することができるようになる。また、吹き出しに示すように、添付ファイルやメール本文をクリックすることで詳細な内容を表示できるようにしてもよい。図6Bに示した項目も一例であり、図3Eに示したログに含まれる任意の項目を表示することができる。同様に、図3Fに示した、POP又はIMAPを用いた通信のログについても、少なくとも一部の項目を表示するようなユーザインターフェースを出力することができる。
図6A及び図6Bに示したようなユーザインターフェースを介して、解析装置3の条件入力部33、出力部35は、それぞれ条件の入力受付、抽出結果の出力を行う。なお、図6A及び図6Bに示したユーザインターフェースは一例であり、例えば添付ファイルの有無等その他の項目を条件入力欄に指定できるようにしてもよい。また、組織のメンバーの識別情報と、当該メンバーが使用する端末13のIPアドレスを対応付けて記憶しておくと共に、メンバーごとに許可される通信の条件を別途設定しておき、許可された範囲から外れたことを条件としてレコードを抽出できるようにしてもよい。また、条件を入力した状態でタブを切り替えることにより、同一の条件で他のプロトコルを利用した通信のログを検索するようにしてもよい。このようにすれば、様々な通信ルートを横断的に検索する処理が容易になる。また、図3A〜図3Fに示した様々なプロトコルに係るログを混合し、例えば通信の発生した日時等任意の項目でソートして出力するようにしてもよい。このようにすれば、タブを切り替えることなく様々な通信ルートを横断的に検索することができる。
<装置構成>
図7は、コンピュータの一例を示す装置構成図である。解析装置3、プロキシサーバ11、サーバ12、端末13は、例えば図7に示すようなコンピュータである。図7に示すコンピュータ1000は、CPU(Central Processing Unit)1001、主記憶装置1
002、補助記憶装置(外部記憶装置)1003、通信IF(Interface)1004、入
出力IF(Interface)1005、ドライブ装置1006、通信バス1007を備えてい
る。CPU1001は、プログラムを実行することにより本実施の形態に係る処理等を行う。主記憶装置1002は、CPU1001が読み出したプログラムやデータをキャッシュしたり、CPUの作業領域を展開したりする。主記憶装置は、具体的には、RAM(Random Access Memory)やROM(Read Only Memory)等である。補助記憶装置1003は、CPU1001により実行されるプログラムや、本実施の形態で用いる設定情報などを記憶する。補助記憶装置1003は、具体的には、HDD(Hard-disk Drive)やSSD
(Solid State Drive)、eMMC(embedded Multi-Media Card)、フラッシュメモリ等である。主記憶装置1002や補助記憶装置1003は、解析装置3の記憶部32やプロキシサーバ11の記憶部112として働く。通信IF1004は、他のコンピュータとの間でデータを送受信する。解析装置3のログ取得部32やプロキシサーバ11の内部通信部111、外部通信部114、ログ送信部115は、通信IF1004を介してネットワーク2又はLAN1の他の装置に接続される。通信IF1004は、具体的には、有線又は無線のネットワークカード等である。入出力IF1005は、入出力装置と接続され、ユーザから入力を受け付けたり、ユーザへ情報を出力したりする。入出力装置は、具体的には、キーボード、マウス、ディスプレイ、タッチパネル等である。解析装置3の条件入力部33や出力部35は、入出力IF1005を介して情報の入出力を行う。ドライブ装置1006は、磁気ディスク、光磁気ディスク、光ディスク等の記憶媒体に記録されたデータを読み出したり、記憶媒体にデータを書き込んだりする。そして、以上のような構成要素が、通信バス1007で接続されている。なお、これらの構成要素はそれぞれ複数設けられていてもよいし、一部の構成要素(例えば、ドライブ装置1006)を設けないようにしてもよい。また、入出力装置がコンピュータと一体に構成されていてもよい。また、ドライブ装置1006で読み取り可能な可搬性の記憶媒体や、フラッシュメモリのような可搬性の補助記憶装置1003、通信IF1004などを介して、本実施の形態で実行
されるプログラムが提供されるようにしてもよい。そして、CPU1001がプログラムを実行することにより、上記のようなコンピュータを解析装置3として働かせる。
図7は、コンピュータの一例を示す装置構成図である。解析装置3、プロキシサーバ11、サーバ12、端末13は、例えば図7に示すようなコンピュータである。図7に示すコンピュータ1000は、CPU(Central Processing Unit)1001、主記憶装置1
002、補助記憶装置(外部記憶装置)1003、通信IF(Interface)1004、入
出力IF(Interface)1005、ドライブ装置1006、通信バス1007を備えてい
る。CPU1001は、プログラムを実行することにより本実施の形態に係る処理等を行う。主記憶装置1002は、CPU1001が読み出したプログラムやデータをキャッシュしたり、CPUの作業領域を展開したりする。主記憶装置は、具体的には、RAM(Random Access Memory)やROM(Read Only Memory)等である。補助記憶装置1003は、CPU1001により実行されるプログラムや、本実施の形態で用いる設定情報などを記憶する。補助記憶装置1003は、具体的には、HDD(Hard-disk Drive)やSSD
(Solid State Drive)、eMMC(embedded Multi-Media Card)、フラッシュメモリ等である。主記憶装置1002や補助記憶装置1003は、解析装置3の記憶部32やプロキシサーバ11の記憶部112として働く。通信IF1004は、他のコンピュータとの間でデータを送受信する。解析装置3のログ取得部32やプロキシサーバ11の内部通信部111、外部通信部114、ログ送信部115は、通信IF1004を介してネットワーク2又はLAN1の他の装置に接続される。通信IF1004は、具体的には、有線又は無線のネットワークカード等である。入出力IF1005は、入出力装置と接続され、ユーザから入力を受け付けたり、ユーザへ情報を出力したりする。入出力装置は、具体的には、キーボード、マウス、ディスプレイ、タッチパネル等である。解析装置3の条件入力部33や出力部35は、入出力IF1005を介して情報の入出力を行う。ドライブ装置1006は、磁気ディスク、光磁気ディスク、光ディスク等の記憶媒体に記録されたデータを読み出したり、記憶媒体にデータを書き込んだりする。そして、以上のような構成要素が、通信バス1007で接続されている。なお、これらの構成要素はそれぞれ複数設けられていてもよいし、一部の構成要素(例えば、ドライブ装置1006)を設けないようにしてもよい。また、入出力装置がコンピュータと一体に構成されていてもよい。また、ドライブ装置1006で読み取り可能な可搬性の記憶媒体や、フラッシュメモリのような可搬性の補助記憶装置1003、通信IF1004などを介して、本実施の形態で実行
されるプログラムが提供されるようにしてもよい。そして、CPU1001がプログラムを実行することにより、上記のようなコンピュータを解析装置3として働かせる。
<解析処理>
図8は、解析装置3が行う解析処理の一例を示す処理フロー図である。なお、プロキシサーバ11に蓄積された通信ログが、ログ送信部115によって解析装置3に送信され、すでに解析装置3の記憶部32に保持されているものとする。
図8は、解析装置3が行う解析処理の一例を示す処理フロー図である。なお、プロキシサーバ11に蓄積された通信ログが、ログ送信部115によって解析装置3に送信され、すでに解析装置3の記憶部32に保持されているものとする。
まず、解析装置3の抽出条件入力部33は、通信ログから所定のレコードを抽出するための条件を、ユーザから受ける(図8:S1)。本実施形態において入力される条件は、組織ごとの内部事情に基づいて決定する。条件は、定期的なコンサルティングを通じて組織ごとに例えば漏洩を注意すべき情報を決めるようにしてもよい。また、組織の内規が変更された場合に、新たな条件が設定されるようにしてもよい。以上のような条件は、解析処理のオペレータによって、例えば図6A及び図6Bに示した条件入力欄に入力される。
また、解析装置3の抽出部34は、入力された抽出条件に基づいて、記憶部32に蓄積されている通信ログから条件に該当するレコードを抽出する(S2)。ここでは、一般的なデータベース(DB:Database)の操作により条件に合致するレコードを抽出することができる。
そして、解析装置3の出力部35は、抽出されたレコードを出力する(S3)。ここでは、S2において抽出されたレコードについて、通信ログに記憶された項目のうち少なくとも一部の項目の内容が一覧表示される。例えば、図6A及び図6Bに示した結果出力欄に、内容が出力される。
その後、解析装置3の条件入力部33は、処理を継続するか判断する(S4)。例えば、抽出条件が入力された場合は、処理を継続するものと判断し(S4:YES)、S1の処理に戻る。一方、例えば解析処理のオペレータからプログラムの終了が指示されたような場合は、処理を終了するものと判断し(S4:NO)、解析処理を終了する。なお、以上のような解析処理を例えば1か月ごとなど任意の間隔で継続するようにしてもよい。また、出力結果を踏まえて、組織ごとに例えば漏えいを防止すべき情報についてコンサルティングを行い、通信ログの新たな抽出条件を決めるようにしてもよい。このようにして抽出された通信を行ったメンバーに対しては、さらに詳細な調査を行ったり、注意を喚起したりするものとする。
このように、画一的に適用できる条件ではなく、組織ごとの内部事情に基づいて決定された条件によって通信の記録を抽出すれば、問題につながりそうな組織のメンバーの通信を柔軟に発見することができるようになる。すなわち、組織のメンバーが行う通信に関して、組織ごとの内部事情に特化した問題を発見することができる。本実施形態に係る解析処理は、様々なプロトコルを利用する通信のログを総合的に検索できるため、様々な組織の要求に応じた検索結果を提供するのに好適なものとなっている。以下、具体的なケースに当てはめて説明する。
<例1>
例1では、メンバーが所属する部署ごとに、残業自体が禁止されていたり、深夜の残業が禁止されていたり、又は残業申請の提出により残業が許可されるような場合において、ルールに違反しているメンバーを抽出する例を説明する。この場合、図8のS2において、抽出部34は、例えば図3A〜図3Fに示した様々な通信のログから、定時後や22時以降等、所定の時間帯に行われた通信の送信元IPアドレスやメールアドレス等に対応付けられたメンバーの識別情報を取得することで、定時後又は深夜の時間帯に業務を行った
メンバーを抽出する。さらに、抽出部34は、所定の時間帯に通信を行ったことを示すレコードであっても、残業申請を提出していた日については抽出しないようにしてもよい。このとき、残業申請の有無を示す電子データも予め記憶部34に記憶させておき、通信ログと突き合わせる処理を行ってもよい。以上のように、本例では通信のログを参照することによって、間接的にメンバーの勤務時間を監視している。また、本例ではメーラによって送信された電子メールだけでなく、ウェブメールを利用して送信された電子メールなど、様々な通信ルートを監視できるため、より正確にメンバーの行動を把握することができるようになる。
例1では、メンバーが所属する部署ごとに、残業自体が禁止されていたり、深夜の残業が禁止されていたり、又は残業申請の提出により残業が許可されるような場合において、ルールに違反しているメンバーを抽出する例を説明する。この場合、図8のS2において、抽出部34は、例えば図3A〜図3Fに示した様々な通信のログから、定時後や22時以降等、所定の時間帯に行われた通信の送信元IPアドレスやメールアドレス等に対応付けられたメンバーの識別情報を取得することで、定時後又は深夜の時間帯に業務を行った
メンバーを抽出する。さらに、抽出部34は、所定の時間帯に通信を行ったことを示すレコードであっても、残業申請を提出していた日については抽出しないようにしてもよい。このとき、残業申請の有無を示す電子データも予め記憶部34に記憶させておき、通信ログと突き合わせる処理を行ってもよい。以上のように、本例では通信のログを参照することによって、間接的にメンバーの勤務時間を監視している。また、本例ではメーラによって送信された電子メールだけでなく、ウェブメールを利用して送信された電子メールなど、様々な通信ルートを監視できるため、より正確にメンバーの行動を把握することができるようになる。
<例2>
例2では、組織の内規として電子メールの添付ファイルには必ずパスワードを設定することが求められている場合において、違反しているメンバーを抽出する例を説明する。この場合、図8のS2において、抽出部34は、図3Eに示したSMTPを利用する通信や図3Fに示したIMAPを利用する通信のログから、メール添付データが付いており、且つメール添付データが平文のままのレコードを抽出する。メール添付データにパスワードが設定されているか否かは、例えば、プログラムがファイルの属性値を参照してパスワードの有無を判定してもよいし、プログラムからファイルのオープンを試み、開けなければパスワードが設定されていると判定するようにしてもよい。また、このような判定は、添付ファイルの種類(拡張子)ごとに異なる方法で行うようにしてもよい。また、メール添付データにパスワードが設定されていないレコードが抽出された場合、抽出したレコードの送信者メールアドレス又は送信元IPアドレスに対応付けられたユーザの識別情報に基づいて、違反しているメンバーを特定し、例えば出力部35は該当するメンバーに対して改善を促す内容のメールも送信する。本例でも、いわゆる電子メールだけでなく、ウェブメールの添付データについても総合的に監視できる。すなわち、より正確にメンバーの行動を把握することができるようになる。
例2では、組織の内規として電子メールの添付ファイルには必ずパスワードを設定することが求められている場合において、違反しているメンバーを抽出する例を説明する。この場合、図8のS2において、抽出部34は、図3Eに示したSMTPを利用する通信や図3Fに示したIMAPを利用する通信のログから、メール添付データが付いており、且つメール添付データが平文のままのレコードを抽出する。メール添付データにパスワードが設定されているか否かは、例えば、プログラムがファイルの属性値を参照してパスワードの有無を判定してもよいし、プログラムからファイルのオープンを試み、開けなければパスワードが設定されていると判定するようにしてもよい。また、このような判定は、添付ファイルの種類(拡張子)ごとに異なる方法で行うようにしてもよい。また、メール添付データにパスワードが設定されていないレコードが抽出された場合、抽出したレコードの送信者メールアドレス又は送信元IPアドレスに対応付けられたユーザの識別情報に基づいて、違反しているメンバーを特定し、例えば出力部35は該当するメンバーに対して改善を促す内容のメールも送信する。本例でも、いわゆる電子メールだけでなく、ウェブメールの添付データについても総合的に監視できる。すなわち、より正確にメンバーの行動を把握することができるようになる。
<例3>
例3では、組織が抱える懸念材料として特定の事柄に関する情報の漏えいを防止したい場合において、外部に関連事項を送信しているメンバーを抽出する例を説明する。この場合、図8のS2において、抽出部34は、図3B〜図3Fに示した通信のログから、上述した特定の事柄に関するキーワードや関連するワードを検索キーにするとともに、送信先メールアドレス又は送信先IPアドレスが、組織内で利用されているもの以外であることを検索条件とし、組織外への通信を抽出する。このとき、当該情報を送信しても問題のない受信メールアドレスのドメイン名の一覧(すなわち、ホワイトリスト)や、当該情報を送信してはいけない受信メールアドレスのドメイン名の一覧(いわゆる、ブラックリスト)等を用いて、抽出するレコードを絞り込むようにしてもよい。このようにして、外部に関連事項を送信したことを示すレコードが抽出される。また、抽出部34は、抽出したレコードの送信者メールアドレス又は送信元IPアドレスに対応付けられたユーザの識別情報に基づいて、情報を送信したメンバーを特定しする。このようにして、外部に関連事項を送信したメンバーが抽出される。その後、組織の担当者は、当該送信行為の要否を詳細に調査するようにしてもよい。本例では、いわゆる電子メールだけでなく、ユーザ投稿型のウェブサービスへの情報送信やウェブメールの内容についても総合的に監視できる。
例3では、組織が抱える懸念材料として特定の事柄に関する情報の漏えいを防止したい場合において、外部に関連事項を送信しているメンバーを抽出する例を説明する。この場合、図8のS2において、抽出部34は、図3B〜図3Fに示した通信のログから、上述した特定の事柄に関するキーワードや関連するワードを検索キーにするとともに、送信先メールアドレス又は送信先IPアドレスが、組織内で利用されているもの以外であることを検索条件とし、組織外への通信を抽出する。このとき、当該情報を送信しても問題のない受信メールアドレスのドメイン名の一覧(すなわち、ホワイトリスト)や、当該情報を送信してはいけない受信メールアドレスのドメイン名の一覧(いわゆる、ブラックリスト)等を用いて、抽出するレコードを絞り込むようにしてもよい。このようにして、外部に関連事項を送信したことを示すレコードが抽出される。また、抽出部34は、抽出したレコードの送信者メールアドレス又は送信元IPアドレスに対応付けられたユーザの識別情報に基づいて、情報を送信したメンバーを特定しする。このようにして、外部に関連事項を送信したメンバーが抽出される。その後、組織の担当者は、当該送信行為の要否を詳細に調査するようにしてもよい。本例では、いわゆる電子メールだけでなく、ユーザ投稿型のウェブサービスへの情報送信やウェブメールの内容についても総合的に監視できる。
<例4>
例4では、組織の内規として「すべての役職員は、業務上必要な場合のみ社内及び社外のウェブサイトにアクセスすることができる」というセキュリティポリシーが定められている場合において、ウェブサイトへのアクセスの状況を可視化し、要否の判断を支援する例を説明する。この場合、図8のS2において、抽出部34は、図3Aに示した通信のログから、例えばHTTPリクエストURLのドメイン名ごとに、アクセスした送信元IPアドレス(すなわち、組織のメンバー)及びアクセスの回数を集計する。そして、S3に
おいて、出力部35がこのような情報を出力することにより、ドメイン名ごとに業務上のアクセスの要否を判断し易くなる。また、出力された統計情報に基づいて、例えばメンバー毎のアクセス状況を数か月等の所定期間監視し、不必要なウェブサイトへのアクセスが継続する場合には注意喚起を行うようにしてもよい。
例4では、組織の内規として「すべての役職員は、業務上必要な場合のみ社内及び社外のウェブサイトにアクセスすることができる」というセキュリティポリシーが定められている場合において、ウェブサイトへのアクセスの状況を可視化し、要否の判断を支援する例を説明する。この場合、図8のS2において、抽出部34は、図3Aに示した通信のログから、例えばHTTPリクエストURLのドメイン名ごとに、アクセスした送信元IPアドレス(すなわち、組織のメンバー)及びアクセスの回数を集計する。そして、S3に
おいて、出力部35がこのような情報を出力することにより、ドメイン名ごとに業務上のアクセスの要否を判断し易くなる。また、出力された統計情報に基づいて、例えばメンバー毎のアクセス状況を数か月等の所定期間監視し、不必要なウェブサイトへのアクセスが継続する場合には注意喚起を行うようにしてもよい。
<例5>
例5では、組織の内規として「業務上不必要なファイルやソフトウェア、不審なファイルなどをダウンロードしてはならない」というセキュリティポリシーが定められている場合において、様々な通信ルートからのダウンロードを監視する例を説明する。この場合、図8のS2において、抽出部34は、図3A、図3D、図3F等に示した通信のログから、ダウンロードしたファイルの名称、受信メールの添付データの名称を抽出し、受信メールアドレスや送信先IPアドレスに対応付けられたユーザの識別情報に基づいて、情報を受信したメンバーを特定する。また、ダウンロードしたファイルの要否を別途判断し、不必要と考えられるファイルやソフトウェア、不審なファイルがダウンロードされた端末13を具体的に調査する。
例5では、組織の内規として「業務上不必要なファイルやソフトウェア、不審なファイルなどをダウンロードしてはならない」というセキュリティポリシーが定められている場合において、様々な通信ルートからのダウンロードを監視する例を説明する。この場合、図8のS2において、抽出部34は、図3A、図3D、図3F等に示した通信のログから、ダウンロードしたファイルの名称、受信メールの添付データの名称を抽出し、受信メールアドレスや送信先IPアドレスに対応付けられたユーザの識別情報に基づいて、情報を受信したメンバーを特定する。また、ダウンロードしたファイルの要否を別途判断し、不必要と考えられるファイルやソフトウェア、不審なファイルがダウンロードされた端末13を具体的に調査する。
<例6>
例6では、情報の流出経路の特定と流出先の絞込みを行う場合において、様々な通信ルートのログを突き合わせて判断する例を説明する。この場合、図8のS2において、抽出部34は、図3B〜図3Fに示した様々な通信のログや、例えばHTTPやIMAP等を利用したSNSアプリケーションの通信ログ(図示せず)等から電子メールやチャット等の内容を精査し、流出先の候補を抽出する。このとき、いずれかの通信ルートにのみ内容が存在する通信の記録、又はいずれの通信ルートにも内容が存在する通信の記録を抽出するようにしてもよい。例えば、ある通信ルートにおいてある情報に言及するメッセージが送受信されており、他の通信ルートにおいて当該情報自体が転送されたような場合、様々な通信ルートのログを突き合わせて解析することにより、端末のユーザ(社員等)の行動の全体を把握できるようになる。そして、流出先の候補を示すIPアドレスやメールアドレス等を検索キーとして、さらに図3B〜図3Fに示した様々な通信のログやその他の通信のログを検索し、情報の流出に至る経緯を詳細に抽出する。
例6では、情報の流出経路の特定と流出先の絞込みを行う場合において、様々な通信ルートのログを突き合わせて判断する例を説明する。この場合、図8のS2において、抽出部34は、図3B〜図3Fに示した様々な通信のログや、例えばHTTPやIMAP等を利用したSNSアプリケーションの通信ログ(図示せず)等から電子メールやチャット等の内容を精査し、流出先の候補を抽出する。このとき、いずれかの通信ルートにのみ内容が存在する通信の記録、又はいずれの通信ルートにも内容が存在する通信の記録を抽出するようにしてもよい。例えば、ある通信ルートにおいてある情報に言及するメッセージが送受信されており、他の通信ルートにおいて当該情報自体が転送されたような場合、様々な通信ルートのログを突き合わせて解析することにより、端末のユーザ(社員等)の行動の全体を把握できるようになる。そして、流出先の候補を示すIPアドレスやメールアドレス等を検索キーとして、さらに図3B〜図3Fに示した様々な通信のログやその他の通信のログを検索し、情報の流出に至る経緯を詳細に抽出する。
上述した各例の処理は、解析装置3のオペレータが実行するようにしてもよいし、解析装置3が検索結果を再帰的に利用して繰り返すようにしてもよい。本発明では様々な通信ルートのログを総合的に監視対象としており、幅広い条件で通信ログの検索を行うことができ、組織ごとの内部事情に特化した問題を抽出するために好適な構成となっている
1 LAN(内部ネットワーク)
11 プロキシサーバ
111 内部通信部
112 記憶部
113 ログ記録部
114 外部通信部
115 ログ送信部
12 サーバ
13(13a,13b) 端末
14 無線LANルータ
2 外部ネットワーク
3 解析装置
31 ログ取得部
32 記憶部
33 条件入力部
34 抽出部
35 出力部
11 プロキシサーバ
111 内部通信部
112 記憶部
113 ログ記録部
114 外部通信部
115 ログ送信部
12 サーバ
13(13a,13b) 端末
14 無線LANルータ
2 外部ネットワーク
3 解析装置
31 ログ取得部
32 記憶部
33 条件入力部
34 抽出部
35 出力部
Claims (6)
- 所定の組織において利用される内部ネットワークと、外部ネットワークとの間で発生した通信の記録であって、通信のプロトコルとして、SMTP(Simple Mail Transfer Protocol)、POP(Post Office Protocol)又はIMAP(Internet Message Access Protocol)の少なくともいずれかを利用した通信の記録、及びHTTP(Hypertext Transfer Protocol)を利用した通信の記録を複数含む通信ログを記憶する記憶部を、所定の条件に基づいて検索すると共に、前記プロトコルを切り替え可能にして前記通信の記録を抽出し又は複数の前記プロトコルにおける通信の記録を混合して抽出するログ抽出ステップと、
抽出された前記通信の記録を出力する出力ステップと、
をコンピュータが実行するログ解析方法。 - 一覧表示された前記通信の記録の内容に基づいて決定される、検索キー、及び通信が行われた時間帯の組み合わせによって表される条件の入力を受けるステップをさらに含み、
前記ログ抽出ステップにおいて、入力された前記条件に基づいて通信の記録を抽出する
請求項1に記載のログ解析方法。 - 前記ログ抽出ステップにおいて、前記記憶部に予め記憶された例外となる時間帯を示す情報と前記条件に含まれる通信が行われた時間帯とを突き合わせ、前記例外となる時間帯に行われた通信の記録を除いて抽出する
請求項2に記載のログ解析方法。 - 前記プロトコルにおける通信の記録を、電子メール及びウェブコンテンツを少なくとも含むオンラインサービスごとの記録として扱い、複数の前記オンラインサービス間において前記通信の記録の内容を突き合わせ、いずれかのオンラインサービスにのみ前記内容が存在する通信の記録、又はいずれのオンラインサービスにも前記内容が存在する通信の記録を抽出するステップ
をさらに含む請求項1から3のいずれか一項に記載のログ解析方法。 - 所定の組織において利用される内部ネットワークと、外部ネットワークとの間で発生した通信の記録であって、通信のプロトコルとして、SMTP(Simple Mail Transfer Pro
tocol)、POP(Post Office Protocol)又はIMAP(Internet Message Access Protocol)の少なくともいずれかを利用した通信の記録、及びHTTP(Hypertext Transfer Protocol)を利用した通信の記録を複数含む通信ログを記憶する記憶部を、所定の条件に基づいて検索すると共に、前記プロトコルを切り替え可能にして前記通信の記録を抽出し又は複数の前記プロトコルにおける通信の記録を混合して抽出するログ抽出ステップと、
抽出された前記通信の記録を出力する出力ステップと、
をコンピュータに実行させるためのログ解析プログラム。 - 所定の組織において利用される内部ネットワークと、外部ネットワークとの間で発生した通信の記録であって、通信のプロトコルとして、SMTP(Simple Mail Transfer Protocol)、POP(Post Office Protocol)又はIMAP(Internet Message Access Protocol)の少なくともいずれかを利用した通信の記録、及びHTTP(Hypertext Transfer Protocol)を利用した通信の記録を複数含む通信ログを記憶する記憶部を、所定の条件に基づいて検索すると共に、前記プロトコルを切り替え可能にして前記通信の記録を抽出し又は複数の前記プロトコルにおける通信の記録を混合して抽出するログ抽出部と、
抽出された前記通信の記録を出力する出力部と、
を備えるログ解析装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014250955A JP6357093B2 (ja) | 2014-12-11 | 2014-12-11 | ログ解析方法、ログ解析プログラム及びログ解析装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014250955A JP6357093B2 (ja) | 2014-12-11 | 2014-12-11 | ログ解析方法、ログ解析プログラム及びログ解析装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016114985A JP2016114985A (ja) | 2016-06-23 |
| JP6357093B2 true JP6357093B2 (ja) | 2018-07-11 |
Family
ID=56141877
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014250955A Active JP6357093B2 (ja) | 2014-12-11 | 2014-12-11 | ログ解析方法、ログ解析プログラム及びログ解析装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6357093B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019066295A1 (ko) * | 2017-09-28 | 2019-04-04 | 큐비트시큐리티 주식회사 | 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1148423B1 (en) * | 1999-11-10 | 2005-11-23 | Mitsubishi Denki Kabushiki Kaisha | Information terminal, server, information display system, and information display method |
| JP4382327B2 (ja) * | 2002-05-31 | 2009-12-09 | キヤノン電子株式会社 | 情報分析装置及びその制御方法、プログラム |
| JP2006178521A (ja) * | 2004-12-20 | 2006-07-06 | Ubic:Kk | デジタル・フォレンジックの方法及びフォレンジックitセキュリティシステム |
| JP4334560B2 (ja) * | 2006-10-31 | 2009-09-30 | 株式会社東芝 | 通信記録監視装置 |
| WO2014129587A1 (ja) * | 2013-02-21 | 2014-08-28 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
-
2014
- 2014-12-11 JP JP2014250955A patent/JP6357093B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016114985A (ja) | 2016-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924251B2 (en) | System and method for cybersecurity reconnaissance, analysis, and score generation using distributed systems | |
| US20220224710A1 (en) | System and method for cybersecurity analysis and score generation for insurance purposes | |
| US11595353B2 (en) | Identity-based messaging security | |
| US11637869B2 (en) | System and method for self-adjusting cybersecurity analysis and score generation | |
| US11388198B2 (en) | Collaborative database and reputation management in adversarial information environments | |
| US10911489B1 (en) | Discovering email account compromise through assessments of digital activities | |
| US8407341B2 (en) | Monitoring communications | |
| US9003023B2 (en) | Systems and methods for interactive analytics of internet traffic | |
| US12003544B2 (en) | System and methods for automatically assessing and improving a cybersecurity risk score | |
| US12081522B2 (en) | Discovering email account compromise through assessments of digital activities | |
| CN111488572B (zh) | 用户行为分析日志生成方法、装置、电子设备及介质 | |
| US20220232042A1 (en) | System and method for cybersecurity analysis and protection using distributed systems | |
| WO2021202833A1 (en) | A system and method for self-adjusting cybersecurity analysis and score generation | |
| US20150304356A1 (en) | Method, system and computer program product for enforcing access controls to features and subfeatures on uncontrolled web application | |
| WO2021243321A1 (en) | A system and methods for score cybersecurity | |
| US11831661B2 (en) | Multi-tiered approach to payload detection for incoming communications | |
| US8832049B2 (en) | Monitoring communications | |
| JP6357093B2 (ja) | ログ解析方法、ログ解析プログラム及びログ解析装置 | |
| JP2018022248A (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
| Chaudhari et al. | User and Device Tracking in Private Networks by Correlating Logs: A System for Responsive Forensic Analysis | |
| JP2006099287A (ja) | コンピュータシステム、セキュリティポリシー配布装置、セキュリティポリシー利用装置、セキュリティポリシー配信方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20160818 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170113 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171018 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171031 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171226 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180529 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180615 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6357093 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |