JP6362796B1 - 評価装置、評価方法および評価プログラム - Google Patents

評価装置、評価方法および評価プログラム Download PDF

Info

Publication number
JP6362796B1
JP6362796B1 JP2017555735A JP2017555735A JP6362796B1 JP 6362796 B1 JP6362796 B1 JP 6362796B1 JP 2017555735 A JP2017555735 A JP 2017555735A JP 2017555735 A JP2017555735 A JP 2017555735A JP 6362796 B1 JP6362796 B1 JP 6362796B1
Authority
JP
Japan
Prior art keywords
information
security
database
profile
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2017555735A
Other languages
English (en)
Other versions
JPWO2018216175A1 (ja
Inventor
匠 山本
匠 山本
弘毅 西川
弘毅 西川
圭亮 木藤
圭亮 木藤
河内 清人
清人 河内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Application granted granted Critical
Publication of JP6362796B1 publication Critical patent/JP6362796B1/ja
Publication of JPWO2018216175A1 publication Critical patent/JPWO2018216175A1/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Economics (AREA)
  • Tourism & Hospitality (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Primary Health Care (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Health & Medical Sciences (AREA)
  • Game Theory and Decision Science (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

評価装置(10)において、プロファイルデータベース(31)は、複数の人物のそれぞれについて個人の特徴を表すプロファイル情報を格納するデータベースである。セキュリティデータベース(32)は、複数の人物のそれぞれについてセキュリティ事故の要因になり得る振る舞いの特徴を表すセキュリティ情報を格納するデータベースである。モデル生成部(22)は、プロファイルデータベース(31)に格納されたプロファイル情報に表されている特徴とセキュリティデータベース(32)に格納されたセキュリティ情報に表されている特徴との関係性をモデルとして導き出す。推定部(23)は、別の人物の特徴を表す情報の入力を受け、モデル生成部(22)により導き出されたモデルを使って、その別の人物についてセキュリティ事故の要因になり得る振る舞いの特徴を推定する。

Description

本発明は、評価装置、評価方法および評価プログラムに関するものである。
組織の機密情報および資産を守るために、サイバー攻撃に対する取り組みが積極的に行われている。その1つが、サイバー攻撃およびセキュリティに関する教育および訓練である。セミナーまたはE−learningでサイバー攻撃およびその対策に関する知識を学習する取り組みがある。模擬的な標的型攻撃メールの送付により標的型攻撃への対応を訓練する取り組みもある。しかし、このような取り組みが行われていながらも、セキュリティ事故は増加の一途をたどっている。
Verizon Business社が発表した企業の情報流出事件に関する実態調査の報告として非特許文献1がある。
非特許文献1では、情報が流出した企業のうち、59%はセキュリティポリシーと手順とを定めておきながら実行していなかったと報告されている。情報漏洩の87%は適切な対策を講じれば防止できたと指摘されている。この調査結果から、どれだけセキュリティ対策を導入していたとしても、それを実施する人間にセキュリティ対策の効果が強く依存してしまっていることがわかる。
攻撃者の視点に立ってみると、攻撃者は、標的組織に気づかれずに攻撃を成功させるために、その組織の情報を事前に十分調査した上で、最も攻撃の成功率が高いアプローチをとることが予想される。組織の情報の例は、組織が利用しているシステムおよびそのバージョン、外部との窓口、人員の情報、役職、関連組織、および、組織の取り組み内容である。人員の情報の例は、上司、同僚および友人等の交友関係、趣味嗜好、および、ソーシャルメディアの利用状況である。
攻撃者は、このような情報から、組織における脆弱な人間を見つけ出し、そこから組織に入り込み、徐々に組織の内部に侵入していくと考えられる。
企業を例に考える。一般に、人事または資材等のスタッフは、他のスタッフよりも組織外の人物とのやり取りが多い。組織外の人物の例は、スタッフが人事担当であれば就職活動中の学生、スタッフが資材担当であれば物品の購入先である。人事または資材等のスタッフは、これまでにやり取りをしたことのない人物からメールを受け取る可能性が高い。そのようなメールを多く受け取るスタッフであれば、見知らぬメールアドレスから攻撃メールが届いても、不審に思わず開封する可能性が高いと予想できる。
Twitter(登録商標)またはFacebook(登録商標)等のソーシャルメディアで、組織の情報を不用意に掲載しているスタッフは、セキュリティ意識、特に情報漏えいに関する意識が低いと言える。攻撃者は、そのようなスタッフを最初の標的にする可能性が高いと考えられる。セキュリティ意識が低い人物に共通する特徴は、組織の情報を不用意に掲載しているということ以外にも多数存在すると考えられる。よって、そのような特徴に関する調査が必要である。
このように、組織のスタッフによって攻撃されやすさが異なると考えられる。よって、組織のスタッフ全員に一律で同じセキュリティ教育および訓練を実施しても、十分な効果を得られないと考えられる。セキュリティ意識が最も低いスタッフに合わせたセキュリティ教育および訓練をすべてのスタッフに課せば、不必要な作業が増え、業務効率が低下する。
そのため、スタッフごとにセキュリティ意識を評価する必要がある。そして、攻撃されやすいスタッフに、適切なセキュリティ教育および訓練を実施することで、組織全体の作業効率を落とすことなくセキュリティを向上させる必要がある。
セキュリティ意識を評価する技術に関連する既存研究の報告として非特許文献2および非特許文献3がある。
非特許文献2に記載の技術では、性格に関するアンケートとセキュリティ意識に関するアンケートとの相関が計算され、性格とセキュリティ意識との因果関係が抽出される。抽出された因果関係をもとに、グループごとの最適なセキュリティ対策が提示される。
非特許文献3に記載の技術では、心理特性とユーザのPC利用時の行動特性との関係が導き出される。「PC」は、Personal Computerの略語である。通常のPC利用時の行動特性がモニタされ、被害にあいやすい心理状態のユーザが判定される。
Verizon Business、"2008 Data Breach Investigations Report"、[online]、[2017年5月4日検索]、インターネット〈URL:http://www.verizonenterprise.com/resources/security/databreachreport.pdf〉 中澤 優美子、加藤 岳久、漁田 武雄、山田 文康、山本 匠、西垣 正勝、"Best Match Security−性格と本人認証技術のセキュリティ意識との相関に関する検討−"、情報処理学会研究報告、Vol. 2010−CSEC−48、No. 21、2010年 片山 佳則、寺田 剛陽、鳥居 悟、津田 宏、"ユーザー行動特性分析による個人と組織のITリスク見える化の試み"、SCIS 2015、暗号と情報セキュリティシンポジウム、4D1−3、2015年 NTTソフトウェア、"標的型メール訓練サービス"、[online]、[2017年3月24日検索]、インターネット〈URL:https://www.ntts.co.jp/products/apttraining/index.html〉
非特許文献2に記載の技術では、アンケート形式で情報が集められるため、手間を要する。性格という定量化の難しい情報が利用されるため、得られた因果関係に対して根拠のある解釈が難しい。
非特許文献3に記載の技術では、毎回アンケートを実施する必要はないが、心理状態という定量化の難しい情報が利用されるため、得られた因果関係に対して根拠のある解釈が難しい。
本発明は、個人のセキュリティ意識を、根拠のある形で評価することを目的とする。
本発明の一態様に係る評価装置は、
複数の人物のそれぞれについて個人の特徴を表すプロファイル情報を格納するプロファイルデータベースと、
前記複数の人物のそれぞれについてセキュリティ事故の要因になり得る振る舞いの特徴を表すセキュリティ情報を格納するセキュリティデータベースと、
前記プロファイルデータベースに格納されたプロファイル情報に表されている特徴と前記セキュリティデータベースに格納されたセキュリティ情報に表されている特徴との関係性をモデルとして導き出すモデル生成部と、
前記複数の人物とは別の人物の特徴を表す情報の入力を受け、前記モデル生成部により導き出されたモデルを使って、前記別の人物についてセキュリティ事故の要因になり得る振る舞いの特徴を推定する推定部とを備える。
本発明では、特定の人物がセキュリティ事故に遭いやすいかどうかの評価指標として、その人物についてセキュリティ事故の要因になり得る振る舞いの特徴が推定される。そのため、個人のセキュリティ意識を、根拠のある形で評価することができる。
実施の形態1に係る評価装置の構成を示すブロック図。 実施の形態1に係る評価装置の情報収集部の構成を示すブロック図。 実施の形態1に係る評価装置のモデル生成部の構成を示すブロック図。 実施の形態1に係る評価装置の動作を示すフローチャート。 実施の形態1に係る評価装置の動作を示すフローチャート。 実施の形態1に係る評価装置の情報収集部の動作を示すフローチャート。 実施の形態1に係るプロファイル情報の例を示す表。 実施の形態1に係る評価装置の情報収集部の動作を示すフローチャート。 実施の形態1に係るセキュリティ情報の例を示す表。 実施の形態1に係る評価装置のモデル生成部の動作を示すフローチャート。 実施の形態1に係る評価装置のモデル生成部の動作を示すフローチャート。 実施の形態1に係る評価装置のモデル生成部の動作を示すフローチャート。 実施の形態1に係る評価装置の推定部の動作を示すフローチャート。 実施の形態2に係る評価装置の構成を示すブロック図。 実施の形態2に係る対策情報の例を示す表。 実施の形態2に係る評価装置の推定部および提案部の動作を示すフローチャート。 実施の形態2に係る対策を表す情報の例を示す表。 実施の形態2に係る対策を表す情報の別の例を示す表。 実施の形態3に係る評価装置の構成を示すブロック図。 実施の形態3に係る訓練メールのコンテンツの例を示す表。 実施の形態3に係る評価装置の動作を示すフローチャート。 実施の形態3に係る訓練メールに対する振る舞いの観察結果の例を示す表。 実施の形態4に係る評価装置の構成を示すブロック図。
以下、本発明の実施の形態について、図を用いて説明する。各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。なお、本発明は、以下に説明する実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。例えば、以下に説明する実施の形態のうち、2つ以上の実施の形態が組み合わせられて実施されても構わない。あるいは、以下に説明する実施の形態のうち、1つの実施の形態または2つ以上の実施の形態の組み合わせが部分的に実施されても構わない。
実施の形態1.
本実施の形態について、図1から図13を用いて説明する。
***構成の説明***
図1を参照して、本実施の形態に係る評価装置10の構成を説明する。
評価装置10は、ネットワーク41を介して、インターネット42と、複数の人物X,X,・・・,Xが属する組織により運用されているシステム43とに接続されている。ネットワーク41は、例えば、LAN、または、LANおよびWANの組み合わせである。「LAN」は、Local Area Networkの略語である。「WAN」は、Wide Area Networkの略語である。システム43は、例えば、イントラネットである。複数の人物X,X,・・・,Xは、任意の2人以上の人物でよいが、本実施の形態では組織のスタッフである。Nは、2以上の整数である。
評価装置10は、コンピュータである。評価装置10は、プロセッサ11を備えるとともに、メモリ12、補助記憶装置13、入力機器14、ディスプレイ15および通信装置16といった他のハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
評価装置10は、情報収集部21と、モデル生成部22と、推定部23と、プロファイルデータベース31と、セキュリティデータベース32とを備える。情報収集部21、モデル生成部22および推定部23の機能は、ソフトウェアにより実現される。プロファイルデータベース31およびセキュリティデータベース32は、メモリ12に構築されてもよいが、本実施の形態では補助記憶装置13に構築される。
プロセッサ11は、評価プログラムを実行する装置である。評価プログラムは、情報収集部21、モデル生成部22および推定部23の機能を実現するプログラムである。プロセッサ11は、例えば、CPUである。「CPU」は、Central Processing Unitの略語である。
メモリ12および補助記憶装置13は、評価プログラムを記憶する装置である。メモリ12は、例えば、フラッシュメモリまたはRAMである。「RAM」は、Random Access Memoryの略語である。補助記憶装置13は、例えば、フラッシュメモリまたはHDDである。「HDD」は、Hard Disk Driveの略語である。
入力機器14は、評価プログラムへのデータの入力のためにユーザにより操作される機器である。入力機器14は、例えば、マウス、キーボードまたはタッチパネルである。
ディスプレイ15は、評価プログラムから出力されるデータを画面に表示する機器である。ディスプレイ15は、例えば、LCDである。「LCD」は、Liquid Crystal Displayの略語である。
通信装置16は、評価プログラムに入力されるデータを、ネットワーク41を介して、インターネット42とイントラネット等のシステム43との少なくともいずれかから受信するレシーバと、評価プログラムから出力されるデータを送信するトランスミッタとを含む。通信装置16は、例えば、通信チップまたはNICである。「NIC」は、Network Interface Cardの略語である。
評価プログラムは、補助記憶装置13からメモリ12にロードされ、プロセッサ11に読み込まれ、プロセッサ11によって実行される。補助記憶装置13には、評価プログラムだけでなく、OSも記憶されている。「OS」は、Operating Systemの略語である。プロセッサ11は、OSを実行しながら、評価プログラムを実行する。
なお、評価プログラムの一部または全部がOSに組み込まれていてもよい。
評価装置10は、プロセッサ11を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、評価プログラムの実行を分担する。それぞれのプロセッサは、プロセッサ11と同じように、評価プログラムを実行する装置である。
評価プログラムにより利用、処理または出力されるデータ、情報、信号値および変数値は、メモリ12、補助記憶装置13、または、プロセッサ11内のレジスタまたはキャッシュメモリに記憶される。
評価プログラムは、情報収集部21、モデル生成部22および推定部23の「部」を「処理」に読み替えた各処理、または、情報収集部21、モデル生成部22および推定部23の「部」を「手順」に読み替えた各手順をコンピュータに実行させるプログラムである。評価プログラムは、コンピュータ読取可能な媒体に記録されて提供されてもよいし、プログラムプロダクトとして提供されてもよい。
プロファイルデータベース31は、プロファイル情報を格納するデータベースである。プロファイル情報は、複数の人物X,X,・・・,Xのそれぞれについて個人の特徴を表す情報である。
セキュリティデータベース32は、セキュリティ情報を格納するデータベースである。セキュリティ情報は、複数の人物X,X,・・・,Xのそれぞれについてセキュリティ事故の要因になり得る振る舞いの特徴を表す情報である。
図2を参照して、情報収集部21の構成を説明する。
情報収集部21は、プロファイル情報収集部51と、セキュリティ情報収集部52とを備える。
プロファイル情報収集部51には、クローリングまたはスクレイピングの対象となるインターネット42上のサービスのリストと、組織のスタッフ名簿とが入力される。プロファイル情報収集部51からは、後述する処理の結果として、プロファイル情報がプロファイルデータベース31に出力される。
セキュリティ情報収集部52には、組織のスタッフ名簿が入力される。セキュリティ情報収集部52からは、後述する処理の結果として、セキュリティ情報がセキュリティデータベース32に出力される。
図3を参照して、モデル生成部22の構成を説明する。
モデル生成部22は、分類部61と、データ生成部62と、学習部63とを備える。
分類部61には、プロファイルデータベース31に格納されたプロファイル情報が入力される。
データ生成部62には、セキュリティデータベース32に格納されたセキュリティ情報と、分類部61で実行された処理の結果とが入力される。
学習部63には、データ生成部62で実行された処理の結果が入力される。学習部63からは、後述する処理の結果として、識別器が出力される。
***動作の説明***
図1から図3とともに図4から図13を参照して、本実施の形態に係る評価装置10の動作を説明する。評価装置10の動作は、本実施の形態に係る評価方法に相当する。
図4は、学習フェーズの動作を示している。
ステップS101において、情報収集部21は、インターネット42とイントラネット等のシステム43との少なくともいずれかからプロファイル情報を収集する。本実施の形態では、情報収集部21は、インターネット42とイントラネット等のシステム43との両方からプロファイル情報を収集する。情報収集部21は、収集したプロファイル情報をプロファイルデータベース31に格納する。
情報収集部21は、システム43からセキュリティ情報を収集する。情報収集部21は、収集したセキュリティ情報をセキュリティデータベース32に格納する。
このように、情報収集部21は、組織のスタッフの情報を収集する。収集される情報は、大きく分けると、プロファイル情報とセキュリティ情報との2種類からなる。
プロファイル情報は、組織の管理職またはIT管理者が自動で収集できる組織プロファイル情報と、インターネット42に公開されている公開プロファイル情報との2種類からなる。「IT」は、Information Technologyの略語である。
組織プロファイル情報には、性別、年齢、所属、上司、メールの送受信頻度、インターネット42の利用頻度、出社時間、および、退社時間等の情報が含まれている。組織プロファイル情報は、組織の管理職またはIT管理者であればアクセスできる情報である。組織プロファイル情報は、自動的に収集することが可能である。
公開プロファイル情報には、インターネット42上のサービスの使用頻度、および、公開されている個人情報の量等の情報が含まれている。公開プロファイル情報は、クローリングまたはスクレイピングを許可しているインターネット42上のサービスのサイトから収集される。クローリングまたはスクレイピングにより得られた情報を解析することで、個人の興味に関する情報が抽出される。具体的には、個人の氏名またはメールアドレスを含むページがインターネット42上のサービスのサイトから収集される。TF−IDF等の自然言語処理技術が活用され、収集されたページ内でキーとなる単語がピックアップされる。ピックアップされた単語から、個人の興味に関する情報が生成される。生成された情報も公開プロファイル情報の一部として扱われる。「TF」は、Term Frequencyの略語である。「IDF」は、Inverse Document Frequencyの略語である。既存技術のMaltego CEまたはtheHarvesterを組み合わせて公開プロファイル情報を収集することも可能である。
セキュリティ情報は、サイバー攻撃に関わるセキュリティ事故の兆候の数である。そのような数の例は、訓練メール開封数、マルウェア検知数、悪質サイト訪問数、ポリシー違反数、実行ファイルダウンロード数、ファイルダウンロード数、および、インターネット利用数である。訓練メール開封数は、個々の人物が訓練メールの添付ファイルを開封した割合、個々の人物が訓練メール中のURLをクリックした割合、または、それらの合計である。「URL」は、Uniform Resource Locatorの略語である。訓練メールは、セキュリティ事故を訓練するためのメールである。なお、訓練メール開封数は、割合ではなく、回数であってもよい。悪質サイト訪問数は、個々の人物が悪質サイト検知システムで警告を受けた回数である。ポリシー違反数は、個々の人物によるポリシー違反の回数のことである。セキュリティ情報は、組織のIT管理者またはセキュリティ管理者であればアクセスできる情報である。セキュリティ情報は、自動的に収集することが可能である。
ステップS102において、モデル生成部22は、プロファイルデータベース31に格納されたプロファイル情報に表されている特徴とセキュリティデータベース32に格納されたセキュリティ情報に表されている特徴との関係性をモデルとして導き出す。
具体的には、モデル生成部22は、プロファイルデータベース31に格納されたプロファイル情報に対するクラスタリングを行って、複数の人物X,X,・・・,Xをいくつかのクラスタに分類する。モデル生成部22は、クラスタごとに、プロファイル情報から学習用のデータを、セキュリティ情報から学習用のデータに付与するラベルを生成する。モデル生成部22は、クラスタごとに、生成した学習用のデータとラベルとを使って、モデルを導き出す。
必須ではないが、モデル生成部22は、モデルを導き出す前に、プロファイル情報に表されている特徴とセキュリティ情報に表されている特徴との相関を計算し、計算した相関が閾値θc1未満の特徴を表す情報をプロファイル情報から除外することが望ましい。
必須ではないが、モデル生成部22は、モデルを導き出す前に、プロファイル情報に表されている特徴とセキュリティ情報に表されている特徴との相関を計算し、計算した相関が閾値θc2未満の特徴を表す情報をセキュリティ情報から除外することが望ましい。
このように、モデル生成部22は、プロファイル情報とセキュリティ情報との関係性のモデルを生成する。モデルは、プロファイル情報にどういう傾向を持つ人物がどういうセキュリティ事故を起こしやすいかという関係性を表している。モデル生成部22は、事前にプロファイル情報とセキュリティ情報との相関を計算し、無相関な項目を除外してもよい。
図5は、学習フェーズの次のフェーズである評価フェーズの動作を示している。
ステップS111において、推定部23は、複数の人物X,X,・・・,Xとは別の人物Yの特徴を表す情報の入力を受ける。本実施の形態では、推定部23は、情報収集部21から、ステップS101と同じ手順で収集された情報の入力を受ける。
このように、情報収集部21は、セキュリティ意識を評価する対象のユーザのプロファイル情報を収集する。情報収集部21は、収集したプロファイル情報を推定部23に入力する。
ステップS112において、推定部23は、モデル生成部22により導き出されたモデルを使って、人物Yについてセキュリティ事故の要因になり得る振る舞いの特徴を推定する。
このように、推定部23は、ステップS102で生成されたモデルとステップS111で収集されたプロファイル情報とから、セキュリティ意識を評価する対象のユーザがどういうセキュリティ事故を起こしやすいかを推定する。
以下では、評価装置10の情報収集部21、モデル生成部22および推定部23の動作について詳述する。
図6は、情報収集部21のプロファイル情報収集部51の処理フローを示している。
ステップS121において、プロファイル情報収集部51は、組織のスタッフ名簿に未調査のエントリーがあるかを確認する。名簿には、スタッフの氏名およびメールアドレス等の識別子が含まれている。未調査のエントリーがなければ、プロファイル情報収集部51は、情報収集を終了する。未調査のエントリーがあれば、プロファイル情報収集部51は、ステップS122の処理を実行する。
ステップS122において、プロファイル情報収集部51は、未調査のエントリーから識別子IDNを取得する。識別子IDNの例は、氏名およびメールアドレス等である。
ステップS123において、プロファイル情報収集部51は、識別子IDNをインターネット42上で検索する。プロファイル情報収集部51は、識別子IDNを含むページの情報から、インターネット42上のサービスの使用頻度、および、公開されている個人情報の量等の情報のほか、個人の興味に関する情報をプロファイル情報として収集する。プロファイル情報収集部51は、得られた公開プロファイル情報をプロファイルデータベース31に登録する。プロファイル情報収集部51は、ソーシャルネットワークサービスでのアップロード回数、ソーシャルネットワークサービスで公開されている個人情報の量、および、ソーシャルネットワークサービスでポストされている記事の内容等の情報も公開プロファイル情報として取得する。
プロファイル情報収集部51は、公開されている個人情報の量を、氏名、知人関係、組織名、連絡先および住所等に関する情報が公開情報から取得できるか否かをもとに計算する。プロファイル情報収集部51は、個人の興味に関する情報としては、BoW、または、TF−IDF等の自然言語処理技術を活用し、収集したページ内で出現頻度の高い単語および重要な意味を持つ単語をピックアップする。「BoW」は、Bag of Wordsの略語である。
プロファイル情報収集部51は、同じページに識別子IDNとは別の人物の情報である識別子IDN’も記載されている場合、識別子IDNと識別子IDN’との間に関係性があるとみなす。プロファイル情報収集部51は、識別子IDN’を知人関係に関する情報として取得する。
ステップS124において、プロファイル情報収集部51は、識別子IDNを組織内のシステム43で検索する。プロファイル情報収集部51は、得られた組織プロファイル情報をプロファイルデータベース31に登録する。具体的には、プロファイル情報収集部51は、識別子IDNに関連する部署、上司、部下およびスケジュール等の情報を組織プロファイル情報として収集する。プロファイル情報収集部51は、ステップS124の処理の後、ステップS121の処理を再び実行する。
プロファイル情報の例を図7に示す。収集されたプロファイル情報は、以下のような多次元のベクトルで表現される。
ij∈ProfileInfoDB
iは1≦i≦Nを満たす整数である。Nはサンプルの数である。jは1≦j≦Pを満たす整数である。Pは特徴の種類である。
収集されるプロファイル情報については、プライバシーにも関わるため、何を取得するかは組織で十分検討した上で決めることが望ましい。
図8は、情報収集部21のセキュリティ情報収集部52の処理フローを示している。
ステップS131において、セキュリティ情報収集部52は、組織のスタッフ名簿に未調査のエントリーがあるかを確認する。未調査のエントリーがなければ、セキュリティ情報収集部52は、情報収集を終了する。未調査のエントリーがあれば、セキュリティ情報収集部52は、ステップS132の処理を実行する。
ステップS132において、セキュリティ情報収集部52は、未調査のエントリーから識別子IDNを取得する。
ステップS133において、セキュリティ情報収集部52は、識別子IDNを組織内のシステム43で検索する。セキュリティ情報収集部52は、得られたセキュリティ情報をセキュリティデータベース32に登録する。具体的には、セキュリティ情報収集部52は、識別子IDNを組織内のセキュリティ事故に関するログデータベースで検索する。ログデータベースは、組織のIT管理者またはセキュリティ管理者であればアクセス可能なデータベースである。ログデータベースには、訓練メール開封数、マルウェア検知数、悪質サイト訪問数およびポリシー違反数等が記録されている。セキュリティ情報収集部52は、ステップS133の処理の後、ステップS131の処理を再び実行する。
セキュリティ情報の例を図9に示す。収集されたセキュリティ情報は、以下のような多次元のベクトルで表現される。
ik∈SecurityInfoDB
iは1≦i≦Nを満たす整数である。Nはサンプルの数である。kは1≦k≦Sを満たす整数である。Sは特徴の種類である。
図10は、モデル生成部22の分類部61の処理フローを示している。
ステップS141において、分類部61は、プロファイル情報の各特徴pとセキュリティ情報の各特徴sとの相関を計算する。前述したように、jは1≦j≦Pを満たす整数である。kは1≦k≦Sを満たす整数である。具体的には、分類部61は、相関係数corrjkを以下の式により計算する。
corrjk=σps/(σσ
σpsはpとsとの共分散である。σはpの標準偏差である。σはsの標準偏差である。pは、プロファイル情報のj種類目の特徴列に対応するベクトルである。このベクトルの次元数はNである。sは、セキュリティ情報のk種類目の特徴列に対応するベクトルである。このベクトルの次元数もNである。
ステップS142において、分類部61は、セキュリティ情報のどの特徴とも相関係数の絶対値が、あらかじめ決められた閾値θc1未満であるプロファイル情報の特徴p:∀k(|corrjk|<θc1)を除外し、セキュリティ情報と相関のあるプロファイル情報を生成する。このプロファイル情報は、以下の多次元のベクトルで表現される。
p’ij∈ProfileInfoDB’
iは1≦i≦Nを満たす整数である。Nはサンプルの数である。jは1≦j≦P’を満たす整数である。P’は特徴の種類である。
同様に、分類部61は、プロファイル情報のどの特徴とも相関係数の絶対値が、あらかじめ決められた閾値θc2未満であるセキュリティ情報の特徴s:∀j(|corrjk|<θc2)を除外し、プロファイル情報と相関のあるセキュリティ情報を生成する。このセキュリティ情報は、以下の多次元のベクトルで表現される。
s’ik∈SecurityInfoDB’
iは1≦i≦Nを満たす整数である。Nはサンプルの数である。kは1≦k≦S’を満たす整数である。S’は特徴の種類である。
ステップS141およびステップS142の処理は、モデルを作る際の精度向上のための処理であり、精度が高ければ省略されてもよい。すなわち、ProfileInfoDBがそのままProfileInfoDB’として使われてもよい。SecurityInfoDBがそのままSecurityInfoDB’として使われてもよい。
ステップS143において、分類部61は、ProfileInfoDB’とSecurityInfoDB’とのサンプルに対し、特徴情報をもとに、クラスタリングを行い、N個のサンプルをC個のクラスタに分類する。各クラスタは、以下のような多次元のベクトルで表現される。
∈Clusters
mは1≦m≦Cを満たす整数である。
各々のクラスタcは、以下のように、クラスタリングの対象とされたサンプルのプロファイル情報とセキュリティ情報とのペアの集合で表される。
={(p,s)|i∈CI
は、P’種類の特徴情報からなるベクトルである。sは、S’種類の特徴情報からなるベクトルである。CIは、クラスタリングによってcに分類されたサンプルのインデックスの集合である。
分類部61は、基本的にはProfileInfoDB’の特徴をもとにクラスタリングを行う。ただし、SecurityInfoDB’の特徴を含めることも可能である。クラスタリングのアルゴリズムとしては、K−means法等の一般的なアルゴリズム、または、独自のアルゴリズムを利用可能である。
図11は、モデル生成部22のデータ生成部62の処理フローを示している。
ステップS151において、データ生成部62は、未調査のクラスタcがあるかを確認する。前述したように、1≦m≦Cである。未調査のクラスタcがなければ、データ生成部62は、データ生成を終了する。未調査のクラスタcがあれば、データ生成部62は、ステップS152の処理を実行する。
ステップS152において、データ生成部62は、未調査のクラスタcにおける、セキュリティ情報のそれぞれの特徴の平均SecurityInfoAve(c)を計算する。平均SecurityInfoAve(c)は、以下のように定義される。
SecurityInfoAve(c)=(ave(s),ave(s),・・・,ave(s),・・・,ave(sS’−1),ave(sS’))
セキュリティ情報の各特徴sの平均ave(s)は、以下の式により計算される。
Figure 0006362796
|CI|は、クラスタリングによってcに分類されたサンプルの数を表す。
データ生成部62は、未調査のクラスタcにおける、セキュリティ情報のそれぞれの特徴の標準偏差SecurityInfoStdv(c)を計算する。標準偏差SecurityInfoStdv(c)は、以下のように定義される。
SecurityInfoStdv(c)=(stdv(s),stdv(s),・・・,stdv(s),・・・,stdv(sS’−1),stdv(sS’))
セキュリティ情報の各特徴sの標準偏差stdv(s)は、以下の式により計算される。
Figure 0006362796
ステップS153において、データ生成部62は、平均SecurityInfoAve(c)と標準偏差SecurityInfoStdv(c)とをもとに、クラスタcを表現するラベルLAB(c)を生成する。ラベルLAB(c)は、以下のように定義される。
LAB(c)=(lab(s),lab(s),・・・,lab(s),・・・,lab(sS’−1),lab(sS’))
セキュリティ情報の各特徴sのラベル要素lab(s)は、標準偏差stdv(s)がセキュリティ情報の特徴ごとにあらかじめ定義された範囲内に収まっていれば、平均ave(s)に設定され、そうでなければ、「None」に設定される。データ生成部62は、ステップS153の処理の後、ステップS151の処理を再び実行する。
図12は、モデル生成部22の学習部63の処理フローを示している。
ステップS161において、学習部63は、未調査のクラスタcがあるかを確認する。前述したように、1≦m≦Cである。未調査のクラスタcがなければ、学習部63は、学習を終了する。未調査のクラスタcがあれば、学習部63は、ステップS162の処理を実行する。
ステップS162において、学習部63は、未調査のクラスタc内の各要素のプロファイル情報pを学習用のデータ、ラベルLAB(c)を教師データとして使って、機械学習を実行する。実際の学習では、ラベルLAB(c)には、ラベルごとに異なる数字が割り当てられる。学習部63は、機械学習の実行結果として、モデルである識別器を出力する。学習部63は、ステップS162の処理の後、ステップS161の処理を再び実行する。
なお、学習部63は、ラベルLAB(c)全体を1つのラベルとして使ってデータを学習してもよいが、ラベル要素lab(s)ごとにデータを学習してもよい。その場合、他のクラスタにも同じ値または近い値のラベル要素が現れる可能性がある。そのため、学習部63は、あらかじめ決められた範囲内に収まるラベル要素lab(s)を規定のラベル要素に置換し、置換後のラベル要素を使ってデータを学習してもよい。「規定のラベル要素」は、ラベル要素ごとに異なる数字等である。
図13は、推定部23の処理フローを示している。
ステップS171からステップS174の処理は、前述したステップS112の処理に相当する。よって、ステップS171の処理の前には、前述したステップS111の処理が実行されている。ステップS111では、推定部23が、情報収集部21を利用して新たなプロファイル情報を取得する。このプロファイル情報は、セキュリティ意識を推定する対象となる人物Yのプロファイル情報である。
ステップS171において、推定部23は、人物Yのプロファイル情報から、ステップS142で除外されたものと同じ特徴を除外する。
ステップS172において、推定部23は、ステップS171で得られたプロファイル情報をモデル生成部22から出力された識別器に入力し、推定されたクラスタcのラベルLAB(c)を取得する。
ステップS173において、推定部23は、ステップS172で得られたラベルLAB(c)から、人物Yが起こしやすいセキュリティ事故を特定する。具体的には、推定部23は、ラベルLAB(c)を構成するラベル要素lab(s)が「None」でなく、かつ、セキュリティ情報の特徴ごとにあらかじめ決められた閾値θk1以上である場合に、人物Yは特徴sに関するセキュリティ事故を起こしやすいと判定する。推定部23は、人物Yが起こしやすいセキュリティ事故の情報をディスプレイ15の画面に表示する。
ステップS174において、推定部23は、ステップS172で得られたラベルLAB(c)から、人物Yが起こしにくいセキュリティ事故を特定する。具体的には、推定部23は、ラベルLAB(c)を構成するラベル要素lab(s)が「None」でなく、かつ、セキュリティ情報の特徴ごとにあらかじめ決められた閾値θk2以下である場合に、人物Yは特徴sに関するセキュリティ事故を起こしにくいと判定する。推定部23は、人物Yが起こしにくいセキュリティ事故の情報をディスプレイ15の画面に表示する。
***実施の形態の効果の説明***
本実施の形態では、人物Yがセキュリティ事故に遭いやすいかどうかの評価指標として、人物Yについてセキュリティ事故の要因になり得る振る舞いの特徴がラベルLAB(c)として推定される。そのため、個人のセキュリティ意識を、根拠のある形で評価することができる。
本実施の形態によれば、インターネット42、および、イントラネット等のシステム43から自動的に収集可能な情報を使い、評価対象のユーザがどういうセキュリティ事故を起こしやすいかを自動的に推定することができる。
本実施の形態では、人物Yがどういうセキュリティ事故を起こしやすいかを推定した結果をもとに、組織が対策を検討することができる。
***他の構成***
本実施の形態では、情報収集部21、モデル生成部22および推定部23の機能がソフトウェアにより実現されるが、変形例として、情報収集部21、モデル生成部22および推定部23の機能がソフトウェアとハードウェアとの組み合わせにより実現されてもよい。すなわち、情報収集部21、モデル生成部22および推定部23の機能の一部が専用のハードウェアにより実現され、残りがソフトウェアにより実現されてもよい。
専用のハードウェアは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、FPGAまたはASICである。「IC」は、Integrated Circuitの略語である。「GA」は、Gate Arrayの略語である。「FPGA」は、Field−Programmable Gate Arrayの略語である。「ASIC」は、Application Specific Integrated Circuitの略語である。
プロセッサ11および専用のハードウェアは、いずれも処理回路である。すなわち、情報収集部21、モデル生成部22および推定部23の機能がソフトウェアにより実現されるか、ソフトウェアとハードウェアとの組み合わせにより実現されるかに関わらず、情報収集部21、モデル生成部22および推定部23の機能は、処理回路により実現される。
実施の形態2.
本実施の形態について、主に実施の形態1との差異を、図14から図18を用いて説明する。
実施の形態1では、人物Yがどういうセキュリティ事故を起こしやすいかを推定した結果をもとに、組織が対策を検討することが想定されている。一方、本実施の形態では、人物Yがどういうセキュリティ事故を起こしやすいかを推定した結果をもとに、人物Yに適した対策が自動的に提案される。
***構成の説明***
図14を参照して、本実施の形態に係る評価装置10の構成を説明する。
評価装置10は、情報収集部21と、モデル生成部22と、推定部23と、プロファイルデータベース31と、セキュリティデータベース32とのほかに、提案部24と、対策データベース33とを備える。情報収集部21、モデル生成部22、推定部23および提案部24の機能は、ソフトウェアにより実現される。プロファイルデータベース31、セキュリティデータベース32および対策データベース33は、メモリ12に構築されてもよいが、本実施の形態では補助記憶装置13に構築される。
対策データベース33は、対策情報を格納するデータベースである。対策情報は、セキュリティ事故への対策を定義する情報である。
対策情報の例を図15に示す。この例では、セキュリティ情報の各特徴sが高い人に対して有効なセキュリティ対策の一覧が対策情報として対策データベース33に記録されている。対策情報は、あらかじめセキュリティ管理者によって定義される。
***動作の説明***
図14および図15とともに図16から図18を参照して、本実施の形態に係る評価装置10の動作を説明する。評価装置10の動作は、本実施の形態に係る評価方法に相当する。
評価装置10の情報収集部21およびモデル生成部22の動作については、実施の形態1のものと同じであるため、説明を省略する。
以下では、評価装置10の推定部23および提案部24の動作について説明する。
図16は、推定部23および提案部24の処理フローを示している。
ステップS201およびステップS202の処理については、ステップS171およびステップS172の処理と同じであるため、説明を省略する。
ステップS203において、提案部24は、対策データベース33に格納された対策情報を参照して、推定部23により推定された特徴を示す振る舞いが要因になって起こり得るセキュリティ事故への対策を特定する。具体的には、提案部24は、ステップS202で人物Yのプロファイル情報を使って推定部23が取得したラベルLAB(c)と、対策データベース33に格納された対策情報とをもとに、人物Yが起こしやすいセキュリティ事故への対策を特定する。より具体的には、提案部24は、ラベルLAB(c)を構成するラベル要素lab(s)が「None」でなく、かつ、セキュリティ情報の特徴ごとにあらかじめ決められた閾値θk1以上である場合に、人物Yに適した対策は特徴sに関するセキュリティ事故への対策であると判定する。提案部24は、特定した対策を表す情報を出力する。具体的には、提案部24は、人物Yが起こしやすいセキュリティ事故への対策案をディスプレイ15の画面に表示する。訓練メール開封数が高い人への対策案の例と悪質サイト訪問数が高い人への対策案の例とを図16および図17にそれぞれ示す。
ステップS204の処理については、ステップS174の処理と同じであるため、説明を省略する。
なお、図15の例では、セキュリティ情報の特徴sごとに対策が定義されているが、それでは冗長な場合がある。よって、同じまたは似ている対策にはあらかじめ同じグループIDを付与しておき、ステップS203では、同じグループIDを持った複数の対策を特定した場合に、提案部24が、そのグループを代表する1つの対策のみを提案してもよい。「ID」は、Identifierの略語である。
***実施の形態の効果の説明***
本実施の形態によれば、インターネット42、および、イントラネット等のシステム43から自動的に収集可能な情報を使い、評価対象のユーザがどういうセキュリティ事故を起こしやすいかを推定した結果に応じて、適切な対策を自動的に提案することができる。
***他の構成***
本実施の形態では、実施の形態1と同じように、情報収集部21、モデル生成部22、推定部23および提案部24の機能がソフトウェアにより実現されるが、実施の形態1の変形例と同じように、情報収集部21、モデル生成部22、推定部23および提案部24の機能がソフトウェアとハードウェアとの組み合わせにより実現されてもよい。
実施の形態3.
本実施の形態について、主に実施の形態1との差異を、図19から図22を用いて説明する。
実施の形態1では、既存のシステム43から収集可能なセキュリティ情報を利用することが想定されている。一方、本実施の形態では、収集したユーザのプロファイル情報をもとにコンテンツを変えた訓練メールを送信した結果から、セキュリティ情報が取得される。
***構成の説明***
図19を参照して、本実施の形態に係る評価装置10の構成を説明する。
評価装置10は、情報収集部21と、モデル生成部22と、推定部23と、プロファイルデータベース31と、セキュリティデータベース32とのほかに、メール生成部25と、メールコンテンツデータベース34とを備える。情報収集部21、モデル生成部22、推定部23およびメール生成部25の機能は、ソフトウェアにより実現される。プロファイルデータベース31、セキュリティデータベース32およびメールコンテンツデータベース34は、メモリ12に構築されてもよいが、本実施の形態では補助記憶装置13に構築される。
メールコンテンツデータベース34は、訓練メールのコンテンツを格納するデータベースである。
コンテンツの例を図20に示す。この例では、ニュース、趣味および仕事等のトピックごとにいくつかの訓練メールのコンテンツが用意され、メールコンテンツデータベース34に格納されている。例えば、トピックがニュースである訓練メールのコンテンツとしては、経済、国際、国内、エンターテインメント等に関係するコンテンツが個別に用意されている。
***動作の説明***
図19および図20とともに図21および図22を参照して、本実施の形態に係る評価装置10の動作を説明する。評価装置10の動作は、本実施の形態に係る評価方法に相当する。
図21は、学習フェーズの動作を示している。
ステップS301において、情報収集部21は、インターネット42とイントラネット等のシステム43との両方からプロファイル情報を収集する。情報収集部21は、収集したプロファイル情報をプロファイルデータベース31に格納する。収集されるプロファイル情報は、実施の形態1のステップS101で収集されるものと同じである。
ステップS302において、メール生成部25は、情報収集部21により収集されたプロファイル情報に表されている特徴に応じて、メールコンテンツデータベース34に格納された訓練メールのコンテンツをカスタマイズする。
具体的には、メール生成部25は、組織のスタッフごとに、メールコンテンツデータベース34から、ステップS301で収集されたプロファイル情報に関連するコンテンツを選ぶ。本実施の形態では、メール生成部25は、スタッフのプロファイル情報のうち、特に、仕事および興味の情報に関係するコンテンツをトピックごとに取得する。メール生成部25は、取得したコンテンツを含む訓練メールのデータセットを生成する。
ステップS303において、メール生成部25は、ステップS302でカスタマイズしたコンテンツを含む訓練メールを複数の人物X,X,・・・,Xのそれぞれに送信する。メール生成部25は、送信した訓練メールに対する振る舞いを観察して、セキュリティ情報を生成する。メール生成部25は、生成したセキュリティ情報をセキュリティデータベース32に格納する。
具体的には、メール生成部25は、ステップS302で生成したデータセットにある訓練メールを定期的にスタッフに送信する。メール生成部25は、トピックごとの訓練メール開封数をセキュリティ情報としてセキュリティデータベース32に登録する。訓練メールの送信については、既存技術、または、非特許文献4に記載のサービス等の既存サービスを利用することができる。
セキュリティ情報として登録される、訓練メールに対する振る舞いの観察結果の例を図22に示す。この例では、訓練メール開封数がセキュリティ情報としてセキュリティデータベース32に登録される。マルウェア検知数、悪質サイト訪問数、ポリシー違反数、実行ファイルダウンロード数、ファイルダウンロード数、および、インターネット利用数は、実施の形態1のステップS101と同じように、情報収集部21により収集される。
ステップS304の処理については、ステップS102の処理と同じである。すなわち、ステップS304において、モデル生成部22は、プロファイル情報とセキュリティ情報との関係性のモデルを生成する。
学習フェーズの次のフェーズである評価フェーズの動作については、実施の形態1のものと同じであるため、説明を省略する。
***実施の形態の効果の説明***
本実施の形態によれば、セキュリティ情報を動的に取得することができる。
***他の構成***
本実施の形態では、実施の形態1と同じように、情報収集部21、モデル生成部22、推定部23およびメール生成部25の機能がソフトウェアにより実現されるが、実施の形態1の変形例と同じように、情報収集部21、モデル生成部22、推定部23およびメール生成部25の機能がソフトウェアとハードウェアとの組み合わせにより実現されてもよい。
実施の形態4.
本実施の形態は、実施の形態2と実施の形態3との組み合わせである。
図23を参照して、本実施の形態に係る評価装置10の構成を説明する。
評価装置10は、情報収集部21と、モデル生成部22と、推定部23と、プロファイルデータベース31と、セキュリティデータベース32とのほかに、提案部24と、メール生成部25と、対策データベース33と、メールコンテンツデータベース34とを備える。情報収集部21、モデル生成部22、推定部23、提案部24およびメール生成部25の機能は、ソフトウェアにより実現される。プロファイルデータベース31、セキュリティデータベース32、対策データベース33およびメールコンテンツデータベース34は、メモリ12に構築されてもよいが、本実施の形態では補助記憶装置13に構築される。
情報収集部21、モデル生成部22、推定部23、メール生成部25、プロファイルデータベース31、セキュリティデータベース32およびメールコンテンツデータベース34については、実施の形態3のものと同じであるため、説明を省略する。
提案部24および対策データベース33については、実施の形態2のものと同じであるため、説明を省略する。
10 評価装置、11 プロセッサ、12 メモリ、13 補助記憶装置、14 入力機器、15 ディスプレイ、16 通信装置、21 情報収集部、22 モデル生成部、23 推定部、24 提案部、25 メール生成部、31 プロファイルデータベース、32 セキュリティデータベース、33 対策データベース、34 メールコンテンツデータベース、41 ネットワーク、42 インターネット、43 システム、51 プロファイル情報収集部、52 セキュリティ情報収集部、61 分類部、62 データ生成部、63 学習部。

Claims (10)

  1. 複数の人物のそれぞれについて個人の特徴を表すプロファイル情報を格納するプロファイルデータベースと、
    前記複数の人物のそれぞれについてセキュリティ事故の要因になり得る振る舞いの特徴をセキュリティ事故の兆候の数で表すセキュリティ情報を格納するセキュリティデータベースと、
    前記プロファイルデータベースに格納されたプロファイル情報に対するクラスタリングを行って、前記複数の人物をいくつかのクラスタに分類し、クラスタごとに、前記プロファイル情報から学習用のデータを生成し、クラスタごとに、前記セキュリティデータベースに格納されたセキュリティ情報に表されている特徴の平均を、前記学習用のデータに付与するラベルとして計算し、前記学習用のデータと前記学習用のデータに付与するラベルとを使って、前記プロファイル情報に表されている特徴と前記セキュリティ情報に表されている特徴との関係性を表すモデル導き出すモデル生成部と、
    前記複数の人物とは別の人物の特徴を表す情報の入力を受け、入力された情報を、前記モデル生成部により導き出されたモデルに入力し前記モデルから得られたラベルがあらかじめ決められた値以上である場合に、前記別の人物セキュリティ事故を起こしやすいと判定する推定部と
    を備える評価装置。
  2. 前記モデル生成部は、クラスタごとに、前記セキュリティ情報に表されている特徴の標準偏差を計算し、前記標準偏差があらかじめ定義された範囲内に収まっている場合に、前記平均を、前記学習用のデータに付与するラベルとして計算し、
    前記推定部は、前記平均が前記モデルから得られ、かつ、前記モデルから得られたラベルがあらかじめ決められた値以上である場合に、前記別の人物がセキュリティ事故を起こしやすいと判定する請求項1に記載の評価装置。
  3. 前記モデル生成部は、前記モデルを導き出す前に、前記プロファイル情報に表されている特徴と前記セキュリティ情報に表されている特徴との相関を計算し、計算した相関が閾値未満の特徴を表す情報を前記プロファイル情報から除外する請求項1または2に記載の評価装置。
  4. 前記モデル生成部は、前記モデルを導き出す前に、前記プロファイル情報に表されている特徴と前記セキュリティ情報に表されている特徴との相関を計算し、計算した相関が閾値未満の特徴を表す情報を前記セキュリティ情報から除外する請求項1または2に記載の評価装置。
  5. セキュリティ事故への対策を定義する対策情報を格納する対策データベースと、
    前記対策データベースに格納された対策情報を参照して、前記推定部により推定された特徴を示す振る舞いが要因になって起こり得るセキュリティ事故への対策を特定し、特定した対策を表す情報を出力する提案部と
    を備える請求項1から4のいずれか1項に記載の評価装置。
  6. インターネットと前記複数の人物が属する組織により運用されているシステムとの少なくともいずれかから前記プロファイル情報を収集し、前記プロファイル情報を前記プロファイルデータベースに格納する情報収集部をさらに備える請求項1から5のいずれか1項に記載の評価装置。
  7. 前記情報収集部は、前記システムから前記セキュリティ情報を収集し、前記セキュリティ情報を前記セキュリティデータベースに格納する請求項6に記載の評価装置。
  8. セキュリティ事故を訓練するためのメールである訓練メールのコンテンツを格納するメールコンテンツデータベースと、
    前記プロファイル情報に表されている特徴に応じて、前記メールコンテンツデータベースに格納された訓練メールのコンテンツをカスタマイズし、カスタマイズしたコンテンツを含む訓練メールを前記複数の人物のそれぞれに送信し、送信した訓練メールに対する振る舞いを観察して、前記セキュリティ情報を生成し、前記セキュリティ情報を前記セキュリティデータベースに格納するメール生成部と
    を備える請求項1から6のいずれか1項に記載の評価装置。
  9. モデル生成部が、複数の人物のそれぞれについて個人の特徴を表すプロファイル情報と、前記複数の人物のそれぞれについてセキュリティ事故の要因になり得る振る舞いの特徴をセキュリティ事故の兆候の数で表すセキュリティ情報とをデータベースから取得し、前記プロファイル情報に対するクラスタリングを行って、前記複数の人物をいくつかのクラスタに分類し、クラスタごとに、前記プロファイル情報から学習用のデータを生成し、クラスタごとに、前記セキュリティ情報に表されている特徴の平均を、前記学習用のデータに付与するラベルとして計算し、前記学習用のデータと前記学習用のデータに付与するラベルとを使って、前記プロファイル情報に表されている特徴と前記セキュリティ情報に表されている特徴との関係性を表すモデル導き出し、
    推定部が、前記複数の人物とは別の人物の特徴を表す情報の入力を受け、入力された情報を、前記モデル生成部により導き出されたモデルに入力し前記モデルから得られたラベルがあらかじめ決められた値以上である場合に、前記別の人物セキュリティ事故を起こしやすいと判定する評価方法。
  10. 複数の人物のそれぞれについて個人の特徴を表すプロファイル情報を格納するプロファイルデータベースと、前記複数の人物のそれぞれについてセキュリティ事故の要因になり得る振る舞いの特徴をセキュリティ事故の兆候の数で表すセキュリティ情報を格納するセキュリティデータベースとを備えるコンピュータに、
    前記プロファイルデータベースに格納されたプロファイル情報に対するクラスタリングを行って、前記複数の人物をいくつかのクラスタに分類し、クラスタごとに、前記プロファイル情報から学習用のデータを生成し、クラスタごとに、前記セキュリティデータベースに格納されたセキュリティ情報に表されている特徴の平均を、前記学習用のデータに付与するラベルとして計算し、前記学習用のデータと前記学習用のデータに付与するラベルとを使って、前記プロファイル情報に表されている特徴と前記セキュリティ情報に表されている特徴との関係性を表すモデル導き出すモデル生成処理と、
    前記複数の人物とは別の人物の特徴を表す情報の入力を受け、入力された情報を、前記モデル生成処理により導き出されたモデルに入力し前記モデルから得られたラベルがあらかじめ決められた値以上である場合に、前記別の人物セキュリティ事故を起こしやすいと判定する推定処理と
    を実行させる評価プログラム。
JP2017555735A 2017-05-25 2017-05-25 評価装置、評価方法および評価プログラム Expired - Fee Related JP6362796B1 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/019589 WO2018216175A1 (ja) 2017-05-25 2017-05-25 評価装置、評価方法および評価プログラム

Publications (2)

Publication Number Publication Date
JP6362796B1 true JP6362796B1 (ja) 2018-07-25
JPWO2018216175A1 JPWO2018216175A1 (ja) 2019-06-27

Family

ID=62976626

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017555735A Expired - Fee Related JP6362796B1 (ja) 2017-05-25 2017-05-25 評価装置、評価方法および評価プログラム

Country Status (4)

Country Link
US (1) US20200074327A1 (ja)
JP (1) JP6362796B1 (ja)
CN (1) CN110637320A (ja)
WO (1) WO2018216175A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10715545B2 (en) * 2017-09-22 2020-07-14 Microsoft Technology Licensing, Llc Detection and identification of targeted attacks on a computing system
US11308208B2 (en) * 2018-08-03 2022-04-19 Endgame, Inc. Classifying ransom notes in received files for ransomware process detection and prevention
GB2595126B (en) * 2019-02-15 2022-12-07 Sophos Ltd Systems and methods for conducting a security recognition task
JP7355118B2 (ja) * 2019-12-25 2023-10-03 日本電気株式会社 リスク分析結果表示装置、方法、及びプログラム
KR102455758B1 (ko) 2020-01-30 2022-10-17 가부시키가이샤 스크린 홀딩스 데이터 처리 방법, 데이터 처리 장치 및 기억 매체
US11575677B2 (en) * 2020-02-24 2023-02-07 Fmr Llc Enterprise access control governance in a computerized information technology (IT) architecture
JP2021163048A (ja) * 2020-03-31 2021-10-11 株式会社トプコン 情報処理装置、情報処理システム、および情報処理方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011095876A (ja) * 2009-10-28 2011-05-12 Hitachi Ltd ヒューマンエラー分析支援システムおよびヒューマンエラー分析支援方法
JP2014206792A (ja) * 2013-04-10 2014-10-30 テンソル・コンサルティング株式会社 ソーシャルネットワーク情報処理装置、処理方法、および処理プログラム
JP2015060361A (ja) * 2013-09-18 2015-03-30 富士通株式会社 メール作成プログラム、メール作成方法、及び情報処理装置
JP2016200955A (ja) * 2015-04-09 2016-12-01 株式会社リコー 情報処理装置、プログラム、推定方法
JP6130977B1 (ja) * 2016-05-24 2017-05-17 三井情報株式会社 情報処理装置、情報処理方法、情報処理システム及びプログラム
JP6134411B1 (ja) * 2016-03-17 2017-05-24 ヤフー株式会社 情報処理装置、情報処理システム、情報処理方法、および、情報処理プログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011095876A (ja) * 2009-10-28 2011-05-12 Hitachi Ltd ヒューマンエラー分析支援システムおよびヒューマンエラー分析支援方法
JP2014206792A (ja) * 2013-04-10 2014-10-30 テンソル・コンサルティング株式会社 ソーシャルネットワーク情報処理装置、処理方法、および処理プログラム
JP2015060361A (ja) * 2013-09-18 2015-03-30 富士通株式会社 メール作成プログラム、メール作成方法、及び情報処理装置
JP2016200955A (ja) * 2015-04-09 2016-12-01 株式会社リコー 情報処理装置、プログラム、推定方法
JP6134411B1 (ja) * 2016-03-17 2017-05-24 ヤフー株式会社 情報処理装置、情報処理システム、情報処理方法、および、情報処理プログラム
JP6130977B1 (ja) * 2016-05-24 2017-05-17 三井情報株式会社 情報処理装置、情報処理方法、情報処理システム及びプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
片山佳則 ほか: "ユーザー行動特性分析による個人と組織のITリスク見える化の試み", 2015年 暗号と情報セキュリティシンポジウム概要集, JPN6017031035, 20 January 2015 (2015-01-20), pages 1 - 8, ISSN: 0003734307 *

Also Published As

Publication number Publication date
JPWO2018216175A1 (ja) 2019-06-27
WO2018216175A1 (ja) 2018-11-29
US20200074327A1 (en) 2020-03-05
CN110637320A (zh) 2019-12-31

Similar Documents

Publication Publication Date Title
JP6362796B1 (ja) 評価装置、評価方法および評価プログラム
Van Der Heijden et al. Cognitive triaging of phishing attacks
US11533324B2 (en) Learning maliciousness in cybersecurity graphs
Cresci et al. Fame for sale: Efficient detection of fake Twitter followers
Miller et al. Reviewer integration and performance measurement for malware detection
US11032304B2 (en) Ontology based persistent attack campaign detection
US9336388B2 (en) Method and system for thwarting insider attacks through informational network analysis
Lécuyer et al. {XRay}: Enhancing the {Web’s} Transparency with Differential Correlation
Sarabi et al. Risky business: Fine-grained data breach prediction using business profiles
Zareie et al. Similarity-based link prediction in social networks using latent relationships between the users
Khan et al. Segregating spammers and unsolicited bloggers from genuine experts on twitter
Singh et al. Who is who on twitter–spammer, fake or compromised account? a tool to reveal true identity in real-time
Thonnard et al. Are you at risk? Profiling organizations and individuals subject to targeted attacks
US20220217160A1 (en) Web threat investigation using advanced web crawling
Lévesque et al. Risk prediction of malware victimization based on user behavior
US12038984B2 (en) Using a machine learning system to process a corpus of documents associated with a user to determine a user-specific and/or process-specific consequence index
Gandotra et al. Malware threat assessment using fuzzy logic paradigm
Petrič et al. The impact of formal and informal organizational norms on susceptibility to phishing: Combining survey and field experiment data
Al-Azizy et al. A literature survey and classifications on data deanonymisation
Haupt et al. Robust identification of email tracking: A machine learning approach
Huynh et al. A new adaptive learning algorithm and its application to online malware detection
WO2015159926A1 (ja) 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
Biselli et al. On the challenges of developing a concise questionnaire to identify privacy personas
Albladi et al. A semi-automated security advisory system to resist cyber-attack in social networks
Tang et al. Emerging opinion leaders in crowd unfollow crisis: a case study of mobile brands in Twitter

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171024

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20171024

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20171115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180302

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180529

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180626

R150 Certificate of patent or registration of utility model

Ref document number: 6362796

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees