JP6369249B2 - 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム - Google Patents
不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム Download PDFInfo
- Publication number
- JP6369249B2 JP6369249B2 JP2014184845A JP2014184845A JP6369249B2 JP 6369249 B2 JP6369249 B2 JP 6369249B2 JP 2014184845 A JP2014184845 A JP 2014184845A JP 2014184845 A JP2014184845 A JP 2014184845A JP 6369249 B2 JP6369249 B2 JP 6369249B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- access
- access log
- expected
- actual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、不正アクセスを検出する不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラムに関する。特に、情報システムへの目的外操作による不正アクセスを検出する不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラムに関する。
現在の情報セキュリティには、例えば下記のような課題がある
(1)「保護すべき情報の増加・多様化のスピードが早い(情報保護要件の拙速な強化)」
(2)「防御者(セキュリティ技術者)の不足」
(3)「防護にかかるコスト(作業量)の増加」
かつては、保護・保全すべき情報量が少なく、また種類も少なかったため、パスワードは参照できない、DBの更新・削除は出来ないといった、「権限範囲」に関して単純なアクセス権のみで保護することが可能であった(DB:Database)。
(1)「保護すべき情報の増加・多様化のスピードが早い(情報保護要件の拙速な強化)」
(2)「防御者(セキュリティ技術者)の不足」
(3)「防護にかかるコスト(作業量)の増加」
かつては、保護・保全すべき情報量が少なく、また種類も少なかったため、パスワードは参照できない、DBの更新・削除は出来ないといった、「権限範囲」に関して単純なアクセス権のみで保護することが可能であった(DB:Database)。
しかし、現在は、保護すべき情報の多様化・増加により、かつてのような単純なアクセス権では対応できない事例が多数上がっている。例えば、著名人の本籍・年金未払い情報の不正参照や、IT企業のサーバ管理者による技術情報の不正取得とそれに伴う流出などを例としてあげられる(IT:Information Technology)。これらの事件は、「参照権限を持っているシステム利用者が、本来参照すべきでない機密情報に目的外アクセスした」ことにより発生している。これらの事象は、「権限付与・削除」といったこれまでのアクセス権管理では対応できず、問題発覚後にログを解析することによって、不正を突き止める事となった。
以上のような「目的外操作・参照」による不正を防ぐには、2つの方法がある。一つは、事前に操作できないようにすることであり、もう一つは、事後に不正を検出する方法である。
事前に操作を出来なくするにはアクセス権粒度を細かく複雑に設定できるようにする必要がある。具体例を上げるならば、「1回のアクセス権付与で参照できるレコードは1つのみ」とすることである。このような設定を実現するためには、既存システムのアクセス権設定機能を強化する必要があるが、「昨日は参照してよかった情報が、今日は不可になった」といった昨今の「情報保護要件の拙速な強化」にシステム改造が追い付いていくことは難しい。
また、事後に不正アクセス検出を行うためには、アクセスログを常に監視する必要がある。しかしながら、時に膨大な量となるアクセスログに対して目的外操作の有無を監視することは、作業量の増加、ログ解析が可能な技術者の不足によって現実的ではなかった。
特許文献1ユーザに負担をかけることなく複雑な電子機器のセキュリティの維持管理を実現する電子機器のセキュリティ監視装置について開示されている。特許文献1のセキュリティ監視装置は、過去のアクセスログをセキュリティ管理情報として蓄積管理し、現在のアクセスが通常のアクセスと異なるか否かをチェックし、異なる場合に警告を発する。
特許文献2には、情報処理装置が管理する情報を不正なアクセスから保護する場合に好適なアクセス制御システムについて開示されている。特許文献2のアクセス制御システムは、特定のユーザが特定のプログラムを使用した場合に限り特定のファイルへのアクセスを許可するといったポリシーを用い、そのポリシーに基づいたアクセス制御を行う。
特許文献3には、コンピュータシステムに対する不正アクセスを検出する不正アクセス装置について開示されている。特許文献3の不正アクセス検出装置は、社内ネットワークにアクセスするユーザからのアクセスに関する申告内容を記憶し、ユーザ端末と社内ネットワークとの間のアクセスログと申告内容との比較結果に基づいて不正アクセスを検出する。
特許文献4には、ネットワークに接続されているコンピュータ装置への不正なアクセスを検出する不正アクセス検出装置について開示されている。特許文献4の不正アクセス検出装置は、作業端末から入力した情報と利用時間を設定した端末利用情報と、業務サーバと作業端末との接続時間を設定したログデータとを突合せ、合致する端末利用情報がないログデータにより不正アクセスを検出する。また、特許文献4の不正アクセス検出装置は、承認された作業内容を示す申請作業内容情報と端末利用情報とを突合せ、合致する申請作業内容情報がない端末利用情報により不正アクセスを検出する。
特許文献5には、業務情報システムの情報セキュリティを向上させることができるようにした業務情報防御装置について開示されている。特許文献5の業務情報防御装置は、アクセスログの内容と、そのアクセスログに紐付けられた申請ナンバーに対応する作業予定情報とを比較して不正アクセスがなされているかをチェックする。
特許文献1のセキュリティ管理装置によれば、ユーザ認証情報が漏洩したような場合でも、セキュリティの維持管理を強固に行うことができる。しかしながら、特許文献1のセキュリティ管理装置においては、申請という行為を伴わないため、目的外レコードに対する参照は検出できないという問題点がある。
特許文献2のアクセス制御システムによれば、ネットワークからの侵入者がいかなるユーザ権限を利用して不正なファイル読み出しや書き込みを試みようとしてアクセスしても、そのアクセスを抑止することができる。しかしながら、特許文献2のアクセス制御システムにおいては、ファイルレベルでのアクセス制御は可能となるものの、レコードレベルおよび操作目的視点での監視ができないという問題点があった。
特許文献3の不正アクセス検出装置によれば、ユーザ認証をクリアした不正なアクセスをユーザの申告内容に基づいて検出することができる。しかしながら、特許文献3の不正アクセス検出装置においては、アクセスおよび利用サービスの選択に関する不正アクセスに関しては検出できるものの、サービス(業務システム)内の操作に関する不正アクセスまでは検出できないという問題点があった。
特許文献4の不正アクセス検出装置によれば、不正アクセスパターンの管理を必要とせず、目的までも考慮して不正アクセスを検出することができる。しかしながら、特許文献4の不正アクセス検出装置は、業務サーバが解析可能なログを出力することが前提となっており、既存システムに対してログ出力を含めてセキュリティ強化改造が困難な場合には対応できないという問題点があった。
特許文献5の業務情報防御装置によれば、業務情報システムの情報セキュリティを高め、かつ、そのアクセスルールを管理しやすくできる。しかしながら、特許文献5の業務情報防御装置は、アクセスログから申請内容への逆変換が容易である場合には適するものの、アクセスログから申請内容への逆変換が困難である場合には適さないという問題点があった。
本発明の目的は、上述した課題を解決するため、既存システムへの更新なしに、情報システムへの目的外操作を自動的に検出することを可能とする不正アクセス検出システムを提供することにある。
本発明の不正アクセス検出システムは、単一の接続経路で情報システムに接続された利用者端末から出力された情報システムの利用申請を取得し、取得した利用申請の内容から予想されるログメッセージである予想アクセスログを生成するアクセスログ予想手段と、利用申請に基づいて設定されたアクセス権を行使して情報システムを利用する利用者端末によって実際に行われた操作のログメッセージである実アクセスログを取得するアクセスログ取得手段と、アクセスログ予想手段によって生成された予想アクセスログと、アクセスログ取得手段によって取得された実アクセスログとを照合した結果を情報システムへの接続を管理する管理端末に出力する照合手段とを備える。
本発明の不正アクセス検出方法においては、単一の接続経路で情報システムに接続された利用者端末から出力された情報システムの利用申請を取得し、取得した利用申請の内容から予想されるログメッセージである予想アクセスログを生成し、利用申請に基づいて設定されたアクセス権を行使して情報システムを利用する利用者端末によって実際に行われた操作のログメッセージである実アクセスログを取得し、アクセスログ予想手段によって生成された予想アクセスログと、アクセスログ取得手段によって取得された実アクセスログとを照合した結果を情報システムへの接続を管理する管理端末に出力する。
本発明の不正アクセス検出プログラムは、単一の接続経路で情報システムに接続された利用者端末から出力された情報システムの利用申請を取得し、取得した利用申請の内容から予想されるログメッセージである予想アクセスログを生成する処理と、利用申請に基づいて設定されたアクセス権を行使して情報システムを利用する利用者端末によって実際に行われた操作のログメッセージである実アクセスログを取得する処理と、アクセスログ予想手段によって生成された予想アクセスログと、アクセスログ取得手段によって取得された実アクセスログとを照合した結果を情報システムへの接続を管理する管理端末に出力するする処理とをコンピュータに実行させる。
本発明によれば、既存システムへの更新なしに、情報システムへの目的外操作を自動的に検出することが可能になる。
以下に、本発明を実施するための形態について図面を用いて説明する。ただし、以下に述べる実施形態には、本発明を実施するために技術的に好ましい限定がされているが、発明の範囲を以下に限定するものではない。なお、以下の実施形態の説明に用いる全図においては、特に理由が無い限り同様箇所に同一符号を付す。また、以下の実施形態において、同様の構成・動作に関しては繰り返しの説明を省略する場合がある。
(第1の実施形態)
(構成)
まず、図面を用いて、本発明の第1の実施形態に係る不正アクセス検出システム1の構成について説明する。
(構成)
まず、図面を用いて、本発明の第1の実施形態に係る不正アクセス検出システム1の構成について説明する。
図1は、本発明の第1の実施形態に係る不正アクセス検出システム1の基本構成と、不正アクセス検出システム1と各システム・端末装置との相互関係を示すブロック図である。図2は、各システムの内部構成の詳細を示すブロック図である。
不正アクセス検出システム1は、アクセス経路を単一に限定した上で利用者の操作をアクセスログに残す。また、不正アクセス検出システム1は、利用者が予め申請した作業内容から出力されるアクセスログを予想する。そして、不正アクセス検出システム1は、実際に出力されたアクセスログ(実アクセスログ)と予想したアクセスログ(予想アクセスログ)とを照合することによって、目的外操作の有無を自動確認する。
不正アクセス検出システム1の構成について説明する前に、不正アクセス検出システム1に関係する各システム・端末装置の構成について説明する。
(業務システム)
業務システム100は、利用者端末60を用いた目的外操作を検知する対象となる情報システムである。業務システム100は、保護されるべき情報をデータベースとして持つ。なお、業務システム100が実行する処理内容自体については特に限定を加えない。また、業務システム100は、単一システムとして構成されてもよいし、複数システムの集合として構成されてもよい。
業務システム100は、利用者端末60を用いた目的外操作を検知する対象となる情報システムである。業務システム100は、保護されるべき情報をデータベースとして持つ。なお、業務システム100が実行する処理内容自体については特に限定を加えない。また、業務システム100は、単一システムとして構成されてもよいし、複数システムの集合として構成されてもよい。
業務システム100は、業務装置101と業務システムデータベース103(以下、業務システムDB103)とを含む(DB:Database)。
業務装置101は、業務システム100が実行する業務処理を行う装置である。なお、本実施形態において、業務装置101は、データアクセスに対する利用者単位でのアクセス権制御機能と、アクセスログ出力機能とを持つものとする。
業務システムDB103は、業務システム100に関する保護されるべき情報を格納する。
(利用者端末)
利用者端末60は、業務システム100にアクセスして操作を行うユーザが利用する端末装置である。
利用者端末60は、業務システム100にアクセスして操作を行うユーザが利用する端末装置である。
利用者端末60は、ユーザが業務システム100を利用する際に、ユーザによって記入された利用申請を管理端末60に出力する。利用申請とは、利用者が行う予定の業務システム100への操作を記録する申請書である。利用申請に基づいた申請内容登録が業務システム100になされている場合、利用者端末60は、与えられたアクセス権に従って業務システム100にアクセスできる。
例えば、利用申請は、利用者端末60が業務システム100に接続する日時(時間)が記入する欄を含む。また、利用申請は、例えば利用者端末60を識別するための識別子を記入する欄を含む項目、利用者端末60に与えられるアクセス権限の範囲を識別するための識別子を記入する欄を含む項目を含む。また、利用申請は、例えば利用者端末60が業務システム100に接続した際に行う操作に関する情報を記入する欄を含む少なくとも一つの項目を含む。
(管理端末)
管理端末70は、業務システム100のアクセス権変更権限を持つ管理者によって利用される端末装置である。
管理端末70は、業務システム100のアクセス権変更権限を持つ管理者によって利用される端末装置である。
管理端末70は、利用者端末60から受け取った利用申請を許可する場合、利用申請に基づいた申請内容登録を業務システム100に行うとともに、不正アクセス検出システム1に利用申請を出力する。
また、管理端末70は、不正アクセス検出システム1によって出力された照合結果を受け取る。
利用者端末60および管理端末70は、例えば、デスクトップPCやノートPC、タブレット、スマートフォン、携帯端末などの端末装置によって実現される(PC:Personal Computer)。利用者端末60および管理端末70を実現する装置は、中央演算処理装置、揮発性メモリ、不揮発性メモリ、補助記憶装置、入出力装置、通信装置などを有し、適切なオペレーティングシステムによって動作する情報処理装置である。利用者端末60および管理端末70には、ユーザの操作を受け付けるキーボードやタッチパネル、マウスなどの入力装置、操作画面を表示するためのディスプレイなどの表示装置といった周辺機器を接続または内蔵できる。なお、利用者端末60および管理端末70は、上記のものに限定されず、例えば専用の端末装置として開発されたものであってもよいし、汎用の装置に専用のアプリケーションをダウンロードして実現されるものであってもよい。
(アクセス管理システム)
アクセス管理システム50は、利用者端末60による業務システム100へのアクセスを単一の経路にまとめるシステムである。
アクセス管理システム50は、利用者端末60による業務システム100へのアクセスを単一の経路にまとめるシステムである。
アクセス管理システム50は、アクセス申請システム51とアクセス元選別システム55とを含む。
アクセス中継システム51は、業務システム100への利用者の操作を中継し、実際の操作内容を記録する中継記録装置52を含み、業務システム100と利用者端末60との間で操作を中継する機能を持つ。利用者端末60は、アクセス中継システム51を通じて業務システム100を利用する。後述のアクセス元選別システム55と合わせて、業務システム100への接続経路を単一にまとめる。アクセス中継システム51は、認証機能やセッション管理機能による成り済まし防止機能を持ち、不正操作を強力に防止する。
アクセス元選別システム55は、アクセス中継システム51を経由しない操作業務システム100へのアクセスを遮断する。
なお、図1などには、本実施形態に係る不正アクセス検出システム1の外部にアクセス管理システム50が存在するように描いているが、アクセス管理システム50を不正アクセス検出システム1に含むように構成してもよい。
(不正アクセス検出システム)
不正アクセス検出システム1は、利用者端末60によるアクセス管理システム50を通じた業務システム100へのアクセスにおける申請内容外操作を不正アクセスとして検出するシステムである。
不正アクセス検出システム1は、利用者端末60によるアクセス管理システム50を通じた業務システム100へのアクセスにおける申請内容外操作を不正アクセスとして検出するシステムである。
不正アクセス検出システム1は、アクセスログ予想手段10と、アクセスログ取得手段20と、照合手段30とを含む。
〔アクセスログ予想手段〕
アクセスログ予想手段10は、利用者端末60から管理端末70に対して出力された利用申請を管理端末70から取得し、取得した利用申請に基づいて許可されるユーザの操作から予想アクセスログ(以下、予想ログ)を生成する。
アクセスログ予想手段10は、利用者端末60から管理端末70に対して出力された利用申請を管理端末70から取得し、取得した利用申請に基づいて許可されるユーザの操作から予想アクセスログ(以下、予想ログ)を生成する。
すなわち、アクセスログ予想手段10は、単一の接続経路で業務システム100(情報システム)に接続された利用者端末60から出力された利用申請を取得し、取得した利用申請の内容から予想されるログメッセージである予想ログを生成する。
アクセスログ予想手段10は、利用申請受付手段11、利用申請管理データベース13、マッピングデータベース15、出力アクセスログ予想手段17、予想アクセスログ管理データベース19を有する。
利用申請受付手段11は、管理端末70から利用申請を取得し、取得した利用申請を利用申請管理データベース(以下、利用申請管理DB13)に登録する。
利用申請管理DB13は、管理端末70から取得した利用申請の内容を格納するデータベースである。
マッピングデータベース15(以下、マッピングDB15)は、利用申請の内容に基づいた処理をアクセスログに変換するための情報を管理するマッピングテーブルを格納する。
マッピングテーブルは、例えば、利用申請に含まれる項目、サブ項目、ログ種別、出力値、比較フラグを含むレコードによって構成される。出力値は、利用申請の内容に基づいた操作によって出力されるログメッセージに相当する。ログ種別は、出力値の種別に相当する。比較フラグは、出力値の特性を示す。サブ項目は、項目ごとの出力値に対応して設定される番号である。
出力アクセスログ予想手段17は、マッピングテーブルに格納された情報を参照し、利用申請管理DB13に格納された利用申請の内容に基づいて、利用者端末60が利用申請の内容通りにアクセスした場合の予想ログを生成する。
予想ログには、利用申請にある日付と、出力値とが含まれる。出力アクセスログ予想手段17は、生成した予想ログと、各予想ログの特性を示す比較制御フラグ(以下、比較フラグ)とを対応付けた予想ログデータを予想アクセスログ管理データベース19に出力する。
予想アクセスログ管理データベース19は、出力アクセスログ予想手段17から出力された予想ログデータを格納する。予想アクセスログ管理データベース19は、例えば、少なくとも一つの予想ログデータをレコードとして含む予想ログデータ管理テーブルによって、各予想ログデータを管理する。
〔アクセスログ取得手段〕
アクセスログ取得手段20は、アクセス管理システム50によって単一化されたアクセス経路を通じた利用者端末60による業務システム100へのアクセスに関するアクセスログをアクセス管理システム50から取得する。
アクセスログ取得手段20は、アクセス管理システム50によって単一化されたアクセス経路を通じた利用者端末60による業務システム100へのアクセスに関するアクセスログをアクセス管理システム50から取得する。
すなわち、アクセスログ取得手段20は、利用申請に基づいて設定されたアクセス権を行使して業務システム100(情報システム)を利用する利用者端末60によって実際に行われた操作のログメッセージである実アクセスログを取得する。
アクセスログ取得手段20は、実アクセスログ収集手段21、実アクセスログ管理データベース23(以下、実アクセスログ管理DB23)を有する。
実アクセスログ収集手段21は、アクセス申請システム51から出力された利用者端末60による業務システム100へのアクセスログ53を取得する。実アクセスログ収集手段21は、取得したアクセスログ53を実アクセスログ管理DB23に格納する。
実アクセスログ管理DB23は、実アクセスログ収集手段21によって取得されたアクセスログ53を格納する。
〔照合手段〕
照合手段30は、利用者端末60が実際に操作した内容が含まれる実アクセスログが予想アクセスログに含まれるか否かを照合し、照合結果を管理端末70に出力する。
照合手段30は、利用者端末60が実際に操作した内容が含まれる実アクセスログが予想アクセスログに含まれるか否かを照合し、照合結果を管理端末70に出力する。
すなわち、照合手段30は、アクセスログ予想手段10によって生成された予想アクセスログと、アクセスログ取得手段20によって取得された実アクセスログとを照合した結果を業務システム100(情報システム)への接続を管理する管理端末60に出力する。
照合手段30は、ログ照合手段31、ログ照合管理データベース33、照合結果出力手段35を有する。
ログ照合手段31は、実アクセスログ管理DB23に格納された実アクセスログと、予想アクセスログ管理DB19に格納された予想ログデータに含まれる予想ログとを比較する。ログ照合手段31は、実アクセスログと予想ログとの間に予実差がある場合、予想ログとして照合されない差分のログ(以下、目的外操作ログ)をログ照合管理データベース33(以下、ログ照合管理DB33)に出力する。
ログ照合管理DB33は、ログ照合手段31によって出力された目的外操作ログを格納する。
照合結果出力手段35は、ログ照合管理DB33に格納された目的外操作ログを照合結果として管理端末70に出力する。
以上が、本実施形態に係る不正アクセス検出システム1の構成についての説明である。
(動作)
次に、本実施形態に係る不正アクセス検出システム1の動作について図3のフローチャートを用いて説明する。なお、以下の動作において、各処理の開始終了制御や情報の伝達に関する制御などについては、システムの制御装置(図示しない)が行うものとするが、制御装置に対する入出力と併せて説明は省略する。
次に、本実施形態に係る不正アクセス検出システム1の動作について図3のフローチャートを用いて説明する。なお、以下の動作において、各処理の開始終了制御や情報の伝達に関する制御などについては、システムの制御装置(図示しない)が行うものとするが、制御装置に対する入出力と併せて説明は省略する。
図3において、まず、利用者端末60は、管理端末70に対して利用申請を出力する(ステップS11)。ステップS11の処理は、業務システム100にアクセス可能なユーザ(利用者端末60)が、業務システム100に対して実施しようとする操作を管理者(管理端末70)に「利用申請」として伝達することに相当する。
管理端末70は、利用申請の内容を利用申請受付手段11に入力する(ステップS12)。なお、管理端末70によって利用申請の内容を利用申請受付手段11に入力する処理は、申請内容登録と呼ぶ。このとき、利用申請受付手段11は、利用申請の内容を利用申請管理DB13に記録する。
管理端末70は、業務システム100に対して、利用者端末60が業務システム100するためのアクセス権を付与する(ステップS13)。ステップ13の処理は、管理者(管理端末70)が、業務システム100に対し、ユーザ(利用者端末60)へのアクセス権付与を行うことに相当する。
利用者端末60は、アクセス中継システム50を経由して、アクセス権が設定された業務システム100にアクセスする(ステップS14)。ステップS14の処理は、ユーザ(利用者端末60)が、アクセス中継システム51を経由して業務システム100を使用することに相当する。このとき、アクセス中継システム51は、ユーザの操作(利用者端末60)をアクセスログ53に記録する。
図3のフローチャートでは、この段階でユーザによる業務システム100の利用が終了したものとする。
次に、管理端末70は、業務システム100に対し、利用者端末60のアクセス権を削除する(ステップS15)。ステップS15の処理は、管理者(管理端末70)が、業務システム100に対し、ユーザ(利用者端末60)のアクセス権を削除する処理に相当する。
実アクセスログ収集手段21は、アクセスログ53の内容を収集し、実アクセスログ管理DB23に格納する(ステップS16)。
次に、出力アクセスログ予想手段17は、アクセスログ予想処理を実行する(ステップS17)。
アクセスログ予想処理において、出力アクセスログ予想手段17は、マッピングDB15に格納されたマッピングテーブルの情報を基に、利用申請管理DB13に格納された利用申請に従った操作をアクセスログ(予想ログ)に変換する。出力アクセスログ予想手段17は、予想ログを含む予想ログデータを予想ログデータ管理テーブルとしてまとめ、予想アクセスログ管理DB19に格納する。
次に、ログ照合手段31は、ログ照合処理を実行する(ステップS18)。
ログ照合処理において、ログ照合手段31は、予想アクセスログ管理DB19から取得した予想ログデータ管理テーブルの情報と、実アクセスログ管理DB23に格納された実アクセスログとを照合する。そして、ログ照合手段31は、予想ログデータ管理テーブルの情報と、実アクセスログとの差分となる目的外操作ログをログ照合管理DB33に格納する。
そして、照合結果出力手段35は、ログ照合管理DB33に格納された目的外操作ログをログ照合結果として管理端末70に出力する(ステップS19)。
以上が、本実施形態に係る不正アクセス検出システムの動作についての説明である。
これまでは、既存業務システムに対し、事後にアクセスログから不正操作を検出するには、アクセスログから実際の操作に逆変換する方式がとられていた。しかし、下記1〜4の点から逆変換は容易ではなく、自動化は困難であり、システムに精通した技術者の勘に頼るのが現実であった。
(1)操作に対して、アクセスログが1対1で対応しない。そのため、1つの操作で複数のアクセスログが出力され、また1つのアクセスログが複数の操作に対応する可能性をもつ場合がありえた。
(2)複数経路から、複数システムに対して、複数ユーザがアクセスする場合があり、1ユーザの1操作を特定することが困難であった。
(3)既存業務システムにおいて、アクセスログにユーザを一意に特定するログが出力されるとは限らなかった。
(4)複数の業務システム間で、アクセスログのフォーマットが異なった。
(1)操作に対して、アクセスログが1対1で対応しない。そのため、1つの操作で複数のアクセスログが出力され、また1つのアクセスログが複数の操作に対応する可能性をもつ場合がありえた。
(2)複数経路から、複数システムに対して、複数ユーザがアクセスする場合があり、1ユーザの1操作を特定することが困難であった。
(3)既存業務システムにおいて、アクセスログにユーザを一意に特定するログが出力されるとは限らなかった。
(4)複数の業務システム間で、アクセスログのフォーマットが異なった。
本発明の第1の実施形態に係る不正アクセス検出システムによれば、アクセス管理システムによって、利用者端末から業務システムへのアクセス経路が単一にまとめられる。また、認証機能やセッション管理機能によってなりすましを防止することができるため、利用者端末を使用するユーザを特定することができる。その結果、上記の1および2の点を解決することができる。
また、本実施形態に係る不正アクセス検出システムによれば、アクセス管理システムから出力されるアクセスログ(実アクセスログ)によってユーザを一意に特定できるため、上記の3の点を解決することができる。さらに、本実施形態に係る不正アクセス検出システムは、利用申請に基づいて予想アクセスログを作成し、作成した予想アクセスログと業務システムに接続された利用者端末の実アクセスログとを比較する。その結果、複数の業務システム間でアクセスログのフォーマットが異なる場合にも不正アクセスを検出することができるため、上記の4の点を解決することができる。
以上のように、本発明の第1の実施形態に係る不正アクセス検出システムによれば、既存システムへの更新なしに、情報システムへの目的外操作を自動的に検出することができるという効果が得られる。
また、本発明の第1の実施形態に係る不正アクセス検出システムによれば、下記1〜7のような効果が得られる。
(1)情報保護要件の強化に対して、既存業務システムに全く改造を必要としない。
(2)業務処理や実データファイルアクセスではなく、操作のログを対象とするため、業務システムの処理内容に依存せずに照合することが可能となる。
(3)手作業に頼らざるを得なかったログから操作へのマッピングに対し、操作からログへのマッピングを行った上での照合となる。そのため、複数の操作が1つのログに紐づいてしまうこれまでの方式と異なり、自動化が容易に可能となる。
(4)本実施形態に係る不正アクセス検出システムの出力アクセスログ予想手段による処理は、操作からアクセスログへの正変換であり、アクセスログから操作に逆変換するのに比較して遥かに難度が低い。そのため、経験が少ない技術者によっても対応可能であり、技術者不足の問題も解決される。
(5)申請目的以外のアクセスは事後自動で検知され、管理者に通知される。
(6)複数システムにまたがった一連の操作についても不正検知が容易に実現可能となる。
(7)ファイルレベルではなく、レコードレベルおよび操作目的視点での監視が可能になる。
(1)情報保護要件の強化に対して、既存業務システムに全く改造を必要としない。
(2)業務処理や実データファイルアクセスではなく、操作のログを対象とするため、業務システムの処理内容に依存せずに照合することが可能となる。
(3)手作業に頼らざるを得なかったログから操作へのマッピングに対し、操作からログへのマッピングを行った上での照合となる。そのため、複数の操作が1つのログに紐づいてしまうこれまでの方式と異なり、自動化が容易に可能となる。
(4)本実施形態に係る不正アクセス検出システムの出力アクセスログ予想手段による処理は、操作からアクセスログへの正変換であり、アクセスログから操作に逆変換するのに比較して遥かに難度が低い。そのため、経験が少ない技術者によっても対応可能であり、技術者不足の問題も解決される。
(5)申請目的以外のアクセスは事後自動で検知され、管理者に通知される。
(6)複数システムにまたがった一連の操作についても不正検知が容易に実現可能となる。
(7)ファイルレベルではなく、レコードレベルおよび操作目的視点での監視が可能になる。
(第2の実施形態)
一般に、ITシステムを用いて行われる特定の業務に関して、作業に必要な権限は非常に限定的な場合が多い(IT:Information Technology)。しかし、システムのアクセス権管理機能によって設定可能な粒度には限界がある。その結果、作業を行うにあたって設定されるアクセス権を必要最低限に限ることができず、本来不要なアクセス権が設定されてしまうため、不正操作が行われやすい環境が生じる。
一般に、ITシステムを用いて行われる特定の業務に関して、作業に必要な権限は非常に限定的な場合が多い(IT:Information Technology)。しかし、システムのアクセス権管理機能によって設定可能な粒度には限界がある。その結果、作業を行うにあたって設定されるアクセス権を必要最低限に限ることができず、本来不要なアクセス権が設定されてしまうため、不正操作が行われやすい環境が生じる。
第2の実施形態としては、本発明の実施形態に係る不正アクセスシステムをメールサーバ上で行われる監査業務に適用する場合の例を示す。
第2の実施形態は、図4のように、メールサーバ110(メールシステムとも呼ぶ)を業務システム100とする例である。なお、第2の実施形態において、不正アクセス検出システム1を含めた他の装置・システムは、第1の実施形態と同様であるために詳細な説明は省略する。
業務システムを構成するメールシステムは、一般的なインターネットメールサーバであり、メールの配送と保管(メールボックス)の機能をもつ。また、本実施形態で取り扱うメールシステムは、メールプロトコルを介さない直接ログイン機能やアカウント制御機能、アクセス権管理機能を持ち、保管されたメールのファイルをサーバ上で直接参照・取得することが可能である。
本実施形態に係るメールシステムを利用する企業では、部下が業務上の不正をしていると疑われる場合、上司(利用者)は、セキュリティ責任者(管理者)の許可を取った上で、メールサーバ上に保管されたメールを直接参照および取得する。このように、セキュリティ責任者の許可を取った上で、メールサーバ上に保管されたメールを直接参照および取得することを監査業務と呼ぶ。
本実施形態で扱うメールシステムの運用上の問題点として、監査業務で設定されるアクセス権が広すぎるということが挙げられる。
本実施形態におけるメールサーバ110上のアクセス権制御は、個人のメールボックス毎に設定することができず、組織単位にしか設定できない。そのため、監査業務用に参照権限を与えられると、同じ組織に所属する監査対象外のユーザのメールボックスも参照できてしまう。
図5に、メールサーバ110上に格納されたメールの参照権限を説明するための概念図を示す。
図5において、外側の領域はメールサーバ上に格納された全メールが含まれる範囲(実線)を示す。実線で囲った領域の内側には、監査業務で参照権限が与えられることによって、上司Aが参照できるメールの範囲(破線)を示す。上司が参照できるメールの範囲(破線)に含まれる全てのメールは、上司Aによって参照可能である。そして、上司が参照できるメールの範囲(破線)に、監査対象の部下Bのメールと、監査対象外の部下Cのメールとが含まれる。上司Aが監査対象の部下Bのメールを参照することは利用申請内容の操作に相当し、上司Aが監査対象外の部下Cのメールを参照することは目的外操作(不正アクセス)に相当する。
本実施形態において、監査業務は、SSH接続によるコマンドで行われる(SSH:Secure Shell)。
ユーザである上司Aは、監査業務のため、メールサーバ110にSSH接続して部下Bのメールを参照する。また、本実施形態の例において、上司Aは、悪意ある目的外操作として監査対象外の部下Cのメールを参照する。なお、SSH接続は、アクセス中継システム51を経由して確立される。
上司Aのメールサーバ110上のユーザIDは「nozaki」、組織IDは「000001」とする。
管理者であるメールサーバのセキュリティ責任者は、メールサーバ110を利用するユーザのアカウントに都度一時的な管理権限を付与し、ユーザによる処理が完了すると、一時的に付与した管理権限を削除する。
部下Bは、監査対象となるユーザであり、メールサーバ110に格納された部下Bのメールは上司Aによって参照されることになる。なお、部下Bは、本実施形態において特に作業は行わない。
部下Bのメールサーバ110上のユーザIDは「fukuda」、組織IDは「000001」とする。
部下Cは、監査対象外のユーザである。部下Cは、上司Aが目的外操作としてメールサーバ110に格納されたメールを参照しようとする対象である。なお、部下Bは、本実施形態において特に作業は行わない。
部下Cのメールサーバ110上のユーザIDは「yamada」、組織IDは「000001」とする。
ここで、本実施形態において、第2の実施形態において関係する要素を挙げる。
アクセス中継システム51としては、利用者端末60からメールサーバ110に接続する際の踏み台となるSSHサーバを用いる。SSHサーバを経由して行われるコマンド操作は、アクセスログ53として記録される。
図6には、ユーザによって記入されるメールサーバ110の利用申請のフォーマットの一例(利用申請フォーマット61)を示す。利用申請は、ユーザがセキュリティ責任者に対して監査業務を行う際に提出する帳票である。利用申請には、例えば以下の1〜5の事項が記載される。
(1)業務システムの利用日
(2)監査業務を行うユーザのID
(3)監査対象となるユーザのIDと、その組織のID
(4)監査業務としてメールの参照を行うか否かのチェック(メールの参照を行う場合は、チェックを黒塗りにする)
(5)監査業務としてメールの取得を行うか否かのチェック(メールの取得を行う場合は、チェックを黒塗りする)
図7には、ユーザによる実際のアクセスログ(実アクセスログとも呼ぶ)の一例を示す。図7のアクセスログ531は、上司Aが監査業務として部下Bのメールを参照した例が記載されている。アクセスログ531には、利用者端末60がアクセス中継システム51を通じてメールサーバ110に対して実行したコマンドが記録される。なお、図7のアクセスログ53の枠外(左側)に書かれた数字は行数を示す。
(1)業務システムの利用日
(2)監査業務を行うユーザのID
(3)監査対象となるユーザのIDと、その組織のID
(4)監査業務としてメールの参照を行うか否かのチェック(メールの参照を行う場合は、チェックを黒塗りにする)
(5)監査業務としてメールの取得を行うか否かのチェック(メールの取得を行う場合は、チェックを黒塗りする)
図7には、ユーザによる実際のアクセスログ(実アクセスログとも呼ぶ)の一例を示す。図7のアクセスログ531は、上司Aが監査業務として部下Bのメールを参照した例が記載されている。アクセスログ531には、利用者端末60がアクセス中継システム51を通じてメールサーバ110に対して実行したコマンドが記録される。なお、図7のアクセスログ53の枠外(左側)に書かれた数字は行数を示す。
図8には、マッピングDB15に格納されるマッピングテーブル170の一例を示す。マッピングDB15に格納されるマッピングテーブル170には、利用申請に記載されうる全ての作業に関して出力されるログメッセージの情報が格納される。また、アクセスログ53に含まれる各ログは、「必ず最初に出力される(top)」、「必ず最後に出力される(end)」、「1回しか出力されない(1time)」、「複数回出力されうる(many time)」といった特性を持つ。マッピングテーブル170は、各ログの特性を「比較フラグ」として格納する。
図8のマッピングテーブル170が格納する情報について説明する。
項目のフィールドは、利用申請の項目に対応する数字を含む。
サブ項目のフィールドは、利用申請にある各項目に対して、複数種類のログが出力される場合に各ログの種類ごとに記載される数字を含む。
ログ種別のフィールドは、後述する出力アクセスログ予想手段17の動作を切り分けるためのフラグを含む。
ログ種別のフラグの一つである「属性入力」は、後述する「出力値」の一部を「利用申請」にある文字列で置換することを示す。
ログ種別のフラグの一つである「固定値」は、必ず出力されることを示す。
ログ種別のフラグの一つである「選択」は、項目が選択された場合に出力されることを示し、属性入力と併用される場合がある。
出力値のフィールドは、実際にログに出力される文字列を格納する。なお、ログには、ランダムに生成されるIDなど、操作とは紐づかず、可変となる値が含まれる場合がある。本実施形態では、可変となる部分を「*」として定義し、ログ照合手段31においては、「*」を含む可変となる部分の差異を無視するものとする。
比較フラグのフィールドは、出力値に関して、「必ず最初に出力される(top)」、「必ず最後に出力される(end)」、「1回しか出力されない(1time)」、「複数回出力されうる(many time)」といった特性の情報を格納する。比較フラグは、ログ照合手段31の動作を切り分けるためのフラグとして利用される。
次に、具体的な例を挙げて、本実施形態について説明する。
まず、ユーザである上司Aの本来の業務(監査業務)について説明する。上司Aは、監査対象の部下Bのメールを参照することを監査業務として行う。なお、上司Aが部下Cのメールを参照する操作は、ユーザの目的外操作に相当する。
ユーザ(上司A)は、システム利用時に本来の運用業務を目的として、図9のような記入済み利用申請書62を管理者(セキュリティ責任者)に提出する。図9の記入済み利用申請書62においては、利用日および項目1〜4に関して記入されている。
一方、ユーザ(上司A)は、メールサーバ110上において前述の「目的外操作」を行ったため、実際のアクセスログとして図10のようなアクセスログ532が出力される。図10アクセスログ532は、ユーザ(上司A)による不正作業を含んでいる。なお、図10のアクセスログ532の枠外(左側)の数字は行数を示す。
不正アクセス検出システム1は、図6の利用申請の内容と、図7の実際のアクセスログ532とを照合する。不正アクセス検出システム1は、利用申請の内容と、アクセスログ532との差異を管理端末70(管理者)に伝える。
ここで、不正アクセス検出システム1による目的外操作の検出に関して、図3のフローチャートのアクセスログ予想処理(ステップS17)およびログ照合処理(ステップS18)について説明する。
(アクセスログ予想処理)
まず、出力アクセスログ予想手段17によるアクセスログ予想処理について説明する。
アクセスログ予想処理は、具体的な利用申請に基づいて予想アクセスログ(予想ログ)を生成する処理である。実際に出力されるアクセスログは、操作に使用するIDや作業内容によって異なるので、出力アクセスログ予想手段17は、利用申請に記載された情報を基にアクセスログを予想する。
まず、出力アクセスログ予想手段17によるアクセスログ予想処理について説明する。
アクセスログ予想処理は、具体的な利用申請に基づいて予想アクセスログ(予想ログ)を生成する処理である。実際に出力されるアクセスログは、操作に使用するIDや作業内容によって異なるので、出力アクセスログ予想手段17は、利用申請に記載された情報を基にアクセスログを予想する。
以下、利用申請が図9、マッピングDBの内容が図10であった場合における処理の流れについて、図11のフローチャートを参照しながら説明する。
図11において、まず、出力アクセスログ予想手段17は、マッピングDB15からマッピング情報(図10)を読み込む(ステップS21)。
出力アクセスログ予想手段17は、利用申請管理DB13から利用申請の内容(図9)を読み込む(ステップS22)。
出力アクセスログ予想手段17は、以下のステップS23〜ステップS26の処理に関して、まずは、マッピング情報のうち項目1・サブ項目1について処理する。そして、出力アクセスログ予想手段17は、項目1・サブ項目1についての処理が完了すると、項目1・サブ項目2について処理する。続けて、出力アクセスログ予想手段17は、項目2・サブ項目1、項目3・サブ項目1、項目3・サブ項目2、項目4・サブ項目1、項目4・サブ項目2について順次処理を実行する。
出力アクセスログ予想手段17は、各項目・サブ項目に関するログ種別を判断し、ログ種別に応じた処理を実行する(ステップS23)。
ステップS23において、出力アクセスログ予想手段17は、「ログ種別」が「属性入力」であると判断すると、出力値の一部を利用申請の入力値で置換する(ステップS24)。
出力アクセスログ予想手段17は、利用申請にある日付で置換処理済みの出力値・比較フラグを含む予想ログデータを出力する(ステップS26)。
ステップS26において全ての項目・サブ項目について処理が終了していない場合は、未だ処理されていない項目・サブ項目に関して、ステップS23〜ステップS26の処理を繰り返す。ステップS26において全ての項目・サブ項目について処理が終了した場合は、図11のアクセスログ予想処理は終了となる。
一方、ステップS23において、出力アクセスログ予想手段17は、「ログ種別」が「選択」であると判断すると、利用申請で対応する項目が選択されているか否かを判断する(ステップS25)。利用申請で対応する項目が選択されている場合(ステップS25でYes)、ステップS26に進む。利用申請で対応する項目が選択されていない場合(ステップS25でNo)、各項番・各サブ項番に関する処理の進行状況に応じて、ステップS23〜ステップS26の処理を繰り返すか、図11のアクセスログ予想処理を終了とする。
また、ステップS23において、出力アクセスログ予想手段17は、「ログ種別」が「固定値」であると判断するとステップS26に進む。
ここで、ステップS23〜ステップS26の処理について具体的に説明する。
まず、出力アクセスログ予想手段17は、マッピングテーブル170のマッピング情報のうち項目1・サブ項目2について処理する。
出力アクセスログ予想手段17は、「ログ種別」が「選択」であると判断する(ステップS23)。出力アクセスログ予想手段17は、利用申請の項目1(利用者ID)にある「nozaki」をもって、出力値の「入力値1」の部分を置換する(ステップS24)。出力アクセスログ予想手段17は、図12の予想ログデータ191Aを出力する(ステップS26)。なお、実際には、図12に示す予想ログデータ191は予想ログおよび比較フラグの内容をもつデータとして出力される。
次に、出力アクセスログ予想手段17は、マッピングテーブル170のマッピング情報のうち項目1・サブ項目2について処理する。
出力アクセスログ予想手段17は、「ログ種別」が「固定値」であると判断する(ステップS23)。
出力アクセスログ予想手段17は、図12の予想ログデータ191Bを出力する(ステップS26)。
次に、出力アクセスログ予想手段17は、マッピングテーブル170のマッピング情報のうち項目2・サブ項目1について処理する。
出力アクセスログ予想手段17は、「ログ種別」が「属性入力」であると判断する(ステップS23)。
出力アクセスログ予想手段17は、利用申請の項目2に関して、「00001」をもって出力値の「入力値2」の部分を置換するとともに、「fukuda」をもって出力値の「入力値3」の部分を置換する(ステップS24)。
出力アクセスログ予想手段17は、図12の予想ログデータ191Cを出力する(ステップS26)。
次に、出力アクセスログ予想手段17は、マッピングテーブル170のマッピング情報のうち項目3・サブ項目1について処理する。「ログ種別」が「選択」であると判断する(ステップS23)。出力アクセスログ予想手段17は、利用申請の対応する項目「項目3のチェックボックス」が選択されているか否かを判断する(ステップS25)。利用申請の対応する項目「項目3のチェックボックス」が選択されている(ステップS25でYes)ため、出力アクセスログ予想手段17は、図12の予想ログデータ191Dを出力する(ステップS26)。
以上の各項目・サブ項目に関する処理は、その他のマッピングテーブル170のマッピング情報の行について同様に処理される。
図9の利用申請の例では、項目4の「メールの取得」が選択されていないため、項目4に関する処理は行われない。
以上の図11のアクセスログ予想処理によって、出力アクセスログ予想手段17は、図12のような予想ログデータを出力する。予想アクセスログ管理DB19は、出力アクセスログ予想手段17から出力された予想ログデータを予想ログデータ管理テーブル192にまとめて格納する。
(ログ照合処理)
続いて、ログ照合手段31によるログ照合処理について説明する。ログ照合処理は、予想ログデータ管理テーブル192に含まれる予想ログと、実アクセスログ管理DB23に格納された実アクセスログとの差を検証する処理である。ログ照合処理は、上述のアクセスログ予想処理に引き続いて行われる。
続いて、ログ照合手段31によるログ照合処理について説明する。ログ照合処理は、予想ログデータ管理テーブル192に含まれる予想ログと、実アクセスログ管理DB23に格納された実アクセスログとの差を検証する処理である。ログ照合処理は、上述のアクセスログ予想処理に引き続いて行われる。
以下、上述のアクセスログ予想処理で用いた具体例について、図14および図15のフローチャートを参照しながら説明する。
図14において、まず、ログ照合手段31は、実アクセスログ管理DB23から実アクセスログ532を読み込むとともに、予想アクセスログ管理DB19から予想ログの情報を読み込む(ステップS31)。
以下のステップS32〜ステップS37の処理は、図10の実アクセスログ532の行数分処理される。
ログ照合手段31は、予想ログと実アクセスログとを比較し、予想ログ中の「*」を除いて一致するか否かを判断する(ステップS32)。なお、ステップS32の処理は、予想ログデータ管理テーブル192における予想ログデータのレコード分だけ繰り返される。
予想ログと実アクセスログとが「*」を除いて一致しなかった場合(ステップS32でNo)、ログ照合手段31は、検証していない予想ログがある場合はステップS32の処理を繰り返し、全ての予想ログについて検証が終了した場合はステップS37に進む。なお、全ての予想ログに対するステップS32の処理が完了する前に、ステップS37に進んでもよい。
そして、ログ照合手段31は、予想ログと一致しなかった実アクセスログをログ照合管理DB33に書き込む(図14のステップS37)。このとき、検証されていない実アクセスログがある場合はステップS32に戻り、全ての実アクセスログに関して検証が終了している場合はログ照合処理を終了とする。
一方、予想ログと実アクセスログとが「*」を除いて一致する場合(ステップS32でYes)、図15のステップS33に進む。
図15において、ログ照合手段31は、予想ログの比較フラグが「many time」、「top」、「end」および「1time」のいずれであるかを判断する(ステップS33)。なお、図15においては、実アクセスログを実ログと表記している。
ステップS33において、比較フラグが「many time」である場合、検証されていない実アクセスログがある場合はステップS32に戻り、全ての実アクセスログに関して検証が終了している場合はログ照合処理を終了とする。
ステップS33において、比較フラグが「top」である場合、ログ照合手段31は、実アクセスログが1行目であるか否かを判断する(ステップS34)。
実アクセスログが1行目である場合(ステップS34でYes)、検証されていない実アクセスログがある場合はステップS32に戻り、全ての実アクセスログに関して検証が終了している場合はログ照合処理を終了とする。
一方、実アクセスログが1行目ではない場合(ステップS34でNo)、ログ照合手段31は、その実アクセスログをログ照合管理DB33に書き込む(図14のステップS37)。このとき、検証されていない実アクセスログがある場合はステップS32に戻り、全ての実アクセスログに関して検証が終了している場合はログ照合処理を終了とする。
ステップS33において、比較フラグが「end」である場合、ログ照合手段31は、実アクセスログが最終行であるか否かを判断する(ステップS35)。
実アクセスログが最終行である場合(ステップS35でYes)、検証されていない実アクセスログがある場合はステップS32に戻り、全ての実アクセスログに関して検証が終了している場合はログ照合処理を終了とする。
一方、実アクセスログが最終行ではない場合(ステップS35でNo)、ログ照合手段31は、その実アクセスログをログ照合管理DB33に書き込む(図14のステップS37)。このとき、検証されていない実アクセスログがある場合はステップS32に戻り、全ての実アクセスログに関して検証が終了している場合はログ照合処理を終了とする。
ステップS33において、比較フラグが「1time」である場合、ログ照合手段31は、実アクセスログとの一致が初回であるか否かを判断する(ステップS36)。
実アクセスログとの一致が初回である場合(ステップS36でYes)、検証されていない実アクセスログがある場合はステップS32に戻り、全ての実アクセスログに関して検証が終了している場合はログ照合処理を終了とする。
一方、実アクセスログとの一致が初回ではない場合(ステップS36でNo)、ログ照合手段31は、その実アクセスログをログ照合管理DB33に書き込む(図14のステップS37)。このとき、検証されていない実アクセスログがある場合はステップS32に戻り、全ての実アクセスログに関して検証が終了している場合はログ照合処理を終了とする。
ここで、図15のステップS33〜ステップS36の処理について、具体例を挙げて説明する。
まず、ログ照合手段31は、アクセスログ532の1行目の実アクセスログ(2014/06/17 11:20:33 ssh nozaki@192.168.0.1)について検証する。
ログ照合手段31は、アクセスログ532の1行目の実アクセスログについて、予想ログデータ管理テーブル192の予想ログと「*」を除いて一致するものがあるか否かを検証する(ステップS32)。ログ照合手段31は、アクセスログ532の1行目の実アクセスログが予想ログ191Aと一致することを確認する。
次に、ログ照合手段31は、1行目の実アクセスログと一致すると判断した予想ログ191Aの比較フラグが「top」であることを確認する(ステップS33)。そして、ログ照合手段31は、実アクセスログが1行目であることを確認する(ステップS34)。この段階で、アクセスログ532の1行目の実アクセスログの比較は終了である。
次に、ログ照合手段31は、アクセスログ532の2行目の実アクセスログ(2014/06/17 11:20:36 cd /home/000001/fukuda)について検証する。
ログ照合手段31は、アクセスログ532の2行目の実アクセスログについて、予想ログデータ管理テーブル192の予想ログと「*」を除いて一致するものがあるか否かを検証する(ステップS32)。ログ照合手段31は、アクセスログ532の2行目の実アクセスログが予想ログ191Cと一致することを確認する。
次に、ログ照合手段31は、2行目の実アクセスログと一致すると判断した予想ログ191Cの比較フラグが「1time」であることを確認する(ステップS33)。そして、ログ照合手段31は、予想ログ191Cと実アクセスログとの一致が初回であることを確認する(ステップS34でYes)。この段階で、アクセスログ532の2行目の実アクセスログの比較は終了である。
次に、ログ照合手段31は、アクセスログ532の3行目の実アクセスログ(2014/06/17 11:20:39 ls)について検証する。
ログ照合手段31は、アクセスログ532の3行目の実アクセスログについて、予想ログデータ管理テーブル192の予想ログと「*」を除いて一致するものがあるか否かを検証する(ステップS32)。ログ照合手段31は、アクセスログ532の3行目の実アクセスログが予想ログ191Dと一致することを確認する。
次に、ログ照合手段31は、3行目の実アクセスログと一致すると判断した予想ログ191Dの比較フラグが「many time」であることを確認する(ステップS33でYes)。この段階で、アクセスログ532の3行目の実アクセスログの比較は終了である。
以下、アクセスログ532の4〜6行目については1〜3行目と同様に処理される。
アクセスログ532の7行目は、目的外操作を含む不正アクセスに相当する。
ログ照合手段31は、アクセスログ532の7行目の実アクセスログ(2014/06/17 11:20:48 cd /home/000001/yamada)について検証する。
ログ照合手段31は、アクセスログ532の7行目の実アクセスログについて、予想ログデータ管理テーブル192の予想ログと「*」を除いて一致するものがあるか否かを検証する(ステップS32)。ログ照合手段31は、アクセスログ532の7行目の実アクセスログが一致する予想ログが予想ログデータ管理テーブル192にないことを判断する(ステップS33でNo)。
このとき、ログ照合手段31は、アクセスログ532の7行目の実アクセスログ(2014/06/17 11:20:48 cd /home/000001/yamada)をログ照合管理DB33に書き込む(ステップS37)。
以降、8〜11行目の実アクセスログに関しては、一致する予想ログが存在するため、1〜6行目と同様の処理が行われる。
このように、アクセスログ532の1〜11行の実アクセスログと、予想ログデータ管理テーブル192に含まれる予想ログとの照合によって、一致する予想ログがなかった実アクセスログ(図16の枠351内)がログ照合管理DB33に書き込まれる。
そして、照合結果出力手段35は、ログ照合管理DB33に格納された実アクセスログ(目的外操作ログ)を管理端末70に出力する。なお、照合結果出力手段35が目的外操作ログを出力するタイミングは、ログ照合管理DB33に目的外操作ログが書き込まれたタイミング、予め決められたスケジュールに従ったタイミングなど任意に設定できる。また、照合結果出力手段35が目的外操作ログを出力するタイミングは、管理端末70が要求したタイミングであってもよい。
以上のように、ログ照合処理で検出された予実差は、照合結果出力手段35によって管理者(管理端末70)に通知される。その結果、管理者は、メールシステムに対してユーザ(上司A)が目的外操作を行ったことに気付くとともに、目的外操作の内容を知ることができる。例えば、本実施形態に係る不正アクセス検出システム1は、図16に示すログを管理端末70の表示部に表示することによって、ユーザの目的外操作の内容を管理者に通知する。
本発明の実施形態に係る不正アクセス検出システムのハードウェアは、パーソナルコンピュータやワークステーション、サーバなどの情報処理装置によって実現される。本実施形態に係る不正アクセス検出システムを実現する情報処理装置は、例えば、中央演算処理装置や主記憶装置、入出力インターフェース、ネットワークインターフェース、補助記憶装置などのハードウェアを含む構成とすることができる。また、本実施形態に係る不正アクセス検出システムを実現する情報処理装置には、ユーザの操作を受け付けるキーボードやタッチパネル、マウスなどの入力機器、操作画面を表示するためのディスプレイなどの表示機器、プリンタといった周辺機器を接続できる。また、本実施形態に係る不正アクセス検出システムを実現する情報処理装置は、適切なオペレーティングシステムの制御によって動作する。
これまで説明してきた本発明の実施形態に係る不正アクセス検出方法は、同様の構成を有するシステムであれば、第1および第2の実施形態とは異なる構成をもつシステムに関しても適用することができる。また、本実施形態に係る不正アクセス検出方法に従った処理をコンピュータに実行させる不正アクセス検出プログラムも本発明の範囲に含まれる。また、本実施形態に係る不正アクセス検出プログラムを格納したプログラム記録媒体も本発明の範囲に含まれる。プログラム記録媒体としては、ROM(Read Only Memory)、RAM(Random Access Memory)、フラッシュメモリ等の半導体記憶装置、光ディスク、磁気ディスク、光磁気ディスクなどを挙げることができる。
以上、実施形態を参照して本発明を説明してきたが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
本発明の不正アクセス検出システムは、キー・バリュー型のデータ構造を持ち、キー自体は機密性が低いものの、バリューが強く保護されるべき情報システムの不正アクセス検出に適用することができる。例えば、本発明の不正アクセス検出システムは、電子カルテシステムや戸籍謄本システム、CRMシステムなどの情報システムに適用できる(CRM:Customer Relationship Management)。
本発明の不正アクセス検出システムは、機能の管理に関する権限と、データ参照に関する権限とを分離できておらず、機能管理権限によって保護されるべき実データの参照・更新まで行うことができる情報システムの不正アクセス検出に適用できる。例えば、本発明の不正アクセス検出システムは、メールサーバシステムや文書管理システムなどの情報システムに適用できる。
本発明の不正アクセス検出システムは、管理者権限のレベルが単一であるために、通常運用管理業務に必要となる権限によってシステム停止やウィルス混入などの致命的な不正操作が可能になってしまう情報システムの不正アクセス検出に適用できる。
1 不正アクセス検出システム
10 アクセスログ予想手段
11 利用申請受付手段
13 利用申請管理データベース
15 マッピングデータベース
17 出力アクセスログ予想手段
19 予想アクセスログ管理データベース
20 アクセスログ取得手段
21 実アクセスログ収集手段
23 実アクセスログ管理データベース
30 照合手段
31 ログ照合手段
33 ログ照合管理データベース
35 照合結果出力手段
50 アクセス管理システム
51 アクセス申請システム
53 アクセスログ
55 アクセス元選別システム
60 利用者端末
61 利用申請フォーマット
62 記入済み利用申請書
70 管理端末
100 業務システム
101 業務装置
103 業務システムデータベース
110 メールサーバ
170 マッピングテーブル
191 予想ログデータ
192 予想ログデータ管理テーブル
531、532 アクセスログ
10 アクセスログ予想手段
11 利用申請受付手段
13 利用申請管理データベース
15 マッピングデータベース
17 出力アクセスログ予想手段
19 予想アクセスログ管理データベース
20 アクセスログ取得手段
21 実アクセスログ収集手段
23 実アクセスログ管理データベース
30 照合手段
31 ログ照合手段
33 ログ照合管理データベース
35 照合結果出力手段
50 アクセス管理システム
51 アクセス申請システム
53 アクセスログ
55 アクセス元選別システム
60 利用者端末
61 利用申請フォーマット
62 記入済み利用申請書
70 管理端末
100 業務システム
101 業務装置
103 業務システムデータベース
110 メールサーバ
170 マッピングテーブル
191 予想ログデータ
192 予想ログデータ管理テーブル
531、532 アクセスログ
Claims (10)
- 単一の接続経路で情報システムに接続された利用者端末から出力された前記情報システムの利用申請を取得し、取得した前記利用申請の内容から予想されるログメッセージである予想アクセスログを生成するアクセスログ予想手段と、
前記利用申請に基づいて設定されたアクセス権を行使して前記情報システムを利用する前記利用者端末によって実際に行われた操作のログメッセージである実アクセスログを取得するアクセスログ取得手段と、
前記アクセスログ予想手段によって生成された前記予想アクセスログと、前記アクセスログ取得手段によって取得された前記実アクセスログとを照合した結果を前記情報システムへの接続を管理する管理端末に出力する照合手段とを備え、
前記アクセスログ予想手段は、
前記利用申請の内容に基づいた操作をログメッセージに変換するためのマッピングテーブルを格納し、
前記利用申請および前記マッピングテーブルを参照して前記利用申請の内容に基づいた操作をログメッセージに変換して前記予想アクセスログを生成する不正アクセス検出システム。 - 前記照合手段は、
前記予想アクセスログと前記実アクセスログとが一致するか否かを判断し、前記予想アクセスログと前記実アクセスログとが一致しない場合に、前記予想アクセスログと一致しなかった前記実アクセスログを前記管理端末に出力する請求項1に記載の不正アクセス検出システム。 - 単一の接続経路で情報システムに接続された利用者端末から出力された前記情報システムの利用申請を取得し、取得した前記利用申請の内容から予想されるログメッセージである予想アクセスログを生成するアクセスログ予想手段と、
前記利用申請に基づいて設定されたアクセス権を行使して前記情報システムを利用する前記利用者端末によって実際に行われた操作のログメッセージである実アクセスログを取得するアクセスログ取得手段と、
前記アクセスログ予想手段によって生成された前記予想アクセスログと、前記アクセスログ取得手段によって取得された前記実アクセスログとを照合した結果を前記情報システムへの接続を管理する管理端末に出力する照合手段とを備え、
前記アクセスログ予想手段は、
前記利用申請の内容を受け付ける利用申請受付手段と、
前記利用申請の内容を格納する利用申請管理データベースと、
前記利用申請の内容に基づいた操作をログメッセージに変換するためのマッピングテーブルを格納するマッピングデータベースと、
前記利用申請および前記マッピングテーブルを参照して前記利用申請の内容に基づいた操作をログメッセージに変換して前記予想アクセスログを生成する出力アクセスログ予想手段と、
前記出力アクセスログ予想手段によって予想された前記予想アクセスログを格納する予想アクセスログ管理データベースとを含み、
前記アクセスログ取得手段は、
前記利用者端末によって前記情報システムに対して実際に行われた操作に関する前記実アクセスログを取得する実アクセスログ取得手段と、
前記実アクセスログ取得手段によって取得された前記実アクセスログを格納する実アクセスログ管理データベースとを含み、
前記照合手段は、
前記予想アクセスログ管理データベースに格納された前記予想アクセスログと、前記実アクセスログ管理データベースに格納された前記実アクセスログとの照合結果を出力するログ照合手段と、
前記ログ照合手段によって出力された前記照合結果を格納するログ照合管理データベースと、
前記ログ照合管理データベースに格納された前記照合結果を前記管理端末に出力する照合結果出力手段とを含む不正アクセス検出システム。 - 前記利用申請は、
前記利用者端末が前記情報システムに接続する時間を記入する欄に加えて、
前記利用者端末を識別するための識別子を記入する欄を含む項目と、
前記利用者端末にアクセス権限を与える範囲を識別するための識別子を記入する欄を含む項目と、
前記利用者端末が前記情報システムに接続した際に行う操作に関する情報を記入する欄を含む少なくとも一つの項目とを含み、
前記マッピングテーブルは、
前記利用申請に含まれる各項目と、前記利用申請の内容に基づいた操作に基づいて出力されるログメッセージに相当する出力値と、前記出力値の種別に相当するログ種別と、前記出力値の特性を示す比較フラグと、前記項目ごとの前記出力値に対応するサブ項目とを対応させたレコードを含む請求項3に記載の不正アクセス検出システム。 - 前記アクセスログ予想手段は、
前記マッピングデータベースから前記マッピングテーブルを読み込むとともに、前記利用申請管理データベースから前記利用申請の内容を読み出し、
前記利用申請の内容を前記マッピングテーブルのいずれかのレコードの前記出力値に当てはめることによって前記予想アクセスログを生成し、
生成した前記予想アクセスログを前記予想アクセスログ管理データベースに格納する請求項4に記載の不正アクセス検出システム。 - 前記照合手段は、
前記予想アクセスログ管理データベースから前記予想アクセスログを読み込むとともに、前記実アクセスログ管理データベースから前記実アクセスログを読み込み、
前記実アクセスログと前記予想アクセスログとが一致するか否かを判定し、
前記予想アクセスログと一致しないと判定された前記実アクセスログを前記ログ照合管理データベースに格納し、
前記ログ照合管理データベースに格納された前記実アクセスログを照合結果として前記管理端末に出力する請求項5に記載の不正アクセス検出システム。 - 前記利用者端末と前記情報システムとの接続経路を単一に限定するとともに、前記利用者端末による前記情報システムにおける操作から前記実アクセスログを含むログメッセージを生成し、生成した前記実アクセスログを出力する中継記録手段を含むアクセス中継システムと、前記アクセス中継システムを経由しない前記情報システムへの接続を遮断するアクセス元選別システムとを含むアクセス管理システムを備える請求項1乃至6のいずれか一項に記載の不正アクセス検出システム。
- 前記予想アクセスログと前記実アクセスログとが一致するか否かを判断し、前記予想アクセスログと前記実アクセスログとが一致しない場合に、前記予想アクセスログと一致しなかった前記実アクセスログを前記管理端末の表示部に表示させる請求項1乃至7のいずれか一項に記載の不正アクセス検出システム。
- 情報処理装置が、
単一の接続経路で情報システムに接続された利用者端末から出力された前記情報システムの利用申請を取得し、
前記利用申請の内容に基づいた操作をログメッセージに変換するためのマッピングテーブルを参照し、取得した前記利用申請の内容に基づいた操作をログメッセージに変換して、前記利用申請の内容から予想されるログメッセージである予想アクセスログを生成し、
前記利用申請に基づいて設定されたアクセス権を行使して前記情報システムを利用する前記利用者端末によって実際に行われた操作のログメッセージである実アクセスログを取得し、
前記予想アクセスログと前記実アクセスログとを照合した結果を前記情報システムへの接続を管理する管理端末に出力する不正アクセス検出方法。 - 単一の接続経路で情報システムに接続された利用者端末から出力された前記情報システムの利用申請を取得し、
前記利用申請の内容に基づいた操作をログメッセージに変換するためのマッピングテーブルを参照し、取得した前記利用申請の内容に基づいた操作をログメッセージに変換して、前記利用申請の内容取得した前記利用申請の内容から予想されるログメッセージである予想アクセスログを生成する処理と、
前記利用申請に基づいて設定されたアクセス権を行使して前記情報システムを利用する前記利用者端末によって実際に行われた操作のログメッセージである実アクセスログを取得する処理と、
前記予想アクセスログと前記実アクセスログとを照合した結果を前記情報システムへの接続を管理する管理端末に出力する処理とをコンピュータに実行させる不正アクセス検出プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014184845A JP6369249B2 (ja) | 2014-09-11 | 2014-09-11 | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014184845A JP6369249B2 (ja) | 2014-09-11 | 2014-09-11 | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018129865A Division JP6690674B2 (ja) | 2018-07-09 | 2018-07-09 | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016057939A JP2016057939A (ja) | 2016-04-21 |
| JP6369249B2 true JP6369249B2 (ja) | 2018-08-08 |
Family
ID=55756613
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014184845A Active JP6369249B2 (ja) | 2014-09-11 | 2014-09-11 | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6369249B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018181365A (ja) * | 2018-07-09 | 2018-11-15 | 日本電気株式会社 | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008117317A (ja) * | 2006-11-07 | 2008-05-22 | Nomura Research Institute Ltd | 業務情報防護装置 |
| JP2010123014A (ja) * | 2008-11-21 | 2010-06-03 | Nomura Research Institute Ltd | サーバ不正操作監視システム |
-
2014
- 2014-09-11 JP JP2014184845A patent/JP6369249B2/ja active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018181365A (ja) * | 2018-07-09 | 2018-11-15 | 日本電気株式会社 | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016057939A (ja) | 2016-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11627054B1 (en) | Methods and systems to manage data objects in a cloud computing environment | |
| US10154066B1 (en) | Context-aware compromise assessment | |
| US10581895B2 (en) | Time-tagged pre-defined scenarios for penetration testing | |
| US20200259868A1 (en) | Method and system for policy management, testing, simulation, decentralization and analysis | |
| CN113949557B (zh) | 在计算环境中监视特权用户和检测异常活动的方法、系统、介质 | |
| US10762206B2 (en) | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security | |
| CN107409126B (zh) | 用于保护企业计算环境安全的系统和方法 | |
| US10467426B1 (en) | Methods and systems to manage data objects in a cloud computing environment | |
| US9369478B2 (en) | OWL-based intelligent security audit | |
| JP5936798B2 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
| JP2008112284A (ja) | 資源管理方法、資源管理システム、およびコンピュータプログラム | |
| JP5366864B2 (ja) | セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 | |
| Beckers et al. | Analysis of social engineering threats with attack graphs | |
| Bertino et al. | Services for zero trust architectures-a research roadmap | |
| JP6690674B2 (ja) | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム | |
| JP6369249B2 (ja) | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム | |
| US10467423B1 (en) | Static analysis-based tracking of data in access-controlled systems | |
| Ahmed et al. | Presentation and validation of method for security requirements elicitation from business processes | |
| Welling | APPLICATION SECURITY TESTING | |
| US20240348664A1 (en) | Security policy analysis | |
| US20240211599A1 (en) | Method and system for inferring document sensitivity | |
| JP2023172481A (ja) | トラスト管理装置及びトラスト管理方法 | |
| Lee et al. | PCA in ERP environment using the misuse detection system design and implementation of RBAC permissions | |
| CN117786720A (zh) | 数据处理方法及系统、电子设备、存储介质 | |
| Kvastad | ICT Security of an Electronic Health Record System: an Empirical Investigation: An in depth investigation of ICT security in a modern healthcare system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170809 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180314 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180327 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180524 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180612 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180625 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6369249 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |