JP6563578B1 - 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム - Google Patents
端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム Download PDFInfo
- Publication number
- JP6563578B1 JP6563578B1 JP2018180718A JP2018180718A JP6563578B1 JP 6563578 B1 JP6563578 B1 JP 6563578B1 JP 2018180718 A JP2018180718 A JP 2018180718A JP 2018180718 A JP2018180718 A JP 2018180718A JP 6563578 B1 JP6563578 B1 JP 6563578B1
- Authority
- JP
- Japan
- Prior art keywords
- file
- log
- unit
- analysis
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
このようなログ分析システムでは、セキュリティ用のセンサが、分析対象となるシステムにおいて発生するログを監視して検出する。このような監視は、常時行われる。また、当該ログ分析システムでは、分析対象となるシステムが、センサによって検出されたログをネットワークを介してログ分析装置に伝送する。また、当該ログ分析システムでは、ログ分析装置が、分析対象となるシステムから伝送されたログを分析する。
このため、ログ分析システムを動作させるために、このような環境の設定を行う作業に時間および負担がかかる場合があった。また、ログ分析システムを動作させるために、センサの環境およびネットワークの環境を変更する必要があるが、分析対象となるシステムを有する組織等によっては、このような変更の許可を得ることが難しい場合があった。
本発明の一態様に係る端末装置において、前記ユーザの操作によって1個または2個以上のセンサが指定され、前記ファイルに含められる予定の前記ログの情報には、指定された前記センサによって検出された前記ログの情報が含められる、構成であってもよい。
本発明の一態様に係る端末装置において、前記ファイルの分析のサービスに関する契約の内容と、前記サービスの利用状況とに基づいて、前記ファイルの分析の要求が可能であるか否かを判定する分析要求可否判定部を備える、構成であってもよい。
本発明の一態様に係るファイル分析装置において、前記ファイル分析部によって行われる前記分析に関する課金情報を管理する管理部を備え、前記課金情報は、前記分析の回数に応じた金額の情報を含み、前記分析の回数に応じた金額の情報は、前記分析の回数に応じた有料の金額の情報、または、前記分析の回数が所定の回数以下では無料であることを示す情報である、構成であってもよい。
図1は、本発明の一実施形態に係るファイル分析システム1の概略的な構成例を示す図である。なお、図1に示される機能ブロックの構成は、一例であり、他の構成が用いられてもよい。
ファイル分析システム1は、分析部11と、複数の端末部21〜23と、ネットワーク31を備える。
それぞれの端末部21〜23と分析部11とは、ネットワーク31を介して通信可能に接続される。
なお、複数の端末部21〜23のうちの2個以上の端末部が、同じ管理主体によって管理されてもよい。当該2個以上の端末部は、複数の端末部21〜23のうちの一部であってもよく、あるいは、全部であってもよい。
本実施形態では、説明の便宜上、複数の端末部21〜23の構成および動作は、それぞれの端末部21〜23の管理主体が異なり得る点を除いて、同様である。このため、本実施形態では、1個の端末部21を代表させて説明する。
なお、それぞれの端末部21〜23の構成あるいは動作が異なる態様が用いられてもよい。
なお、分析部11は、複数の端末部21〜23のそれぞれに対して、異なる動作を行う構成が用いられてもよい。
なお、ファイル分析システム1は、複数の分析部11を備えてもよい。この場合、複数の分析部11が、複数の端末部21〜23を分担して、動作を行う。
ここで、分析部11は、例えば、装置あるいはシステムであると捉えられてもよい。
また、端末部21は、例えば、装置あるいはシステムであると捉えられてもよい。
なお、それぞれの端末部21〜23と分析部11との通信は、例えば、有線の通信であってもよく、無線の通信であってもよく、あるいは、有線の通信と無線の通信との両方を組み合わせて含んでもよい。
端末部21を代表させて説明する。
端末部21は、ログ検出装置51と、ログ管理装置52と、端末装置53を備える。
ログ管理装置52は、記憶部151を備える。
図1の例では、ログ検出装置51とログ管理装置52と端末装置53のそれぞれがネットワーク31と接続される構成を示すが、これに限られない。
ログ検出装置51は、例えば、所定のログを検出するセンサを用いて構成されてもよい。本実施形態では、ログ検出装置51は、端末装置53によって行われる通信に関するログを検出する。ログ検出装置51は、検出されたログを出力する。本実施形態では、ログ検出装置51は、検出されたログをログ管理装置52に送信する。
なお、本実施形態では、ログ検出装置51は、検出されたログを記憶しない。他の例として、ログ検出装置51は、検出されたログを記憶する記憶部を備えてもよい。
ここで、ログ管理装置52は、ログ検出装置51により検出されたログを、所定のまとまりごとに、記憶部151に記憶してもよい。当該所定のまとまりは、例えば、ログの検出時刻が所定の期間に含まれる当該ログのまとまりであってもよい。当該所定のまとまりは、例えば、ファイルとして生成されてもよい。当該所定の期間は、例えば、1日単位の期間であってもよい。
ログ管理装置52は、例えば、ログを記憶して管理するログ管理サーバ装置を用いて構成されてもよい。
ログ検出装置51あるいはログ管理装置52は、例えば、コンピュータシステムのログを記録するための通信プロトコルであるシスログ(syslog)を使用してもよい。
端末装置53は、ログ管理装置52の記憶部151に記憶されたログに基づいて、ログ管理装置52の記憶部151に記憶されたログの少なくとも一部を含む所定のファイルを生成する。端末装置53は、生成されたファイルをネットワーク31を介して分析部11に送信する。
また、端末装置53は、分析部11から送信された電子メールをネットワーク31を介して受信する。
また、端末装置53は、分析部11により提供されるWebページの情報を取得する。
分析部11は、ファイル分析装置41と、Webサーバ装置42と、メールサーバ装置43を備える。
図1の例では、ファイル分析装置41と、Webサーバ装置42と、メールサーバ装置43のそれぞれがネットワーク31と接続される構成を示すが、これに限られない。
通信部112は、受信部121を備える。
ファイル検査部113は、復号部131と、解凍部132を備える。
なお、本実施形態では、「圧縮」と「解凍」という語を使用して説明するが、例えば、「解凍」の代わりに「伸張」などの語が使用されてもよい。
記憶部111は、各種の情報を記憶する。
通信部112は、情報の通信を行う。本実施形態では、通信部112は、ネットワーク31を介した通信を行う。
受信部121は、端末装置53からネットワーク31を介して分析部11に送信されたファイルを受信する。受信部121は、受信されたファイルをファイル検査部113に出力する。本実施形態では、端末装置53は、当該ファイルをファイル分析装置41に宛てて送信する。
本実施形態では、記憶部111は、検査条件を特定する情報を記憶する。ファイル検査部113は、当該情報に基づいて、検査条件を取得する。
ファイル検査部113では、入力されたファイルは暗号化された状態であり、復号部131が当該ファイルを復号する。また、ファイル検査部113では、復号されたファイルの情報は圧縮されており、解凍部132が、当該情報を解凍する。これにより、圧縮および暗号化されたファイルが、圧縮および暗号化される前のファイル(説明の便宜上、「元のファイル」ともいう。)に変換される。ファイル検査部113は、これにより得られた元のファイルについて、所定の検査を行う。ファイル検査部113は、検査条件が満たされると判定した場合には、このような元のファイルをファイル分析部114に出力する。
検査条件としては、例えば、1回の分析対象のファイルに含まれるログのデータ量が所定の上限値以下であるという条件、または、1回の分析対象のファイルのサイズが所定の上限値以下であるという条件、あるいは、これら両方の条件を含んでもよい。
検査条件としては、例えば、分析対象のファイルがコンピュータウィルスに侵されていないという条件を含んでもよい。なお、分析対象のファイルがコンピュータウィルスに侵されているか否かは、例えば、アンチウィルスソフトウェアを用いて判定されてもよい。
検査条件としては、例えば、分析対象のファイルが所定のフォーマットのファイルであるという条件を含んでもよい。
検査条件としては、例えば、分析対象のファイルが所定の情報を含むという条件を含んでもよい。当該所定の情報は、例えば、正当な端末装置53から送信されたファイルであることを示す情報であってもよい。
本実施形態では、記憶部111は、分析条件を特定する情報を記憶する。ファイル分析部114は、当該情報に基づいて、分析条件を取得する。
分析条件としては、例えば、分析対象のファイルに含まれるログについて、問題があるか否かを判定するための条件が用いられてもよい。当該問題は、例えば、コンピュータウィルスであってもよく、あるいは、他の事象であってもよい。
分析条件としては、例えば、「ログに含まれる送信元を識別する情報、ログに含まれる送信先を識別する情報、あるいは、ログに含まれる他の情報が、所定の情報に一致する場合には、問題があると判定する条件」が用いられてもよい。分析条件としては、例えば、問題があると判定すべきログの条件がリスト化されたブラックリストに記述された当該条件が用いられてもよい。また、問題があると判定すべき条件は、例えば、「ルール」と呼ばれてもよい。
なお、分析対象のファイルに複数の種類のログが含まれ得る場合には、例えば、ファイル分析部114は、それぞれのログの種類を判定する。この場合、それぞれのログの情報は、当該ログの種類を特定する情報を含む。他の例として、このようなログの種類は、ファイル分析部114の代わりに、ファイル検査部113によって判定されてもよい。
また、通知部115は、ファイル分析部114から分析結果情報が入力された場合、当該分析結果情報に基づく所定の情報を端末装置53に通知する。当該所定の情報としては、端末装置53に分析結果に関する情報を通知するための情報が用いられ、任意の情報が用いられてもよい。
本実施形態では、端末装置53に通知すべき情報が発生した場合、通知部115は、端末装置53に宛てた電子メールを作成し、作成された電子メールをメールサーバ装置43に送信する。この場合、通知部115は、端末装置53からアクセスすることが可能なアクセス先の情報を当該電子メールに含める。当該情報は、例えば、URL(Uniform Resource Locator)であってもよい。
通知部115は、電子メールに含めたアクセス先の情報に該当するWebページを生成し、生成されたWebページの情報をWebサーバ装置42に送信する。通知部115は、当該Webページに、端末装置53に通知する情報を含める。
Webサーバ装置42は、通知部115から送信されたWebページの情報を受信する。Webサーバ装置42は、受信された情報に基づいて、当該Webページを閲覧可能に提供する。本実施形態では、Webサーバ装置42は、端末装置53からのアクセスに応じて、当該Webページを端末装置53に閲覧可能に提供する。
本実施形態では、分析部11において、端末装置53の情報が未知である場合と、端末装置53の情報が既知である場合があり得る。
本実施形態では、端末装置53の管理主体と、分析部11によってファイル分析のサービスを提供する管理主体との間で、当該サービスに関する契約が締結されている場合に、当該契約に関して端末装置53の情報が分析部11に設定される。当該情報は、例えば、記憶部111に記憶されてもよい。当該情報は、例えば、端末装置53を特定する情報を含んでもよい。当該情報は、端末装置53の電子メールのアドレスを含んでもよい。
一方、本実施形態では、このような契約が締結されていない場合に、分析部11において、端末装置53の情報が未知である。
サービスを受けることが可能なファイル分析の範囲は、例えば、データ量、回数、期間などのうちの1以上を用いて設定されてもよい。サービスを受けることが可能なファイル分析の範囲は、例えば、所定の期間において分析対象とするすべてのログのデータ量の総和に対する上限値、1回の分析対象とするログのデータ量に対する上限値、所定の期間においてファイル分析のサービスを受けることが可能な回数の上限値などのうちの1以上を用いて特定されてもよい。
他の例として、サービスは、従量的に課金されてもよい。この場合、管理部116は、端末装置53に対して提供したサービスについて、課金する料金を決定するための情報を記憶部111に記憶して管理する。当該情報は、例えば、所定の期間においてファイル分析のサービスを受けたログのデータ量の総和、所定の期間においてファイル分析のサービスを受けた回数などのうちの1以上の情報であってもよい。例えば、ファイル分析を利用したデータ量または回数に応じた金額の課金が行われてもよい。また、例えば、ファイル分析を利用した所定のデータ量までは無料とするサービス、または、ファイル分析を利用した所定の回数までは無料とするサービスが行われてもよい。
また、管理部116は、端末装置53について現時点で課金されている料金を特定する情報を記憶部111に記憶して管理してもよい。
なお、ここでは、ファイル分析の回数に応じた課金について具体例を示したが、ファイル分析のデータ量に応じた課金などについても同様である。
図2は、本発明の一実施形態に係る端末装置53の概略的な構成例を示す図である。なお、図2に示される機能ブロックの構成は、一例であり、他の構成が用いられてもよい。
端末装置53は、入力部211と、出力部212と、操作部213と、表示部214と、通信部215と、記憶部216と、制御部217を備える。
制御部217は、ログ取得部231と、ファイル条件取得部232と、ファイル条件判定部233と、ログ削減部234と、ファイル生成部235と、圧縮部236と、暗号化部237と、通知制御部238と、分析要求可否判定部239を備える。
出力部212は、外部の装置に情報を出力する。
ここで、外部の装置は、任意の装置であってもよい。当該外部の装置は、例えば、持ち運びが可能な記録媒体であってもよい。当該外部の装置は、例えば、印刷装置であってもよい。
操作部213は、ユーザにより行われる操作に対応する情報を入力する。操作部213は、例えば、キーボード、あるいは、マウスなどを含んでもよい。
表示部214は、画面を有し、情報を当該画面に出力する。これにより、当該情報が当該画面に表示される。
なお、端末装置53は、ログ検出装置51を経由して、ネットワーク31と接続されてもよい。この場合、通信部215は、送信対象の信号を、ログ検出装置51を経由して、ネットワーク31に出力する。この場合、ログ検出装置51は、通信部215から出力された信号を入力し、入力された信号をネットワーク31に出力する。また、この場合、通信部215は、ネットワーク31から、ログ検出装置51を経由して、信号を入力する。この場合、ログ検出装置51は、ネットワーク31から信号を入力し、入力された信号を通信部215に出力する。
制御部217は、端末装置53における各種の制御を行う。
ファイル条件取得部232は、ファイルの条件(説明の便宜上、「ファイル条件」ともいう。)を取得する。
本実施形態では、記憶部216は、ファイル条件を特定する情報を記憶する。ファイル条件取得部232は、当該情報に基づいて、ファイル条件を取得する。
ファイル条件判定部233は、ファイル条件取得部232により取得されたファイル条件に基づいて、判定の対象となるファイルについて、当該ファイル条件が満たされるか否かを判定する。
なお、1回の分析対象となるファイルが1個である場合には、許容されるデータ量の上限値は、1個のファイルに含められるログの情報について許容されるデータ量の上限値となる。
また、1回の分析対象となるファイルが複数である所定個数である場合には、許容されるデータ量の上限値は、当該所定個数のファイルに含められるログの情報の総和について許容されるデータ量の上限値となる。
本実施形態では、ログ削減部234は、分析対象とするファイルが生成されるときには、常時、不要ログ削減処理を行う。
また、本実施形態では、ログ削減部234は、1回の分析対象となるファイルに含められる予定のログの情報について、そのデータ量が許容されるデータ量の上限値を超えた場合に、ログ範囲削減処理を行う。
なお、一例として、ファイル生成部235は、ログ管理装置52の記憶部151に記憶された所定期間ごとのログのまとまり(例えば、ファイルにされたまとまり)を、ファイル生成部235によって生成されたファイルとして、利用してもよい。この際、ファイル生成部235は、ログ管理装置52の記憶部151に記憶された所定期間ごとのログのまとまり(例えば、ファイルにされたまとまり)について、フォーマット等を変更してもよい。
他の例として、ファイル生成部235は、ログ管理装置52の記憶部151に記憶された所定期間ごとのログのまとまり(例えば、ファイルにされたまとまり)から一部のログが削減されたログのまとまりを用いてファイルを生成してもよい。
暗号化部237は、圧縮部236によって圧縮されたファイルを暗号化する。
制御部217では、暗号化部237によって暗号化されたファイルを、通信部215によって、ネットワーク31を介して、ファイル分析装置41に送信する。
また、端末装置53における圧縮部236によって圧縮された情報は、ファイル分析装置41における解凍部132によって行われる解凍によって、元の情報に戻される。
本実施形態では、通知制御部238は、メールサーバ装置43からネットワーク31を介して端末装置53に宛てて送信される電子メールを、通信部215によって、受信する。また、通知制御部238は、受信された電子メールに記述されているアクセス先のWebページにアクセスし、Webサーバ装置42によって提供される当該Webページの情報を取得する。このアクセスは、例えば、ユーザによって行われる操作部213の操作に応じて行われてもよい。
例えば、記憶部216は、契約が締結された端末装置53を特定する情報、当該契約の内容を特定する情報、および端末装置53におけるサービスの利用状況を特定する情報を記憶する。端末装置53を特定する情報は、例えば、端末装置53の電子メールのアドレスを含んでもよい。
分析部11によってファイル分析のサービスを提供する管理主体から見ると、当該サービスに関する契約が締結された端末装置53の管理主体は、顧客となる。複数の端末部21〜23の管理主体は、それぞれ、異なる顧客となり得る。
図3は、本発明の一実施形態に係るファイル1011の概略的な構成例を示す図である。
ファイル1011は、ヘッダと、複数のログ情報を含む。
ログ情報は、例えば、発生等の日時、シグネチャ、送信元を識別する情報、送信先を識別する情報、エラーコードなどのうちの1以上の情報を含んでもよい。送信元を識別する情報および送信先を識別する情報としては、例えば、IP(Internet Protocol)アドレスが用いられてもよい。これらの情報は、例えば、ヘッダに含まれてもよい。
また、ヘッダは、例えば、端末装置53の電子メールのアドレスを含んでもよい。
また、複数のファイル1011が1回の分析対象のまとまりとなる場合には、例えば、それぞれのファイル1011のヘッダに、このようなまとまりであることを特定する情報が含まれてもよい。
図4には、Webサーバ装置42により提供されるWebページに基づいて、端末装置53の表示部214によって画面に表示される表示内容2011の一例を示してある。
図4の例では、表示内容2011において、「ファイル分析の結果」として、「問題は検出されませんでした。」という文字情報が表示されている。つまり、ファイル分析の結果として、問題が検出されなかった場合を示してある。なお、このような場合の表示内容2011は、他の内容であってもよい。
図5には、Webサーバ装置42により提供されるWebページに基づいて、端末装置53の表示部214によって画面に表示される表示内容2111の一例を示してある。
図5の例では、表示内容2111において、「ファイル分析の結果」として、「以下の問題が検出されました。・・・」という文字情報が表示されている。つまり、ファイル分析の結果として、問題が検出された場合を示してある。この場合、このような表示の内容は、警告(アラート)と捉えられてもよい。なお、このような場合の表示内容2111は、他の内容であってもよい。
なお、ファイル分析の結果における「問題」は、例えば、「インシデント」あるいは「異常」などと呼ばれてもよい。
ログ削減部234は、ログ取得部231によって取得されたログのうちで、不要なログを削減することで、分析対象とするログを削減する。
本実施形態では、端末装置53において、分析対象とされることが不要なログを特定する情報が記憶部216に記憶されている。
一例として、分析対象とされることが不要なログは、分析対象とされることが不要な1以上のログを特定する情報を含むリストを用いて定められてもよい。当該リストは、ホワイトリストと呼ばれてもよい。ログ削減部234は、当該リストの内容に基づいて、ログ取得部231によって取得されたログのうちで、分析対象とされることが不要なログを分析対象から削減する。
本実施形態では、ファイル条件には、少なくとも、1回の分析の対象とすることができるログのデータ量の上限値が含まれている。
本実施形態では、端末装置53において、ファイル条件判定部233は、1回の分析の対象の候補となっているログを判定対象のログとして、当該ログのデータ量の総和が所定の上限値以下であるか否かを判定する。
この結果、当該ログのデータ量の総和が所定の上限値を超える場合には、ログ削減部234は、1回の分析の対象の候補となっているログの一部を当該候補から削除することによって、1回の分析の対象の候補となっているログを削減する。
また、本実施形態では、不要ログ削減処理とログ範囲削減処理との両方が行われる場合を示すが、不要ログ削減処理とログ範囲削減処理とのうちの任意の一方が他方とは独立に行われてもよい。
図6には、1回の分析の対象とすることができるログの範囲を提示するために、端末装置53の表示部214によって画面に表示される表示内容2211の一例を示してある。
図6の例では、期間が「2018/7/10 13:00〜2018/7/12 15:45」であり、センサが「センサA」であれば、ファイル分析が可能であることを示している。
図6の例では、期間は、ひとまとまりの連続した期間であるが、離散した2以上のまとまりの期間が用いられてもよい。
通常、ある期間の範囲から、期間の範囲が短くされると、ログのデータ量の総和も減少する。
なお、センサとしては、例えば、1個のセンサが指定されてもよく、あるいは、2個以上のセンサが指定されてもよい。通常、ある個数のセンサから、センサの個数が減少させられると、ログのデータ量の総和も減少する。
例えば、当該条件は、開始から終了までの期間に関して、終了時点が定められていてもよい。一例として、当該終了時点は、初期的にログの範囲を表示する処理が行われる時点(つまり、現時点)に設定される規則、あるいは、その時点よりも所定時間だけ前の時点に設定される規則に基づいて設定されてもよい。この場合、ログ削減部234は、設定された終了時点におけるログを最新のログとして、当該ログから古い方(開始時点)へ遡って所定のデータ量のログを分析対象として抽出することが可能である。
また、例えば、当該条件は、センサに関して、1以上の所定のセンサが定められていてもよい。一例として、当該所定のセンサは、あらかじめ定められた「センサA」に設定されるという規則に基づいて設定されてもよい。
この場合、制御部217では、ユーザの操作によって変更された後のログの範囲が1回の分析の対象とすることができるログの範囲にあるとファイル条件判定部233によって判定された場合には、ユーザによる変更を承認する。
なお、ユーザの操作によって変更された箇所について変更しないとファイル条件が満たされない場合には、制御部217では、エラーを示す情報を表示部214の画面に表示してもよい。
また、例えば、ユーザは、当該ユーザの希望に応じて、端末装置53によって提示されたログの範囲を不可能なログの範囲へ変更した場合においても、端末装置53によって再びログの範囲が調整されて新たなログの範囲が提示されるため、非常に便利である。
ユーザは、端末装置53の操作部213を操作することで、画面において当該ボタン2221を押下(例えば、マウスでクリックなど)することが可能である。当該ボタン2221が押下されると、その時点で表示されているログの範囲が採用されて、当該範囲にあるログが含まれるファイルが生成され、生成されたファイルが端末装置53からネットワーク31を介してファイル分析装置41に送信される。
図7は、本発明の一実施形態に係る契約情報3011の一例を示す図である。
図7の例では、契約情報3011は、顧客の識別情報と、契約の内容と、が対応付けられている。契約の内容は、例えば、回数、容量、期間などである。
なお、図7の例では、契約情報3011は、顧客の契約の内容とともに、契約の内容に関して利用の状況も含んでいる。他の例として、顧客の契約の内容と、契約の内容に関する利用の状況とが、別々に管理されてもよい。
容量は、それぞれの顧客の端末装置53について、ファイル分析のサービスを受けることが可能なデータ量の総容量を表す。図7の例では、容量として、「300/1000」などの情報が用いられている。例えば、「300/1000」は、最大の容量が1000Gバイトであり、そのうち300Gバイトのサービスが既に行われたことを表している。
期間は、それぞれの顧客の端末装置53について、ファイル分析のサービスを受けることが可能な期間を表す。図7の例では、期間として、「2018/1/1〜2018/12/31」などの情報が用いられている。例えば、「2018/1/1〜2018/12/31」は、2018年1月1日から2018年12月31日までが有効な期間であることを表している。
また、本実施形態では、端末装置53において、契約情報3011のうち当該端末装置53の顧客に該当する部分の情報を記憶部216に記憶する。つまり、ファイル分析装置41では複数の顧客に関する情報を管理するが、それぞれの顧客の端末装置53では当該顧客に関する情報を管理する。
端末装置53からファイル分析装置41にアクセスする手法としては、特に限定はない。
一例として、端末装置53は、分析部11によってファイル分析のサービスを提供する管理主体によって閲覧可能にされているWebページにアクセスする。当該Webページは、例えば、Webサーバ装置42によって提供されてもよい。
端末装置53は、例えば、ユーザによって行われる操作部213の操作に応じて、当該Webページにアクセスしてもよい。
また、端末装置53は、例えば、ファイル分析のサービスを受けるための契約を締結している場合に、ファイル分析装置41からアクセスされてもよい。この場合、ファイル分析装置41では、端末装置53を特定する情報が記憶部111に記憶されており、管理部116が当該情報に基づいて端末装置53にアクセスする。
端末装置53において、ファイル分析のサービスを受けるための専用のツール(説明の便宜上、「専用ツール」ともいう。)を備えてもよい。当該専用ツールは、ソフトウェアであってもよい。当該ソフトウェアは、プログラムであってもよい。
端末装置53において、当該ソフトウェアは、例えば、記憶部216に記憶されている。そして、端末装置53において、当該ソフトウェアの内容に基づいて処理を行う。
専用ツールは、例えば、無料で配布されてもよく、あるいは、有料で配布されてもよい。
また、専用ツールは、例えば、ファイル分析のサービスを受けるための契約をした者に配布されてもよく、あるいは、このような契約をしなくても、任意の者に配布されてもよい。
また、端末装置53において、専用ツールを備える場合には、ファイル分析装置41から端末装置53への通信は、電子メールを用いた通信、あるいは、Webプッシュ通知を用いた通信であってもよい。
この場合、端末装置53では、例えば、これらの機能と同様な処理を行うときには、ユーザによって行われる操作部213の操作に応じて当該処理を行う。つまり、ユーザの手動の操作によって、これらの機能と同様な処理を行う。
この場合、端末装置53では、例えば、当該機能と同様な処理を行うときには、ユーザによって行われる操作部213の操作に応じて当該処理を行う。つまり、ユーザの手動の操作によって、当該機能と同様な処理を行う。
この場合、端末装置53では、例えば、当該機能と同様な処理を行うときには、ユーザによって行われる操作部213の操作に応じて当該処理を行う。つまり、ユーザの手動の操作によって、当該機能と同様な処理を行う。
ここで、専用ツールが、所定の機能を実現するために参照する情報を記憶部216などに記憶して管理する場合には、例えば、ファイル分析装置41などからの要求によって当該情報が自動的に更新されてもよい。当該情報は、例えば、ホワイトリストの情報であってもよい。端末装置53における当該情報は、例えば、定期的に、あるいは、当該情報の元となる情報に変化があったときに、自動的に更新されてもよい。これにより、当該情報は、端末装置53とファイル分析装置41との間で共有されて同じ情報に保たれ、最新の情報に維持される。当該情報の更新は、例えば、専用ツールによって行われてもよい。
一例として、専用ツールは、独自のフォーマットでファイルを圧縮するときに、圧縮後のファイルが解凍されなくても読み出すことが可能なヘッダなどに、所定の情報を書き込んでもよい。この場合、ファイル分析装置41では、ファイル検査部113によって、圧縮後のファイルに含まれる当該所定の情報があらかじめ定められた情報であると判定された場合には、当該圧縮後のファイルが安全であるとみなす。当該所定の情報は、任意の情報であってもよく、例えば、専用ツールによって圧縮されたことを示す情報である。
また、専用ツールとしては、圧縮と解凍の両方の機能を有するツールが備えられてもよい。また、専用ツールとしては、暗号化と復号の両方の機能を有するツールが備えられてもよい。
端末装置53において、表示部214の画面に、専用ツールによる枠が表示されているとする。このとき、ユーザによって行われる操作部213の操作に応じて、分析対象の情報のアイコンが当該枠にドラッグアンドドロップされる。当該アイコンは、例えば、セキュリティセンサのログファイルを表すアイコンであってもよい。
すると、専用ツールは、分析対象のログを読み取り、ホワイトリストに基づいて当該ログから分析に必要のない行(不要ログ)を削除する。そして、専用ツールは、必要に応じて、分析対象となるログが所定のサイズに収まってサイズオーバーにならないように、最新の日時のログから過去に遡ってログを切り出す。この際、専用ツールは、ログの日時の範囲を算出して表示部214の画面に表示する。ユーザは、この表示内容(図6の例では、表示内容2211)を確認し、アップロードのボタン2221を押下する操作を行う。これに応じて、専用ツールは、分析対象のログを含むファイルを独自のフォーマットで圧縮してファイル分析装置41に送信する。ファイル分析装置41は、受信されたファイルについて検査、分析を行い、通知を行う。
このようにして、専用ツールを用いて、ユーザによる簡単な操作で、サイズが制限されたファイルをファイル分析装置41に送信することが可能である。
専用ツールは、例えば、ブラウザ上でファイルをアップロードまたは加工して使用する形態でもよい。
図8は、本発明の一実施形態に係る端末装置53において行われる処理の手順の一例を示す図である。
図8の例では、端末装置53は、ユーザによって行われる手動の操作に基づいて、ファイル分析のサービスを利用する場合を示す。
本例では、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234の機能がオフ(無効)になっている場合あるいは当該機能が端末装置53に備えられていない場合を示す。
端末装置53では、操作部213が、ユーザによって行われる操作の内容を受け付けて取得する。そして、ステップS2の処理へ移行する。本例では、当該操作は、ファイル分析のサービスを利用するための操作である。
端末装置53では、ファイル生成部235が、取得された操作の内容に基づいて、ファイル分析の対象とするファイルを生成する。そして、ステップS3の処理へ移行する。
ここで、端末装置53では、生成されたファイルについて、圧縮部236による圧縮、および暗号化部237による暗号化のうちの一方または両方を行ってもよい。
端末装置53では、制御部217が通信部215によって、生成されたファイルをネットワーク31を介してファイル分析装置41に送信する。そして、ステップS4の処理へ移行する。
これにより、ファイル分析装置41では、端末装置53から受信されたファイルについて検査、分析の処理を行い、端末装置53に対して通知を行う。
なお、端末装置53では、例えば、ユーザによる所定の操作を操作部213によって受け付けたことに応じて、ファイルの送信を行ってもよい。
端末装置53では、通知制御部238が、ファイル分析装置41からの通知を受信する。その後、端末装置53では、通知制御部238が、表示部214の画面に、受信された通知の内容を表示する。そして、本フローの処理を終了する。これにより、ユーザは、当該通知の内容を把握することができ、つまり、ファイル分析の結果を把握することができる。
図9の例では、端末装置53は、所定の規則(説明の便宜上、「ファイル生成規則」ともいう。)に基づいて、ファイル分析のサービスを利用する場合を示す。ファイル生成規則は、例えば、記憶部216に記憶されている。ファイル生成規則は、ファイルを生成するための規則であり、例えば、ファイルを生成するタイミング、ファイルに含めるログの範囲などのうちの1以上の規則が含まれてもよい。
本例では、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234の機能がオフ(無効)になっている場合あるいは当該機能が端末装置53に備えられていない場合を示す。
端末装置53では、ファイル生成部235が、ファイル生成規則を読み出して取得する。そして、ステップS22の処理へ移行する。
端末装置53では、ファイル生成部235が、取得されたファイル生成規則の内容に基づいて、ファイル分析の対象とするファイルを生成する。そして、ステップS23の処理へ移行する。
ここで、端末装置53では、生成されたファイルについて、圧縮部236による圧縮、および暗号化部237による暗号化のうちの一方または両方を行ってもよい。
端末装置53では、制御部217が通信部215によって、生成されたファイルをネットワーク31を介してファイル分析装置41に送信する。そして、ステップS24の処理へ移行する。
これにより、ファイル分析装置41では、端末装置53から受信されたファイルについて検査、分析の処理を行い、端末装置53に対して通知を行う。
端末装置53では、通知制御部238が、ファイル分析装置41からの通知を受信する。そして、端末装置53では、通知制御部238が、表示部214の画面に、受信された通知の内容を表示する。そして、本フローの処理を終了する。これにより、ユーザは、当該通知の内容を把握することができ、つまり、ファイル分析の結果を把握することができる。
図10の例では、端末装置53は、所定のファイル条件に適合するファイルを生成する。なお、ファイル生成の前後の処理としては、任意の処理が用いられてもよい。
本例では、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234の機能が端末装置53に備えられていてオン(有効)になっている場合を示す。
端末装置53では、ファイル生成部235が、ログ取得部231によって取得されたログに基づいて、ファイルを生成する。そして、ステップS42の処理へ移行する。本例では、当該ファイルは、ファイル条件に適合するか否かを判定するために仮に生成されたファイルである。
端末装置53では、ファイル条件取得部232が、ファイル条件を取得する。そして、ステップS43の処理へ移行する。
端末装置53では、ファイル条件判定部233が、生成されたファイルがファイル条件を満たすか否かを判定する。
この結果、端末装置53では、ファイル条件判定部233が、生成されたファイルがファイル条件を満たすと判定した場合には(ステップS43:YES)、本フローの処理を終了する。この場合、生成されたファイルが分析対象の候補として確定され、それに対応するログの範囲がユーザに提示される(例えば、図6の例)。そのログの範囲がユーザによって承認されると、当該ファイルが分析対象として確定される。
一方、端末装置53では、ファイル条件判定部233が、生成されたファイルがファイル条件を満たさないと判定した場合には(ステップS43:NO)、ステップS44の処理へ移行する。
端末装置53では、ログ削減部234が、ファイルに含められるログを削減する。そして、ステップS41の処理に移行する。
なお、本例では、ログの削減の後に、再び、生成されるファイルがファイル条件を満たすか否かを判定する処理を行う場合を示すが、生成されるファイルがファイル条件を満たすようにログの削減が行われる構成ではステップS44の処理の後に本フローの処理を終了してもよい。
図11の例では、端末装置53は、ファイルの分析要求が可能であるか否かを判定する。なお、本フローの処理は、端末装置53においてファイル分析のサービスを受けるための処理が行われるときに、任意のタイミングで行われてもよい。
本例では、分析要求可否判定部239が端末装置53に備えられていてオン(有効)である場合を示す。なお、分析要求可否判定部239がオフ(無効)である場合あるいは端末装置53に備えられていない場合には、本フローの処理は行われない。
端末装置53では、分析要求可否判定部239が、ファイルの分析要求が可能であるか否かを判定する。この場合、分析要求可否判定部239は、例えば、契約情報3011と同様な情報に基づいてファイルの分析要求が可能であるか否かを判定してもよい。当該情報は、例えば、記憶部216に記憶されて、分析要求可否判定部239によって管理されてもよい。
この結果、端末装置53では、分析要求可否判定部239が、ファイルの分析要求が可能であると判定した場合には(ステップS61:YES)、本フローの処理を終了する。
一方、端末装置53では、分析要求可否判定部239が、ファイルの分析要求が可能ではないと判定した場合には(ステップS61:NO)、ステップS62の処理へ移行する。
端末装置53では、分析要求可否判定部239が、ファイル分析のサービスを受けるための処理を中止させる。この場合、分析要求可否判定部239は、その旨を表示部214の画面に表示させてもよい。そして、本フローの処理を終了する。
なお、端末装置53では、その後に、再び、ファイル分析のサービスを受けるための処理が行われてもよい。
ファイル分析装置41では、受信部121によって、端末装置53から送信された分析対象のファイルを受信する。そして、ステップS102の処理へ移行する。
ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされるか否かを判定する。
この結果、ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされると判定した場合には(ステップS102:YES)、ステップS103の処理へ移行する。
一方、ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされないと判定した場合には(ステップS102:NO)、ステップS104の処理へ移行する。
ファイル分析装置41では、ファイル分析部114が、検査後のファイルについて、分析条件に基づいて、分析を行う。そして、ステップS104の処理へ移行する。
ファイル分析装置41では、通知部115が、端末装置53に対して通知を行う。
ここで、通知部115は、ファイル検査部113によってファイルが検査条件を満たさないと判定された場合には、その旨の情報を端末装置53に対して通知する。
また、通知部115は、ファイル分析部114によってファイルに問題が無いと判定された場合には、その旨の情報を端末装置53に対して通知する。
また、通知部115は、ファイル分析部114によってファイルに問題があると判定された場合には、その旨の情報を端末装置53に対して通知する。
図13を参照して、変形例を説明する。
図13は、本発明の一実施形態に係るファイル分析装置41において行われる処理の手順の一例を示す図である。
本例では、ファイル分析装置41において、ファイル分析部114が、ファイルがファイル条件を満たすか否かを判定する機能と、ファイルに含まれるログを削減する機能を備える場合を示す。
本例では、記憶部111に、ファイル条件を特定する情報が記憶されている。
本例では、端末装置53において、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234の機能がオフ(無効)になっている場合あるいは当該機能が端末装置53に備えられていない場合に特に有効である。なお、本フローの処理は、端末装置53において、ファイル条件取得部232、ファイル条件判定部233およびログ削減部234の機能が備えられていてオン(有効)である場合に適用されてもよい。
本例では、検査条件の内容は、ファイル条件の内容を含まないとする。なお、検査条件の内容が、ファイル条件の内容の一部を含んでもよい。
ファイル分析装置41では、受信部121によって、端末装置53から送信された分析対象のファイルを受信する。そして、ステップS122の処理へ移行する。
ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされるか否かを判定する。
この結果、ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされると判定した場合には(ステップS122:YES)、ステップS123の処理へ移行する。
一方、ファイル分析装置41では、ファイル検査部113が、受信されたファイルについて、所定の検査条件が満たされないと判定した場合には(ステップS122:NO)、ステップS126の処理へ移行する。
ファイル分析装置41では、ファイル分析部114が、ファイル条件を取得する。その後、ファイル分析装置41では、ファイル分析部114が、検査後のファイルについて、ファイル条件が満たされるか否かを判定する。
この結果、ファイル分析装置41では、ファイル分析部114が、検査後のファイルについて、ファイル条件が満たされると判定した場合には(ステップS123:YES)、ステップS125の処理へ移行する。この場合、当該ファイルが分析対象となる。
一方、ファイル分析装置41では、ファイル分析部114が、検査後のファイルについて、ファイル条件が満たされないと判定した場合には(ステップS123:NO)、ステップS124の処理へ移行する。
ファイル分析装置41では、ファイル分析部114が、検査後のファイルに含まれるログを削減する。そして、ステップS125の処理に移行する。この場合、削減後のログを含むファイルが分析対象となる。
なお、本例では、ファイル分析部114は、削減後のログが含められるファイルがファイル条件を満たすようにログの削減を行う。
ファイル分析装置41では、ファイル分析部114が、分析対象となるファイルについて、分析条件に基づいて、分析を行う。そして、ステップS126の処理へ移行する。
ファイル分析装置41では、通知部115が、端末装置53に対して通知を行う。
ここで、通知部115は、ファイル検査部113によってファイルが検査条件を満たさないと判定された場合には、その旨の情報を端末装置53に対して通知する。
また、通知部115は、ファイル分析部114によってファイルに問題が無いと判定された場合には、その旨の情報を端末装置53に対して通知する。
また、通知部115は、ファイル分析部114によってファイルに問題があると判定された場合には、その旨の情報を端末装置53に対して通知する。
また、通知部115は、ファイル分析部114によってログの削減が行われた場合には、その旨の情報を端末装置53に対して通知する。当該情報は、例えば、削減されたログを特定する情報と、削減されなかったログを特定する情報のうちの一方または両方を含んでもよい。これにより、端末装置53のユーザは、ファイル分析装置41において分析対象のログの削減が行われた場合には、そのことを把握することができる。
なお、ファイル分析装置41において用いられるファイル条件と、端末装置53において用いられるファイル条件が存在する場合には、例えば、これらのファイル条件は、同じであってもよく、あるいは、一部または全部が異なってもよい。
図14を参照して、変形例を説明する。
図14は、本発明の一実施形態に係るファイル分析装置41において行われる処理の手順の一例を示す図である。
本例では、ファイル分析装置41が、所定のタイミング(説明の便宜上、「分析推奨タイミング」ともいう。)で、端末装置53に対してファイル分析のサービスを利用することを推奨する。分析推奨タイミングは、任意のタイミングであってもよく、例えば、定期的なタイミングであってもよい。
本例では、分析推奨タイミングを特定する情報が、記憶部111に記憶されている。
ファイル分析装置41では、管理部116が、分析推奨タイミングになったか否かを判定する。この場合、管理部116は、例えば、ファイル分析装置41の内部または外部に備えられた時計機能(図示せず)の情報を参照してもよい。
この結果、ファイル分析装置41では、管理部116が、分析推奨タイミングになったと判定した場合には(ステップS141:YES)、ステップS142の処理へ移行する。
一方、ファイル分析装置41では、管理部116が、分析推奨タイミングになっていないと判定した場合には(ステップS141:NO)、本フローの処理を終了する。
ファイル分析装置41では、管理部116が、通知部115によって、端末装置53に対して、分析推奨タイミングになったことを示す情報を通知する。そして、本フローの処理を終了する。
なお、本フローの処理は、例えば、一定の時間間隔ごとに行われてもよい。
また、通知部115によって端末装置53に対して通知を行う手法としては、任意の手法が用いられてもよい。
また、端末装置53では、ファイル分析装置41から分析推奨タイミングであることを推奨(通知)された場合に、他の例として、ユーザの操作が無くても、自動的に、ファイル分析のサービスを受けるための処理(例えば、図9に示されるフローの処理)を行ってもよい。
本実施形態における端末装置53あるいはファイル分析装置41などとして、図15に示されるようなハードウェア構成を有する情報処理装置4001が使用されてもよい。
操作部4012は、キーボード、マウスなどのうちの1以上の入力装置を備え、ユーザ(人)により行われる操作を受け付ける。
表示部4013は、画面を有しており、情報を当該画面に表示出力する。
メモリ4015は、揮発性の記憶部であり、RAM(Random Access Memory)などから構成されており、情報を一時的に記憶する。RAMとしては、例えば、DRAM(Dynamic Random Access Memory)が用いられてもよい。
記憶装置4014あるいはメモリ4015は、例えば、プロセッサ4011により実行されるプログラムの情報を記憶してもよい。
ネットワークインターフェイス4017は、外部のネットワークと接続するインターフェイスである。
以上のように、本実施形態に係るファイル分析システム1では、端末装置53は、分析対象とするログが含まれるファイルをファイル分析装置41に送信することで、当該ログについてファイル分析装置41によって分析された結果の通知を受けることができる。このため、本実施形態に係るファイル分析システム1では、ログを分析するシステムを動作可能な状態にするための初期的な設定が行われなくても、簡易にログの分析を行うことができ、ログ分析のサービスを簡易に実現することができる。
通常、セキュリティセンサでは常にログを監視することが行われるが、本実施形態に係るファイル分析システム1では、端末装置53からファイル分析装置41に、分析が希望されるログが含まれるファイルが送信されればよく、ファイル分析のサービスを簡易に試用することが可能である。
例えば、端末装置53では、大規模な新型ウィルスが発生したときに、そのときから過去の所定期間のログを対象としてファイル分析のサービスを受けることが可能である。当該所定期間は、例えば、過去2週間などの期間であってもよい。また、端末装置53において、サービスを受けるための契機としては、例えば、ユーザによって行われる操作に応じてサービスを受けてもよく、あらかじめ設定された新型ウィルスの発生時に関する規則に基づいてサービスを受けてもよく、あるいは、ファイル分析装置41からの要求に応じてサービスを受けてもよい。
また、本実施形態に係るファイル分析システム1では、端末装置53とファイル分析装置41との間でオンデマンドの通信が用いられることで、例えば、低コスト化を図ることが可能である。
本実施形態では、ファイル分析の対象とするログとして、セキュリティセンサのログが用いられる場合を示した。セキュリティセンサのログとしては、例えば、FW(FireWall)、NGFW(New Generation FireWall)、IPS(Intrusion prevention system)、IDS(Intrusion Detection System)、UTM(Unified Threat Managemant)、WAF(Web Application FireWall)などのログがある。
他の例として、ログを検出する装置は、通過させてはいけない通信を阻止するファイアウォール(FW)の装置であってもよい。例えば、当該装置は、不正に関係する可能性があるログと、不正に関係しないログとの両方を検出してもよい。
なお、一般に、IPSとファイアウォールとを比較すると、ファイアウォールでは通過した信号についてのログもあるためデータ量が多大になり易く、IPSの方が、問題のある可能性があるログの密度が高いといえる。
認証ログとしては、例えば、Active Directory、BIND(Berkeley Internet Name Domain)、DNS(Domain Name System)などのログがある。
エラーログとしては、例えば、WinEvtなどのログがある。
端末スキャンログとしては、アンチウィルス、EDR(Endpoint Detection and Response)などのログがある。
通信ログとしては、Proxy、mail、Fileアクセス、データベース(DB:DataBase)アクセスなどのログがある。
プログラム稼働ログとしては、例えば、bootログ、dmesgなどのログがある。
アプリケーション動作ログとしては、例えば、イベントログ、固有ログなどのログがある。
ログ以外の情報としては、例えば、オペレーティングシステム(OS:Operating System)の設定の情報がある。
OSの設定の情報としては、例えば、レジストリの情報などがある。
また、例えば、Webの閲覧の履歴、操作の履歴、あるいは、ログインの履歴などが用いられてもよい。
なお、ログ検出装置は、例えば、端末装置53の外部に備えられてもよく、あるいは、端末装置53の内部の機能として備えられてもよい。
例えば、複数の異なる種類のログの情報が時間順に混じった形で記憶等されてもよい。各ログには、例えば、当該各ログを検出したセンサを識別する情報が付加されている。当該各ログは、当該情報に基づいて、区別されることが可能である。これにより、複数の異なる種類のログの情報が混じった情報から、所定の種類のログの情報が抽出されることが可能である。
ファイル分析装置41において、ファイル検査部113によるファイルの検査は、例えば、ログの種類ごとに行われてもよく、あるいは、2以上のログの種類についてまとめて行われてもよい。
ファイル分析装置41において、ファイル分析部114によるファイルの分析は、例えば、ログの種類ごとに行われてもよく、あるいは、2以上のログの種類についてまとめて行われてもよい。
一構成例として、端末装置(本実施形態では、端末装置53)において、ログを常時監視し常時監視されたログを出力するセキュリティセンサ(本実施形態では、ログ検出装置51のセンサ)から出力された複数のログのうちの一部のログを取得し、取得されたログを含むファイルを生成するファイル生成部(本実施形態では、ファイル生成部235)と、ファイル生成部によって生成されたファイルをファイル分析装置(本実施形態では、ファイル分析装置41)に送信するファイル送信部(本実施形態では、通信部215)と、ファイル分析装置から送られるファイルの分析結果の通知を受ける通知制御部(本実施形態では、通知制御部238)と、を備える。
一構成例として、端末装置において、分析対象とされることが不要である不要ログ(不要なログ)を特定する情報に基づいて、不要ログをファイルに含められるログから削減することで、ファイルに含められるログのデータ量を削減する不要ログ削減部(本実施形態では、ログ削減部234が有する機能)を備える。
一構成例として、端末装置において、ファイルに含められるログの範囲を削減することで、ファイルに含められるログのデータ量を所定の上限値以下とするログ範囲削減部(本実施形態では、ログ削減部234が有する機能)を備える。
一構成例として、端末装置において、ファイルの分析の要求が可能であるか否かを判定する分析要求可否判定部(本実施形態では、分析要求可否判定部239)を備える。
一構成例として、ファイル分析装置において、ファイル分析部によって行われる分析に関する課金情報を管理する管理部(本実施形態では、管理部116)を備える。課金情報は、分析の回数に応じた金額の情報を含む。分析の回数に応じた金額の情報は、分析の回数に応じた有料の金額の情報、または、分析の回数が所定の回数以下では無料であることを示す情報である。
なお、ここでいう「コンピュータシステム」とは、オペレーティングシステムあるいは周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに、「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークあるいは電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えば、DRAM)のように、一定時間プログラムを保持しているものも含む。
また、上記のプログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)あるいは電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記のプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、上記のプログラムは、前述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
Claims (9)
- ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得し、取得された前記ログを含むファイルを生成するファイル生成部と、
前記ファイル生成部によって生成された前記ファイルを、1回の分析対象となる1個または複数個の前記ファイルに含まれる前記ログの情報が許容されるデータ量の上限値以下であるという条件が満たされる場合にファイル分析を行うファイル分析装置に送信するファイル送信部と、
前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける通知制御部と、
前記1回の分析対象となる1個または複数個の前記ファイルに含められる予定の前記ログの情報が許容されるデータ量の前記上限値以下であるという条件が満たされるか否かを判定するファイル条件判定部と、
前記ファイル条件判定部によって前記条件が満たされないと判定された場合、前記ファイルに含められる前記ログのデータ量を削減するログ削減部と、
を備え、
前記ファイル条件判定部によって前記条件が満たされないと判定された場合、前記ログ削減部によって前記ファイルに含められる前記ログのデータ量を削減して、前記条件が満たされるようにされた前記ログの情報を用いて、前記ファイル生成部が前記ファイルを生成し、前記ファイル送信部が前記ファイルを前記ファイル分析装置に送信する、
端末装置。 - 前記ログ削減部は、前記ログが発生した日時が含まれるべき期間であって当該期間に含まれる前記ログの情報について前記条件が満たされる当該期間が表示されるようにし、
前記ログ削減部は、表示された前記期間がユーザの操作によって変更されたときに、前記条件が満たされない場合には、前記条件が満たされるように前記期間を変更し、
前記ファイル生成部は、前記条件が満たされる前記期間に含まれる前記ログの情報を用いて前記ファイルを生成する、
請求項1に記載の端末装置。 - 前記ユーザの操作によって1個または2個以上のセンサが指定され、
前記ファイルに含められる予定の前記ログの情報には、指定された前記センサによって検出された前記ログの情報が含められる、
請求項2に記載の端末装置。 - 前記ファイルの分析のサービスに関する契約の内容と、前記サービスの利用状況とに基づいて、前記ファイルの分析の要求が可能であるか否かを判定する分析要求可否判定部を備える、
請求項1から請求項3のいずれか1項に記載の端末装置。 - ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを含むファイルであって端末装置から送信された1回の分析対象となる1個または複数個の前記ファイルを受信する受信部と、
前記受信部によって受信された前記ファイルについて、前記1回の分析対象となる1個または複数個の前記ファイルに含まれる前記ログの情報が許容されるデータ量の上限値以下であるという検査条件が満たされるか否かを判定するファイル検査部と、
前記ファイル検査部によって前記検査条件が満たされると判定された前記1回の分析対象となる1個または複数個の前記ファイルに含まれる前記ログの情報について分析を行うファイル分析部と、
前記ファイル分析部によって行われた前記ファイルの分析の結果の通知を前記端末装置に送る通知部と、
を備える、
ファイル分析装置。 - 前記ファイル分析部によって行われる前記分析に関する課金情報を管理する管理部を備え、
前記課金情報は、前記分析の回数に応じた金額の情報を含み、
前記分析の回数に応じた金額の情報は、前記分析の回数に応じた有料の金額の情報、または、前記分析の回数が所定の回数以下では無料であることを示す情報である、
請求項5に記載のファイル分析装置。 - 端末装置と、ファイル分析装置と、を備えたファイル分析システムであって、
前記端末装置は、
ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得し、取得された前記ログを含むファイルを生成するファイル生成部と、
前記ファイル生成部によって生成された前記ファイルを前記ファイル分析装置に送信するファイル送信部と、
前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける通知制御部と、
1回の分析対象となる1個または複数個の前記ファイルに含められる予定の前記ログの情報が許容されるデータ量の上限値以下であるという条件が満たされるか否かを判定するファイル条件判定部と、
前記ファイル条件判定部によって前記条件が満たされないと判定された場合、前記ファイルに含められる前記ログのデータ量を削減するログ削減部と、
を備え、
前記ファイル条件判定部によって前記条件が満たされないと判定された場合、前記ログ削減部によって前記ファイルに含められる前記ログのデータ量を削減して、前記条件が満たされるようにされた前記ログの情報を用いて、前記ファイル生成部が前記ファイルを生成し、前記ファイル送信部が前記ファイルを前記ファイル分析装置に送信し、
前記ファイル分析装置は、
前記端末装置から送信された前記ファイルを受信する受信部と、
前記受信部によって受信された前記ファイルについて所定の検査条件が満たされるか否かを判定するファイル検査部と、
前記ファイル検査部によって前記検査条件が満たされると判定された前記ファイルについて分析を行うファイル分析部と、
前記ファイル分析部によって行われた前記ファイルの分析の結果の通知を前記端末装置に送る通知部と、
を備える、
ファイル分析システム。 - 端末装置が、ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得し、1回の分析対象となる1個または複数個のファイルに含められる予定の前記ログの情報が許容されるデータ量の上限値以下であるという条件が満たされるか否かを判定し、前記条件が満たされないと判定された場合、前記ファイルに含められる前記ログのデータ量を削減して、前記条件が満たされるようにされた前記ログの情報を用いて、前記ファイルを生成し、前記ファイルをファイル分析装置に送信し、
前記ファイル分析装置が、前記端末装置から送信された前記ファイルを受信し、受信された前記ファイルについて所定の検査条件が満たされるか否かを判定し、前記検査条件が満たされると判定された前記ファイルについて分析を行い、前記ファイルの分析の結果の通知を前記端末装置に送り、
前記端末装置が、前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける、
ファイル分析方法。 - ログを常時監視し常時監視された前記ログを出力するセキュリティセンサから出力された複数の前記ログのうちの一部の前記ログを取得する機能と、
1回の分析対象となる1個または複数個のファイルに含められる予定の前記ログの情報が許容されるデータ量の上限値以下であるという条件が満たされるか否かを判定する機能と、
前記条件が満たされないと判定された場合、前記ファイルに含められる前記ログのデータ量を削減して、前記条件が満たされるようにされた前記ログの情報を用いて、前記ファイルを生成する機能と、
生成された前記ファイルを、前記1回の分析対象となる1個または複数個の前記ファイルに含まれる前記ログの情報が許容されるデータ量の前記上限値以下であるという前記条件が満たされる場合にファイル分析を行うファイル分析装置に送信する機能と、
前記ファイル分析装置から送られる前記ファイルの分析結果の通知を受ける機能と、
をコンピュータに実現させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018180718A JP6563578B1 (ja) | 2018-09-26 | 2018-09-26 | 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム |
PCT/JP2019/036533 WO2020066783A1 (ja) | 2018-09-26 | 2019-09-18 | 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018180718A JP6563578B1 (ja) | 2018-09-26 | 2018-09-26 | 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6563578B1 true JP6563578B1 (ja) | 2019-08-21 |
JP2020052669A JP2020052669A (ja) | 2020-04-02 |
Family
ID=67692163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018180718A Active JP6563578B1 (ja) | 2018-09-26 | 2018-09-26 | 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6563578B1 (ja) |
WO (1) | WO2020066783A1 (ja) |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006120130A (ja) * | 2004-09-21 | 2006-05-11 | Software Partner:Kk | アクセスログの管理システム及び管理方法 |
JP5396894B2 (ja) * | 2009-02-06 | 2014-01-22 | 富士通モバイルコミュニケーションズ株式会社 | 携帯端末機 |
JP5066544B2 (ja) * | 2009-03-31 | 2012-11-07 | 株式会社富士通ソーシアルサイエンスラボラトリ | インシデント監視装置,方法,プログラム |
JP4820900B2 (ja) * | 2009-11-04 | 2011-11-24 | 日本電信電話株式会社 | ログ管理方法、管理システム及び管理プログラム |
JP2012088843A (ja) * | 2010-10-18 | 2012-05-10 | Nec Corp | フィルタリングルール決定システム、フィルタリングルール決定方法、フィルタリング方法およびプログラム |
JP5677592B2 (ja) * | 2012-01-11 | 2015-02-25 | 株式会社日立製作所 | データ処理方法、データ処理システム、及びデータ処理装置 |
JP5640167B1 (ja) * | 2014-03-31 | 2014-12-10 | 株式会社ラック | ログ分析システム |
JP5966076B1 (ja) * | 2015-12-25 | 2016-08-10 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
US20190387012A1 (en) * | 2017-03-03 | 2019-12-19 | Nippon Telegraph And Telephone Corporation | Log analysis apparatus, log analysis method, and log analysis program |
-
2018
- 2018-09-26 JP JP2018180718A patent/JP6563578B1/ja active Active
-
2019
- 2019-09-18 WO PCT/JP2019/036533 patent/WO2020066783A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP2020052669A (ja) | 2020-04-02 |
WO2020066783A1 (ja) | 2020-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3499849B1 (en) | Cloud data loss prevention integration | |
CN106713332B (zh) | 网络数据的处理方法、装置和系统 | |
JP6282728B2 (ja) | サービスとしての効率的なデータ圧縮及び分析 | |
US20170041337A1 (en) | Systems, Methods, Apparatuses, And Computer Program Products For Forensic Monitoring | |
US9189187B2 (en) | Service providing system and service providing method for providing a service to a service usage device connected via a network | |
US10354209B2 (en) | Service providing system and log information providing method | |
US9152343B2 (en) | Information processing system that includes multiple information processors and executes process according to request received via network, and information processing method therein | |
US8886961B2 (en) | Application installing method | |
CN108985095B (zh) | 一种非公开文件访问方法、系统及电子设备和存储介质 | |
US20230359733A1 (en) | Self-Defending Mobile Device | |
JP6563578B1 (ja) | 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム | |
US20020199117A1 (en) | System for distributing application software | |
JP6517416B1 (ja) | 分析装置、端末装置、分析システム、分析方法およびプログラム | |
JP7404798B2 (ja) | データ管理システム及びデータ管理プログラム | |
JP6419679B2 (ja) | 検討装置及び検討方法 | |
JP7268742B2 (ja) | ポリシー評価装置、制御方法、及びプログラム | |
JP2020155838A (ja) | データ収集システム、装置、及びプログラム | |
JP2017037469A (ja) | 情報処理システム、優先処理方法、情報処理装置及びプログラム | |
JP6486863B2 (ja) | 情報処理装置および情報処理方法 | |
JP7235109B2 (ja) | 評価装置、システム、制御方法、及びプログラム | |
CN108063771B (zh) | 加密压缩文件的监控方法及装置 | |
JP2009146298A (ja) | 情報管理システム、サーバ装置、記憶装置、及びプログラム | |
CN116886441A (zh) | 一种网站检测方法、装置、电子设备和可读介质 | |
JP5338192B2 (ja) | 情報処理装置及びプログラム | |
JP2006285438A (ja) | コンテンツ更新システム、コンテンツ更新方法、更新サーバ及びコンテンツ更新プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181206 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181213 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20181213 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190319 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190515 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190709 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190724 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6563578 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |