以下、本実施の形態を図面を参照して説明する。
[第1の実施の形態]
第1の実施の形態を説明する。
図1は、第1の実施の形態のポリシー設定装置の例を示す図である。
第1の実施の形態のポリシー設定装置10は、標的型メール攻撃から情報処理システムを保護するために用いられるコンピュータである。ポリシー設定装置10は、クライアントコンピュータでもよいしサーバコンピュータでもよい。ポリシー設定装置10は、セキュリティ製品に適用するセキュリティポリシーを動的に生成する。セキュリティポリシーは、特定の通信相手アドレスを用いた通信を制限することを示す場合がある。
ポリシー設定装置10は、記憶部11および処理部12を有する。記憶部11は、RAM(Random Access Memory)などの揮発性の記憶装置、または、HDD(Hard Disk Drive)やフラッシュメモリなどの不揮発性の記憶装置である。処理部12は、例えば、CPU(Central Processing Unit)やDSP(Digital Signal Processor)などのプロセッサである。ただし、処理部12は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの特定用途の電子回路を含んでもよい。プロセッサは、RAMなどのメモリに記憶されたプログラムを実行する。例えば、プロセッサはポリシー設定プログラムを実行する。なお、複数のプロセッサの集合を「マルチプロセッサ」または単に「プロセッサ」と言うことがある。
記憶部11は、検体電子メール13および通信履歴14を記憶する。また、記憶部11は、後述するように処理部12が生成したセキュリティポリシー15を記憶する。
検体電子メール13は、ユーザが属する組織の外部から受信された当該ユーザ宛ての電子メールである。検体電子メールが2つ以上あってもよい。検体電子メール13は、例えば、その宛先のユーザから検体として提供される。例えば、検体電子メール13は、ユーザが使用する端末装置によって受信され、ユーザによって標的型メール攻撃であると判断された電子メールである。ただし、検体電子メール13は、誤って標的型メール攻撃であると判断された正当な電子メールである可能性がある。
通信履歴14は、過去に行われた通信の履歴である。通信履歴14は、検体電子メール13を提供したユーザの端末装置によって行われた通信の履歴を含んでもよい。また、通信履歴14は、検体電子メール13を提供したユーザと同じ組織に属する他のユーザの端末装置によって行われた通信の履歴を含んでもよい。通信履歴14は、例えば、電子メールの受信履歴、電子メールの送信履歴、Webサイトのアクセス履歴などを含む。
電子メールの受信履歴には、例えば、送信元メールアドレス、送信元メールアドレスの一部分(ドメイン名など)、送信元メールサーバアドレス、または、送信元メールサーバアドレスの一部分(ドメイン名など)が含まれる。電子メールの送信履歴には、例えば、宛先メールアドレスまたはその一部分(ドメイン名など)が含まれる。Webサイトのアクセス履歴には、例えば、アクセス先のWebサイトアドレス(URL(Uniform Resource Locator)など)またはその一部分(ドメイン名など)が含まれる。
セキュリティポリシー15は、電子メールの送受信やWebサイトへのアクセスなどの通信を制限することが可能な電子機器に対して適用する設定情報である。ポリシー設定装置10は、生成したセキュリティポリシー15を組織内の適切な電子機器に配信する。例えば、セキュリティポリシー15は、特定のアドレスを送信元アドレスに含む電子メールの閲覧や添付ファイルの開封を禁止することを示す場合がある。そのようなセキュリティポリシー15は、ユーザが使用する端末装置やメールサーバに配信されることがある。また、例えば、セキュリティポリシー15は、特定のアドレスをURLに含むWebサイトへのアクセスを禁止することを示す場合がある。そのようなセキュリティポリシー15は、ユーザが使用する端末装置やプロキシサーバに配信されることがある。
セキュリティポリシー15には、有効期間15bや適用対象機器15cが設定されることがある。有効期間15bは、セキュリティポリシー15が有効な期間であり、その範囲外ではセキュリティポリシー15が無効になる。有効期間15bは、開始時刻、終了時刻、有効日数などによって特定され得る。セキュリティポリシー15に有効期間15bの情報が含まれてもよい。適用対象機器15cは、セキュリティポリシー15が適用される電子機器であり、それ以外の電子機器にはセキュリティポリシー15が適用されない。適用対象機器15cは、組織の部署名、ユーザ名、電子機器の種類などによって特定され得る。セキュリティポリシー15に適用対象機器15cの情報が含まれてもよい。
処理部12は、検体電子メール13の中から、通信を制限する対象とする通信相手アドレス13aを抽出する。通信相手アドレス13aは、ユーザが属する組織の外部で使用されるアドレスであり、検体電子メール13の宛先メールアドレス以外の箇所に記載されている。例えば、通信相手アドレス13aは、ヘッダに記載された送信元メールアドレス、送信元メールアドレスの一部分(ドメイン名など)、送信元メールサーバアドレス、または、送信元メールサーバアドレスの一部分(ドメイン名など)である。また、例えば、通信相手アドレス13aは、本文にリンク先として記載されたWebサイトアドレス(URLなど)またはその一部分(ドメイン名など)である。
処理部12は、通信履歴14を参照して、通信相手アドレス13aを用いた通信の頻度を示す頻度指標値を算出する。例えば、処理部12は、通信相手アドレス13aを宛先メールアドレスに含む電子メールの送信頻度(一定期間内の送信回数など)から頻度指標値を算出する。また、例えば、処理部12は、通信相手アドレス13aを送信元メールアドレスまたは送信元メールサーバアドレスに含む電子メールの受信頻度(一定期間内の受信回数など)から頻度指標値を算出する。また、例えば、処理部12は、通信相手アドレス13aをWebサイトアドレスに含むWebサイトへのアクセス頻度(一定期間内のアクセス回数など)から頻度指標値を算出する。この頻度指標値は、通信相手アドレス13aを用いた通信を制限した場合の業務への影響度を表していると言うことができる。
処理部12は、通信相手アドレス13aを用いた通信を制限することを示すルール15aを含むセキュリティポリシー15を生成する。このとき、処理部12は、上記の頻度指標値に基づいて、有効期間15bおよび適用対象機器15cの少なくとも一方をセキュリティポリシー15に対して設定する。有効期間15bについては、処理部12は、頻度指標値が示す頻度が大きいほど(影響度が大きいほど)有効期間15bが短くなるように設定し、頻度指標値が示す頻度が小さいほど(影響度が小さいほど)有効期間15bが長くなるように設定する。適用対象機器15cについては、処理部12は、頻度指標値が示す頻度が大きいほど適用対象機器15cが少なくなるように設定し、頻度指標値が示す頻度が小さいほど適用対象機器15cが多くなるように設定する。適用対象機器15cを少なくすることは、例えば、セキュリティポリシー15を適用する部署、ユーザ、電子機器の種類などを限定することによって実現される。
第1の実施の形態のポリシー設定装置10によれば、ユーザから提供された検体電子メール13に含まれる通信相手アドレス13aを制限対象アドレスとする場合に、通信相手アドレス13aを用いた過去の通信頻度が算出される。そして、過去の通信頻度が大きいほど有効期間15bが短くなるよう設定されるか、または、過去の通信頻度が大きいほど適用対象機器15cが少なくなるよう設定される。これにより、通信相手アドレス13aを用いた通信を制限することを示すセキュリティポリシー15を追加することによる過剰防衛を抑制し、正当な業務が阻害されるという影響を低減できる。
例えば、検体電子メール13が誤って標的型メール攻撃であると判断された正当な電子メールである場合、検体電子メール13と同一または類似する他の検体電子メールが後に提供される可能性は低い。そのため、有効期間15bを限定すれば、有効期間15bが更新されずにセキュリティポリシー15が早期に無効になると期待される。一方、検体電子メール13が標的型メール攻撃を目的とするものである場合、検体電子メール13と同一または類似する他の検体電子メールが後に提供される可能性が高い。そのため、有効期間15bが延長されてセキュリティポリシー15が継続して適用されると期待される。
また、例えば、適用対象機器15cを限定することで、業務への影響が相対的に大きい特定の部署についてはセキュリティポリシー15の適用を保留しつつ、別の部署でセキュリティポリシー15を試用することが可能となる。このような特定の部署には、検体電子メール13と同一または類似する他の検体電子メールが後に提供されてからセキュリティポリシー15を適用することが考えられる。すなわち、検体電子メール13が誤って標的型メール攻撃であると判断された正当な電子メールである場合には、業務への影響が相対的に大きい特定の部署にはセキュリティポリシー15が適用されないと期待される。
[第2の実施の形態]
次に、第2の実施の形態を説明する。
図2は、第2の実施の形態の情報処理システムの例を示す図である。
第2の実施の形態の情報処理システムは、管理サーバ100、ユーザ端末200,200a,200bおよび管理者端末200cを有する。管理サーバ100、ユーザ端末200,200a,200bおよび管理者端末200cは、同一の組織内で使用される装置である。管理サーバ100、ユーザ端末200,200a,200bおよび管理者端末200cは、ローカルネットワークであるネットワーク30に接続されている。
管理サーバ100は、ユーザ端末200,200a,200bのセキュリティ対策を支援するサーバコンピュータである。管理サーバ100は、電子メールを利用して組織の秘密情報を不正に取得する標的型メール攻撃からユーザ端末200,200a,200bを保護する。管理サーバ100は、ユーザ端末200,200a,200bから、標的型メール攻撃であると疑われる電子メール(不審メール)を検体メールとして収集する。
管理サーバ100は、管理者端末200cからの指示に応じて、収集した検体メールを用いてセキュリティポリシー(単に「ポリシー」と言うことがある)を生成する。ポリシーには、受信した電子メールが標的型メール攻撃に関する危険な電子メールであるか判断するためのルールが含まれる。また、ポリシーには、アクセス先のWebサイトが標的型メール攻撃に関する危険なWebサイトであるか判断するためのルールが含まれる。管理サーバ100は、ポリシーをユーザ端末200,200a,200bに配信する。
ユーザ端末200,200a,200bは、組織に属するユーザが使用するクライアントコンピュータである。ユーザ端末200,200a,200bは、ユーザの操作に応じて、組織の外部から送信された電子メールを受信することがある。このとき、ユーザ端末200,200a,200bは、管理サーバ100から配信されたポリシーに基づいて、受信した電子メールが危険な電子メールであるか判断して危険な電子メールの閲覧を制限する。また、ユーザ端末200,200a,200bは、受信した電子メールが標的型メール攻撃を目的とした電子メールであるとユーザが判断したとき、ユーザの操作に応じて、受信した電子メールを検体メールとして管理サーバ100に提供する。
また、ユーザ端末200,200a,200bは、ユーザの操作に応じて、組織の外部のWebサイトにアクセスすることがある。このとき、ユーザ端末200,200a,200bは、管理サーバ100から配信されたポリシーに基づいて、アクセス先のWebサイトが危険なWebサイトであるか判断して危険なWebサイトへのアクセスを制限する。危険なWebサイトのアクセスは、標的型メール攻撃を目的とした電子メールの中に記載されているハイパーリンクをユーザが選択することで発生することがある。
管理者端末200cは、組織の情報処理システムを管理する管理者が使用するクライアントコンピュータである。管理者端末200cは、管理者の操作に応じて管理サーバ100にアクセスし、ポリシーの生成やユーザ端末200,200a,200bへのポリシーの配信を管理サーバ100に指示する。収集された検体メールからポリシーを生成する過程で管理者の判断(例えば、不審メールの絞り込みなど)を要する場合、管理者は管理者端末200cを通じて管理サーバ100に適宜指示を送る。
図3は、管理サーバのハードウェア例を示すブロック図である。
管理サーバ100は、CPU101、RAM102、HDD103、画像信号処理部104、入力信号処理部105、媒体リーダ106および通信インタフェース107を有する。上記ユニットはバスに接続される。ユーザ端末200,200a,200bおよび管理者端末200cも、管理サーバ100と同様のハードウェアを用いて実装できる。
CPU101は、プログラムの命令を実行する演算回路を含むプロセッサである。CPU101は、HDD103に記憶されたプログラムやデータの少なくとも一部をRAM102にロードし、プログラムを実行する。なお、CPU101は複数のプロセッサコアを備えてもよく、管理サーバ100は複数のプロセッサを備えてもよく、以下の処理を複数のプロセッサまたはプロセッサコアを用いて並列に実行してもよい。また、複数のプロセッサの集合を「マルチプロセッサ」または単に「プロセッサ」と言うことがある。
RAM102は、CPU101が実行するプログラムやCPU101が演算に用いるデータを一時的に記憶する揮発性の半導体メモリである。なお、管理サーバ100は、RAM以外の種類のメモリを備えてもよく、複数個のメモリを備えてもよい。
HDD103は、OS(Operating System)やミドルウェアやアプリケーションソフトウェアなどのソフトウェアのプログラム、および、データを記憶する不揮発性の記憶装置である。プログラムにはポリシー設定プログラムが含まれる。なお、管理サーバ100は、フラッシュメモリやSSD(Solid State Drive)などの他の種類の記憶装置を備えてもよく、複数の不揮発性の記憶装置を備えてもよい。
画像信号処理部104は、CPU101からの命令に従って、管理サーバ100に接続されたディスプレイ41に画像を出力する。ディスプレイ41としては、CRT(Cathode Ray Tube)ディスプレイ、液晶ディスプレイ(LCD:Liquid Crystal Display)、プラズマディスプレイ、有機EL(OEL:Organic Electro-Luminescence)ディスプレイなど、任意の種類のディスプレイを用いることができる。
入力信号処理部105は、管理サーバ100に接続された入力デバイス42から入力信号を取得し、CPU101に出力する。入力デバイス42としては、マウスやタッチパネルやタッチパッドやトラックボールなどのポインティングデバイス、キーボード、リモートコントローラ、ボタンスイッチなどを用いることができる。また、管理サーバ100に複数の種類の入力デバイスが接続されていてもよい。
媒体リーダ106は、記録媒体43に記録されたプログラムやデータを読み取る読み取り装置である。記録媒体43として、例えば、磁気ディスク、光ディスク、光磁気ディスク(MO:Magneto-Optical disk)、半導体メモリなどを使用できる。磁気ディスクには、フレキシブルディスク(FD:Flexible Disk)やHDDが含まれる。光ディスクには、CD(Compact Disc)やDVD(Digital Versatile Disc)が含まれる。
媒体リーダ106は、例えば、記録媒体43から読み取ったプログラムやデータを、RAM102やHDD103などの他の記録媒体にコピーする。読み取られたプログラムは、例えば、CPU101によって実行される。なお、記録媒体43は可搬型記録媒体であってもよく、プログラムやデータの配布に用いられることがある。また、記録媒体43やHDD103を、コンピュータ読み取り可能な記録媒体と言うことがある。
通信インタフェース107は、ネットワーク30に接続され、ネットワーク30を介して他のノードと通信を行うインタフェースである。通信インタフェース107は、例えば、スイッチなどの通信装置とケーブルで接続される有線通信インタフェースである。ただし、基地局と無線リンクで接続される無線通信インタフェースでもよい。
図4は、ユーザ端末および管理サーバの機能例を示すブロック図である。
ユーザ端末200は、ポリシー記憶部211、行動ログ記憶部212、メーラー221、Webブラウザ222、メールチェッカー223、Webアクセスチェッカー224および共有情報提供部225を有する。ポリシー記憶部211および行動ログ記憶部212は、例えば、RAMまたはHDDに確保した記憶領域を用いて実装される。メーラー221、Webブラウザ222、メールチェッカー223、Webアクセスチェッカー224および共有情報提供部225は、例えば、プログラムを用いて実装される。ユーザ端末200a,200bも、ユーザ端末200と同様のブロック構成を有する。
ポリシー記憶部211は、管理サーバ100から受信したポリシーデータを記憶する。ポリシー記憶部211が記憶するポリシーデータには、組織外から受信した電子メールをフィルタリングするためのポリシーデータと、組織外のWebサイトへのアクセスをフィルタリングするためのポリシーデータとが含まれる。前者のポリシーデータには、不正な電子メールの特徴を示すルールが記載されている。後者のポリシーデータには、不正なWebサイトのWebサイトアドレスの特徴を示すルールが記載されている。
行動ログ記憶部212は、ユーザ端末200が行った通信の履歴を示す行動ログを記憶する。行動ログ記憶部212が記憶する行動ログには、電子メールの送信履歴を示す送信ログと、電子メールの受信履歴を示す受信ログが含まれる。また、行動ログには、Webサイトのアクセス履歴を示すWebログが含まれる。
メーラー221は、ユーザの操作に応じて電子メールの送信、電子メールの受信、受信した電子メールの保存や表示などのメール処理を行うアプリケーションソフトウェアである。メーラー221は、組織内または組織外のメールサーバに対して電子メールを送信する。また、メーラー221は、組織内または組織外のメールサーバにアクセスし、当該メールサーバに保存されている自ユーザ宛ての電子メールを受信する。
Webブラウザ222は、ユーザの操作に応じてWebページを表示するアプリケーションソフトウェアである。Webブラウザ222は、組織外のWebサーバに対してULRなどのWebサイトアドレスを指定したリクエストを送信し、HTML(HyperText Markup Language)文書などのデータをWebサーバから受信する。Webブラウザ222は、受信したデータに基づいてWebページを描画して表示する。
メールチェッカー223は、メーラー221が電子メールを受信したとき、ポリシー記憶部211に記憶されているポリシーデータに基づいて、受信した電子メールが標的型メール攻撃を目的とする不正な電子メールであるか判定する。不正な電子メールであると判定した場合、メールチェッカー223は、ポリシーデータが指定する方法によって当該電子メールの閲覧を制限する。例えば、メールチェッカー223は、受信された電子メールが不正な電子メールである可能性がある旨の警告メッセージを表示する。また、例えば、メールチェッカー223は、当該電子メールを通常の受信フォルダではなく迷惑メール用の受信フォルダに隔離し、当該電子メールの閲覧を禁止する。また、例えば、メールチェッカー223は、当該電子メールの添付ファイルの開封を禁止する。
また、メールチェッカー223は、ある電子メールを標的型メール攻撃であるとユーザが判断したとき、当該ユーザから通報の指示を受け付けることがある。通報する電子メールは、メールチェッカー223が標的型メール攻撃の可能性があると判定した電子メールであることもあるし、そのように判定しなかった電子メールであることもある。メールチェッカー223は、指定された電子メールを共有情報提供部225に提供する。ここで、メールチェッカー223は、電子メールとポリシーデータに含まれるルールとを照合するとき、ルールの適合度を示すチェッカー精度を算出する。メールチェッカー223は、通報する電子メールと合わせてチェッカー精度を共有情報提供部225に提供する。
また、メールチェッカー223は、メーラー221による電子メールの送信を監視し、電子メールの送信履歴を示す送信ログを行動ログ記憶部212に保存する。また、メールチェッカー223は、メーラー221による電子メールの受信を監視し、電子メールの受信履歴を示す受信ログを行動ログ記憶部212に保存する。
Webアクセスチェッカー224は、Webブラウザ222が組織外のWebサイトにアクセスしようとしたとき、ポリシー記憶部211に記憶されているポリシーデータに基づいて、アクセス先が不正なWebサイトであるか判定する。不正なWebサイトであると判定した場合、Webアクセスチェッカー224は、ポリシーデータが指定する方法によって当該Webサイトへのアクセスを制限する。例えば、Webアクセスチェッカー224は、アクセス先のWebサイトが不正である旨の警告メッセージを表示する。また、例えば、Webアクセスチェッカー224は、Webブラウザ222が生成したリクエストを破棄することで当該Webサイトへのアクセスを禁止する。また、Webアクセスチェッカー224は、Webブラウザ222によるWebサイトへのアクセスを監視し、Webサイトのアクセス履歴を示すWebログを行動ログ記憶部212に保存する。
共有情報提供部225は、ユーザ端末200が有する情報のうち組織内で共有することが好ましい情報を管理サーバ100に送信する。共有情報提供部225は、メールチェッカー223から取得した電子メール、すなわち、ユーザが標的型メール攻撃であると判断し通報するよう指示した電子メールを、検体メールとして管理サーバ100に提供する。このとき、共有情報提供部225は、検体メールと共にそのチェッカー精度も通知する。また、共有情報提供部225は、行動ログ記憶部212に蓄積された行動ログを管理サーバ100に提供する。蓄積された行動ログは、定期的に管理サーバ100に送信してもよいし、検体メールと合わせて管理サーバ100に送信してもよい。
管理サーバ100は、行動ログ記憶部111、通報履歴記憶部112、設定情報記憶部113、共有情報収集部121、不審メール抽出部122、ポリシー生成部123およびポリシー配信部124を有する。行動ログ記憶部111、通報履歴記憶部112および設定情報記憶部113は、例えば、RAM102またはHDD103に確保した記憶領域を用いて実装される。共有情報収集部121、不審メール抽出部122、ポリシー生成部123およびポリシー配信部124は、例えば、プログラムを用いて実装される。
行動ログ記憶部111は、ユーザ端末200,200a,200bから収集した行動ログを記憶する。行動ログ記憶部111が記憶する行動ログには、電子メールの送信履歴を示す送信ログと、電子メールの受信履歴を示す受信ログが含まれる。また、行動ログには、Webサイトのアクセス履歴を示すWebログが含まれる。
通報履歴記憶部112は、ユーザ端末200,200a,200bのユーザが過去に標的型メール攻撃を通報した履歴を記憶する。通報履歴記憶部112に記憶される通報履歴には、ユーザ毎に当該ユーザが提供した検体メールの数が含まれる。また、通報履歴には、ユーザ毎に当該ユーザが提供した検体メールのうち、実際に標的型メール攻撃である可能性が高くポリシーデータ生成に利用された不審メールの数が含まれる。提供された検体メールの中から不審メールを抽出することは、不審メール抽出部122で行われる。
設定情報記憶部113は、不審メールからポリシーデータを生成するときに参照される設定情報を記憶する。設定情報には、受信した電子メールの閲覧を制限する方法、Webサイトへのアクセスを制限する方法、ポリシーデータの有効期間、ポリシーデータの配信を開始する条件、ポリシーデータの配信先を選択する方法などを決める手順を示す情報が含まれる。また、設定情報には、上記を決定するために使用される指標値を算出する方法や、指標値の算出に用いられるパラメータを示す情報が含まれる。これらの設定情報は、例えば、管理者によって作成されて予め設定情報記憶部113に格納される。
共有情報収集部121は、ユーザ端末200,200a,200bから行動ログを受信し、受信した行動ログを行動ログ記憶部111に格納する。また、共有情報収集部121は、ユーザ端末200,200a,200bから検体メールを受信する。
不審メール抽出部122は、共有情報収集部121が収集した検体メールの中から、ポリシーデータの生成に利用する不審メールを抽出する。このとき、不審メール抽出部122は、同一または類似の不審メールを不審メール群としてまとめて抽出するようにする。不審メールは、例えば、管理者によって検体メールの中から選択される。管理者は、収集された検体メールそれぞれを確認して標的型メール攻撃である可能性が高いか判断する。また、管理者は、標的型メール攻撃である可能性が高いと判断した検体メール相互の類似性から、検体メールのグループを判断する。不審メール抽出部122は、管理者が操作する管理者端末200cからの指示に応じて不審メール群を抽出する。
また、不審メール抽出部122は、共有情報収集部121が収集した検体メールについての通報履歴を通報履歴記憶部112に格納する。不審メール抽出部122は、検体メール毎に当該検体メールを提供したユーザの通報メール数を1つ加算する。また、不審メール抽出部122は、不審メールとして抽出した検体メール毎に当該検体メールを提供したユーザの不審メール数を1つ加算する。
ポリシー生成部123は、設定情報記憶部113に記憶された設定情報を参照して、不審メール抽出部122が抽出した不審メールからポリシーデータを生成すると共に、生成したポリシーデータの配信先を決定する。このとき、ポリシー生成部123は、不審メールに記載された組織外のドメインを制限対象ドメインとして抽出し、制限対象ドメインとの通信を制限することを示すポリシーデータを生成することがある。
その場合、ポリシー生成部123は、制限対象ドメインについて、通信を制限することによる業務への影響を示す影響度と、制限対象ドメインが標的型メール攻撃に関するドメインであることの信頼性を示す確度とを算出する。ポリシー生成部123は、行動ログ記憶部111に記憶された行動ログに基づいて影響度を算出する。また、ポリシー生成部123は、不審メールとして抽出した検体メールと合わせて提供されたチェッカー精度および通報履歴記憶部112に記憶された通報履歴に基づいて、確度を算出する。ポリシー生成部123は、算出した影響度と確度の組み合わせに基づいて、ポリシーデータの有効期間の長さやポリシーデータの配信先の広さを自動的に調整する。
ポリシー配信部124は、ポリシー生成部123が生成したポリシーデータを、ポリシー生成部123が決定した配信先のユーザ端末に対して送信する。ポリシーデータの配信先は、組織内で使用されている全てのユーザ端末になることもあるし、特定の部署で使用されているユーザ端末に限定されることもあるし、特定のユーザが使用するユーザ端末に限定されることもある。ユーザ端末200が配信先に含まれている場合、ポリシーデータがユーザ端末200に送信されてポリシー記憶部211に格納される。
図5は、ログテーブルの例を示す図である。
行動ログ記憶部111は、Webログテーブル114を記憶する。Webログテーブル114は、ユーザ端末200,200a,200bから組織外のWebサイトへのアクセスの履歴を示す。Webログテーブル114は、時刻、宛先ドメイン、閲覧時間、閲覧ページ数およびアクセス後行動の項目を有する。
時刻の項目には、Webサイトへのアクセスを開始した時刻、すなわち、ある宛先ドメインを指定した最初のリクエストを送信した時刻が登録される。宛先ドメインの項目には、アクセス先のWebサイトのWebサイトアドレスに含まれるドメインが登録される。宛先ドメインは、URLに含まれるドメイン名でもよいし、Webサイトに対応するWebサーバのIP(Internet Protocol)アドレスでもよい。
閲覧時間の項目には、Webブラウザ222が当該WebサイトのWebページを表示していた時間(秒数)が登録される。同じ宛先ドメインに属する複数のWebページが連続して表示された場合には、それら複数のWebページの表示時間が合計される。閲覧ページ数の項目には、Webブラウザ222が連続して表示した当該WebサイトのWebページの数が登録される。宛先ドメインが同じである限り、表示されるWebページが切り替わる毎に閲覧ページ数が1ずつ増加する。
アクセス後行動の項目には、Webブラウザ222が最初のリクエストを送信した後にユーザが行った行動の種類が登録される。アクセス後行動の種類には、「キャンセル」、「参照」、「リンク」および「ダウンロード」が含まれる。キャンセルは、最初のリクエストを送信した後すぐに(所定秒数以下で)Webページの表示を取りやめたことを表す。キャンセルは、アクセス先のWebサイトをすぐに変更した場合や、Webブラウザ222をすぐに閉じた場合に発生する。参照は、当該宛先ドメインについて1つのWebページのみを所定秒数より長く表示したことを表す。リンクは、ハイパーリンクを辿ることで宛先ドメインに属する複数のWebページを表示したことを表す。ダウンロードは、表示用データ以外のファイルをダウンロードしたことを表す。
また、行動ログ記憶部111は、送信ログテーブル115を記憶する。送信ログテーブル115は、ユーザ端末200,200a,200bから組織の外部への電子メールの送信の履歴を示す。送信ログテーブル115は、時刻および宛先ドメインの項目を有する。時刻の項目には、電子メールを送信した時刻が登録される。宛先ドメインの項目には、宛先メールアドレスに含まれるドメインが登録される。
また、行動ログ記憶部111は、受信ログテーブル116を記憶する。受信ログテーブル116は、ユーザ端末200,200a,200bによる組織の外部からの電子メールの受信の履歴を示す。受信ログテーブル116は、時刻、送信元ドメインおよびテキストの項目を有する。時刻の項目には、電子メールを受信した時刻が登録される。送信元ドメインの項目には、送信元アドレスに含まれるドメインが登録される。送信元アドレスは、送信元メールアドレスでもよいし送信に使用されたメールサーバのアドレスでもよい。メールサーバのドメインとしてはメールサーバのIPアドレスを用いてもよい。テキストの項目には、電子メールの本文に記載されているテキストが登録される。電子メールの本文からは、電子メールのヘッダおよび添付ファイルを除いてよい。
なお、Webログテーブル114は直近の所定期間(例えば、直近1ヶ月間)のアクセス履歴を保持すればよく、それより古いアクセス履歴はWebログテーブル114から削除してもよい。同様に、送信ログテーブル115は直近所定期間の送信履歴を保持すればよく、それより古い送信履歴は送信ログテーブル115から削除してもよい。また、受信ログテーブル116は直近所定期間の受信履歴を保持すればよく、それより古い受信履歴は受信ログテーブル116から削除してもよい。
図6は、通報履歴テーブルの例を示す図である。
通報履歴記憶部112は、通報履歴テーブル117を有する。通報履歴テーブル117は、ユーザ毎の検体メールの提供状況を示す。通報履歴テーブル117は、ユーザID、通報メール数および不審メール数の項目を有する。
ユーザIDの項目には、組織に属するユーザに割り当てられた識別子が登録される。通報メール数の項目には、あるユーザが管理サーバ100に対して提供した検体メールの数が登録される。不審メール数の項目には、あるユーザが提供した検体メールのうち、標的型メール攻撃の可能性が高い不審メールと判断された数が登録される。不審メール数を通報メール数で割った割合は、ユーザの通報が正しかった割合を表している。
ここで、影響度および確度を算出する方法の例を説明する。
影響度は、例えば、次のように算出することができる。影響度=α1×Webアクセス値+α2×送信メール値+α3×受信メール値+α4×コンテンツ値。ここでα1,α2,α3,α4は重みを表すパラメータである。
Webアクセス値は、制限対象ドメインをアクセス先とする直近所定期間(例えば、1ヶ月間)のアクセス履歴から算出される。まず、アクセス回数×平均閲覧時間×平均閲覧ページ数が算出される。アクセス回数は、Webログテーブル114に記録されたレコードのうち制限対象ドメインを宛先ドメインに含むレコードの数である。平均閲覧時間は、該当するレコードに含まれる閲覧時間の平均である。平均閲覧ページ数は、該当するレコードに含まれる閲覧ページ数の平均である。そして、この値がWebアクセス閾値Th1より大きい場合にWebアクセス値=1と算出され、この値がWebアクセス閾値Th1以下である場合にWebアクセス値=0と算出される。
ただし、制限対象ドメインを宛先ドメインに含み、かつ、アクセス後行動が「ダウンロード」、「リンク」または「参照」であるレコードが存在する場合、上記のWebアクセス値に所定値が加算される。アクセス後行動が「ダウンロード」であるレコードが存在する場合、β1がWebアクセス値に加算される。アクセス後行動が「リンク」であるレコードが存在する場合、β2がWebアクセス値に加算される。アクセス後行動が「参照」であるレコードが存在する場合、β3がWebアクセス値に加算される。通常、「ダウンロード」は「リンク」より業務上の重要性が高いため、β1はβ2以上である。また、「リンク」は「参照」より業務上の重要性が高いため、β2はβ3以上である。
送信メール値は、制限対象ドメインを宛先アドレスに含む直近所定期間(例えば、1ヶ月間)の電子メールの送信履歴から算出される。まず、制限対象ドメインを宛先ドメインに含む電子メールの送信回数が算出される。そして、この送信回数が送信メール閾値Th2より大きい場合に送信メール値=1と算出され、この送信回数が送信メール閾値Th2以下である場合に送信メール値=0と算出される。
受信メール値は、制限対象ドメインを送信元アドレスに含む直近所定期間(例えば、1ヶ月間)の電子メールの受信履歴から算出される。まず、制限対象ドメインを送信元ドメインに含む電子メールの受信回数が算出される。そして、この受信回数が受信メール閾値Th3より大きい場合に受信メール値=1と算出され、この受信回数が受信メール閾値Th3以下である場合に受信メール値=0と算出される。
コンテンツ値は、直近所定期間(例えば、1ヶ月間)の電子メールの受信履歴から算出される。まず、不審メールから本文のテキスト(タイトルを含んでもよい)が抽出され、受信ログテーブル116に記録されたテキストそれぞれとの間で類似度が算出される。テキスト同士の類似度を算出する方法として、n−gram距離やレーベンシュタイン距離(編集距離)などを用いることができる。類似度が所定の閾値より高い(距離が閾値より小さい)受信メールが特定され、該当する受信メールの数が算出される。そして、この受信メール数がコンテンツ閾値Th4より大きい場合にコンテンツ値=1と算出され、この受信メール数がコンテンツ閾値Th4以下である場合にコンテンツ値=0と算出される。
確度は、例えば、次のように算出することができる。確度=α5×チェッカー精度+α6×通報信頼度。ここでα5,α6は重みを表すパラメータである。
チェッカー精度は、受信した電子メールが標的型メール攻撃の電子メールであるか否か判定するときにユーザ端末200,200a,200bが算出した値であり、ポリシーデータに含まれるルールとの適合度を表す。同一または類似の2以上の不審メールが存在する場合、それら2以上の不審メールに対するチェッカー精度の平均が算出される。
ここで、ポリシーデータに含まれるルールは、標的型メール攻撃を目的とした電子メールが有する様々な特徴を規定している。ルールに規定される特徴の例として、送信元メールサーバのIPアドレス、送信元メールサーバのドメイン、送信時刻、送信時刻のタイムゾーン、送信日の曜日、送信メーラー、タイトルに含まれる文字列、宛先メールアドレスの組み合わせなどが挙げられる。チェッカー精度は、例えば、ルールに規定された複数の特徴のうち受信された電子メールがもつ特徴の割合とする。この場合、ルールに8個の特徴が列挙されており、受信された電子メールがそのうち5個の特徴を有しているとすると、チェッカー精度は62.5%と算出される。チェッカー精度が閾値より大きい電子メールは、警告表示や開封禁止などのフィルタリングの対象となる。ただし、チェッカー精度の算出にあたっては、複数の特徴を重み付けしてもよい。
通報信頼度は、通報履歴テーブル117に記憶された通報履歴に基づいて算出される。まず、不審メールを提供したユーザのユーザIDが特定され、そのユーザIDに対応する通報メール数および不審メール数が通報履歴テーブル117から検索される。そして、通報メール数に対する不審メール数の割合が通報信頼度となる(通報信頼度=不審メール数/通報メール数)。同一または類似の2以上の不審メールが存在する場合、それら2以上の不審メールに対応する2以上のユーザの通報信頼度が合計される。
なお、α1,α2,α3,α4の一部を0に設定することで、影響度の算出にWebアクセス値、送信メール値、受信メール値およびコンテンツ値の一部を使用しないようにすることができる。例えば、α4=0とすれば、影響度の算出にテキストの類似度を考慮しないようにすることができる。また、α5,α6の何れか一方を0に設定することで、確度の算出にチェッカー精度と通報信頼度の何れか一方を使用しないようにすることができる。例えば、α5=0とすれば、確度を通報信頼度のみから算出することができ、α6=0とすれば、確度をチェッカー精度のみから算出することができる。
図7は、パラメータテーブルの例を示す図である。
設定情報記憶部113は、パラメータテーブル118を記憶する。パラメータテーブル118は、影響度の算出に用いられるパラメータと確度の算出に用いられるパラメータとを記憶する。影響度の算出に用いられるパラメータには、Webアクセス閾値Th1、送信メール閾値Th2、受信メール閾値Th3およびコンテンツ閾値Th4が含まれる。また、影響度の算出に用いられるパラメータには、ダウンロード加算値β1、リンク加算値β2および参照加算値β3が含まれる。また、影響度の算出に用いられるパラメータには、Webアクセス重みα1、送信メール重みα2、受信メール重みα3およびコンテンツ重みα4が含まれる。確度の算出に用いられるパラメータには、チェッカー精度重みα5および通報信頼度重みα6が含まれる。
図8は、ポリシー判定テーブルの例を示す図である。
設定情報記憶部113は、ポリシー判定テーブル119を記憶する。ポリシー判定テーブル119は、影響度および確度とポリシーデータの設定とを対応付ける。ポリシー判定テーブル119は、影響度、確度、配信条件、処理、期間および配信先の項目を有する。
影響度の項目には、影響度が大きいか小さいかを示すフラグが登録される。上記のような方法で算出した影響度と所定の閾値とが比較され、影響度が閾値より大きい場合に影響度「大」と判定され、影響度が閾値以下である場合に影響度「小」と判定される。確度の項目には、確度が高いか低いかを示すフラグが登録される。上記のような方法で算出した確度と所定の閾値とが比較され、確度が閾値より大きい場合に確度「高」と判定され、確度が閾値以下である場合に確度「小」と判定される。
配信条件の項目には、ポリシーデータを組織内のユーザ端末に配信する条件が登録される。例えば、提供された同一または類似の検体メールの数が一定数以上であることが配信条件とされる。配信条件を満たさない場合(例えば、検体メール数が少ない場合)、検体メールから抽出された制限対象アドレスを用いたポリシーデータは配信されない。
処理の項目には、ポリシーデータに抵触する通信の処理方法が登録される。処理方法には「警告」と「禁止」が含まれる。処理方法が「警告」である場合、例えば、ポリシーデータに抵触する電子メールが受信されたときや当該電子メールを開封しようとするときに警告メッセージが表示される。また、例えば、ポリシーデータに抵触するWebサイトへのアクセスが発生したときに警告メッセージが表示される。処理方法が「禁止」である場合、例えば、ポリシーデータに抵触する電子メールが受信されたときに当該電子メールが迷惑メール用フォルダに強制的に隔離されて開封が禁止される。また、例えば、ポリシーデータに抵触するWebサイトへのアクセスが強制的に遮断される。
期間の項目には、ポリシーデータが有効である期間が登録される。配信日から当該期間以上経過したポリシーデータは無効となり、当該ポリシーデータに基づくフィルタリングは行われなくなる。配信先の項目には、ポリシーデータを配信する宛先の範囲が登録される。配信先としては、例えば、組織内の全ユーザ端末(全体)、組織内の特定の部署のユーザ端末(部署限定)、検体メールを提供したユーザと業務上の関係が強いユーザのユーザ端末(関係者)などが挙げられる。特定の部署は、組織の外部との通信の必要性に応じて予め管理者が決めておく。例えば、情報システム部はポリシーデータの配信先に含め、外部との通信が多い営業部などは配信先から除外しておく。検体メールを提供したユーザの関係者は、例えば、当該ユーザと同一の部署に属するユーザである。
一例として、影響度が大きく確度が高い場合、配信条件を検体メール2つ以上とし、処理方法を警告とし、有効期間を2週間とし、配信先を部署限定とする。影響度が大きく確度が低い場合、配信条件を検体メール1つ以上とし、処理方法を警告とし、有効期間を1週間とし、配信先を部署限定とする。影響度が小さく確度が高い場合、配信条件を検体メール3つ以上とし、処理方法を禁止とし、有効期間を6ヶ月とし、配信先を全体とする。影響度が小さく確度が低い場合、配信条件を検体メール2つ以上とし、処理方法を禁止とし、有効期間を1ヶ月とし、配信先を関係者とする。
影響度が大きい(閾値を超えている)場合、影響度が小さい(閾値以下である)場合よりも有効期間が短いことが好ましい。また、影響度が大きい場合、影響度が小さい場合よりも配信先の範囲が狭いことが好ましい。確度が高い(閾値を超えている)場合、確度が低い(閾値以下である)場合よりも有効期間が長いことが好ましい。また、確度が高い場合、確度が低い場合よりも配信先の範囲が広いことが好ましい。
図9は、ポリシーデータの例を示す図である。
ポリシー記憶部211は、ポリシーデータ213を記憶する。ポリシーデータ213は、管理サーバ100によって生成されユーザ端末200に配信されたものである。ポリシーデータ213には、配信時刻、有効期限、ルールおよび処理方法が含まれる。配信時刻は、ポリシーデータ213が配信された時刻である。有効期限は、ポリシーデータ213の有効期間の末尾を示す時刻である。ルールは、フィルタリングする電子メールの特徴またはフィルタリングするWebアクセスの特徴を示すブラックリストである。ルールには、電子メールの特徴として送信元ドメインが含まれることがある。また、ルールには、Webアクセスの特徴として宛先ドメインが含まれることがある。処理方法は、ルールに適合する電子メールまたはWebアクセスのフィルタリング方法である。
次に、管理サーバ100の処理手順の例を説明する。
図10は、ポリシー生成の手順例を示すフローチャートである。
(S10)不審メール抽出部122は、ユーザ端末200,200a,200bから収集した検体メールの中から、標的型メール攻撃である可能性が高く互いの内容が同一または類似している不審メール群を抽出する。不審メール抽出部122は、例えば、管理者端末200cからの指示に応じて不審メール群を選択する。ただし、不審メール抽出部122は、所定の判定ルールに基づいて、各検体メールについて標的型メール攻撃である可能性を自動的に判定してもよい。また、不審メール抽出部122は、不審メール間でテキストを比較することで内容の同一性を自動的に判定してもよい。
(S11)不審メール抽出部122は、通報履歴記憶部112に記憶された通報履歴テーブル117を更新する。すなわち、不審メール抽出部122は、検体メールそれぞれについて当該検体メールを提供したユーザに対応する通報メール数を1つ加算する。また、不審メール抽出部122は、検体メールの中から抽出した不審メールそれぞれについて当該不審メールを提供したユーザに対応する不審メール数を1つ加算する。
(S12)ポリシー生成部123は、ステップS10で抽出された不審メール群から、それら不審メール群に共通に含まれている組織外のドメインを制限対象ドメインとして抽出する。制限対象ドメインは、例えば、不審メールのヘッダ部に記載された送信元メールアドレスまたは送信元メールサーバアドレスに含まれる。また、制限対象ドメインは、例えば、不審メールの本文(ボディ部)に記載されたURLに含まれる。
(S13)ポリシー生成部123は、ステップS12で抽出した制限対象ドメインに関する直近の所定期間内の行動ログを行動ログ記憶部111から検索する。ポリシー生成部123は、Webログテーブル114から、制限対象ドメインを宛先ドメインとするWebログを検索する。また、ポリシー生成部123は、送信ログテーブル115から、制限対象ドメインを宛先ドメインとする送信ログを検索する。また、ポリシー生成部123は、受信ログテーブル116から、制限対象ドメインを送信元ドメインとする受信ログを検索する。また、ポリシー生成部123は、不審メールから本文のテキストを抽出し、受信ログテーブル116からテキストが類似する受信ログを検索する。
(S14)ポリシー生成部123は、ステップS13で検索した行動ログを用いて影響度を算出する。ポリシー生成部123は、検索されたWebログの数(レコード数)と閲覧時間の平均と閲覧ページ数の平均からWebアクセス値を算出する。このとき、ポリシー生成部123は、アクセス後行動に応じてダウンロード加算値、リンク加算値または参照加算値をWebアクセス値に加える。また、ポリシー生成部123は、検索された送信ログの数(レコード数)から送信メール値を算出する。また、ポリシー生成部123は、検索された受信ログの数(レコード数)から受信メール値およびコンテンツ値を算出する。ポリシー生成部123は、Webアクセス値と送信メール値と受信メール値とコンテンツ値の重み付き和によって影響度を算出する。
(S15)ポリシー生成部123は、通報履歴記憶部112に記憶された通報履歴テーブル117から、検体メールを提供したユーザに対応する通報履歴を検索する。通報履歴は、通報メール数と不審メール数とを含む。ステップS10で2以上の不審メールが抽出された場合、ポリシー生成部123は、2以上のユーザそれぞれの通報履歴を検索する。
(S16)ポリシー生成部123は、ステップS15で検索した通報履歴に基づいて通報信頼度を算出する。通報信頼度は、通報メール数に対する不審メール数の割合とする。ステップS10で2以上の不審メールが抽出された場合、2以上のユーザの通報信頼度が合計される。また、ポリシー生成部123は、不審メールと合わせて提供されたチェッカー精度を取得する。ステップS10で2以上の不審メールが抽出された場合、2以上の不審メールに対するチェッカー精度の平均が算出される。そして、ポリシー生成部123は、チェッカー精度と通報信頼度の重み付き和によって確度を算出する。
(S17)ポリシー生成部123は、設定情報記憶部113に記憶されたポリシー判定テーブル119を参照して、ステップS14,S16で算出した影響度と確度の組から、配信条件、処理方法、有効期間および配信先を決定する。
(S18)ポリシー生成部123は、ステップS10で抽出された不審メールの数が、ステップS17で決定した配信条件を満たすか判断する。配信条件を満たす場合はステップS19に処理が進み、配信条件を満たさない場合は処理が終了する。
(S19)ポリシー生成部123は、ステップS10で抽出された不審メール群に基づいて、不審メール群に共通の特徴を示すルールを生成する。ルールには、ステップS12で抽出された制限対象ドメインが含まれ得る。そして、ポリシー生成部123は、生成したルール、ステップS17で決定した処理方法、および、ステップS17で決定した有効期間に応じた有効期限を含むポリシーデータを生成する。
(S20)ポリシー配信部124は、ステップS19で生成したポリシーデータを、ステップS17で決定した配信先に対して配信する。
なお、上記では管理サーバ100が影響度および確度を算出したが、検体メールの提供時にユーザ端末200,200a,200bが影響度および確度の少なくとも一方を算出するようにしてもよい。例えば、ユーザ端末200が、検体メールを提供するとき、ユーザ端末200に記憶された行動ログに基づいて影響度を算出することが考えられる。また、行動ログを複数の時間帯に分類して時間帯毎の影響度を算出するようにしてもよい。その場合、時間帯によって処理方法や有効期間を変えることができる。また、行動ログを複数の部署に分類して部署毎の影響度を算出するようにしてもよい。その場合、部署によって処理方法や有効期間を変えることができる。
第2の実施の形態の情報処理システムによれば、検体メールに記載された通信相手ドメインを制限対象ドメインとする場合、制限対象ドメインに関する通信履歴から影響度が算出される。また、メールチェッカーにより算出されたチェッカー精度やユーザの通報履歴から確度が算出される。そして、影響度と確度の組に応じて、ポリシーデータの有効期間や配信先範囲が調整される。例えば、影響度が大きいほど有効期間や配信先範囲が限定され、影響度が小さいほど有効期間や配信先範囲が拡大する。また、例えば、確度が高いほど有効期間や配信先範囲が拡大し、確度が低いほど有効期間や配信先範囲が限定される。
これにより、ポリシーデータを追加することによる過剰防衛を抑制し、正当な業務が阻害されるという影響を低減することができる。例えば、ユーザが正当な電子メールを誤って検体メールとして提供した場合であっても、業務への影響を限定することができる。また、攻撃者が使用するアドレスと類似するアドレスが正当な業務において使用されている場合であっても、業務への影響を限定することができる。また、検体メールが標的型メール攻撃を目的とする電子メールである場合には、同一または類似の検体メールが引き続き提供される可能性が高く、ポリシーデータの継続的な更新によって標的型メール攻撃に対するセキュリティを確保することができると期待される。