JP7052370B2 - 評価プログラム、評価方法及び情報処理装置 - Google Patents
評価プログラム、評価方法及び情報処理装置 Download PDFInfo
- Publication number
- JP7052370B2 JP7052370B2 JP2018007702A JP2018007702A JP7052370B2 JP 7052370 B2 JP7052370 B2 JP 7052370B2 JP 2018007702 A JP2018007702 A JP 2018007702A JP 2018007702 A JP2018007702 A JP 2018007702A JP 7052370 B2 JP7052370 B2 JP 7052370B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- user
- take
- log
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、評価プログラム、評価方法及び情報処理装置に関する。
情報漏えい対策として、組織等に所属するエンドユーザによって利用されるコンピュータの操作ログが記録される。このように操作ログを採取することによって、コンピュータの監視、情報漏えいが起こった場合の検証、情報漏えいのリスクを管理するための分析などが可能になる。例えば、コンピュータ上でファイルの持ち出し操作を行ったユーザにより行われた操作を操作ログから検索し、ファイルの持ち出し操作を行ったユーザの操作全体に基づいて持ち出し操作の危険度が評価される。
しかしながら、上記の技術では、持ち出し操作の危険度の評価精度を高めることができない。
すなわち、上記の技術は、あくまでファイルの持ち出し操作を行ったユーザを軸に操作ログを分析するものに過ぎない。このため、組織内部のコンピュータから外部へ持ち出されたファイルに変名等の偽装が行われていた場合、当該ファイルが秘密情報に対応する重要度が高いものであるのかそうでないのかを識別できない。それ故、企業等の組織にとって重要度が高いファイルの持ち出し操作とそうでない持ち出し操作との間で評価を変えることが困難である。したがって、上記の技術では、持ち出し操作の危険度の評価精度を高めることができない場合がある。
1つの側面では、本発明は、持ち出し操作の危険度の評価精度を高めることができる評価プログラム、評価方法及び情報処理装置を提供することを目的とする。
一態様では、評価プログラムは、ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の操作元を記憶する記憶部を参照して、前記ファイルに対する過去の操作の操作元のうち、検出した前記持ち出し操作の操作元以外の操作元を特定し、特定した前記操作元の属性に基づき、前記ファイルに関する評価を行う、処理をコンピュータに実行させる。
持ち出し操作の危険度の評価精度を高めることができる。
以下に添付図面を参照して本願に係る評価プログラム、評価方法及び情報処理装置について説明する。なお、この実施例は開示の技術を限定するものではない。そして、各実施例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。
[システム構成]
図1は、実施例1に係るログ分析システムの構成例を示す図である。図1に示すログ分析システム1は、クライアント端末30A~30C上で動作するログ収集用のソフトウェア3A~3Cを介して収集される操作ログを分析するログ分析サービスを提供するものである。
図1は、実施例1に係るログ分析システムの構成例を示す図である。図1に示すログ分析システム1は、クライアント端末30A~30C上で動作するログ収集用のソフトウェア3A~3Cを介して収集される操作ログを分析するログ分析サービスを提供するものである。
以下では、ユースケースのあくまで一例として、ログ分析装置10を運営するサービス提供者が管理対象システム5を運営するサービス加入者に上記のログ分析サービスをアウトソーシングにより提供する例を説明するが、ユースケースはこれに限定されない。例えば、上記のログ分析サービスに対応する機能を実現するログ分析プログラムを提供することにより、操作ログの収集から分析までの一連の機能がサービス加入者側の管理対象システム5でオンプレミスに実現されることとしてもかまわない。
図1に示すように、ログ分析システム1には、ログ分析装置10と、企業システム等の管理対象システム5とが含まれる。さらに、管理対象システム5には、複数のクライアント端末30A~30Cと、管理サーバ50と、管理コンソール70とが含まれる。なお、図1には、管理対象システム5が収容するコンピュータの一例として、クライアント端末30を例示したが、これに限定されない。例えば、企業等の組織が有する情報システムに含まれる他のコンピュータ、例えばファイルサーバやメールサーバ、ファイヤウォール、ロードバランサなどが管理対象システム5に含まれることを妨げない。
以下では、クライアント端末30A~30Cの各装置および各装置上でそれぞれ動作するログ収集用のソフトウェア3A~3Cを総称する場合、各々を「クライアント端末30」および「ログ収集用ソフトウェア3」と記載する場合がある。
これらクライアント端末30、管理サーバ50及び管理コンソール70の間は、有線または無線を問わず、LAN(Local Area Network)やVLAN(Virtual LAN)などの構内通信網等を介して接続することができる。また、ログ分析装置10および管理サーバ50の間も、有線または無線を問わず、任意のネットワークNWを介して接続することができる。このようなネットワークNWの例として、3G(Generation)、LTE(Long Term Evolution)、4Gや5Gなどに対応するモバイルネットワークの他、LANなどの構内通信網、インターネットなどが挙げられる。
クライアント端末30は、組織等に所属するエンドユーザによって利用されるコンピュータである。例えば、クライアント端末30には、パーソナルコンピュータなどのデスクトップ型のコンピュータなどが対応する。このようなデスクトップ型のコンピュータに限定されず、ラックトップ型のコンピュータや携帯端末装置、ウェアラブル端末などの任意のコンピュータであってかまわない。
例えば、クライアント端末30のプロセッサ上では、クライアント端末30で行われる各種の操作ログを収集するログ収集用ソフトウェア3が動作する。このログ収集用ソフトウェア3は、クライアント端末30上でOS(Operating System)の起動とともに自動的に起動される。例えば、操作ログの例として、参照や作成、更新、削除、複写、移動、変名などの各種のファイル操作を始め、クライアント端末30のログオンログオフのログやメール送信のログ、WEBアクセスのログを採取する。このようにクライアント端末30から採取された操作ログは、管理サーバ50により収集された上で保存される。例えば、操作ログには、操作が行われた時間、操作を行うユーザの識別情報、操作の内容の種別および操作が行われたファイル名などの項目を含めることができる。
管理サーバ50は、管理対象システム5に収容されるクライアント端末30などを管理するサーバ装置である。
一つの側面として、管理サーバ50は、各クライアント端末30から収集される操作ログを管理する機能を有する。例えば、管理サーバ50は、管理対象システム5に収容されるクライアント端末30にログ収集用ソフトウェア3をダウンロードさせた後にインストールさせる。これによって、各クライアント端末30上でログ収集用ソフトウェア3を動作させる。このログ収集用ソフトウェア3から操作ログを収集する場合、クライアント端末30で操作が行われる度にリアルタイムで実行することとしてもよいし、バッチ処理で実行することとしてもよい。そして、管理サーバ50は、ログ収集用ソフトウェア3から収集される操作ログを記録する。このような操作ログの記録によって、管理サーバ50は、管理コンソール70により指定される条件、例えば曜日や時間帯などの時間、あるいはユーザやファイル、アプリケーション、URL(Uniform Resource Locator)などの項目に関する条件にしたがって、クライアント端末30から収集された操作ログに対する検索を行うことができる。この他、管理サーバ50は、上記のログ分析サービスを通じてログ分析装置10から操作ログの分析結果として提供される分析レポートを管理コンソール70に出力することもできる。
他の側面として、管理サーバ50は、クライアント端末30におけるリムーバブルメディアや印刷出力などの利用権限などの管理を行う機能も有する。例えば、管理サーバ50は、クライアント端末30に適用するポリシーの設定や更新を受け付けることができる。すなわち、管理サーバ50は、クライアント端末30もしくはそのグループの単位で、操作ログの収集の要否やリムーバブルメディアや印刷出力などの利用権限などが定義されたポリシーの設定の登録や更新を管理コンソール70から受け付ける。
管理コンソール70は、管理者権限を有する者によって使用されるコンピュータである。この管理者権限は、管理対象システム5のシステム管理者や企業等の組織における部門の管理者に付与される。このラベルはあくまで機能の一面からの分類であってコンピュータの種類やそのハードウェア構成が特定のものに限定される訳ではなく、上記のクライアント端末30と同様、任意のコンピュータであってかまわない。
ログ分析装置10は、上記のログ分析サービスを提供するコンピュータである。このログ分析装置10は、情報処理装置の一例に対応する。
一実施形態として、ログ分析装置10は、上記のログ分析サービスを提供するコンピュータである。例えば、ログ分析装置10は、パッケージソフトウェア又はオンラインソフトウェアとして、上記のログ分析サービスに対応する機能を実現するログ分析プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、ログ分析装置10は、上記のログ分析サービスを提供するWebサーバとして実装することとしてもよいし、アウトソーシングによって上記のログ分析サービスを提供するクラウドとして実装することとしてもかまわない。
例えば、ログ分析装置10は、上記のログ分析サービスの一環として、ネットワークNWを介して管理サーバ50から収集される管理対象システム5全体の操作ログを用いて、ファイルの持ち出し操作の危険度を評価するログ分析処理を実行してその分析結果を分析レポートとして出力するサービスを提供する。
ここで言う「持ち出し操作」とは、上記のファイル操作の中でも、ファイルを外部へ持ち出す操作全般を指す。例えば、「持ち出し操作」の例として、クライアント端末30のローカルディスク、あるいは管理対象システム5上に存在するファイルサーバ等に保存されたファイルを可搬媒体へ複製する操作、ファイルを印刷する操作、ファイルをメールに添付して送信する操作、ファイルを外部URLのサイトへアップロードする操作などが挙げられる。さらに、可搬媒体の例には、USB(Universal Serial Bus)メモリ、フレキシブルディスク、CD-ROM、DVDディスク、光磁気ディスク、ICカードなどが対応する。
ここで、上記の背景技術の欄でも説明した通り、ファイルの持ち出し操作を行ったユーザを軸に操作ログの分析を実行するのでは、管理対象システム5内部のコンピュータから外部へ持ち出されたファイルに変名等の偽装が行われていた場合、当該ファイルが秘密情報に対応する重要度が高いものであるのかそうでないのかを識別できない。それ故、企業等の組織にとって重要度が高いファイルの持ち出し操作とそうでない持ち出し操作との間で評価を変えることが困難である。このことから、持ち出し操作の危険度の評価精度を高めることができない場合がある。
そこで、本実施例に係るログ分析装置10は、外部への持ち出し操作が行われたファイルに操作を行うユーザのうち持ち出し操作を行うユーザ以外の他のユーザを特定し、他のユーザの属性や他のユーザが行う操作の内容に基づいて持ち出し操作の危険度を評価する。
図2は、操作ログの分析方法の一例を示す模式図である。図2に示す操作ログの分析は、各クライアント端末30の操作ログが収集された管理サーバ50から取得される管理対象システム5全体の操作ログのうちファイルの持ち出し操作が記録された操作ログごとに実行される。以下では、管理対象システム5全体の操作ログのうちファイルの持ち出し操作が記録された操作ログのことを「持出操作ログ」と記載し、持ち出し操作が行われたファイルのことを「持出ファイル」と記載する場合がある。
図2に示すように、ログ分析装置10は、持出操作ログを起点とし、そこから遡って当該ファイルに対する参照、作成、更新、削除、複写、移動、変名などのファイル操作が記録された操作ログをトレースする(ステップS1)。
このようなトレースによって持出操作ログ、すなわち図2に実線の太字で示された部分を含む一連の操作ログ200が得られる。以下では、クライアント端末30を利用するアカウントを有するユーザの中で持ち出し操作を行ったユーザのことを「持出ユーザ」と記載する場合がある。
そして、ログ分析装置10は、一連の操作ログ200のうち持出ユーザが持ち出し操作の事前に行ったファイル操作を記録する操作ログ、すなわち図2に破線の太字で示された部分を抽出する(ステップS2)。その上で、ログ分析装置10は、ステップS2で抽出された持出ユーザの事前行動に関する操作ログごとに、当該操作ログに記録されたファイル操作の内容に応じて加点する(ステップS3)。このように操作の内容に応じて加点する場合、一例として、秘密情報を持ち出す際に行われやすいファイル操作、例えばファイルの変名やファイルの複写などに操作ログが該当するほど高い点数を与える採点が実行される。
その後、ログ分析装置10は、持出ファイルにファイル操作を行うユーザのうち持出ユーザ以外の他のユーザによりファイル操作が行われた操作ログ、すなわち図2に一点鎖線の太字で示された部分を特定する(ステップS4)。その上で、ログ分析装置10は、ステップS4で特定された操作ログごとに他のユーザの属性および他のユーザにより行われたファイル操作の内容に応じて加点する(ステップS5AおよびステップS5B)。このように属性に応じて加点する場合、一例として、秘密情報に触れる機会が多い部門に他のユーザが所属する場合ほど操作ログに高い点数を与え、また、他のユーザの組織における階級が高い場合ほど高い点数を与える採点が実行される。また、操作の内容に応じて加点する場合、一例として、秘密情報を持ち出す際に行われやすいファイル操作、例えばファイルの変名やファイルの複写などが行われる場合ほど高い点数を与える採点が実行される。
このように、持ち出し操作の危険度を評価する基準として、外部への持ち出し操作が行われたファイルに持出ユーザ以外のどのような人物が関わっていたのかという属性、さらには、他のユーザによりどのような操作がファイルに行われていたのかという操作の内容が活用される。これら属性および操作の内容は、持出ユーザ以外の他のユーザにより行われた操作ログに由来するので、持出ユーザが悪意をもってファイルを持ち出すケースでもファイルの変名等のような偽装が困難である。さらに、属性および操作の内容は、組織における持出ファイルの重要性とも関連がある。このような属性および操作の内容を持ち出し操作の危険度の評価に組み入れることで、企業等の組織にとって重要度が高いファイルの持ち出し操作とそうでない持ち出し操作との間で評価を変えることができる。したがって、持ち出し操作の危険度の評価精度を高めることができる。
これらステップS3、ステップS5A及びステップS5Bの処理をファイルの持ち出し操作ごとに実行することで、持ち出し操作ごとに当該持ち出し操作の危険度が評価されたスコアを算出できる。
その後、ログ分析装置10は、持ち出し操作ごとに算出されたスコアの降順、すなわちスコアが高い順に持ち出し操作がソートされたリストを分析レポート300として管理コンソール70へ出力する(ステップS6)。
このような分析レポート300の出力により、次のような効果が得られる。例えば、システム管理者やコンプライアンス部門の担当者等が行う情報漏えいの検証作業、例えば持ち出し操作が不正行為に該当するかどうかを判断するヒアリング等を持出ユーザに総当たりで行わずともよくなる。すなわち、危険度のスコアが高い順にソートされた持ち出し操作のリストが出力されることにより持ち出し操作に危険度に基づく優先順位を設定することができるので、検証作業の効率化を実現できる。
[ログ分析装置10の構成]
図3は、実施例1に係るログ分析装置10の機能的構成の一例を示すブロック図である。図3に示すように、ログ分析装置10は、通信I/F(InterFace)部11と、記憶部13と、制御部15とを有する。図3には、データの授受の関係を表す実線が示されているが、説明の便宜上、最小限の部分について示されているに過ぎない。すなわち、各処理部に関するデータの入出力は、図示の例に限定されず、図示以外のデータの入出力、例えば処理部及び処理部の間、処理部及びデータの間、並びに、処理部及び外部装置の間のデータの入出力が行われることとしてもかまわない。
図3は、実施例1に係るログ分析装置10の機能的構成の一例を示すブロック図である。図3に示すように、ログ分析装置10は、通信I/F(InterFace)部11と、記憶部13と、制御部15とを有する。図3には、データの授受の関係を表す実線が示されているが、説明の便宜上、最小限の部分について示されているに過ぎない。すなわち、各処理部に関するデータの入出力は、図示の例に限定されず、図示以外のデータの入出力、例えば処理部及び処理部の間、処理部及びデータの間、並びに、処理部及び外部装置の間のデータの入出力が行われることとしてもかまわない。
通信I/F部11は、他の装置、例えば管理サーバ50や管理コンソール70等との間で通信制御を行うインタフェースである。
一実施形態として、通信I/F部11には、LANカードなどのネットワークインタフェースカードなどが対応する。例えば、通信I/F部11は、管理サーバ50から操作ログを受信したり、操作ログの分析結果を分析レポートとして管理コンソール70へ送信したりすることができる。
記憶部13は、制御部15で実行されるOSを始め、上記のログ分析プログラム、例えばアプリケーションプログラムやミドルウェアなどの各種プログラムに用いられるデータを記憶する記憶デバイスである。
一実施形態として、記憶部13は、ログ分析装置10における補助記憶装置として実装することができる。例えば、記憶部13には、HDD(Hard Disk Drive)、光ディスクやSSD(Solid State Drive)などを採用できる。なお、記憶部13は、必ずしも補助記憶装置として実装されずともよく、ログ分析装置10における主記憶装置として実装することもできる。この場合、記憶部13には、各種の半導体メモリ素子、例えばRAM(Random Access Memory)やフラッシュメモリを採用できる。
記憶部13は、制御部15で実行されるプログラムに用いられるデータの一例として、操作ログデータ13aと、属性データ13bと、採点基準データ13cとを記憶する。これらのデータ以外にも、記憶部13には、他の電子データが記憶されることとしてもかまわない。例えば、記憶部13は、クライアント端末30を使用するユーザに付与されたアカウント情報なども併せて記憶することもできる。なお、操作ログデータ13a、属性データ13b及び採点基準データ13cの説明は、各データの登録または参照が行われる制御部15の説明と合わせて行うこととする。
制御部15は、ログ分析装置10の全体制御を行う処理部である。
一実施形態として、制御部15は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などのハードウェアプロセッサにより実装することができる。ここでは、プロセッサの一例として、CPUやMPUを例示したが、汎用型および特化型を問わず、任意のプロセッサ、例えばGPU(Graphics Processing Unit)やDSP(Digital Signal Processor)の他、GPGPU(General-purpose computing on graphics processing units)により実装することができる。この他、制御部15は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などのハードワイヤードロジックによって実現されることとしてもかまわない。
制御部15は、図示しない主記憶装置として実装されるRAM(Random Access Memory)のワークエリア上に、上記のログ分析プログラムを展開することにより、下記の処理部を仮想的に実現する。
図3に示すように、制御部15は、取得部15aと、抽出部15bと、特定部15cと、評価部15dと、出力部15eとを有する。
取得部15aは、操作ログを取得する処理部である。
一実施形態として、取得部15aは、管理サーバ50からネットワークNWを経由して管理対象システム5全体の操作ログを取得することができる。このとき、取得部15aは管理サーバ50から操作ログが送信されるまで待機することとしてもよいし、操作ログのリクエストを管理サーバ50に発行することにより操作ログを管理サーバ50に送信させることもできる。また、操作ログは、所定の期間、例えば日次、週次、月次、四半期、半期ごとにバッチ処理で取得することもできるし、クライアント端末30から管理サーバ50へ操作ログが収集される度にリアルタイムで取得することとしてもかまわない。このように取得部15aにより取得された操作ログが操作ログデータ13aとして記憶部13へ保存される。
なお、ここでは、あくまで一例として、ログ分析装置10及び管理サーバ50間の通信により操作ログを取得する例を挙げたが、取得部15aが操作ログを取得するソースは任意であってかまわない。例えば、取得部15aは、管理サーバ50以外の外部装置からネットワークNWを介して受信することによって操作ログを取得することもできる。この他、取得部15aは、USBメモリや外付けのHDD、メモリカードなどのリムーバブルメディアから読み出すことにより操作ログを取得することもできる。
抽出部15bは、持出操作ログを抽出する処理部である。
一実施形態として、抽出部15bは、管理コンソール70から分析レポートのリクエストを受け付けた場合、分析レポートの出力が設定された日時になった場合、前回に分析レポートを出力してから所定の期間が経過する場合などに処理を起動する。すなわち、抽出部15bは、記憶部13に操作ログデータ13aとして記憶された管理対象システム5全体の操作ログのうちファイルの持ち出し操作が記録された操作ログ、すなわち上記の持出操作ログを抽出する。
特定部15cは、持出ファイルにファイル操作を行うユーザのうち持出ユーザ以外の他のユーザを特定する処理部である。
一実施形態として、特定部15cは、抽出部15bにより抽出された持出操作ログごとに次のような処理を実行する。すなわち、特定部15cは、抽出部15bにより抽出された持出操作ログのうち1つの持出操作ログを選択する。続いて、特定部15cは、管理対象システム5全体の操作ログを参照して、選択中の持出操作ログを起点とし、そこから遡って持出ファイルに対する参照、作成、更新、削除、複写、移動、変名などのファイル操作が記録された操作ログをトレースする。そして、特定部15cは、上記のトレースにより得られた一連の操作ログのうち、持出ユーザが持ち出し操作の事前に行ったファイル操作を記録する操作ログを特定する。さらに、特定部15cは、上記のトレースにより得られた一連の操作ログのうち持出ユーザの識別情報が含まれない操作ログが記録するユーザ識別情報を参照することにより、持出ファイルにファイル操作を行うユーザのうち持出ユーザ以外の他のユーザを特定する。
評価部15dは、ファイルの持ち出し操作の危険度を評価する処理部である。
一実施形態として、評価部15dは、(イ)持出ユーザが持ち出し操作の前に行った事前行動、(ロ)他のユーザが持ち出し操作の前に行った事前行動、および、(ハ)他のユーザの属性の分布の3つの側面から加点される点数を総合することにより、持ち出し操作の危険度を評価する。
(イ)持出ユーザの事前行動
一側面として、評価部15dは、特定部15cにより持出ユーザの事前行動として特定された操作ログごとに、当該操作ログに含まれるファイル操作の内容に応じて加点する採点を実行する。この採点には、一例として、ファイル操作ごとに点数が対応付けられた採点基準データ13c1が参照される。図4は、採点基準データの一例を示す図である。図4に示す採点基準データ13c1の例で言えば、ファイルの新規作成、ファイルの参照、ファイルの編集といったファイル操作には、点数「1」が対応付けられている。これらのファイル操作は、ファイルが持ち出されようと持ち出されまいと実行される汎用の操作であるので、他の種類のファイル操作よりも低い点数が設定されている。これに比べて、ファイルの変名やファイルサーバからのコピーといったファイル操作は、他の種類のファイル操作に比べて秘密情報を持ち出す際に行われやすい事前行動であるので、他の種類のファイル操作よりも高い点数が設定されている。例えば、ファイルの変名は、ファイル名の偽装に使用されやすいので、点数には「5」が設定されている。また、ファイルサーバからローカルへのコピーは、必ずしもファイルの編集に必要でなく、ファイルの持ち出し時には前提条件となるファイル操作であるので、点数には「10」が設定されている。このような採点基準データ13c1にしたがって採点を行うことで、秘密情報を持ち出す際に行われやすいファイル操作に該当する操作ログほど高い点数を与えることができる。
一側面として、評価部15dは、特定部15cにより持出ユーザの事前行動として特定された操作ログごとに、当該操作ログに含まれるファイル操作の内容に応じて加点する採点を実行する。この採点には、一例として、ファイル操作ごとに点数が対応付けられた採点基準データ13c1が参照される。図4は、採点基準データの一例を示す図である。図4に示す採点基準データ13c1の例で言えば、ファイルの新規作成、ファイルの参照、ファイルの編集といったファイル操作には、点数「1」が対応付けられている。これらのファイル操作は、ファイルが持ち出されようと持ち出されまいと実行される汎用の操作であるので、他の種類のファイル操作よりも低い点数が設定されている。これに比べて、ファイルの変名やファイルサーバからのコピーといったファイル操作は、他の種類のファイル操作に比べて秘密情報を持ち出す際に行われやすい事前行動であるので、他の種類のファイル操作よりも高い点数が設定されている。例えば、ファイルの変名は、ファイル名の偽装に使用されやすいので、点数には「5」が設定されている。また、ファイルサーバからローカルへのコピーは、必ずしもファイルの編集に必要でなく、ファイルの持ち出し時には前提条件となるファイル操作であるので、点数には「10」が設定されている。このような採点基準データ13c1にしたがって採点を行うことで、秘密情報を持ち出す際に行われやすいファイル操作に該当する操作ログほど高い点数を与えることができる。
(ロ)他のユーザの事前行動
他の側面として、評価部15dは、特定部15cにより持出ユーザ以外の他のユーザの事前行動として特定された操作ログごとに、他のユーザの属性に応じて付与される点数と、他のユーザにより行われたファイル操作の内容に応じて付与される点数とを乗算することにより、他のユーザの事前行動を採点する。
他の側面として、評価部15dは、特定部15cにより持出ユーザ以外の他のユーザの事前行動として特定された操作ログごとに、他のユーザの属性に応じて付与される点数と、他のユーザにより行われたファイル操作の内容に応じて付与される点数とを乗算することにより、他のユーザの事前行動を採点する。
例えば、評価部15dは、ユーザごとに所属および役職が対応付けられた属性データ13bから、他のユーザに対応する所属および役職を属性として検索する。図5は、属性データ13bの一例を示す図である。図5に示す属性データ13bには、あくまで一例として、ユーザA、ユーザB、ユーザC、ユーザD、ユーザEおよびユーザFの7人のユーザ、営業、開発および人事の3つの所属、さらには、一般社員、課長および部長の3つの役職が抜粋して示されている。このように属性データ13bを参照することにより、次のような属性の検索を実行できる。例えば、ユーザ名「ユーザA」が検索条件として指定された場合、属性データ13bの上から1行目のレコードにヒットするので、所属が「営業」であり、かつ役職が「一般社員」であると検索できる。この他のユーザ名が検索条件として指定された場合も、ユーザ名がヒットする属性データ13bのレコードからユーザの所属および役職を属性として検索できる。
このように他のユーザの所属および役職が検索された後、評価部15dは、他のユーザの所属に応じて付与される所属点に当該他のユーザにより行われたファイル操作の内容に応じて付与される操作点を乗算することにより所属操作点を算出する。なお、操作点については、上記(イ)と同様、図4に示した採点基準データ13c1に含まれる点数のうち他のユーザにより行われたファイル操作の内容に対応する点数を付与することとすればよい。
例えば、他のユーザの所属に応じて所属点を付与する場合、所属の部門ごとに点数が対応付けられた採点基準データ13c2が参照される。図6は、採点基準データ13c2の一例を示す図である。図6に示す採点基準データ13c2の例で言えば、営業部には、点数「1」が設定されている。このように営業部に他の部門に比べて低い点数が設定されるのは、営業部ではパンフレットやカタログなどの外部向けのファイルが業務に用いられるケースが多い一方で、業務上で社外秘のファイルに触れる機会が少ないからである。また、開発部には、営業部の点数「1」よりも高い点数「5」が設定されている。その理由は、開発部では設計や製造などの内部向けのファイルが業務に用いられるケースが多いからである。さらに、人事部には、開発部の点数「5」よりも高い点数「10」が設定されている。これは、人事部ではマイナンバー、給与、年金等の個人情報が業務に用いられるケースがあるからである。このような採点基準データ13c2にしたがって点数を付与することで、他のユーザが業務で秘密情報に触れやすい部門であるほど高い点数を与えることができる。
このような採点基準データ13c2を用いて付与された他のユーザの所属点に採点基準データ13c1を用いて付与された他のユーザの操作点を乗算することにより、所属操作点が算出される。
この所属操作点の算出と並行して、評価部15dは、他のユーザの役職に応じて付与される役職点に当該他のユーザにより行われたファイル操作の内容に応じて付与される操作点を乗算することにより役職操作点を算出する。なお、操作点については、上記(イ)と同様、図4に示した採点基準データ13c1に含まれる点数のうち他のユーザにより行われたファイル操作の内容に対応する点数を付与することとすればよい。
例えば、他のユーザの所属に応じて所属点を付与する場合、役職ごとに点数が対応付けられた採点基準データ13c3が参照される。図7は、採点基準データ13c3の一例を示す図である。図7に示す採点基準データ13c3の例で言えば、一般社員には点数「5」が設定され、課長には点数「10」が設定されると共に、部長には点数「15」が設定されている。このように役職が高くなるにつれて高い点数が設定されるのは、役職が高いほど業務で秘密情報に触れる機会が多いからである。このような採点基準データ13c3にしたがって点数を付与することで、他のユーザが業務で秘密情報に触れやすい役職であるほど高い点数を与えることができる。
このような採点基準データ13c3を用いて付与された他のユーザの役職点に採点基準データ13c1を用いて付与された他のユーザの操作点を乗算することにより、役職操作点が算出される。
(ハ)他のユーザの属性の分布
更なる側面として、評価部15dは、特定部15cにより特定された持出ユーザ以外の他のユーザの属性の分布の広がり度合いに応じて点数を付与する採点を実行する。例えば、評価部15dは、持出ファイルに対するファイル操作を行った他のユーザの部門の数が少ないほど高い点数を付与する一方で、持出ファイルに対するファイル操作を行った他のユーザの部門の数が多いほど低い点数を付与する採点を実行する。なぜなら、持出ファイルが多くの部署に跨がって流通しているほど秘密情報である可能性が低く、また、持出ファイルの流通範囲が狭まるほど秘密情報である可能性が高い傾向にあるからである。さらに、評価部15dは、持出ファイルに対するファイル操作を行った他のユーザの役職に一般社員が含まれるか否かに応じて点数を付与する採点を実行する。これは、幹部社員に比べて秘密情報に触れる権限が与えられにくい一般社員にも公開された情報であれば課長や部長などの幹部社員にだけ公開された情報に比べて重要度が低いと推定できるからである。
更なる側面として、評価部15dは、特定部15cにより特定された持出ユーザ以外の他のユーザの属性の分布の広がり度合いに応じて点数を付与する採点を実行する。例えば、評価部15dは、持出ファイルに対するファイル操作を行った他のユーザの部門の数が少ないほど高い点数を付与する一方で、持出ファイルに対するファイル操作を行った他のユーザの部門の数が多いほど低い点数を付与する採点を実行する。なぜなら、持出ファイルが多くの部署に跨がって流通しているほど秘密情報である可能性が低く、また、持出ファイルの流通範囲が狭まるほど秘密情報である可能性が高い傾向にあるからである。さらに、評価部15dは、持出ファイルに対するファイル操作を行った他のユーザの役職に一般社員が含まれるか否かに応じて点数を付与する採点を実行する。これは、幹部社員に比べて秘密情報に触れる権限が与えられにくい一般社員にも公開された情報であれば課長や部長などの幹部社員にだけ公開された情報に比べて重要度が低いと推定できるからである。
これら部門数および役職レベルを組み合わせた一例として、下記の(あ)、(い)、(う)の3ケースを例に挙げる。すなわち、(あ)持出ファイルに対するファイル操作を行った他のユーザの部門の数が複数でなく、かつ他のユーザの中に一般社員が含まれない場合、(い)持出ファイルに対するファイル操作を行った他のユーザの部門の数が複数であり、かつ複数の部門の中のいずれかの部門で一般社員が含まれない場合、(う)持出ファイルに対するファイル操作を行った他のユーザの部門の数が単数であっても複数であっても、各部門に一般社員が含まれる場合が挙げられる。これらの3ケースの場合、評価部15dは、(あ)に最も高い点数を付与し、(い)に次に高い点数を付与し、(う)には最も低い点数を付与する。
このような採点には、一例として、流通範囲ごとに点数が対応付けられた採点基準データ13c4が参照される。図8は、採点基準データ13c4の一例を示す図である。図8に示す採点基準データ13c4の例で言えば、持出ファイルに対するファイル操作を行った他のユーザの部門の数が1つに閉じており、かつ持出ファイルが幹部社員にしか利用していないという流通範囲には、点数「30」が設定されている。このような流通範囲の場合、持出ファイルが部外秘であり、かつ幹部社員以外に明かせない極秘の情報である可能性があるからである。また、持出ファイルに対するファイル操作を行った他のユーザの部門の数が複数であっても、課長や部長などの幹部社員にしか利用されていない部門が存在するという流通範囲には、点数「20」が設定されている。このような流通範囲の場合、持出ファイルが部外秘である可能性があるからである。また、持出ファイルに対するファイル操作を行った他のユーザの部門の数が複数であり、かつ各部門で一般社員にも利用されているという流通範囲には、点数「1」が設定されている。このような流通範囲の場合、持出ファイルが部外秘である可能性が低いからである。このような採点基準データ13c4にしたがって採点を行うことで、持出ファイルの流通範囲が狭いほど高い点数を与えることができる。
以上のように上記(イ)~上記(ハ)で採点された点数が総合される。例えば、評価部15dは、上記(イ)で採点された点数と、上記(ロ)で採点された所属操作点および役職操作点と、上記(ハ)で採点された点数とを合計することにより、持ち出し操作の危険度が評価されたスコアを算出する。
出力部15eは、分析レポートを出力する処理部である。
一実施形態として、出力部15eは、評価部15dにより持ち出し操作ごとに危険度のスコアが算出された場合、スコアの降順、すなわちスコアが高い順に持ち出し操作をソートする。その上で、出力部15eは、スコアが降順にソートされた持ち出し操作のリストを分析レポートとして管理コンソール70へ出力する。当然のことながら、分析レポートでは、各持ち出し操作に危険度のスコアを関連付けて出力することができるのは言うまでもない。
[スコアの計算例]
次に、図9~図16を用いて、持ち出し操作の危険度のスコア計算についての具体例を説明する。図9~図16は、操作ログデータの一例を示す図である。図9~図16には、一例として、201x年10月1日の17時00分から201x年10月3日の15時30分までに収集された管理対象システム5全体の操作ログが時系列に並べられた操作ログデータ13aが模式的に示されている。
次に、図9~図16を用いて、持ち出し操作の危険度のスコア計算についての具体例を説明する。図9~図16は、操作ログデータの一例を示す図である。図9~図16には、一例として、201x年10月1日の17時00分から201x年10月3日の15時30分までに収集された管理対象システム5全体の操作ログが時系列に並べられた操作ログデータ13aが模式的に示されている。
図9に示す操作ログデータ13aに含まれる操作ログの中から持出操作ログが抽出される。この持出操作ログの抽出結果を模式的に強調表示した状態、例えば太字+下線で図10に示す。図10に示すように、201x年10月3日の15時30分にユーザAにより持ち出し操作「メールでの持出」が行われた操作ログが持出操作ログAとして抽出されると共に、201x年10月2日の17時25分にユーザCにより持ち出し操作「メールでの持出」が行われた操作ログが持出操作ログBとして抽出される。
これらのうち、持出操作ログAが選択された場合、選択中の持出操作ログAを起点とし、そこから遡って持出ファイルに対する参照、作成、更新、削除、複写、移動、変名などのファイル操作が記録された操作ログをトレースする。このトレースにより得られた一連の操作ログを強調表示した状態、例えば太字+下線で図11に示す。
その後、図11に示す一連の操作ログのうち、持出ユーザであるユーザAの事前行動として特定された操作ログごとに、当該操作ログに含まれるファイル操作の内容に応じて点数が付与される。この持出ユーザであるユーザAの事前行動に対応する操作ログを強調表示した状態、例えば太字+下線で図12に示す。図12に示すように、201x年10月3日の15時25分にユーザAによりファイルの変名が行われた操作ログ、201x年10月2日の17時30分にユーザAによりファイルサーバからのコピーが行われた操作ログ、201x年10月2日の17時25分にユーザAによりファイルの参照が行われた操作ログが持出ユーザであるユーザAの事前行動に対応する。このユーザAの事前行動は、図4に示す採点基準データ13c1にしたがって採点される。例えば、ファイルの変名で5点が加算され、ファイルサーバからのコピーで10点が加算され、さらに、ファイルの参照で1点が加算される。これらを小計することにより、持出ユーザであるユーザAの事前行動の危険度が16点と評価される。
その後、図12に示す一連の操作ログの中から、持出ユーザ以外の他のユーザとして、ユーザDおよびユーザBが特定される。このように持出ユーザであるユーザA以外の他のユーザとして特定されたユーザDおよびユーザBを枠線で囲んだ状態で図13に示す。続いて、ユーザDおよびユーザBに対応する所属および役職を図5に示した属性データ13bから検索することにより、ユーザDが人事部の部長であり、ユーザBが人事部の課長であることを識別できる。
そして、他のユーザであるユーザDの事前行動、並びに、他のユーザであるユーザBの事前行動が図14に示す要領で採点される。例えば、ユーザDの事前行動を採点する場合、所属操作点は、次のようにして計算される。すなわち、ユーザDは、所属する部門が「人事部」であり、事前行動で行われたファイル操作がファイルの参照であるので、図6に示した採点基準データ13c2を用いて人事部に付与される点数「15点」に、図4に示した採点基準データ13c1を用いてファイルの参照に付与される点数「1」を乗算することにより、所属操作点を15点と算出できる。また、役職操作点は、次のようにして計算される。すなわち、ユーザDは、役職が「部長」であり、事前行動で行われたファイル操作がファイルの参照であるので、図7に示した採点基準データ13c3を用いて部長に付与される点数「15点」に、図4に示した採点基準データ13c1を用いてファイルの参照に付与される点数「1」を乗算することにより、役職操作点を15点と算出できる。また、ユーザBの事前行動を採点する場合も、ユーザDの事前行動を採点する場合と同様にして、所属操作点を「15点」、役職操作点を「10点」と算出できる。
さらに、持出ユーザ以外の他のユーザの属性の分布の広がり度合いに応じて点数が採点される。他のユーザであるユーザDの属性および他のユーザであるユーザBの属性の分布の広がり度合いに応じて付与される点数が図15に記入されている。これらユーザDおよびユーザBが所属する部門はいずれも人事部であるので、持出ファイルに対するファイル操作を行った他のユーザの部門の数は「1」と識別される。さらに、ユーザDおよびユーザBは、いずれも部長職および課長職の幹部社員である。そして、一般社員に該当するユーザは他のユーザとして特定されていない。このため、図8に示す採点基準データ13c4のうち上から1番目の流通範囲に該当する。したがって、流通範囲の危険度が30点と評価される。
その上で、持出ユーザAの事前行動から採点された点数「16点」と、他のユーザDの事前行動から採点された所属操作点と役職操作点の合計「30点」および他のユーザBの事前行動から採点された所属操作点と役職操作点の合計「25点」と、他のユーザD及び他のユーザBから識別される流通範囲から採点された点数「30」とを合計することにより、持ち出し操作Aの危険度のスコアを「101点」と算出することができる。
一方、持ち出し操作Bの危険度のスコアも同様に算出できる。この持ち出し操作Bの危険度のスコアの算出過程を図16に示す。図16に示すように、持出ユーザCの事前行動から採点された点数「1点」と、他のユーザFの事前行動から採点された所属操作点と役職操作点の合計「10点」および他のユーザEの事前行動から採点された所属操作点と役職操作点の合計「15点」と、他のユーザF及び他のユーザEから識別される流通範囲から採点された点数「1」とを合計することにより、持ち出し操作Bの危険度のスコアを「27点」と算出することができる。
以上のように、持ち出し操作Aの危険度のスコアを「101点」と算出すると共に、持ち出し操作Bの危険度のスコアを「27点」と算出するので、持ち出し操作がスコアの降順にソートされた場合、持ち出し操作のリストでは、持ち出し操作A及び持ち出し操作Bが持ち出し操作A、持ち出し操作Bの順に並んだ状態で分析レポートを出力することができる。
これによって、情報漏えいの検証作業を効率化できる。なぜなら、上記の分析レポートの出力により、持ち出し操作Bに関する検証よりも持ち出し操作Aに関する検証を優先するように促すことができるからである。すなわち、持ち出し操作Aは、人事部門の幹部社員(ユーザBおよびユーザD)で作成し管理されている個人情報を、営業担当であるユーザAがファイルサーバから取り出して、ファイル名を当たり障りのないものに変名した上で外部に送付したという事例である。一方、持ち出し操作Bは、開発部門のユーザEが作成し、他の営業担当であるユーザFも利用している製品紹介資料を営業担当であるユーザCがお客様に送付したという事例である。
これら持ち出し操作Aの事例および持ち出し操作Bの事例のうち、持ち出し操作Aの事例の方が情報漏えいの可能性が高い。このような実状に沿って優先順位が設定された持ち出し操作のリストを分析レポートとして自動的に出力できる。ここでは、説明の便宜上、持ち出し操作Aおよび持ち出し操作Bの2つの持ち出し操作を例示したが、リスト化される持ち出し操作の数が増加するほど分析レポートが発揮する効果はより大きくなる。
[処理の流れ]
図17は、実施例1に係るログ分析処理の手順を示すフローチャートである。この処理は、あくまで例として、管理コンソール70から分析レポートのリクエストを受け付けた場合、分析レポートの出力が設定された日時になった場合、前回に分析レポートを出力してから所定の期間が経過する場合などに実行される。
図17は、実施例1に係るログ分析処理の手順を示すフローチャートである。この処理は、あくまで例として、管理コンソール70から分析レポートのリクエストを受け付けた場合、分析レポートの出力が設定された日時になった場合、前回に分析レポートを出力してから所定の期間が経過する場合などに実行される。
図17に示すように、抽出部15bは、記憶部13に操作ログデータ13aとして記憶された管理対象システム5全体の操作ログのうちファイルの持ち出し操作が記録された操作ログ、すなわち上記の持出操作ログを抽出する(ステップS101)。
続いて、特定部15cは、ステップS101で抽出された持出操作ログのうち1つの持出操作ログを選択する(ステップS102)。続いて、特定部15cは、管理対象システム5全体の操作ログを参照して、持出ユーザが持ち出し操作の事前に行ったファイル操作を記録する操作ログを特定する(ステップS103)。さらに、特定部15cは、持出ファイルにファイル操作を行うユーザのうち持出ユーザ以外の他のユーザを特定する(ステップS104)。
その後、評価部15dは、ステップS103で持出ユーザの事前行動として特定された操作ログごとに当該操作ログに含まれるファイル操作の内容に応じて加点する。さらに、評価部15dは、ステップS104で他のユーザの事前行動として特定された操作ログごとに、他のユーザの属性に応じて付与される点数と、他のユーザにより行われたファイル操作の内容に応じて付与される点数とを乗算することにより、他のユーザの事前行動に加点する(ステップS105)。さらに、評価部15dは、ステップS104で特定された持出ユーザ以外の他のユーザの属性の分布の広がり度合いに応じて加点する(ステップS106)。
これら持出ユーザの事前行動から採点された点数と、ステップS105で他のユーザの事前行動から採点された点数と、ステップS106で他のユーザから識別される流通範囲から採点された点数とを合計することにより、持ち出し操作の危険度のスコアを得ることができる。
そして、ステップS101で抽出された全ての持出操作ログが選択されるまで(ステップS107No)、上記のステップS102~上記のステップS106までの処理が繰り返し実行される。
その後、ステップS101で抽出された全ての持出操作ログが選択された場合(ステップS107Yes)、出力部15eは、スコアの降順、すなわちスコアが高い順に持ち出し操作をソートする(ステップS108)。その上で、出力部15eは、スコアが降順にソートされた持ち出し操作のリストを分析レポートとして管理コンソール70へ出力し(ステップS109)、処理を終了する。
[効果の一側面]
上述してきたように、本実施例に係るログ分析装置10は、外部への持ち出し操作が行われたファイルに操作を行うユーザのうち持ち出し操作を行うユーザ以外の他のユーザを特定し、他のユーザの属性や他のユーザが行う操作の内容に基づいて持ち出し操作の危険度を評価する。したがって、本実施例に係るログ分析装置10によれば、持ち出し操作の危険度の評価精度を高めることが可能になる。
上述してきたように、本実施例に係るログ分析装置10は、外部への持ち出し操作が行われたファイルに操作を行うユーザのうち持ち出し操作を行うユーザ以外の他のユーザを特定し、他のユーザの属性や他のユーザが行う操作の内容に基づいて持ち出し操作の危険度を評価する。したがって、本実施例に係るログ分析装置10によれば、持ち出し操作の危険度の評価精度を高めることが可能になる。
さて、これまで開示の装置に関する実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。
[分散および統合]
図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されておらずともよい。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、取得部15a、抽出部15b、特定部15c、評価部15dまたは出力部15eをログ分析装置10の外部装置としてネットワーク経由で接続するようにしてもよい。また、取得部15a、抽出部15b、特定部15c、評価部15dまたは出力部15eを別の装置がそれぞれ有し、ネットワーク接続されて協働することで、上記のログ分析装置10の機能を実現するようにしてもよい。
図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されておらずともよい。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、取得部15a、抽出部15b、特定部15c、評価部15dまたは出力部15eをログ分析装置10の外部装置としてネットワーク経由で接続するようにしてもよい。また、取得部15a、抽出部15b、特定部15c、評価部15dまたは出力部15eを別の装置がそれぞれ有し、ネットワーク接続されて協働することで、上記のログ分析装置10の機能を実現するようにしてもよい。
[評価プログラム]
また、上記の実施例で説明した各種の処理は、予め用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。そこで、以下では、図18を用いて、上記の実施例と同様の機能を有する評価プログラムを実行するコンピュータの一例について説明する。
また、上記の実施例で説明した各種の処理は、予め用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。そこで、以下では、図18を用いて、上記の実施例と同様の機能を有する評価プログラムを実行するコンピュータの一例について説明する。
図18は、実施例1及び実施例2に係る評価プログラムを実行するコンピュータのハードウェア構成例を示す図である。図18に示すように、コンピュータ100は、操作部110aと、スピーカ110bと、カメラ110cと、ディスプレイ120と、通信部130とを有する。さらに、このコンピュータ100は、CPU150と、ROM160と、HDD170と、RAM180とを有する。これら110~180の各部はバス140を介して接続される。
HDD170には、図18に示すように、上記の実施例1で示した取得部15a、抽出部15b、特定部15c、評価部15dおよび出力部15eと同様の機能を発揮する評価プログラム170aが記憶される。この評価プログラム170aは、図3に示した取得部15a、抽出部15b、特定部15c、評価部15dおよび出力部15eの各構成要素と同様、統合又は分離してもかまわない。すなわち、HDD170には、必ずしも上記の実施例1で示した全てのデータが格納されずともよく、処理に用いるデータがHDD170に格納されればよい。
このような環境の下、CPU150は、HDD170から評価プログラム170aを読み出した上でRAM180へ展開する。この結果、評価プログラム170aは、図18に示すように、評価プロセス180aとして機能する。この評価プロセス180aは、RAM180が有する記憶領域のうち評価プロセス180aに割り当てられた領域にHDD170から読み出した各種データを展開し、この展開した各種データを用いて各種の処理を実行する。例えば、評価プロセス180aが実行する処理の一例として、図17に示す処理などが含まれる。なお、CPU150では、必ずしも上記の実施例1で示した全ての処理部が動作せずともよく、実行対象とする処理に対応する処理部が仮想的に実現されればよい。
なお、上記の評価プログラム170aは、必ずしも最初からHDD170やROM160に記憶されておらずともかまわない。例えば、コンピュータ100に挿入されるフレキシブルディスク、いわゆるFD、CD-ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」に評価プログラム170aを記憶させる。そして、コンピュータ100がこれらの可搬用の物理媒体から評価プログラム170aを取得して実行するようにしてもよい。また、公衆回線、インターネット、LAN、WANなどを介してコンピュータ100に接続される他のコンピュータまたはサーバ装置などに評価プログラム170aを記憶させておき、コンピュータ100がこれらから評価プログラム170aを取得して実行するようにしてもよい。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の操作元を記憶する記憶部を参照して、前記ファイルに対する過去の操作の操作元のうち、検出した前記持ち出し操作の操作元以外の操作元を特定し、
特定した前記操作元の属性に基づき、前記ファイルに関する評価を行う、
処理をコンピュータに実行させることを特徴とする評価プログラム。
特定した前記操作元の属性に基づき、前記ファイルに関する評価を行う、
処理をコンピュータに実行させることを特徴とする評価プログラム。
(付記2)特定した前記操作元の属性の分布に基づき、前記ファイルに関する評価を行う、
ことを特徴とする付記1に記載の評価プログラム。
ことを特徴とする付記1に記載の評価プログラム。
(付記3)前記操作元の属性は、前記操作元の所属または役職であることを特徴とする付記1に記載の評価プログラム。
(付記4)ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の内容を該操作の操作元に対応付けて記憶する記憶部を参照して、前記ファイルに対する過去の操作の内容のうち、検出した前記持ち出し操作の操作元以外の操作元による操作の内容を特定し、
特定した前記操作の内容に基づき、前記ファイルに関する評価を行う、
処理をコンピュータに実行させることを特徴とする評価プログラム。
特定した前記操作の内容に基づき、前記ファイルに関する評価を行う、
処理をコンピュータに実行させることを特徴とする評価プログラム。
(付記5)ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の操作元を記憶する記憶部を参照して、前記ファイルに対する過去の操作の操作元のうち、検出した前記持ち出し操作の操作元以外の操作元を特定し、
特定した前記操作元の属性に基づき、前記ファイルに関する評価を行う、
処理をコンピュータが実行することを特徴とする評価方法。
特定した前記操作元の属性に基づき、前記ファイルに関する評価を行う、
処理をコンピュータが実行することを特徴とする評価方法。
(付記6)特定した前記操作元の属性の分布に基づき、前記ファイルに関する評価を行う、
ことを特徴とする付記5に記載の評価方法。
ことを特徴とする付記5に記載の評価方法。
(付記7)前記操作元の属性は、前記操作元の所属または役職であることを特徴とする付記5に記載の評価方法。
(付記8)ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の内容を該操作の操作元に対応付けて記憶する記憶部を参照して、前記ファイルに対する過去の操作の内容のうち、検出した前記持ち出し操作の操作元以外の操作元による操作の内容を特定し、
特定した前記操作の内容に基づき、前記ファイルに関する評価を行う、
処理をコンピュータが実行することを特徴とする評価方法。
特定した前記操作の内容に基づき、前記ファイルに関する評価を行う、
処理をコンピュータが実行することを特徴とする評価方法。
(付記9)ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の操作元を記憶する記憶部を参照して、前記ファイルに対する過去の操作の操作元のうち、検出した前記持ち出し操作の操作元以外の操作元を特定する特定部と、
特定した前記操作元の属性に基づき、前記ファイルに関する評価を行う評価部と、
を有することを特徴とする情報処理装置。
特定した前記操作元の属性に基づき、前記ファイルに関する評価を行う評価部と、
を有することを特徴とする情報処理装置。
(付記10)前記評価部は、特定した前記操作元の属性の分布に基づき、前記ファイルに関する評価を行う、
ことを特徴とする付記9に記載の情報処理装置。
ことを特徴とする付記9に記載の情報処理装置。
(付記11)前記操作元の属性は、前記操作元の所属または役職であることを特徴とする付記9に記載の情報処理装置。
(付記12)ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の内容を該操作の操作元に対応付けて記憶する記憶部を参照して、前記ファイルに対する過去の操作の内容のうち、検出した前記持ち出し操作の操作元以外の操作元による操作の内容を特定する特定部と、
特定した前記操作の内容に基づき、前記ファイルに関する評価を行う評価部と、
を有することを特徴とする情報処理装置。
特定した前記操作の内容に基づき、前記ファイルに関する評価を行う評価部と、
を有することを特徴とする情報処理装置。
1 ログ分析システム
3A,3B,3C ログ収集用ソフトウェア
5 管理対象システム
10 ログ分析装置
11 通信I/F部
13 記憶部
13a 操作ログデータ
13b 属性データ
13c 採点基準データ
15 制御部
15a 取得部
15b 抽出部
15c 特定部
15d 評価部
15e 出力部
30A,30B,30C クライアント端末
50 管理サーバ
70 管理コンソール
3A,3B,3C ログ収集用ソフトウェア
5 管理対象システム
10 ログ分析装置
11 通信I/F部
13 記憶部
13a 操作ログデータ
13b 属性データ
13c 採点基準データ
15 制御部
15a 取得部
15b 抽出部
15c 特定部
15d 評価部
15e 出力部
30A,30B,30C クライアント端末
50 管理サーバ
70 管理コンソール
Claims (6)
- ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の操作元を記憶する記憶部を参照して、前記ファイルに対する過去の操作の操作元のうち、検出した前記持ち出し操作の第1の操作元以外の第2の操作元を特定し、
特定した前記第2の操作元の属性に基づき、前記持ち出し操作の危険度を評価する、
処理をコンピュータに実行させることを特徴とする評価プログラム。 - 特定した前記第2の操作元の属性の分布に基づき、前記持ち出し操作の危険度を評価する、
ことを特徴とする請求項1に記載の評価プログラム。 - 前記第2の操作元の属性は、前記第2の操作元の所属または役職であることを特徴とする請求項1または請求項2に記載の評価プログラム。
- ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の内容を該操作の操作元に対応付けて記憶する記憶部を参照して、前記ファイルに対する過去の操作の内容のうち、検出した前記持ち出し操作の第1の操作元以外の第2の操作元による操作の内容を特定し、
特定した前記第2の操作元による操作の内容に基づき、前記持ち出し操作の危険度を評価する、
処理をコンピュータに実行させることを特徴とする評価プログラム。 - ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の操作元を記憶する記憶部を参照して、前記ファイルに対する過去の操作の操作元のうち、検出した前記持ち出し操作の第1の操作元以外の第2の操作元を特定し、
特定した前記第2の操作元の属性に基づき、前記持ち出し操作の危険度を評価する、
処理をコンピュータが実行することを特徴とする評価方法。 - ファイルの持ち出し操作を検出すると、前記ファイルに対する過去の操作の操作元を記憶する記憶部を参照して、前記ファイルに対する過去の操作の操作元のうち、検出した前記持ち出し操作の第1の操作元以外の第2の操作元を特定する特定部と、
特定した前記第2の操作元の属性に基づき、前記持ち出し操作の危険度を評価する評価部と、
を有することを特徴とする情報処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018007702A JP7052370B2 (ja) | 2018-01-19 | 2018-01-19 | 評価プログラム、評価方法及び情報処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018007702A JP7052370B2 (ja) | 2018-01-19 | 2018-01-19 | 評価プログラム、評価方法及び情報処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019128616A JP2019128616A (ja) | 2019-08-01 |
| JP7052370B2 true JP7052370B2 (ja) | 2022-04-12 |
Family
ID=67472381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018007702A Active JP7052370B2 (ja) | 2018-01-19 | 2018-01-19 | 評価プログラム、評価方法及び情報処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7052370B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7294059B2 (ja) * | 2019-10-24 | 2023-06-20 | 富士通株式会社 | 表示システム、プログラム、及び、表示方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009080561A (ja) | 2007-09-25 | 2009-04-16 | Sky Kk | 外部装置管理システム |
| JP2009145987A (ja) | 2007-12-11 | 2009-07-02 | Hitachi Information Systems Ltd | 情報トレーシングシステム及び情報トレーシング方法、情報トレーシングプログラム |
| JP2012083920A (ja) | 2010-10-08 | 2012-04-26 | Fujitsu Ltd | 操作制限管理プログラム、操作制限管理装置及び操作制限管理方法 |
| JP2012128546A (ja) | 2010-12-14 | 2012-07-05 | Encourage Technologies Co Ltd | 機密管理装置、機密管理方法、及びプログラム |
| JP2017091472A (ja) | 2015-11-17 | 2017-05-25 | 日本電信電話株式会社 | 管理サーバ及び管理方法 |
-
2018
- 2018-01-19 JP JP2018007702A patent/JP7052370B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009080561A (ja) | 2007-09-25 | 2009-04-16 | Sky Kk | 外部装置管理システム |
| JP2009145987A (ja) | 2007-12-11 | 2009-07-02 | Hitachi Information Systems Ltd | 情報トレーシングシステム及び情報トレーシング方法、情報トレーシングプログラム |
| JP2012083920A (ja) | 2010-10-08 | 2012-04-26 | Fujitsu Ltd | 操作制限管理プログラム、操作制限管理装置及び操作制限管理方法 |
| JP2012128546A (ja) | 2010-12-14 | 2012-07-05 | Encourage Technologies Co Ltd | 機密管理装置、機密管理方法、及びプログラム |
| JP2017091472A (ja) | 2015-11-17 | 2017-05-25 | 日本電信電話株式会社 | 管理サーバ及び管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019128616A (ja) | 2019-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101668506B1 (ko) | 자동 분류 규칙을 포함하는 데이터 분류 파이프라인 | |
| US9396208B2 (en) | Selecting storage cloud for storage of entity files from plurality of storage clouds | |
| EP3133507A1 (en) | Context-based data classification | |
| US11375015B2 (en) | Dynamic routing of file system objects | |
| CN112100219B (zh) | 基于数据库查询处理的报表生成方法、装置、设备和介质 | |
| WO2022064348A1 (en) | Protecting sensitive data in documents | |
| US10878089B2 (en) | Identifying malware based on content item identifiers | |
| JP2006302170A (ja) | ログ管理方法及び装置 | |
| EP3196798A1 (en) | Context-sensitive copy and paste block | |
| Kälber et al. | Forensic application-fingerprinting based on file system metadata | |
| US20130263222A1 (en) | Computer system and security management method | |
| Easwaramoorthy et al. | Digital forensic evidence collection of cloud storage data for investigation | |
| JP7052370B2 (ja) | 評価プログラム、評価方法及び情報処理装置 | |
| CN111078668B (zh) | 数据生成方法、装置、电子设备和存储介质 | |
| JP2004054779A (ja) | アクセス権管理システム | |
| US11556661B2 (en) | Data access control system and data access control method | |
| JP5630193B2 (ja) | 操作制限管理プログラム、操作制限管理装置及び操作制限管理方法 | |
| JP2003280945A (ja) | ログ解析システム,該ログ解析システムによる解析対象抽出方法および解析対象抽出プログラム | |
| Povar et al. | Digital forensic architecture for cloud computing systems: methods of evidence identification, segregation, collection and partial analysis | |
| EP4250160A1 (en) | Information processing system, information processing method, and computer | |
| Dambra et al. | One size does not fit all: Quantifying the risk of malicious app encounters for different android user profiles | |
| US20240070319A1 (en) | Dynamically updating classifier priority of a classifier model in digital data discovery | |
| JP6889693B2 (ja) | 分析システム及び端末装置 | |
| EP2506196A1 (en) | Method and apparatus for management and control of information incidents and digital evidence | |
| JP5621490B2 (ja) | ログ管理プログラム、ログ管理装置及びログ管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201008 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210729 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210810 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211011 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220301 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220314 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7052370 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |