JP7180073B2 - Judgment program, judgment method, and judgment device - Google Patents
Judgment program, judgment method, and judgment device Download PDFInfo
- Publication number
- JP7180073B2 JP7180073B2 JP2018000263A JP2018000263A JP7180073B2 JP 7180073 B2 JP7180073 B2 JP 7180073B2 JP 2018000263 A JP2018000263 A JP 2018000263A JP 2018000263 A JP2018000263 A JP 2018000263A JP 7180073 B2 JP7180073 B2 JP 7180073B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- user
- evaluation criteria
- users
- determination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、判定プログラム、判定方法、および判定装置に関する。 The present invention relates to a determination program, a determination method, and a determination device.
従来、セキュリティ管理者は、従業員による不正な操作を監視し、不正な操作を発見すると、不正な操作について対策を実施する。例えば、セキュリティ管理者は、従業員がPC(Personal Computer)上で行った操作の履歴を収集し、収集した操作の履歴に基づいて操作の正当性について評価し、不正な操作を発見すると対策を実施する。不正な操作は、例えば、機密情報の持ち出しである。 Conventionally, security administrators monitor unauthorized operations by employees, and when detecting unauthorized operations, take countermeasures against the unauthorized operations. For example, a security manager collects a history of operations performed by an employee on a PC (Personal Computer), evaluates the legitimacy of the operation based on the collected operation history, and takes countermeasures when an unauthorized operation is discovered. implement. An illegal operation is, for example, the taking out of confidential information.
先行技術としては、例えば、ユーザの動作または操作から得られるデータに基づいて生成した個人情報の履歴に基づいてユーザの行動パターンあるいは思考パターンを示すユーザ特性を推定するものがある。また、例えば、セキュリティインベントリ情報や操作ログ情報が予め設定されているセキュリティポリシーに適合しているかを判定する技術がある。また、例えば、思考から行動に移行する間に第三者視点を想定した行動の思考内再構成が存在しない低浸食性の履歴情報を状態集合および遷移集合が含まれる観測された行動履歴記録より取得し、思考モデルを作成する技術がある。 As a prior art, for example, there is a technique that estimates a user characteristic indicating a user's action pattern or thought pattern based on a history of personal information generated based on data obtained from user's actions or operations. Also, for example, there is a technique for determining whether security inventory information or operation log information conforms to a preset security policy. In addition, for example, during the transition from thinking to action, low-erosion history information in which there is no intra-thought reconstruction of behavior assuming a third-person perspective is obtained from observed action history records that include state sets and transition sets. There are techniques to acquire and create thought models.
しかしながら、従来技術では、特定の操作に関する評価にかかるセキュリティ管理者の負担の増大化を招いてしまう。例えば、セキュリティ管理者は、業務形態や業務環境の多様化に伴って業務上正式に許可された操作についても正当性を評価することになり、従業員への聞き取り調査を実施することになる場合がある。 However, the conventional technology increases the burden on security administrators for evaluating specific operations. For example, security administrators will evaluate the legitimacy of officially permitted operations in line with the diversification of business forms and business environments, and may conduct interviews with employees. There is
1つの側面では、本発明は、特定の操作に関する評価負担の低減化を図ることを目的とする。 In one aspect, an object of the present invention is to reduce the burden of evaluating specific operations.
1つの実施態様によれば、ユーザによる操作の履歴を前記ユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成し、いずれかのユーザの属性に基づいて、生成した前記評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する判定プログラム、判定方法および判定装置が提案される。 According to one embodiment, referring to a storage unit that stores a history of user operations in association with attributes of the user, generating evaluation criteria for specific operations for each attribute of the user, Based on the attributes, identifying the evaluation criteria related to the specific operation by any of the users among the generated evaluation criteria, and detecting the specific operation by any of the users, any of the user A determination program, a determination method, and a determination device for determining whether or not the specified operation by satisfies the specified evaluation criteria are proposed.
一態様によれば、特定の操作に関する評価負担の低減化を図ることが可能になる。 According to one aspect, it is possible to reduce the evaluation burden for a specific operation.
以下に、図面を参照して、本発明にかかる判定プログラム、判定方法、および判定装置の実施の形態を詳細に説明する。 Exemplary embodiments of a determination program, a determination method, and a determination device according to the present invention will be described below in detail with reference to the drawings.
(実施の形態にかかる判定方法の一実施例)
図1は、実施の形態にかかる判定方法の一実施例を示す説明図である。図1において、判定装置100は、ユーザによる特定の操作が、ユーザによる特定の操作に関する評価基準を満たすか否かを判定するコンピュータである。ユーザは、判定装置100とは異なる装置を利用する人間である。判定装置100とは異なる装置は、例えば、PCである。ユーザは、例えば、企業や役所などのような組織に所属する職員である。
(One example of the determination method according to the embodiment)
FIG. 1 is an explanatory diagram of an example of a determination method according to an embodiment. In FIG. 1, a
特定の操作は、セキュリティ上監視することが好ましい操作である。特定の操作は、例えば、業務上不正な操作である場合がある。特定の操作は、具体的には、情報の持ち出しの操作である。特定の操作は、具体的には、暗号化された情報の復号化の操作であってもよい。特定の操作は、具体的には、ネットワークを介した情報に対するアクセスの操作、または、社外での情報の取り扱いの操作などであってもよい。評価基準は、特定の操作の正当性を評価するための基準である。評価基準は、例えば、特定の操作が、ユーザの業務上正当な操作であるか、または、不当な操作であるかを評価するための基準である。 Certain operations are operations that are preferable for security monitoring. A specific operation may be, for example, a business-unauthorized operation. The specific operation is specifically an operation of bringing out information. The specific operation may specifically be the operation of decrypting encrypted information. Specifically, the specific operation may be an operation of accessing information via a network, an operation of handling information outside the company, or the like. Evaluation criteria are criteria for evaluating the correctness of a specific operation. An evaluation criterion is, for example, a criterion for evaluating whether a specific operation is a legitimate operation in terms of the user's business or an illegal operation.
ここで、組織に所属するユーザにより、機密情報の持ち出しの操作などのような特定の操作が業務上不正に行われると、組織の損害が発生したり、組織の信用が毀損したりする恐れがある。このため、業務上不正な特定の操作について、事前的または事後的に対策を実施し、セキュリティの向上を図ることが望まれる傾向がある。 Here, if a user belonging to the organization performs a specific operation such as taking out confidential information illegally in the course of business, there is a risk that damage will occur to the organization and the credibility of the organization will be damaged. be. For this reason, there is a tendency to desire to improve security by implementing measures in advance or after the fact with respect to specific operations that are illegal in business.
これに対して、ユーザによる特定の操作を、根本的に禁止してしまう場合が考えられる。例えば、ユーザによるPC上での特定の操作を、ソフトウェアを用いて禁止してしまい、セキュリティの向上を図る場合が考えられる。しかしながら、この場合、業務形態や業務環境の多様化に伴い、一部のユーザが業務上正式に特定の操作を行うことが望まれる状況については適用することができず、ユーザの利便性の低下を招いてしまう。 On the other hand, there may be a case where a specific operation by the user is fundamentally prohibited. For example, it is conceivable that a specific operation on a PC by a user is prohibited using software to improve security. However, in this case, due to the diversification of business forms and business environments, it cannot be applied to situations where some users formally want to perform specific operations on business, and user convenience is reduced. invites
これに対して、基本的にユーザによる特定の操作を禁止し、例外的に一部のユーザによる特定の操作については一律で許可してしまう場合が考えられる。しかしながら、この場合、一部のユーザにより業務上不正に特定の操作が行われると、業務上不正な特定の操作について、事前的または事後的に対策を実施することが難しくなり、セキュリティの低下を招いてしまう。 On the other hand, it is conceivable that a specific operation by a user is basically prohibited, and a specific operation by some users is uniformly permitted as an exception. However, in this case, if some users perform unauthorized operations in the course of business, it will be difficult to implement countermeasures in advance or after the fact, and security will be compromised. I invite you.
このため、セキュリティ管理者が、ユーザがPC上で行った操作の履歴を収集し、収集した操作の履歴に基づいて、ユーザによる特定の操作が業務上正当であるか否かを評価し、不正な特定の操作を発見すると対策を実施する場合が考えられる。評価は、例えば、ユーザへの聞き取り調査に基づいて行われる。しかしながら、この場合、セキュリティ管理者の負担の増大化を招いてしまう。 For this reason, a security administrator collects the history of operations performed by the user on the PC, and based on the collected operation history, evaluates whether or not a specific operation by the user is legitimate in business, It is conceivable that countermeasures may be implemented when a specific operation is discovered. The evaluation is made, for example, based on interviews with users. However, in this case, the security administrator's burden is increased.
例えば、一部のユーザが業務上正式に特定の操作を行うことがあるため、収集した操作の履歴は、正式な特定の操作に関するレコードと、不正な特定の操作に関するレコードとを混在して含むことになる。そして、セキュリティ管理者は、正式な特定の操作についても評価することになり、ユーザへの聞き取り調査を実施することになり、セキュリティ管理者の負担の増大化を招いてしまう。また、聞き取り調査を実施されるユーザの負担の増大化も招いてしまう。 For example, some users may formally perform specific operations in the course of business, so the collected history of operations includes a mixture of records related to specific formal operations and records related to specific unauthorized operations. It will be. In addition, the security administrator will have to evaluate the formal specific operation and interview the user, which will increase the burden on the security administrator. In addition, an increase in the burden on the user who conducts the interview survey is also invited.
そこで、本実施の形態では、ユーザの操作履歴に基づきユーザの属性ごとに特定の操作に関する評価基準を生成し、特定のユーザによる特定の操作があると、特定のユーザの属性から特定される評価基準を満たすか判定することができる判定方法について説明する。これによれば、判定方法は、セキュリティ管理者による特定の操作に対する評価を支援することができ、特定の操作に関する評価負担の低減化を図ることができる。 Therefore, in the present embodiment, an evaluation criterion for a specific operation is generated for each user attribute based on the user's operation history. A determination method for determining whether the criteria are met will be described. According to this, the determination method can support the evaluation of the specific operation by the security administrator, and can reduce the evaluation burden of the specific operation.
(1-1)判定装置100は、記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成する。属性は、例えば、職責、所属、および、勤務形態などである。特定の操作は、例えば、機密情報の持ち出しの操作などである。評価基準は、特定の操作の正当性を評価するための基準である。評価基準は、例えば、特定の操作が許可される時間帯を表す。
(1-1) The
記憶部は、ユーザによる操作の履歴110をユーザの属性と対応付けて記憶する。操作の履歴は、操作ごとのレコードを集めたDB(Data Base)である。記憶部は、例えば、図13に後述する操作履歴1300を記憶する。レコードは、ユーザによる操作に関する情報が設定される。ユーザによる操作に関する情報は、例えば、ユーザによる操作が行われた時点を表す情報を含む。判定装置100は、例えば、1以上の評価基準120を生成して記憶する。
The storage unit stores a
(1-2)判定装置100は、いずれかのユーザの属性に基づいて、生成した評価基準のうち、いずれかのユーザによる特定の操作に関する評価基準を特定する。判定装置100は、例えば、いずれかのユーザによる特定の操作を検出した場合、いずれかのユーザの属性ごとに対応付けられた、特定の操作に関する評価基準を特定する。判定装置100は、具体的には、評価基準120のうち、いずれかのユーザの属性に対応付けられた、特定の操作が許可された時間帯を表す評価基準を特定する。
(1-2) The
(1-3)判定装置100は、いずれかのユーザによる特定の操作を検出した場合、いずれかのユーザによる特定の操作が、特定した評価基準を満たすか否かを判定する。判定装置100は、例えば、記憶部に記憶されたユーザによる特定の操作の履歴130を抽出する。そして、判定装置100は、抽出したユーザによる特定の操作の履歴130から、いずれかのユーザによる特定の操作に関するレコードを検出した場合、いずれかのユーザによる特定の操作が評価基準を満たすか否かを判定する。
(1-3) When detecting a specific operation by any user, the
判定装置100は、具体的には、ユーザ「Bさん」による特定の操作が行われた時点が、評価基準が表す特定の操作が許可された時間帯に含まれるか否かを判定する。図1の例では、判定装置100は、ユーザ「Bさん」による特定の操作が行われた時点が、評価基準が表す特定の操作が許可された時間帯に含まれないと判定し、ユーザ「Bさん」による特定の操作が、業務上不正な操作であると判断する。
Specifically, the
その後、判定装置100は、判定した結果を出力してもよい。出力形式は、例えば、ディスプレイへの表示、プリンタへの印刷出力、外部装置への送信、または、記憶領域への記憶などである。判定装置100は、例えば、判定した結果をユーザによる操作の履歴と対応付けてディスプレイに表示し、判定した結果をユーザによる操作の履歴と対応付けてセキュリティ管理者が把握可能にする。
After that, the
これにより、判定装置100は、特定の操作に関する評価負担の低減化を図ることができる。判定装置100は、例えば、特定の操作の正当性を評価した結果を表す、特定の操作が評価基準を満たすか否かを判定した結果を、セキュリティ管理者が参照可能にすることができる。このため、セキュリティ管理者は、複数のユーザによる特定の操作のうち、いずれの特定の操作が、不正に行われた可能性が相対的に大きく、優先して調査して正当性を評価することが好ましいかを把握することができる。
As a result, the
結果として、セキュリティ管理者は、複数のユーザによる特定の操作についての評価負担の低減化を図ることができる。また、セキュリティ管理者は、業務上不正な特定の操作があれば、業務上不正な特定の操作について対策を実施し、効率よくセキュリティの向上を図ることができる。また、セキュリティ管理者は、複数のユーザによる特定の操作についての評価負担が低減されると、不正に行われた可能性が相対的に大きい特定の操作について、重点的に評価しやすくなり、評価精度の向上を図ることができ、不正な操作を見落としにくくできる。 As a result, the security administrator can reduce the burden of evaluating specific operations by multiple users. In addition, if there is a specific illegal operation in business, the security administrator can take measures against the specific illegal operation in business and efficiently improve security. In addition, if the burden of evaluating specific operations by multiple users is reduced, security administrators will be more likely to focus on evaluating specific operations that are more likely to have been performed fraudulently. Accuracy can be improved, and unauthorized operations can be hardly overlooked.
また、判定装置100は、業務形態や業務環境の多様化に伴い、一部のユーザが業務上正式に特定の操作を行うことが望まれる状況についても適用することができ、ユーザの利便性を維持することができる。また、判定装置100は、業務上正式に特定の操作を行った一部のユーザに対して、セキュリティ管理者から聞き取り調査が実施される可能性の低減化を図ることができる。このため、判定装置100は、聞き取り調査を実施されるユーザについても負担の低減化を図ることができる。
In addition, the
ここでは、判定装置100が、ユーザの属性ごとに特定の操作に関する評価基準を生成する場合について説明したが、これに限らない。例えば、判定装置100が、予め、ユーザの属性ごとの特定の操作に関する評価基準を記憶しておく場合があってもよい。具体的には、判定装置100は、ユーザの属性ごとの特定の操作に関する評価基準の入力を受け付け、ユーザの属性ごとの特定の操作に関する評価基準を記憶しておく。また、判定装置100が、生成した評価基準と予め記憶された評価基準とを両方とも用いる場合があってもよい。
Here, a case where the
ここでは、判定装置100が、いずれかのユーザによる特定の操作を検出する前か後かに限らず、ユーザの属性ごとに特定の操作に関する評価基準を生成する場合について説明したが、これに限らない。例えば、判定装置100が、いずれかのユーザによる特定の操作を検出した後、いずれかのユーザの属性ごとに特定の操作に関する評価基準を生成する場合があってもよい。
Here, a case has been described where the
(判定システム200の一例)
次に、図2を用いて、図1に示した判定装置100を適用した、判定システム200の一例について説明する。
(Example of determination system 200)
Next, an example of a
図2は、判定システム200の一例を示す説明図である。図2において、判定システム200は、判定装置100と、情報蓄積装置203と、セキュリティ管理者の端末装置201と、ユーザの端末装置202とを含む。
FIG. 2 is an explanatory diagram showing an example of the
判定システム200において、判定装置100と情報蓄積装置203とセキュリティ管理者の端末装置201とユーザの端末装置202とは、有線または無線のネットワーク210を介して接続される。ネットワーク210は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、または、インターネットなどである。
In the
判定装置100は、情報蓄積装置203に蓄積されたユーザによる操作に関する情報を参照し、ユーザによる特定の操作が評価基準を満たすか否かを判定するコンピュータである。判定装置100は、判定した結果を、セキュリティ管理者の端末装置201に出力する。判定装置100は、例えば、サーバやPCなどである。
The
情報蓄積装置203は、端末装置202におけるユーザによる操作に関する情報を収集し、図13に後述する操作履歴1300を用いて蓄積するコンピュータである。情報蓄積装置203は、端末装置202におけるユーザによる操作に関する情報を、判定装置100に参照可能にする。情報蓄積装置203は、例えば、サーバやPCなどである。
The
セキュリティ管理者の端末装置201は、判定システム200のセキュリティ管理者により利用されるコンピュータである。セキュリティ管理者は、例えば、企業や役所などのような組織に所属する人間である。セキュリティ管理者の端末装置201は、判定装置100が判定した結果を受け付け、判定装置100が判定した結果をセキュリティ管理者が参照可能にする。セキュリティ管理者の端末装置201は、例えば、PC、タブレット端末、および、スマートフォンなどである。
The security administrator's
ユーザの端末装置202は、ユーザの操作を受け付け、ユーザの操作に関する情報を情報蓄積装置203に出力するコンピュータである。ユーザは、例えば、企業や役所などのような組織に所属する人間である。ユーザは、具体的には、セキュリティ管理者と同じ組織に所属する。ユーザの端末装置202は、例えば、PC、タブレット端末、および、スマートフォンなどである。
The user's
ここでは、セキュリティ管理者とユーザとが同じ組織に所属する場合について説明したが、これに限らない。例えば、セキュリティ管理者が、ユーザとは異なる組織に所属し、組織から依頼を受けて、組織のセキュリティの向上を図る人間であってもよい。 Although the case where the security administrator and the user belong to the same organization has been described here, the present invention is not limited to this. For example, the security administrator may be a person who belongs to an organization different from the user, receives a request from the organization, and works to improve the security of the organization.
ここでは、判定装置100が、情報蓄積装置203、セキュリティ管理者の端末装置201、ユーザの端末装置202などとは異なる装置である場合について説明したが、これに限らない。例えば、判定装置100が、情報蓄積装置203と一体である場合があってもよい。また、例えば、判定装置100が、セキュリティ管理者の端末装置201と一体である場合があってもよい。また、例えば、判定装置100が、ユーザの端末装置202と一体である場合があってもよい。
Here, a case where the
(判定装置100のハードウェア構成例)
次に、図3を用いて、図2に示した判定システム200に含まれる判定装置100のハードウェア構成例について説明する。
(Hardware configuration example of determination device 100)
Next, a hardware configuration example of the
図3は、判定装置100のハードウェア構成例を示すブロック図である。図3において、判定装置100は、CPU(Central Processing Unit)301と、メモリ302と、ネットワークI/F(Interface)303と、記録媒体I/F304と、記録媒体305とを有する。また、各構成部は、バス300によってそれぞれ接続される。
FIG. 3 is a block diagram showing a hardware configuration example of the
ここで、CPU301は、判定装置100の全体の制御を司る。メモリ302は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)およびフラッシュROMなどを有する。具体的には、例えば、フラッシュROMやROMが各種プログラムを記憶し、RAMがCPU301のワークエリアとして使用される。メモリ302に記憶されるプログラムは、CPU301にロードされることで、コーディングされている処理をCPU301に実行させる。メモリ302は、図4~図13に後述する各種テーブルを記憶する。
Here, the
ネットワークI/F303は、通信回線を通じてネットワーク210に接続され、ネットワーク210を介して他のコンピュータに接続される。そして、ネットワークI/F303は、ネットワーク210と内部のインターフェースを司り、他のコンピュータからのデータの入出力を制御する。ネットワークI/F303には、例えば、モデムやLANアダプタなどを採用することができる。
Network I/
記録媒体I/F304は、CPU301の制御に従って記録媒体305に対するデータのリード/ライトを制御する。記録媒体I/F304は、例えば、ディスクドライブ、SSD(Solid State Drive)、USB(Universal Serial Bus)ポートなどである。記録媒体305は、記録媒体I/F304の制御で書き込まれたデータを記憶する不揮発メモリである。記録媒体305は、例えば、ディスク、半導体メモリ、USBメモリなどである。記録媒体305は、判定装置100から着脱可能であってもよい。記録媒体305は、図4~図13に後述する各種テーブルを記憶してもよい。
A recording medium I/
判定装置100は、上述した構成部のほか、例えば、キーボード、マウス、ディスプレイ、プリンタ、スキャナ、マイク、スピーカーなどを有してもよい。また、判定装置100は、記録媒体I/F304や記録媒体305を複数有していてもよい。また、判定装置100は、記録媒体I/F304や記録媒体305を有していなくてもよい。
The
(人事情報DB400の記憶内容)
次に、図4を用いて、人事情報DB400の記憶内容の一例について説明する。人事情報DB400は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
(Stored content of personnel information DB 400)
Next, an example of contents stored in the
図4は、人事情報DB400の記憶内容の一例を示す説明図である。図4に示すように、人事情報DB400は、ユーザと、職責と、所属と、勤務形態とのフィールドを有する。人事情報DB400は、各フィールドに情報を設定することにより、人事情報が記憶される。
FIG. 4 is an explanatory diagram showing an example of the contents of the
ユーザのフィールドには、ユーザを識別する情報が設定される。職責のフィールドには、ユーザの属性である職責を表す情報が設定される。職責を表す情報は、例えば、部長、課長、一般などである。所属のフィールドには、ユーザの属性である所属を表す情報が設定される。所属を表す情報は、例えば、総務部、営業部、開発部などである。勤務形態のフィールドには、ユーザの属性である勤務形態を表す情報が設定される。 Information for identifying a user is set in the user field. Information representing the responsibility, which is a user attribute, is set in the responsibility field. The information representing job responsibilities is, for example, manager, section manager, general, and the like. Information representing the affiliation, which is a user attribute, is set in the affiliation field. The information representing the affiliation is, for example, the general affairs department, the sales department, the development department, and the like. Information representing a work style, which is a user attribute, is set in the work style field.
ここでは、人事情報DB400が、ユーザと、職責と、所属と、勤務形態とのフィールドを有する場合について説明したが、これに限らない。例えば、人事情報DB400が、さらに、職種や担当業務のフィールドを有する場合があってもよい。また、例えば、人事情報DB400が、職責と、所属と、勤務形態と、職種と、担当業務との少なくともいずれかのフィールドを有さない場合があってもよい。
Here, the case where the
職種のフィールドには、ユーザの属性である職種を表す情報が設定される。職種を表す情報は、例えば、営業職、CE(Customer Engineer)、開発職などである。担当業務のフィールドには、ユーザの担当業務を表す情報が設定される。担当業務を表す情報は、例えば、プロジェクトの名称である。担当業務を表す情報は、具体的には、製造業A様Prj、海外B様Prj、官庁C様Prjなどである。 Information representing a job type, which is a user attribute, is set in the job type field. The information representing the job type is, for example, a sales job, a CE (Customer Engineer), a development job, and the like. Information representing the user's assigned task is set in the assigned task field. The information representing the task in charge is, for example, the name of the project. Specifically, the information representing the work in charge is manufacturer A Prj, overseas B Prj, government office C Prj, and the like.
(職責に対する業務行動パターン情報DB500の記憶内容)
次に、図5を用いて、職責に対する業務行動パターン情報DB500の記憶内容の一例について説明する。職責に対する業務行動パターン情報DB500は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
(Contents stored in the business behavior
Next, with reference to FIG. 5, an example of the contents stored in the business behavior
図5は、職責に対する業務行動パターン情報DB500の記憶内容の一例を示す説明図である。図5に示すように、職責に対する業務行動パターン情報DB500は、職責と、業務時間外持ち出しとのフィールドを有する。職責に対する業務行動パターン情報DB500は、各フィールドに情報を設定することにより、職責に対する業務行動パターン情報が記憶される。
FIG. 5 is an explanatory diagram showing an example of the contents stored in the business behavior
職責のフィールドには、ユーザの職責を表す情報が設定される。職責を表す情報は、例えば、部長、課長、一般などである。業務時間外持ち出しのフィールドには、業務時間外における情報の持ち出しの操作の多さを表す情報が設定される。業務時間は、例えば、9:00~18:00である。業務時間外は、例えば、18:00~翌9:00である。持ち出しの操作の多さを表す情報は、例えば、多い、少ない、または、なしである。持ち出しの操作の多さを表す情報は、例えば、あり、または、なしであってもよい。 Information representing the user's responsibility is set in the responsibility field. The information representing job responsibilities is, for example, manager, section manager, general, and the like. Information representing the number of operations for taking out information outside business hours is set in the outside business hours field. Business hours are, for example, 9:00 to 18:00. Non-business hours are, for example, from 18:00 to 9:00 the next day. Information indicating the number of take-out operations is, for example, many, few, or none. For example, the information indicating the number of take-out operations may be present or absent.
(所属に対する業務行動パターン情報DB600の記憶内容)
次に、図6を用いて、所属に対する業務行動パターン情報DB600の記憶内容の一例について説明する。所属に対する業務行動パターン情報DB600は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
(Contents stored in the business behavior
Next, an example of the contents stored in the business behavior
図6は、所属に対する業務行動パターン情報DB600の記憶内容の一例を示す説明図である。図6に示すように、所属に対する業務行動パターン情報DB600は、所属と、機密情報の持ち出しとのフィールドを有する。所属に対する業務行動パターン情報DB600は、各フィールドに情報を設定することにより、所属に対する業務行動パターン情報が記憶される。
FIG. 6 is an explanatory diagram showing an example of the contents stored in the business behavior
所属のフィールドには、ユーザの所属を表す情報が設定される。所属を表す情報は、例えば、総務部、営業部、開発部などである。機密情報の持ち出しのフィールドには、機密情報の持ち出しの操作の多さを表す情報が設定される。持ち出しの操作の多さを表す情報は、例えば、多い、少ない、または、なしである。持ち出しの操作の多さを表す情報は、例えば、あり、または、なしであってもよい。 Information representing the user's affiliation is set in the affiliation field. The information representing the affiliation is, for example, the general affairs department, the sales department, the development department, and the like. Information representing the number of confidential information take-out operations is set in the confidential information bring-out field. Information indicating the number of take-out operations is, for example, many, few, or none. For example, the information indicating the number of take-out operations may be present or absent.
(勤務形態に対する業務行動パターン情報DB700の記憶内容)
次に、図7を用いて、勤務形態に対する業務行動パターン情報DB700の記憶内容の一例について説明する。勤務形態に対する業務行動パターン情報DB700は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
(Contents stored in the work behavior
Next, an example of the contents stored in the work behavior
図7は、勤務形態に対する業務行動パターン情報DB700の記憶内容の一例を示す説明図である。図7に示すように、勤務形態に対する業務行動パターン情報DB700は、勤務形態と、アクセス許可とのフィールドを有する。勤務形態に対する業務行動パターン情報DB700は、各フィールドに情報を設定することにより、勤務形態に対する業務行動パターン情報が記憶される。
FIG. 7 is an explanatory diagram showing an example of the contents stored in the work behavior
勤務形態のフィールドには、ユーザの勤務形態を表す情報が設定される。勤務形態を表す情報は、例えば、通常勤務、社外常駐勤務、テレワーク勤務などである。アクセス許可のフィールドには、ユーザによるアクセスが許可された記憶領域を表す情報が設定される。記憶領域を表す情報は、例えば、全ファイルサーバ、常駐用ファイルサーバ、テレワーク用ファイルサーバなどである。 Information representing the user's work style is set in the work style field. The information representing the work style is, for example, normal work, outside permanent work, telework work, and the like. Information representing a storage area to which the user is permitted to access is set in the access permission field. The information representing the storage area is, for example, all file servers, resident file servers, telework file servers, and the like.
(職種に対する業務行動パターン情報DB800の記憶内容)
次に、図8を用いて、職種に対する業務行動パターン情報DB800の記憶内容の一例について説明する。職種に対する業務行動パターン情報DB800は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
(Contents stored in the business behavior
Next, an example of the contents stored in the business behavior
図8は、職種に対する業務行動パターン情報DB800の記憶内容の一例を示す説明図である。図8に示すように、職種に対する業務行動パターン情報DB800は、職種と、持ち出し手段とのフィールドを有する。職種に対する業務行動パターン情報DB800は、各フィールドに情報を設定することにより、職種に対する業務行動パターン情報が記憶される。
FIG. 8 is an explanatory diagram showing an example of the contents stored in the business behavior
職種のフィールドには、ユーザの職種を表す情報が設定される。職種を表す情報は、例えば、営業職、CE、開発職などである。持ち出し手段のフィールドには、情報の持ち出しの操作についての利用が許可された記録媒体を表す情報が設定される。記録媒体を表す情報は、例えば、DVD(Digital Versatile Disc)、HDD(Hard Disk Drive)、USBメモリなどである。 Information representing the user's occupation is set in the occupation field. The information representing the job type is, for example, a sales job, a CE, a development job, and the like. In the bring-out means field, information is set that indicates a recording medium that is permitted to be used for the information take-out operation. Information representing a recording medium is, for example, a DVD (Digital Versatile Disc), a HDD (Hard Disk Drive), a USB memory, or the like.
(担当に対する業務行動パターン情報DB900の記憶内容)
次に、図9を用いて、担当に対する業務行動パターン情報DB900の記憶内容の一例について説明する。担当に対する業務行動パターン情報DB900は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
(Stored content of business behavior
Next, an example of the contents stored in the business behavior
図9は、担当に対する業務行動パターン情報DB900の記憶内容の一例を示す説明図である。図9に示すように、担当に対する業務行動パターン情報DB900は、担当業務と、持ち出し可能期間とのフィールドを有する。担当に対する業務行動パターン情報DB900は、各フィールドに情報を設定することにより、担当に対する業務行動パターン情報が記憶される。
FIG. 9 is an explanatory diagram showing an example of the contents stored in the business behavior
担当業務のフィールドには、ユーザの担当業務を表す情報が設定される。担当業務を表す情報は、例えば、プロジェクトの名称である。担当業務を表す情報は、具体的には、製造業A様Prj、海外B様Prj、官庁C様Prjなどである。持ち出し可能期間のフィールドには、担当業務に関する情報の持ち出しの操作を行うことが可能である期間を表す情報が設定される。 Information representing the user's assigned task is set in the assigned task field. The information representing the task in charge is, for example, the name of the project. Specifically, the information representing the work in charge is manufacturer A Prj, overseas B Prj, government office C Prj, and the like. Information indicating a period during which the take-out operation of the information related to the task in charge can be performed is set in the field of the take-out permitted period.
(資産情報DB1000の記憶内容)
次に、図10を用いて、資産情報DB1000の記憶内容の一例について説明する。資産情報DB1000は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
(Contents stored in asset information DB 1000)
Next, an example of the contents stored in the
図10は、資産情報DB1000の記憶内容の一例を示す説明図である。図10に示すように、資産情報DB1000は、資産名と、設置箇所と、パッチ適用状態と、HDD暗号化とのフィールドを有する。資産情報DB1000は、各フィールドに情報を設定することにより、資産情報が記憶される。
FIG. 10 is an explanatory diagram showing an example of the contents stored in the
資産名のフィールドには、資産である端末装置202を識別する情報が設定される。端末装置202を識別する情報は、例えば、PC001などである。設置箇所は、端末装置202が設置された箇所を表す情報が設定される。箇所を表す情報は、例えば、自宅や事務所内などである。パッチ適用状態のフィールドには、端末装置202に対するセキュリティパッチの適用状態を表す情報が設定される。HDD暗号化は、端末装置202が有するHDD内の情報が暗号化されているか否かを表す情報が設定される。
Information for identifying the
(所属に対する業務環境パターン情報DB1100の記憶内容)
次に、図11を用いて、所属に対する業務環境パターン情報DB1100の記憶内容の一例について説明する。所属に対する業務環境パターン情報DB1100は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
(Contents stored in the work environment
Next, an example of the contents stored in the business environment
図11は、所属に対する業務環境パターン情報DB1100の記憶内容の一例を示す説明図である。図11に示すように、所属に対する業務環境パターン情報DB1100は、所属と、設置箇所とのフィールドを有する。所属に対する業務環境パターン情報DB1100は、各フィールドに情報を設定することにより、所属に対する業務環境パターン情報が記憶される。
FIG. 11 is an explanatory diagram showing an example of the contents stored in the work environment
所属のフィールドには、ユーザの所属を表す情報が設定される。所属を表す情報は、例えば、総務部、営業部、開発部などである。設置箇所には、ユーザによる利用が許可された端末装置202が設置された箇所を表す情報が設定される。箇所を表す情報は、例えば、自宅や事務所内などである。
Information representing the user's affiliation is set in the affiliation field. The information representing the affiliation is, for example, the general affairs department, the sales department, the development department, and the like. Information indicating the location where the
(勤務形態に対する業務環境パターン情報DB1200の記憶内容)
次に、図12を用いて、勤務形態に対する業務環境パターン情報DB1200の記憶内容の一例について説明する。勤務形態に対する業務環境パターン情報DB1200は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
(Contents stored in the work environment
Next, an example of the contents stored in the work environment
図12は、勤務形態に対する業務環境パターン情報DB1200の記憶内容の一例を示す説明図である。図12に示すように、勤務形態に対する業務環境パターン情報DB1200は、勤務形態と、操作環境(パッチ適用状態)と、操作環境(HDD暗号化)とのフィールドを有する。勤務形態に対する業務環境パターン情報DB1200は、各フィールドに情報を設定することにより、勤務形態に対する業務環境パターン情報が記憶される。
FIG. 12 is an explanatory diagram showing an example of the contents stored in the work environment
勤務形態のフィールドには、ユーザの勤務形態を表す情報が設定される。勤務形態を表す情報は、例えば、通常勤務、社外常駐勤務、テレワーク勤務などである。操作環境(パッチ適用状態)のフィールドには、ユーザによる操作が許可される条件として、端末装置202に対するセキュリティパッチの適用状態を表す情報が設定される。操作環境(HDD暗号化)のフィールドには、ユーザによる操作が許可される条件として、端末装置202が有するHDD内の情報の暗号化の有無を表す情報が設定される。
Information representing the user's work style is set in the work style field. The information representing the work style is, for example, normal work, outside permanent work, telework work, and the like. In the operating environment (patch application state) field, information indicating the application state of security patches for the
(操作履歴1300の記憶内容)
次に、図13を用いて、操作履歴1300の記憶内容の一例について説明する。操作履歴1300は、例えば、図3に示した判定装置100のメモリ302や記録媒体305などの記憶領域により実現される。
(Stored content of operation history 1300)
Next, an example of the contents of the
図13は、操作履歴1300の記憶内容の一例を示す説明図である。図13に示すように、操作履歴1300は、ユーザ名と、資産名と、日時と、操作ログとのフィールドを有する。操作履歴1300は、各フィールドに情報を設定することにより、操作情報が記憶される。
FIG. 13 is an explanatory diagram showing an example of the contents of the
ユーザ名のフィールドには、ユーザを識別する情報としてユーザ名が設定される。資産名のフィールドには、資産である端末装置202を識別する情報として資産名が設定される。日時のフィールドには、ユーザにより端末装置202の操作が行われた日時が設定される。操作ログのフィールドには、ユーザにより行われた操作の内容が設定される。
A user name is set in the user name field as information for identifying a user. An asset name is set in the asset name field as information for identifying the
(情報蓄積装置203のハードウェア構成例)
図2に示した判定システム200に含まれる情報蓄積装置203のハードウェア構成例は、図3に示した判定装置100のハードウェア構成例と同様であるため、説明を省略する。図13に示した操作履歴1300は、例えば、情報蓄積装置203により生成され、情報蓄積装置203から判定装置100に送信され、判定装置100に記憶される。
(Hardware Configuration Example of Information Storage Device 203)
A hardware configuration example of the
(端末装置201,202のハードウェア構成例)
次に、図14を用いて、図2に示した教育システムに含まれる端末装置201,202のハードウェア構成例について説明する。図14の例では、具体的には、端末装置201,202のうち、端末装置201を一例として説明する。
(Hardware Configuration Example of
Next, a hardware configuration example of the
図14は、端末装置201のハードウェア構成例を示すブロック図である。図14において、端末装置201は、CPU1401と、メモリ1402と、ネットワークI/F1403と、記録媒体I/F1404と、記録媒体1405と、ディスプレイ1406と、入力装置1407とを有する。また、各構成部は、バス1400によってそれぞれ接続される。
FIG. 14 is a block diagram showing a hardware configuration example of the
ここで、CPU1401は、端末装置201の全体の制御を司る。メモリ1402は、例えば、ROM、RAMおよびフラッシュROMなどを有する。具体的には、例えば、フラッシュROMやROMが各種プログラムを記憶し、RAMがCPU1401のワークエリアとして使用される。メモリ1402に記憶されるプログラムは、CPU1401にロードされることで、コーディングされている処理をCPU1401に実行させる。
Here, the
ネットワークI/F1403は、通信回線を通じてネットワーク210に接続され、ネットワーク210を介して他のコンピュータに接続される。そして、ネットワークI/F1403は、ネットワーク210と内部のインターフェースを司り、他のコンピュータからのデータの入出力を制御する。ネットワークI/F1403には、例えば、モデムやLANアダプタなどを採用することができる。
Network I/
記録媒体I/F1404は、CPU1401の制御に従って記録媒体1405に対するデータのリード/ライトを制御する。記録媒体I/F1404は、例えば、ディスクドライブ、SSD、USBポートなどである。記録媒体1405は、記録媒体I/F1404の制御で書き込まれたデータを記憶する不揮発メモリである。記録媒体1405は、例えば、ディスク、半導体メモリ、USBメモリなどである。記録媒体1405は、端末装置201から着脱可能であってもよい。
A recording medium I/
ディスプレイ1406は、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する。ディスプレイ1406は、例えば、CRT(Cathode Ray Tube)、液晶ディスプレイ、有機EL(Electroluminescence)ディスプレイなどを採用することができる。入力装置1407は、文字、数字、各種指示などの入力のためのキーを有し、データの入力を行う。入力装置1407は、キーボードやマウスなどであってもよく、また、タッチパネル式の入力パッドやテンキーなどであってもよい。
The
端末装置201は、上述した構成部のほか、例えば、プリンタ、スキャナ、マイク、スピーカーなどを有してもよい。また、端末装置201は、記録媒体I/F1404や記録媒体1405を複数有していてもよい。また、端末装置201は、記録媒体I/F1404や記録媒体1405を有していなくてもよい。
The
(判定装置100の機能的構成例)
次に、図15を用いて、判定装置100の機能的構成例について説明する。
(Example of functional configuration of determination device 100)
Next, a functional configuration example of the
図15は、判定装置100の機能的構成例を示すブロック図である。判定装置100は、記憶部1500と、取得部1501と、生成部1502と、特定部1503と、判定部1504と、出力部1505とを含む。
FIG. 15 is a block diagram showing a functional configuration example of the
記憶部1500は、例えば、図3に示したメモリ302や記録媒体305などの記憶領域によって実現される。以下では、記憶部1500が、判定装置100に含まれる場合について説明するが、これに限らない。例えば、記憶部1500が、判定装置100とは異なる装置に含まれ、記憶部1500の記憶内容が判定装置100から参照可能である場合があってもよい。
The
取得部1501~出力部1505は、制御部の一例として機能する。取得部1501~出力部1505は、具体的には、例えば、図3に示したメモリ302や記録媒体305などの記憶領域に記憶されたプログラムをCPU301に実行させることにより、または、ネットワークI/F303により、その機能を実現する。各機能部の処理結果は、例えば、図3に示したメモリ302や記録媒体305などの記憶領域に記憶される。
記憶部1500は、各機能部の処理において参照され、または更新される各種情報を記憶する。記憶部1500は、例えば、ユーザによる操作の履歴をユーザの属性と対応付けて記憶する。操作の履歴は、操作ごとのレコードを集めたDBである。レコードは、ユーザによる操作に関する情報が設定される。ユーザによる操作に関する情報は、例えば、ユーザによる操作が行われた時点を表す情報を含む。ユーザは、それぞれ種別が異なる複数の属性を有してもよい。記憶部1500は、具体的には、図13に示した操作履歴1300を記憶する。
The
記憶部1500は、例えば、ユーザの属性を表す情報を記憶する。記憶部1500は、例えば、特定の操作に関する評価基準を記憶する。評価基準は、特定の操作の正当性を評価するための基準である。評価基準は、例えば、特定の操作が、ユーザの業務上正当な操作であるか、または、不当な操作であるかを評価するための基準である。評価基準は、具体的には、生成部1502によって生成され、または、予め記憶される。記憶部1500は、具体的には、図4~図12に示した各種テーブルを記憶する。
The
取得部1501は、各機能部の処理に用いられる各種情報を記憶部1500から取得し、各機能部に出力する。取得部1501は、例えば、各機能部の処理に用いられる各種情報を記憶部1500から取得し、各機能部に出力してもよい。取得部1501は、例えば、各機能部の処理に用いられる各種情報を、判定装置100とは異なる装置から取得し、各機能部に出力してもよい。取得部1501は、具体的には、情報蓄積装置203から操作履歴1300を取得し、記憶部1500に記憶する。
生成部1502は、特定の操作に関する評価基準を生成する。生成部1502は、例えば、記憶部1500を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成する。生成部1502は、具体的には、第1種別の属性ごとに特定の操作が許可される時間帯を表す評価基準を生成する。第1種別は、例えば、職責である。生成部1502は、具体的には、図16に後述するように、職責に関する業務行動パターン情報DBを生成する。
The
生成部1502は、具体的には、第2種別の属性ごとに特定の操作が許可される対象種別を表す情報を生成してもよい。第2種別は、例えば、所属である。生成部1502は、具体的には、図16に後述するように、所属に関する業務行動パターン情報DBを生成する。これにより、生成部1502は、ユーザによる特定の操作の正当性を評価可能にすることができる。
Specifically, the
生成部1502は、例えば、いずれかのユーザによる特定の操作を監視し、いずれかのユーザによる特定の操作を検出してもよい。そして、生成部1502は、いずれかのユーザによる特定の操作を検出した場合、記憶部1500を参照し、いずれかのユーザの属性ごとに特定の操作に関する評価基準を生成する。
The
生成部1502は、具体的には、いずれかのユーザによる特定の操作に関するレコードを記憶部1500から検索することにより、いずれかのユーザによる特定の操作を検出する。そして、生成部1502は、いずれかのユーザによる特定の操作を検出したことに応じて、記憶部1500を参照し、いずれかのユーザの属性ごとに特定の操作に関する評価基準を生成する。
Specifically, the
これにより、生成部1502は、検出した特定の操作に関する評価基準を、判定システム200の最新の状態に対応するようにし、判定部1504の判定精度の向上を図ることができる。また、生成部1502は、すべての属性について評価基準を生成しなくてもよいため、生成処理にかかる負担の低減化を図ることができる。
As a result, the
特定部1503は、いずれかのユーザの属性に基づいて、生成した評価基準のうち、いずれかのユーザによる特定の操作に関する評価基準を特定する。これにより、特定部1503は、特定の操作の正当性の判定に利用する評価基準を特定し、判定部1504に提供することができる。
The specifying
判定部1504は、いずれかのユーザによる特定の操作が評価基準を満たすか否かを判定する。判定部1504は、例えば、いずれかのユーザによる特定の操作を検出した場合、いずれかのユーザによる特定の操作が、特定部1503が特定した評価基準を満たすか否かを判定する。
A
判定部1504は、具体的には、いずれかのユーザによる特定の操作に関するレコードを記憶部1500から検索することにより、いずれかのユーザによる特定の操作を検出する。そして、判定部1504は、いずれかのユーザによる特定の操作を検出したことに応じて、検出した特定の操作のレコードが、いずれかのユーザの属性ごとの評価基準を満たすか否かを判定する。
Specifically, the
これにより、判定部1504は、特定の操作に関する評価負担の低減化を図ることができる。判定部1504は、例えば、特定の操作の正当性を評価した結果を表す、特定の操作が評価基準を満たすか否かを判定した結果を、セキュリティ管理者が参照可能にすることができる。
As a result, the
判定部1504は、例えば、いずれかのユーザによる操作の履歴を参照し、いずれかのユーザによる特定の操作の前または後に行われた、いずれかのユーザによる他の操作に基づいて、評価基準を満たすか否かを判定してもよい。他の操作は、例えば、特定の操作が情報の持ち出しの操作であれば、持ち出される情報を記憶領域から読み出す操作である。他の操作は、例えば、持ち出す情報を改変する操作であってもよい。判定部1504は、具体的には、図23に後述するように、評価基準を満たすか否かを判定する。これにより、判定部1504は、判定精度の向上を図ることができる。
For example, the
出力部1505は、判定部1504が判定した結果を出力する。出力形式は、例えば、ディスプレイへの表示、プリンタへの印刷出力、ネットワークI/F303による外部装置への送信、または、メモリ302や記録媒体305などの記憶領域への記憶である。出力部1505は、例えば、判定部1504が判定した結果を、特定の端末に出力する。特定の端末は、例えば、セキュリティ管理者の端末装置201である。
The
出力部1505は、各機能部の処理結果を出力してもよい。出力部1505は、例えば、各機能部の処理結果を、特定の端末に出力する。これにより、出力部1505は、各機能部の処理結果を利用者に通知可能にし、判定装置100の管理や運用、例えば、判定装置100の設定値の更新などを支援することができ、判定装置100の利便性の向上を図ることができる。
The
(判定システム200の実施例)
次に、図16~図26を用いて、判定システム200の実施例について説明する。
(Example of determination system 200)
Next, an example of the
図16~図26は、判定システム200の実施例を示す説明図である。図16において、判定装置100は、学習用の操作履歴1600に基づいて、ユーザによる特定の操作の正当性を評価する評価基準を表す、職責に対する業務行動パターン情報DB500と所属に対する業務行動パターン情報DB600とを生成する。
16 to 26 are explanatory diagrams showing an embodiment of the
学習用の操作履歴1600は、情報の持ち出しの操作の正当性を評価する対象である操作履歴1300と同様の情報である。学習用の操作履歴1600は、例えば、セキュリティ管理者によって、不正な操作がないことが確認されたユーザa~fによる操作の履歴である。また、判定装置100が、学習用の操作履歴1600として、操作履歴1300自体を用いる場合があってもよい。
The
判定装置100は、例えば、人事情報DB400を参照し、操作履歴1600のうち、同一の職責であるユーザのレコードを抽出する。次に、判定装置100は、抽出したレコードに基づいて、業務時間外持ち出しの多さを評価する。そして、判定装置100は、評価した結果を、職責に対する業務行動パターン情報DB500に記憶する。
For example, the
図16の例では、判定装置100は、同じ職責「課長」であるユーザcとユーザeとのレコードを抽出する。判定装置100は、抽出した職責「課長」であるユーザcとユーザeとのレコードのうち、業務時間外持ち出しの操作に関するレコードの比率が閾値以下であるため、業務時間外持ち出しの操作は「少ない」と評価する。そして、判定装置100は、評価した結果を、職責に対する業務行動パターン情報DB500に記憶する。
In the example of FIG. 16, the
これにより、判定装置100は、以降、職責「課長」であるユーザの情報持ち出しの操作についての正当性を評価することができる。判定装置100は、例えば、職責「課長」であるいずれかのユーザのレコードのうち、業務時間外持ち出しの操作に関するレコードの比率が閾値より大きければ、業務時間外持ち出しの操作が「多い」と評価する。そして、判定装置100は、業務時間外持ち出しの操作が「少ない」傾向があるユーザについて、業務時間外持ち出しの操作が「多い」と評価されたため、不正な操作である可能性が比較的大きいと評価することができる。
As a result, the
判定装置100は、同様に、人事情報DB400を参照し、操作履歴1600のうち、同一の所属であるユーザのレコードを抽出する。次に、判定装置100は、抽出したレコードに基づいて、機密情報の持ち出しの多さを評価する。判定装置100は、評価した結果を、所属に対する業務行動パターン情報DB600に記憶する。
The
判定装置100は、職責に対する業務行動パターン情報DB500や所属に対する業務行動パターン情報DB600を生成する際、統計的処理により、業務時間外持ち出しの多さや機密情報の持ち出しの多さを評価してもよい。判定装置100は、例えば、業務時間外持ち出しの操作が一定以上少ない場合は、業務時間外持ち出しの操作が「なし」と評価してもよい。
When generating the job action
判定装置100は、一定期間ごとに職責に対する業務行動パターン情報DB500と所属に対する業務行動パターン情報DB600とを更新してもよい。これにより、判定装置100は、職責に対する業務行動パターン情報DB500と所属に対する業務行動パターン情報DB600とを最新の状態にすることができる。
The
また、判定装置100は、同様に、職責に対する業務行動パターン情報DB500と所属に対する業務行動パターン情報DB600と以外の各種業務行動パターン情報DBを生成してもよい。次に、図17~図25の説明に移行し、判定装置100が、ユーザによる特定の操作が評価基準を満たすか否かを判定する一例について説明する。以下では、判定装置100は、具体的には、操作履歴1300に基づき、ユーザa~fとは異なるユーザA~Fによる特定の操作が評価基準を満たすか否かを判定する。
Similarly, the
図17において、判定装置100は、操作履歴1300から、情報の持ち出しの操作に関する操作履歴1700を抽出する。以下では、例えば、操作履歴1700のレコード1701~1703が、不正な情報の持ち出しの操作である場合について説明する。これにより、判定装置100は、ユーザにより情報の持ち出しの操作が行われたことを検出することができる。次に、図18の説明に移行する。
In FIG. 17 , the
図18において、判定装置100は、操作履歴1700から、特定の操作を行ったユーザを表すユーザ名と、特定の操作が行われた端末装置202を表す資産名とを組み合わせた情報を記憶する組み合わせ一覧1800を特定する。次に、図19の説明に移行する。
18, the
図19において、判定装置100は、人事情報DB400を参照し、組み合わせ一覧1800にユーザ名が記憶されたユーザの属性を抽出し、属性一覧1900を用いて記憶する。これにより、判定装置100は、評価基準を特定するための情報を取得することができる。次に、図20の説明に移行する。
In FIG. 19 , the
図20において、判定装置100は、職責に対する業務行動パターン情報DB500、所属に対する業務行動パターン情報DB600、および、勤務形態に対する業務行動パターン情報DB700を取得する。各種業務行動パターン情報DBは、例えば、判定装置100によって生成される。各種業務行動パターン情報DBは、例えば、セキュリティ管理者によって予め作成され、判定装置100に記憶されてもよい。
In FIG. 20 , the
判定装置100は、属性一覧1900を参照し、取得した各種業務行動パターン情報DBに、ユーザごとの属性に対応付けて記憶されている情報を纏めて、業務行動評価基準一覧2000を用いて記憶する。これにより、判定装置100は、情報の持ち出しの操作の正当性を評価するための、業務行動の観点からの評価基準を取得することができる。次に、図21の説明に移行する。
The
図21において、判定装置100は、所属に対する業務環境パターン情報DB1100、および、勤務形態に対する業務環境パターン情報DB1200を取得する。各種業務環境パターン情報DBは、例えば、判定装置100によって生成される。各種業務環境パターン情報DBは、例えば、セキュリティ管理者によって予め作成され、判定装置100に記憶されてもよい。
In FIG. 21, the
判定装置100は、属性一覧1900を参照し、取得した各種業務環境パターン情報DBにユーザごとの属性に対応付けて記憶されている情報を纏めて、業務環境評価基準一覧2100を用いて記憶する。これにより、判定装置100は、情報の持ち出しの操作の正当性を評価するための、業務環境の観点からの評価基準を取得することができる。次に、図22の説明に移行する。
The
図22において、判定装置100は、資産情報DB1000を参照し、組み合わせ一覧1800に資産名が記憶された端末装置202に関する情報を抽出し、業務環境一覧2200を用いて記憶する。これにより、判定装置100は、情報の持ち出しの操作が行われた業務環境を特定可能にすることができる。次に、図23の説明に移行する。
22, the
図23において、判定装置100は、業務行動評価基準一覧2000を参照し、操作履歴1700のうち、業務行動の観点からの評価基準を満たさないレコードを特定する。ここで、例えば、ユーザAの評価基準は、機密情報の持ち出し「なし」を表す。一方で、ユーザAのレコード1701は、機密情報の持ち出しを表す。このため、判定装置100は、評価基準を満たさない業務行動外での操作に関するレコードとして、ユーザAのレコード1701を特定する。
In FIG. 23 , the
また、判定装置100は、例えば、操作履歴1300から、ユーザDによる情報の持ち出しの操作のレコード1703の直前および直後に、同一のユーザDにより行われた操作のレコード2301,2302を取得する。ここで、ユーザDの評価基準は、アクセスの許可対象として「テレワーク用ファイルサーバ」を表す。一方で、直前の操作のレコード2301は、持ち出した情報を読み出した際のアクセスの対象として「社内ファイルサーバ」を表す。このため、判定装置100は、評価基準を満たさない業務行動外での操作に関するレコードとして、ユーザDのレコード1703を特定する。
Further, the
ここでは、直前の操作のレコードが、持ち出した情報を読み出した際のアクセスの対象として、アクセスが不許可の記憶領域を表しているため、評価基準を満たさないと判定される場合について説明したが、これに限らない。例えば、持ち出した情報が、ユーザによる変更が不許可の情報であるのに、直後の操作のレコードが、持ち出した情報を変更したことを表しているため、評価基準を満たさないと判定される場合などがあってもよい。 Here, the case where it is determined that the evaluation criteria are not satisfied is explained because the record of the immediately preceding operation represents a storage area to which access is not permitted as the target of access when reading out the information brought out. , but not limited to this. For example, when it is judged that the evaluation criteria are not met because the record of the operation immediately after the brought-out information indicates that the brought-out information has been changed, even though the information is not permitted to be changed by the user. and so on.
ここで、いずれかのユーザの評価基準は、機密情報の持ち出し「少ない」を表すが、同じユーザの複数のレコードのうち、機密情報の持ち出しを表すレコードの割合が、閾値以上である場合などが考えられる。このような場合に、判定装置100は、評価基準を満たさないと判定してもよい。次に、図24の説明に移行する。
Here, one of the user's evaluation criteria indicates that confidential information is taken out "small". Conceivable. In such a case, the
図24において、判定装置100は、情報の持ち出しの操作に関する操作履歴1700と、業務環境一覧2200とを参照し、情報の持ち出しの操作ごとの業務環境を表す操作環境一覧2400を生成する。次に、判定装置100は、業務環境評価基準一覧2100を参照し、操作環境一覧2400のうち、業務環境の観点からの評価基準を満たさないレコードを特定する。
In FIG. 24, the
例えば、ユーザAの評価基準は、端末装置202の設置箇所「社内のみ」を表す。一方で、ユーザAのレコード1701が表す情報の持ち出しに対応する業務環境を表すレコード2401は、ユーザAの利用した端末装置202の設置箇所「自宅」を表す。
For example, the user A's evaluation criteria represent the location where the
また、ユーザAの評価基準は、端末装置202のHDD暗号化「あり」を表す。一方で、レコード2401は、ユーザAの利用した端末装置202のHDD暗号化「なし」を表す。このため、判定装置100は、評価基準を満たさない業務環境外での操作に関するレコードとして、ユーザAのレコード1701を特定する。
In addition, the evaluation criteria for user A indicate that HDD encryption of the
例えば、ユーザCの評価基準は、端末装置202のパッチ適用状態「すべて適用」を表す。一方で、ユーザCのレコード1702が表す情報の持ち出しに対応する業務環境を表すレコード2402は、ユーザCの利用した端末装置202のパッチ適用状態「未適用あり」を表す。このため、判定装置100は、評価基準を満たさない業務環境外での操作に関するレコードとして、ユーザCのレコード1702を特定する。
For example, user C's evaluation criteria represent the patch application status of the
例えば、ユーザDの評価基準は、端末装置202のHDD暗号化「あり」を表す。一方で、ユーザDのレコード1703が表す情報の持ち出しに対応する業務環境を表すレコード2403は、ユーザDの利用した端末装置202のHDD暗号化「なし」を表す。このため、判定装置100は、評価基準を満たさない業務環境外での操作に関するレコードとして、ユーザDのレコード1703を特定する。次に、図25の説明に移行する。
For example, user D's evaluation criteria indicate that HDD encryption of
図25において、判定装置100は、図23および図24において特定した結果を纏め、特定結果一覧2500を用いて記憶する。判定装置100は、例えば、それぞれのユーザが、評価基準を満たさない業務行動外での操作を行ったか、および、評価基準を満たさない業務環境外での操作を行ったかを纏めて記憶する。これにより、判定装置100は、いずれの情報の持ち出しの操作が、不正な操作である可能性が相対的に大きく、優先して調査して正当性を評価することが好ましいかを評価することができる。次に、図26の説明に移行する。
In FIG. 25 , the
図26において、判定装置100は、特定したレコード1701~1703に「不審な持ち出し」のマークが付与された操作履歴1700を含む通知画面2600を、セキュリティ管理者の端末装置201のディスプレイ1406に表示させる。判定装置100は、特定したレコード1701~1703に、業務行動の観点からの評価基準を満たすか否か、および、業務環境の観点からの評価基準を満たすか否かの判定結果を付与して表示させてもよい。
In FIG. 26, the
これにより、判定装置100は、セキュリティ管理者が見落としやすく、不正に行われた可能性が相対的に大きい操作があっても、様々な観点からの評価基準に基づき評価することができる。そして、判定装置100は、様々な観点からの評価基準に基づき、不正に行われた可能性が相対的に大きい操作を、セキュリティ管理者が把握可能にすることができる。
As a result, even if there is an operation that is likely to be overlooked by a security administrator and has a relatively high possibility of being performed fraudulently, the
このため、セキュリティ管理者は、複数のユーザによる情報の持ち出しの操作のうち、いずれの情報の持ち出しの操作が、不正に行われた可能性が相対的に大きく、優先して調査して正当性を評価することが好ましいかを把握することができる。また、セキュリティ管理者は、不正に行われた可能性が相対的に大きい操作を見落とす可能性を低減することができる。結果として、セキュリティ管理者は、効率よくセキュリティの向上を図ることができる。 For this reason, the security administrator should give priority to investigate any of the information export operations by a plurality of users that have a relatively high possibility of being carried out illegally, and investigate the legitimacy. It is possible to grasp whether it is preferable to evaluate In addition, the security administrator can reduce the possibility of overlooking an operation that has a relatively high possibility of being performed illegally. As a result, the security administrator can efficiently improve security.
(全体処理手順)
次に、図27を用いて、判定装置100が実行する、全体処理手順の一例について説明する。全体処理は、例えば、図3に示したCPU301と、メモリ302や記録媒体305などの記憶領域と、ネットワークI/F303とによって実現される。
(Overall processing procedure)
Next, an example of the overall processing procedure executed by the
図27は、全体処理手順の一例を示すフローチャートである。図27において、判定装置100は、端末装置202の操作履歴1300から情報の持ち出しに関する操作履歴1300を抽出する(ステップS2701)。
FIG. 27 is a flowchart illustrating an example of an overall processing procedure; In FIG. 27, the
次に、判定装置100は、人事情報DB400、業務行動パターン情報DB、業務環境パターン情報DB、資産情報DB1000を取得する(ステップS2702)。そして、判定装置100は、取得した各種DBを参照し、情報の持ち出しの操作を行ったユーザの業務行動パターン評価基準、および、業務環境パターン評価基準を生成する(ステップS2703)。
Next, the
次に、判定装置100は、取得した情報の持ち出しに関する操作履歴1300から、情報の持ち出しの操作のレコードを選択する(ステップS2704)。そして、判定装置100は、選択したレコードが、生成した業務行動パターン評価基準、および、業務環境パターン評価基準を満たすか否かを判定する(ステップS2705)。
Next, the
ここで、レコードが、業務行動パターン評価基準、または、業務環境パターン評価基準を満たさない場合(ステップS2705:No)、判定装置100は、ステップS2706の処理に移行する。一方で、レコードが、業務行動パターン評価基準、および、業務環境パターン評価基準を満たす場合(ステップS2705:Yes)、判定装置100は、ステップS2707の処理に移行する。
Here, if the record does not satisfy the business behavior pattern evaluation criteria or the business environment pattern evaluation criteria (step S2705: No), the
ステップS2706では、判定装置100は、選択したレコードに、不正操作の可能性ありを表す情報を対応付けて記憶する(ステップS2706)。そして、判定装置100は、ステップS2708の処理に移行する。
In step S2706, the
ステップS2707では、判定装置100は、選択したレコードに、正常操作を表す情報を対応付けて記憶する(ステップS2707)。そして、判定装置100は、ステップS2708の処理に移行する。
In step S2707, the
ステップS2708では、判定装置100は、すべてのレコードを選択したか否かを判定する(ステップS2708)。ここで、未選択のレコードがある場合(ステップS2708:No)、判定装置100は、ステップS2704の処理に戻る。一方で、すべてのレコードを選択している場合(ステップS2708:Yes)、判定装置100は、ステップS2709の処理に移行する。
In step S2708, the
ステップS2709では、判定装置100は、情報の持ち出しの操作のレコードと、情報の持ち出しの操作のレコードに対応付けて記憶した、不正操作の可能性ありを表す情報、または、正常操作を表す情報とを対応付けて表示する(ステップS2709)。そして、判定装置100は、全体処理を終了する。
In step S2709, the
ここでは、判定装置100が、業務行動パターン評価基準、および、業務環境パターン評価基準を満たすか否かを判定する場合について説明した。この場合、ステップS2703~S2708の処理は、具体的には、図28に後述する業務行動判定処理、および、図29に後述する業務環境判定処理を組み合わせることによって実現される。
Here, the case where the
一方で、例えば、判定装置100が、業務行動パターン評価基準、および、業務環境パターン評価基準のいずれかを用いない場合があってもよい。この場合、ステップS2703~S2708の処理は、具体的には、図28に後述する業務行動判定処理、または、図29に後述する業務環境判定処理によって実現される。
On the other hand, for example, the
(業務行動判定処理手順)
次に、図28を用いて、判定装置100が実行する、業務行動判定処理手順の一例について説明する。業務行動判定処理は、例えば、図3に示したCPU301と、メモリ302や記録媒体305などの記憶領域と、ネットワークI/F303とによって実現される。
(Business behavior judgment processing procedure)
Next, an example of the business behavior determination processing procedure executed by the
図28は、業務行動判定処理手順の一例を示すフローチャートである。図28において、判定装置100は、人事情報DB400から、情報の持ち出しの操作を行ったユーザごとの職責、所属、および、勤務形態を取得する(ステップS2801)。
FIG. 28 is a flowchart illustrating an example of a business behavior determination processing procedure. In FIG. 28, the
次に、判定装置100は、業務行動パターン情報DBを参照し、情報の持ち出しの操作を行ったユーザごとに、取得した職責、所属、および、勤務形態に対応する業務行動パターン情報を取得する(ステップS2802)。そして、判定装置100は、情報の持ち出しの操作を行ったユーザごとに取得した業務行動パターン情報に基づいて、業務行動パターン評価基準を生成する(ステップS2803)。
Next, the
次に、判定装置100は、情報の持ち出しに関する操作履歴1700から、情報の持ち出しの操作のレコードを選択する(ステップS2804)。そして、判定装置100は、選択したレコードが、選択したレコードに対応する業務行動パターン評価基準を満たすか否かを判定する(ステップS2805)。
Next, the
ここで、業務行動パターン評価基準を満たさない場合(ステップS2805:No)、判定装置100は、ステップS2806の処理に移行する。一方で、業務行動パターン評価基準を満たす場合(ステップS2805:Yes)、判定装置100は、ステップS2807の処理に移行する。
Here, if the business behavior pattern evaluation criteria are not satisfied (step S2805: No), the
ステップS2806では、判定装置100は、選択したレコードに、不正操作の可能性ありを表す情報を対応付けて記憶する(ステップS2806)。そして、判定装置100は、ステップS2808の処理に移行する。
In step S2806, the
ステップS2807では、判定装置100は、選択したレコードに、正常操作を表す情報を対応付けて記憶する(ステップS2807)。そして、判定装置100は、ステップS2808の処理に移行する。
In step S2807, the
ステップS2808では、判定装置100は、すべてのレコードを選択したか否かを判定する(ステップS2808)。ここで、未選択のレコードがある場合(ステップS2808:No)、判定装置100は、ステップS2804の処理に戻る。一方で、すべてのレコードを選択している場合(ステップS2808:Yes)、判定装置100は、業務行動判定処理を終了する。
In step S2808, the
(業務環境判定処理手順)
次に、図29を用いて、判定装置100が実行する、業務環境判定処理手順の一例について説明する。業務環境判定処理は、例えば、図3に示したCPU301と、メモリ302や記録媒体305などの記憶領域と、ネットワークI/F303とによって実現される。
(Business environment judgment processing procedure)
Next, an example of the work environment determination processing procedure executed by the
図29は、業務環境判定処理手順の一例を示すフローチャートである。図29において、判定装置100は、人事情報DB400から、情報の持ち出しの操作を行ったユーザごとの所属、および、勤務形態を取得する(ステップS2901)。
FIG. 29 is a flowchart illustrating an example of a business environment determination processing procedure. In FIG. 29, the
次に、判定装置100は、資産情報DB1000を参照し、情報の持ち出しの操作が行われた業務環境ごとに、資産情報を取得する(ステップS2902)。そして、判定装置100は、業務環境パターン情報DBを参照し、情報の持ち出しの操作を行ったユーザごとに、取得した所属、および、勤務形態に対応する業務環境パターン情報を取得する(ステップS2903)。
Next, the
次に、判定装置100は、情報の持ち出しの操作を行ったユーザごとに取得した業務行動パターン情報に基づいて、業務行動パターン評価基準を生成する(ステップS2904)。そして、判定装置100は、情報の持ち出しに関する操作履歴1700から、情報の持ち出しの操作のレコードを選択する(ステップS2905)。
Next, the
次に、判定装置100は、選択したレコードに対応する資産情報を参照し、選択したレコードが、選択したレコードに対応する業務環境パターン評価基準を満たすか否かを判定する(ステップS2906)。
Next, the
ここで、業務環境パターン評価基準を満たさない場合(ステップS2906:No)、判定装置100は、ステップS2907の処理に移行する。一方で、業務環境パターン評価基準を満たす場合(ステップS2906:Yes)、判定装置100は、ステップS2908の処理に移行する。
Here, if the work environment pattern evaluation criteria are not satisfied (step S2906: No), the
ステップS2907では、判定装置100は、選択したレコードに、不正操作の可能性ありを表す情報を対応付けて記憶する(ステップS2907)。そして、判定装置100は、ステップS2909の処理に移行する。
In step S2907, the
ステップS2908では、判定装置100は、選択したレコードに、正常操作を表す情報を対応付けて記憶する(ステップS2908)。そして、判定装置100は、ステップS2909の処理に移行する。
In step S2908, the
ステップS2909では、判定装置100は、すべてのレコードを選択したか否かを判定する(ステップS2909)。ここで、未選択のレコードがある場合(ステップS2909:No)、判定装置100は、ステップS2905の処理に戻る。一方で、すべてのレコードを選択している場合(ステップS2909:Yes)、判定装置100は、業務環境判定処理を終了する。
In step S2909, the
以上説明したように、判定装置100によれば、ユーザによる操作の履歴をユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成することができる。判定装置100によれば、いずれかのユーザの属性に基づいて、生成した評価基準のうち、いずれかのユーザによる特定の操作に関する評価基準を特定することができる。判定装置100によれば、いずれかのユーザによる特定の操作を検出した場合、いずれかのユーザによる特定の操作が、特定した評価基準を満たすか否かを判定することができる。これにより、判定装置100は、特定の操作に関する評価負担の低減化を図ることができる。判定装置100は、例えば、特定の操作の正当性を評価した結果を表す、特定の操作が評価基準を満たすか否かを判定した結果を、セキュリティ管理者が参照可能にすることができる。
As described above, according to the
判定装置100によれば、ユーザによる操作の履歴をユーザのそれぞれ種別が異なる複数の属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成することができる。これにより、判定装置100は、それぞれ種別が異なる複数の属性のそれぞれの属性について評価基準を生成し、複数の観点から操作の正当性を評価可能にすることができる。
According to the
判定装置100によれば、第1種別の属性ごとに特定の操作が許可される時間帯を表す評価基準を生成することができる。これにより、判定装置100は、特定の操作が行われた時点から、特定の操作の正当性を評価可能にすることができる。
According to the
判定装置100によれば、第2種別の属性ごとに特定の操作が許可される対象種別を表す情報を生成することができる。これにより、判定装置100は、特定の操作が行われた対象種別から、特定の操作の正当性を評価可能にすることができる。
According to the
判定装置100によれば、いずれかのユーザによる操作の履歴を参照し、いずれかのユーザによる特定の操作の前または後に行われた、いずれかのユーザによる他の操作に基づいて、評価基準を満たすか否かを判定することができる。これにより、判定装置100は、特定の操作に関する他の操作を考慮し、特定の操作の正当性の評価精度の向上を図ることができる。
According to the
判定装置100によれば、特定した評価基準を満たすか否かを判定した結果を特定の端末に出力することができる。これにより、判定装置100は、セキュリティ管理者が判定装置100以外で、特定の操作の正当性を評価した結果を参照可能にすることができる。
According to the
判定装置100によれば、いずれかのユーザによる特定の操作を検出した場合、記憶部を参照し、いずれかのユーザの属性ごとに特定の操作に関する評価基準を生成することができる。これにより、判定装置100は、検出した特定の操作に関する評価基準を、判定システム200の最新の状態に対応するようにし、判定精度の向上を図ることができる。また、判定装置100は、すべての属性について評価基準を生成しなくてもよいため、生成処理にかかる負担の低減化を図ることができる。
According to the
判定装置100によれば、いずれかのユーザの属性に基づいて、ユーザの属性ごとに生成された特定の操作に関する評価基準のうち、いずれかのユーザによる特定の操作に関する評価基準を特定することができる。判定装置100によれば、いずれかのユーザによる特定の操作を検出した場合、いずれかのユーザによる特定の操作が、特定した評価基準を満たすか否かを判定することができる。これにより、判定装置100は、評価基準を生成しなくてもよく、処理量の低減化を図ることができる。
According to the
なお、本実施の形態で説明した判定方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。本実施の形態で説明した判定プログラムは、ハードディスク、フレキシブルディスク、CD-ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また、本実施の形態で説明した判定プログラムは、インターネット等のネットワークを介して配布してもよい。 The determination method described in this embodiment can be realized by executing a prepared program on a computer such as a personal computer or a workstation. The determination program described in the present embodiment is recorded in a computer-readable recording medium such as a hard disk, flexible disk, CD-ROM, MO, DVD, etc., and executed by being read from the recording medium by a computer. Also, the determination program described in the present embodiment may be distributed via a network such as the Internet.
上述した実施の形態に関し、さらに以下の付記を開示する。 Further, the following additional remarks are disclosed with respect to the above-described embodiment.
(付記1)コンピュータに、
ユーザによる操作の履歴を前記ユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成し、
いずれかのユーザの属性に基づいて、生成した前記評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
処理を実行させることを特徴とする判定プログラム。
(Appendix 1) to the computer,
referring to a storage unit that stores a history of user operations in association with attributes of the user, generating evaluation criteria for specific operations for each attribute of the user;
Based on the attribute of any user, among the generated evaluation criteria, identify the evaluation criteria related to the specific operation by any of the users,
When the specific operation by any of the users is detected, determining whether the specific operation by any of the users satisfies the specified evaluation criteria,
A determination program characterized by causing a process to be executed.
(付記2)前記生成する処理は、ユーザによる操作の履歴を前記ユーザのそれぞれ種別が異なる複数の属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成する、ことを特徴とする付記1に記載の判定プログラム。
(Supplementary Note 2) The generating process refers to a storage unit that stores a history of user operations in association with a plurality of user attributes of different types, and determines evaluation criteria for specific operations for each user attribute. The determination program according to
(付記3)前記生成する処理は、第1種別の属性ごとに前記特定の操作が許可される時間帯を表す評価基準を生成する、ことを特徴とする付記1または2に記載の判定プログラム。
(Supplementary note 3) The determination program according to
(付記4)前記生成する処理は、第2種別の属性ごとに前記特定の操作が許可される対象種別を表す情報を生成する、ことを特徴とする付記1~3のいずれか一つに記載の判定プログラム。
(Appendix 4) Any one of
(付記5)前記判定する処理は、前記いずれかのユーザによる操作の履歴を参照し、前記いずれかのユーザによる前記特定の操作の前または後に行われた、前記いずれかのユーザによる他の操作に基づいて、前記評価基準を満たすか否かを判定する、ことを特徴とする付記1~4のいずれか一つに記載の判定プログラム。
(Supplementary Note 5) The determination process refers to a history of operations by any of the users, and performs other operations by any of the users before or after the specific operation by any of the users. 5. The determination program according to any one of
(付記6)前記コンピュータに、
特定した前記評価基準を満たすか否かを判定した結果を特定の端末に出力する、処理を実行させることを特徴とする付記1~5のいずれか一つに記載の判定プログラム。
(Appendix 6) In the computer,
6. The determination program according to any one of
(付記7)前記生成する処理は、前記いずれかのユーザによる前記特定の操作を検出した場合、前記記憶部を参照し、前記いずれかのユーザの属性ごとに前記特定の操作に関する評価基準を生成する、ことを特徴とする付記1~6のいずれか一つに記載の判定プログラム。
(Supplementary Note 7) In the generating process, when the specific operation by any of the users is detected, the storage unit is referred to, and evaluation criteria for the specific operation are generated for each of the attributes of the user. The determination program according to any one of
(付記8)コンピュータが、
ユーザによる操作の履歴を前記ユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成し、
いずれかのユーザの属性に基づいて、生成した前記評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
処理を実行することを特徴とする判定方法。
(Appendix 8) The computer
referring to a storage unit that stores a history of user operations in association with attributes of the user, generating evaluation criteria for specific operations for each attribute of the user;
Based on the attribute of any user, among the generated evaluation criteria, identify the evaluation criteria related to the specific operation by any of the users,
When the specific operation by any of the users is detected, determining whether the specific operation by any of the users satisfies the specified evaluation criteria,
A determination method characterized by executing a process.
(付記9)ユーザによる操作の履歴を前記ユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとに特定の操作に関する評価基準を生成し、
いずれかのユーザの属性に基づいて、生成した前記評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
制御部を有することを特徴とする判定装置。
(Appendix 9) referring to a storage unit that stores a history of operations by a user in association with attributes of the user, and generating evaluation criteria for specific operations for each attribute of the user;
Based on the attribute of any user, among the generated evaluation criteria, identify the evaluation criteria related to the specific operation by any of the users,
When the specific operation by any of the users is detected, determining whether the specific operation by any of the users satisfies the specified evaluation criteria,
A determination device, comprising a control unit.
(付記10)コンピュータに、
いずれかのユーザの属性に基づいて、ユーザの属性ごとに生成された特定の操作に関する評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
処理を実行させることを特徴とする判定プログラム。
(Appendix 10) to the computer,
Based on any user attribute, identifying the evaluation criteria for the specific operation by any of the users among the evaluation criteria for the specific operation generated for each user attribute,
When the specific operation by any of the users is detected, determining whether the specific operation by any of the users satisfies the specified evaluation criteria,
A determination program characterized by causing a process to be executed.
(付記11)コンピュータが、
いずれかのユーザの属性に基づいて、ユーザの属性ごとに生成された特定の操作に関する評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
処理を実行することを特徴とする判定方法。
(Appendix 11) The computer
Based on any user attribute, identifying the evaluation criteria for the specific operation by any of the users among the evaluation criteria for the specific operation generated for each user attribute,
When the specific operation by any of the users is detected, determining whether the specific operation by any of the users satisfies the specified evaluation criteria,
A determination method characterized by executing a process.
(付記12)いずれかのユーザの属性に基づいて、ユーザの属性ごとに生成された特定の操作に関する評価基準のうち、前記いずれかのユーザによる前記特定の操作に関する評価基準を特定し、
前記いずれかのユーザによる前記特定の操作を検出した場合、前記いずれかのユーザによる前記特定の操作が、特定した前記評価基準を満たすか否かを判定する、
制御部を有することを特徴とする判定装置。
(Supplementary Note 12) Based on any of the attributes of the user, among the evaluation criteria for the specific operation generated for each attribute of the user, identify the evaluation criteria for the specific operation by any of the users,
When the specific operation by any of the users is detected, determining whether the specific operation by any of the users satisfies the specified evaluation criteria,
A determination device, comprising a control unit.
100 判定装置
110,130 履歴
120 評価基準
200 判定システム
201,202 端末装置
203 情報蓄積装置
210 ネットワーク
300,1400 バス
301,1401 CPU
302,1402 メモリ
303,1403 ネットワークI/F
304,1404 記録媒体I/F
305,1405 記録媒体
400 人事情報DB
500,600,700,800,900 業務行動パターン情報DB
1000 資産情報DB
1100,1200 業務環境パターン情報DB
1300,1600,1700 操作履歴
1406 ディスプレイ
1407 入力装置
1500 記憶部
1501 取得部
1502 生成部
1503 特定部
1504 判定部
1505 出力部
1701~1703,2301,2302,2401~2403 レコード
1800 組み合わせ一覧
1900 属性一覧
2000 業務行動評価基準一覧
2100 業務環境評価基準一覧
2200 業務環境一覧
2400 操作環境一覧
2500 特定結果一覧
2600 通知画面
100
302, 1402
304, 1404 recording medium I/F
305, 1405 Recording medium 400 Personnel information DB
500, 600, 700, 800, 900 Business behavior pattern information DB
1000 Asset information DB
1100, 1200 Business environment pattern information DB
1300, 1600, 1700
Claims (7)
ユーザの業務環境に関する情報を当該ユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとの業務環境に関する評価基準を生成し、
いずれかのユーザの属性に基づいて、生成した前記評価基準のうち、前記いずれかのユーザの前記業務環境に関する第1評価基準を特定し、
前記いずれかのユーザによる情報の持ち出し操作を検出した場合、前記いずれかのユーザによる前記情報の持ち出し操作が行われた業務環境が、特定した前記第1評価基準を満たすか否かを判定し、
職責、所属、または、勤務形態の同一の属性を有する複数のユーザによる操作の履歴を統計的処理することにより、当該属性と対応付けて情報の持ち出し操作の頻度に対応する評価基準を生成し、
前記いずれかのユーザの職責、所属、または、勤務形態の属性に基づいて、生成した前記情報の持ち出し操作に関する評価基準のうち、前記いずれかのユーザの前記情報の持ち出し操作に関する第2評価基準を特定し、
前記いずれかのユーザによる前記情報の持ち出し操作が特定した前記第2評価基準を満たすか否かを判定する、
処理を実行させることを特徴とする判定プログラム。 to the computer,
referring to a storage unit that stores information about the user's work environment in association with the user's attributes, generating evaluation criteria regarding the work environment for each user's attribute;
Identifying a first evaluation criterion related to the work environment of the one of the users among the generated evaluation criteria based on the attributes of any of the users;
determining whether or not the work environment in which the information take -out operation by any of the users is performed satisfies the identified first evaluation criteria ,
By statistically processing the history of operations by a plurality of users who have the same attributes of job responsibilities, affiliations, or work styles, generating evaluation criteria corresponding to the frequency of information take-out operations in association with the attributes,
A second evaluation criterion regarding the information bring-out operation of any of the users among generated evaluation criteria regarding the information bring-out operations based on the job responsibilities, affiliation, or work type attributes of the any of the users. identify,
Determining whether the operation of bringing out the information by any of the users satisfies the specified second evaluation criteria;
A determination program characterized by causing a process to be executed.
特定した前記第1評価基準を満たすか否かを判定した結果、および、特定した前記第2評価基準を満たすか否かを判定した結果を特定の端末に出力する、処理を実行させることを特徴とする請求項1~4のいずれか一つに記載の判定プログラム。Outputting the result of determining whether the specified first evaluation criterion is satisfied and the result of determining whether the specified second evaluation criterion is satisfied to a specific terminal, and causing the processing to be executed. The determination program according to any one of claims 1 to 4.
ユーザの業務環境に関する情報を当該ユーザの属性と対応付けて記憶する記憶部を参照し、ユーザの属性ごとの業務環境に関する評価基準を生成し、referring to a storage unit that stores information about the user's work environment in association with the user's attributes, generating evaluation criteria regarding the work environment for each user's attribute;
いずれかのユーザの属性に基づいて、生成した前記評価基準のうち、前記いずれかのユーザの前記業務環境に関する第1評価基準を特定し、Identifying a first evaluation criterion related to the work environment of the one of the users among the generated evaluation criteria based on the attributes of any of the users;
前記いずれかのユーザによる情報の持ち出し操作を検出した場合、前記いずれかのユーザによる前記情報の持ち出し操作が行われた業務環境が、特定した前記第1評価基準を満たすか否かを判定し、determining whether or not the work environment in which the information take-out operation by any of the users is performed satisfies the identified first evaluation criteria,
職責、所属、または、勤務形態の同一の属性を有する複数のユーザによる操作の履歴を統計的処理することにより、当該属性と対応付けて情報の持ち出し操作の頻度に対応する評価基準を生成し、By statistically processing the history of operations by a plurality of users who have the same attributes of job responsibilities, affiliations, or work styles, generating evaluation criteria corresponding to the frequency of information take-out operations in association with the attributes,
前記いずれかのユーザの職責、所属、または、勤務形態の属性に基づいて、生成した前記情報の持ち出し操作に関する評価基準のうち、前記いずれかのユーザの前記情報の持ち出し操作に関する第2評価基準を特定し、A second evaluation criterion regarding the information bring-out operation of any of the users among generated evaluation criteria regarding the information bring-out operations based on the job responsibilities, affiliation, or work type attributes of the any of the users. identify,
前記いずれかのユーザによる前記情報の持ち出し操作が特定した前記第2評価基準を満たすか否かを判定する、Determining whether the operation of bringing out the information by any of the users satisfies the specified second evaluation criteria;
処理を実行することを特徴とする判定方法。A determination method characterized by executing a process.
いずれかのユーザの属性に基づいて、生成した前記評価基準のうち、前記いずれかのユーザの前記業務環境に関する第1評価基準を特定し、Identifying a first evaluation criterion related to the work environment of the one of the users among the generated evaluation criteria based on the attributes of any of the users;
前記いずれかのユーザによる情報の持ち出し操作を検出した場合、前記いずれかのユーザによる前記情報の持ち出し操作が行われた業務環境が、特定した前記第1評価基準を満たすか否かを判定し、determining whether or not the work environment in which the information take-out operation by any of the users is performed satisfies the identified first evaluation criteria,
職責、所属、または、勤務形態の同一の属性を有する複数のユーザによる操作の履歴を統計的処理することにより、当該属性と対応付けて情報の持ち出し操作の頻度に対応する評価基準を生成し、By statistically processing the history of operations by a plurality of users who have the same attributes of job responsibilities, affiliations, or work styles, generating evaluation criteria corresponding to the frequency of information take-out operations in association with the attributes,
前記いずれかのユーザの職責、所属、または、勤務形態の属性に基づいて、生成した前記情報の持ち出し操作に関する評価基準のうち、前記いずれかのユーザの前記情報の持ち出し操作に関する第2評価基準を特定し、A second evaluation criterion regarding the information bring-out operation of any of the users among generated evaluation criteria regarding the information bring-out operations based on the job responsibilities, affiliation, or work type attributes of the any of the users. identify,
前記いずれかのユーザによる前記情報の持ち出し操作が特定した前記第2評価基準を満たすか否かを判定する、Determining whether the operation of bringing out the information by any of the users satisfies the specified second evaluation criteria;
制御部を有することを特徴とする判定装置。A determination device, comprising a control unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018000263A JP7180073B2 (en) | 2018-01-04 | 2018-01-04 | Judgment program, judgment method, and judgment device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018000263A JP7180073B2 (en) | 2018-01-04 | 2018-01-04 | Judgment program, judgment method, and judgment device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019121161A JP2019121161A (en) | 2019-07-22 |
| JP7180073B2 true JP7180073B2 (en) | 2022-11-30 |
Family
ID=67307278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018000263A Active JP7180073B2 (en) | 2018-01-04 | 2018-01-04 | Judgment program, judgment method, and judgment device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7180073B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7358265B2 (en) | 2020-02-13 | 2023-10-10 | 株式会社日立ドキュメントソリューションズ | Characterization system and method |
| JP7452849B2 (en) | 2020-05-25 | 2024-03-19 | 日本電気通信システム株式会社 | Abnormal operation detection device, abnormal operation detection method, and program |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005149243A (en) | 2003-11-17 | 2005-06-09 | Intelligent Wave Inc | Irregularity monitoring program, irregularity monitoring method and irregularity monitoring system |
| JP2006235895A (en) | 2005-02-24 | 2006-09-07 | Mitsubishi Electric Corp | Audit log analysis apparatus, audit log analysis method and audit log analysis program |
| JP2009053896A (en) | 2007-08-27 | 2009-03-12 | Fuji Xerox Co Ltd | Unauthorized operation detector and program |
| JP2014123309A (en) | 2012-12-21 | 2014-07-03 | Fujitsu Ltd | Program, method, and information processor |
| JP6204637B1 (en) | 2016-11-09 | 2017-09-27 | 楽天株式会社 | Information processing apparatus, information processing method, program, and storage medium |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5375244A (en) * | 1992-05-29 | 1994-12-20 | At&T Corp. | System and method for granting access to a resource |
-
2018
- 2018-01-04 JP JP2018000263A patent/JP7180073B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005149243A (en) | 2003-11-17 | 2005-06-09 | Intelligent Wave Inc | Irregularity monitoring program, irregularity monitoring method and irregularity monitoring system |
| JP2006235895A (en) | 2005-02-24 | 2006-09-07 | Mitsubishi Electric Corp | Audit log analysis apparatus, audit log analysis method and audit log analysis program |
| JP2009053896A (en) | 2007-08-27 | 2009-03-12 | Fuji Xerox Co Ltd | Unauthorized operation detector and program |
| JP2014123309A (en) | 2012-12-21 | 2014-07-03 | Fujitsu Ltd | Program, method, and information processor |
| JP6204637B1 (en) | 2016-11-09 | 2017-09-27 | 楽天株式会社 | Information processing apparatus, information processing method, program, and storage medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019121161A (en) | 2019-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9602515B2 (en) | Enforcing alignment of approved changes and deployed changes in the software change life-cycle | |
| TWI463405B (en) | System, method and computer storage device for spyware detection mechanism | |
| US8266701B2 (en) | Systems and methods for measuring cyber based risks in an enterprise organization | |
| US9697352B1 (en) | Incident response management system and method | |
| US6980927B2 (en) | Enhanced system, method and medium for certifying and accrediting requirements compliance utilizing continuous risk assessment | |
| US7496575B2 (en) | Application instrumentation and monitoring | |
| JP5673543B2 (en) | Role setting device, role setting method, and role setting program | |
| US20110239293A1 (en) | Auditing access to data based on resource properties | |
| JP2005526311A (en) | Method and apparatus for monitoring a database system | |
| JP2007172221A (en) | Quarantine system, quarantine device, quarantine method, and computer program | |
| JP7180073B2 (en) | Judgment program, judgment method, and judgment device | |
| US20090249433A1 (en) | System and method for collaborative monitoring of policy violations | |
| US10089463B1 (en) | Managing security of source code | |
| Silowash et al. | Insider threat control: Understanding data loss prevention (DLP) and detection by correlating events from multiple sources | |
| CN117332433A (en) | Data security detection method and system based on system integration | |
| JP4857199B2 (en) | Information asset management system, log analysis device, and log analysis program | |
| JP6690674B2 (en) | Unauthorized access detection system, unauthorized access detection method and unauthorized access detection program | |
| Jadhav | Data leakage detection | |
| JP5541215B2 (en) | Unauthorized use detection system | |
| US20220366039A1 (en) | Abnormally permissive role definition detection systems | |
| US20220083694A1 (en) | Auditing system | |
| Toelle et al. | Insider Risk Management | |
| Liu et al. | UML-based security measures of software products | |
| Kimathi | A Platform for monitoring of security and audit events: a test case with windows systems | |
| CN116821955A (en) | User data protection method and related equipment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201008 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210830 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211012 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220510 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220608 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221018 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221031 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7180073 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |