JP7235109B2 - 評価装置、システム、制御方法、及びプログラム - Google Patents
評価装置、システム、制御方法、及びプログラム Download PDFInfo
- Publication number
- JP7235109B2 JP7235109B2 JP2021521681A JP2021521681A JP7235109B2 JP 7235109 B2 JP7235109 B2 JP 7235109B2 JP 2021521681 A JP2021521681 A JP 2021521681A JP 2021521681 A JP2021521681 A JP 2021521681A JP 7235109 B2 JP7235109 B2 JP 7235109B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- information
- evaluation
- introduction
- abnormality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/079—Root cause analysis, i.e. error or fault diagnosis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Description
本発明はアプリケーションの評価に関する。
アプリケーションの評価を行うシステムが開発されている。例えば特許文献1には、観察対象ソフトウエアが正常な動作をしているときの正常動作モデルを学習しておき、観察対象ソフトウエアの動作をそのモデルと比較することにより、監視対象ソフトウエアの異常を検知するシステムを開示している。
特許文献1のようにアプリケーションの動作に基づいて異常検知を行うシステムでは、検知漏れ(フォールスネガティブ)の発生を恐れて、異常検知が過剰気味になる傾向にある。例えば、異常かどうかが定かではない振る舞いについては、異常な振る舞いとして扱うようにセッティングされる。そのため、実際には異常でない振る舞いが、異常なものとして検知されてしまう。
本発明は、上述の課題に鑑みてなされたものであり、その目的の一つは、アプリケーションの評価をより高い精度で行う技術を提供することである。
本発明の評価装置は、1)アプリケーションの異常を検知する処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得部と、2)取得した導入関連情報を用いて、アプリケーションの評価を行う評価部と、を有する。
本発明のシステムは、異常検知装置と評価装置を含むシステムである。
異常検知装置は、アプリケーションの異常を検知する処理を行う。
評価装置は、1)異常検知装置によって異常検知の処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得部と、2)取得した導入関連情報を用いて、アプリケーションの評価を行う評価部と、を有する。
異常検知装置は、アプリケーションの異常を検知する処理を行う。
評価装置は、1)異常検知装置によって異常検知の処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得部と、2)取得した導入関連情報を用いて、アプリケーションの評価を行う評価部と、を有する。
本発明の制御方法はコンピュータによって実行される。制御方法は、1)アプリケーションの異常を検知する処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得ステップと、2)取得した導入関連情報を用いて、アプリケーションの評価を行う評価ステップと、を有する。
本発明によれば、アプリケーションの評価をより高い精度で行う技術が提供される。
上述した目的、およびその他の目的、特徴および利点は、以下に述べる好適な実施の形態、およびそれに付随する以下の図面によってさらに明らかになる。
本実施形態の評価装置の動作の概要を例示する図である。
実施形態1の評価装置の構成を例示する図である。
評価装置を実現するための計算機を例示する図である。
実施形態1の評価装置によって実行される処理の流れを例示するフローチャートである。
実施形態1の評価装置の利用環境を例示する図である。
導入関連情報をテーブル形式で例示する図である。
基準情報をテーブル形式で例示する図である。
出力部を有する評価装置の構成を例示するブロック図である。
基準情報を管理する構成を例示する図である。
評価結果画面を例示する図である。
実施形態2の評価装置の機能構成を例示するブロック図である。
実施形態2の評価装置によって実行される処理の流れを例示するフローチャートである。
以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。また、特に説明する場合を除き、各ブロック図において、各ブロックは、ハードウエア単位の構成ではなく、機能単位の構成を表している。
<概要>
図1は、本実施形態の評価装置2000の動作の概要を例示する図である。図1は、評価装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、評価装置2000の動作を具体的に限定するものではない。
図1は、本実施形態の評価装置2000の動作の概要を例示する図である。図1は、評価装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、評価装置2000の動作を具体的に限定するものではない。
評価装置2000は、異常が検知されたアプリケーション10についての評価を行う。アプリケーション10の異常は、例えば、アプリケーション10の振る舞いに基づいてその異常を検知する異常検知システムによって検知される。なお、このようにアプリケーションの振る舞いに基づいてその異常を検知する手法は、EDR(Endpoint Detection and Response)などと呼ばれる。ただし、アプリケーション10の異常を検知する方法は、評価装置2000による評価とは異なる方法であればよく、必ずしも EDR には限定されない。
評価装置2000は、異常が検知されたアプリケーション10について、導入関連情報30を取得する。導入関連情報30は、アプリケーション10が動作している実行環境(OS やミドルウエアなど)に対するアプリケーション10の導入に関連する情報である。例えば、導入関連情報30は、アプリケーション10の導入経路などを示す。
評価装置2000は、導入関連情報30を用いて、異常が検知されたアプリケーション10についての評価を行う。アプリケーション10の評価は、例えば、アプリケーション10が異常なアプリケーションであるか否かの評価である。すなわち、振る舞い等の何らかの基準で異常が検知されたアプリケーション10について、さらにその導入に関する情報を利用して、異常か否かが判断される。その他にも例えば、アプリケーション10の評価は、アプリケーション10の異常度合いの評価であってもよい。すなわち、振る舞い等の基準で異常と判断されたアプリケーション10について、その異常の度合いが、その導入に関する情報に基づいて算出される。
<作用効果の一例>
EDR などといった既存の異常検知手法で実現される異常検知システムでは、検知漏れの発生を恐れて、異常検知が過剰気味になる傾向にある。例えば、異常検知システムは、異常かどうかが定かではない振る舞いについては、異常な振る舞いとして扱うようにセッティングされる。そのため、実際には異常でない振る舞いが、異常なものとして検知されてしまう。これにより、例えば、異常検知の結果を解析する IT 管理者の作業負担が大きいといった問題がある。
EDR などといった既存の異常検知手法で実現される異常検知システムでは、検知漏れの発生を恐れて、異常検知が過剰気味になる傾向にある。例えば、異常検知システムは、異常かどうかが定かではない振る舞いについては、異常な振る舞いとして扱うようにセッティングされる。そのため、実際には異常でない振る舞いが、異常なものとして検知されてしまう。これにより、例えば、異常検知の結果を解析する IT 管理者の作業負担が大きいといった問題がある。
この点、本実施形態の評価装置2000によれば、その振る舞いなどに基づいて異常が検知されたアプリケーション10について、導入経路などといったアプリケーション10の導入に関連する情報に基づいた評価が行われる。このようにすることで、アプリケーション10の評価をより高い精度で行うことができる。
例えば評価装置2000は、異常が検知されたアプリケーション10について、それが本当に異常であるかどうかやその異常度合いを評価する。これにより、例えば、評価装置2000による評価で異常であると判定されたアプリケーション10のみを IT 管理者によるチェックの対象とすることで、IT 管理者等の作業負担を大きく軽減することができる。
以下、本実施形態の評価装置2000についてさらに詳細に説明する。
<評価装置2000の機能構成の例>
図2は、実施形態1の評価装置2000の構成を例示する図である。評価装置2000は、取得部2020及び評価部2040を有する。取得部2020は、異常が検知されたアプリケーション10について導入関連情報30を取得する。評価部2040は、導入関連情報30を用いて、異常が検知されたアプリケーション10の評価を行う。
図2は、実施形態1の評価装置2000の構成を例示する図である。評価装置2000は、取得部2020及び評価部2040を有する。取得部2020は、異常が検知されたアプリケーション10について導入関連情報30を取得する。評価部2040は、導入関連情報30を用いて、異常が検知されたアプリケーション10の評価を行う。
<評価装置2000のハードウエア構成>
評価装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、評価装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
評価装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、評価装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
図3は、評価装置2000を実現するための計算機1000を例示する図である。計算機1000は任意の計算機である。例えば計算機1000は、Personal Computer(PC)、サーバマシン、タブレット端末、又はスマートフォンなどである。計算機1000は、評価装置2000を実現するために設計された専用の計算機であってもよいし、汎用の計算機であってもよい。
計算機1000は、バス1020、プロセッサ1040、メモリ1060、ストレージデバイス1080、入出力インタフェース1100、及びネットワークインタフェース1120を有する。バス1020は、プロセッサ1040、メモリ1060、ストレージデバイス1080、入出力インタフェース1100、及びネットワークインタフェース1120が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ1040などを互いに接続する方法は、バス接続に限定されない。プロセッサ1040は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、又は FPGA(Field-Programmable Gate Array)などのプロセッサである。メモリ1060は、RAM(Random Access Memory)などを用いて実現される主記憶装置である。ストレージデバイス1080は、ハードディスクドライブ、SSD(Solid State Drive)、メモリカード、又は ROM(Read Only Memory)などを用いて実現される補助記憶装置である。ただし、ストレージデバイス1080は、RAM など、主記憶装置を構成するハードウエアと同様のハードウエアで構成されてもよい。
入出力インタフェース1100は、計算機1000と入出力デバイスとを接続するためのインタフェースである。ネットワークインタフェース1120は、計算機1000を通信網に接続するためのインタフェースである。この通信網は、例えば LAN(Local Area Network)や WAN(Wide Area Network)である。ネットワークインタフェース1120が通信網に接続する方法は、無線接続であってもよいし、有線接続であってもよい。
ストレージデバイス1080は、評価装置2000の機能構成部を実現するプログラムモジュールを記憶している。プロセッサ1040は、これら各プログラムモジュールをメモリ1060に読み出して実行することで、各プログラムモジュールに対応する機能を実現する。
<処理の流れ>
図4は、実施形態1の評価装置2000によって実行される処理の流れを例示するフローチャートである。取得部2020は、異常が検知されたアプリケーション10について、導入関連情報30を取得する(S102)。評価部2040は、導入関連情報30を用いて、アプリケーション10の評価を行う(S104)。
図4は、実施形態1の評価装置2000によって実行される処理の流れを例示するフローチャートである。取得部2020は、異常が検知されたアプリケーション10について、導入関連情報30を取得する(S102)。評価部2040は、導入関連情報30を用いて、アプリケーション10の評価を行う(S104)。
<利用環境の例>
図5は、実施形態1の評価装置2000の利用環境を例示する図である。図5において、対象システム20は、1つ以上の端末40を含むコンピュータシステムである。端末40には、アプリケーション10が導入されている。なお、評価装置2000による評価の対象となりうるアプリケーションであるアプリケーション10は、対象システム20に導入されている全てのアプリケーションであってもよいし、一部のアプリケーションであってもよい。
図5は、実施形態1の評価装置2000の利用環境を例示する図である。図5において、対象システム20は、1つ以上の端末40を含むコンピュータシステムである。端末40には、アプリケーション10が導入されている。なお、評価装置2000による評価の対象となりうるアプリケーションであるアプリケーション10は、対象システム20に導入されている全てのアプリケーションであってもよいし、一部のアプリケーションであってもよい。
異常検知装置60は、アプリケーション10の異常を検知する。図5の例において、異常検知装置60は、アプリケーション10の振る舞いに基づいて、アプリケーション10の異常を検知する。異常として扱われるアプリケーション10の振る舞いは、例えば、セキュリティの観点から見た危険な振る舞いである。ただし、異常検知装置60において異常として扱われる振る舞いは、セキュリティ上の観点から見た異常には限定されず、種々の異常を扱うことができる。
振る舞いに基づく異常検知を実現するために、異常検知装置60は、端末40から、その端末40で動作している各アプリケーション10の振る舞いを表すイベントの履歴を収集する。例えばイベントは、システムコール単位で記録される。すなわち、アプリケーション10の振る舞いは、アプリケーション10の実行主体であるプロセスが主体又は客体となっているシステムコールの履歴によって表される。ここで、端末においてアプリケーションの振る舞いを表すイベントを記録する方法、及び記録されたイベントの履歴を収集する方法には、既存の技術を利用することができる。
異常検知装置60は、イベント履歴を利用して、各アプリケーション10について異常検知を行う。そして、いずれかのアプリケーション10について異常が検知されたら、そのアプリケーション10の識別情報を評価装置2000へ送信する。アプリケーション10の識別情報は、例えば、「アプリケーション10が導入されている端末40の識別情報(IP アドレスなど)、アプリケーション10の名称」という組み合わせで表される。なお、アプリケーション10の名称の代わりに、アプリケーション10の実行ファイルの名称や、アプリケーション10の実行ファイルのパスなどを用いてもよい。
アプリケーション10についての異常検知は、例えば、各アプリケーション10について収集されたイベント履歴によって表されるイベントの列(イベント列)が、異常なイベント列を表しているか否かを判定することで実現できる。この判定のために、例えば、アプリケーション10ごとに、正常なイベント列を定義したモデルを予め生成しておく。異常検知装置60は、アプリケーション10ごとに、そのアプリケーション10について収集されたイベント履歴によって表されるイベント列が、上記モデルから逸脱しているか否かを判定する。異常検知装置60は、収集されたイベント列がモデルから逸脱しているアプリケーション10を、異常なアプリケーション10として検知する。なお、正常なイベント列のモデルを生成する技術や、正常なイベント列のモデルから逸脱したイベント列を異常なイベント列として検知する技術には、既存の技術を利用することができる。
本例に示すように、異常検知装置60の後段に評価装置2000を設けることには、種々の利点がある。例えば、評価装置2000が、アプリケーション10が異常であるかどうかを評価するとする。この場合、評価装置2000による評価でも異常と判断されたアプリケーション10についてのみ人手のチェックを行うといったシステム構成にすることで、IT 管理者等の作業負担を大きく軽減することができる。
その他にも例えば、評価装置2000が、アプリケーション10の導入に関する種々の情報それぞれについて評価を行うとする。具体的には、アプリケーション10の導入元(例えば Web サイト)に関する評価、アプリケーション10のダウンロードに利用されたダウンローダに関する評価、及びアプリケーション10の導入に利用されたインストーラに関する評価などがそれぞれ行われ、その結果が出力されるとする。IT 管理者は、これらの評価結果を用いることで、アプリケーション10が異常であるかどうか等の判断を正確に行うことができる。また、異常検知装置60によって異常が検知されたアプリケーション10に限定して評価が行われるため、その評価結果を参照する IT 管理者の負担が軽減される。
なお、異常検知装置60は、評価装置2000を実現するコンピュータとは別のコンピュータで実現されてもよいし、評価装置2000と同一のコンピュータで実現されてもよい。図5では、異常検知装置60と評価装置2000が別々に設けられている。異常検知装置60と評価装置2000とが別々に設けられる場合、異常検知装置60は、評価装置2000と同様に、種々の計算機によって実現される。その計算機のハードウエア構成は、例えば評価装置2000を実現する計算機1000のハードウエア構成と同様に、図3で表される。
<導入関連情報30について>
導入関連情報30は、アプリケーション10が動作している端末40に対して行われた、アプリケーション10の導入に関する情報である。ここでいう「端末40に対するアプリケーション10の導入」とは、アプリケーション10を端末40で実行可能な状態にすることである。ここで、アプリケーション10が端末40の外部にある場合、端末40の導入には、アプリケーション10を取得する処理も含まれる。そのため、例えば端末40に対するアプリケーション10の導入は、1)アプリケーション10を入手する処理、2)入手したアプリケーション10をファイルシステム上に配置する処理、及び3)アプリケーション10に関する設定を行う処理などを含む。
導入関連情報30は、アプリケーション10が動作している端末40に対して行われた、アプリケーション10の導入に関する情報である。ここでいう「端末40に対するアプリケーション10の導入」とは、アプリケーション10を端末40で実行可能な状態にすることである。ここで、アプリケーション10が端末40の外部にある場合、端末40の導入には、アプリケーション10を取得する処理も含まれる。そのため、例えば端末40に対するアプリケーション10の導入は、1)アプリケーション10を入手する処理、2)入手したアプリケーション10をファイルシステム上に配置する処理、及び3)アプリケーション10に関する設定を行う処理などを含む。
アプリケーション10の入手は、例えば、アプリケーション10が提供されているサーバからアプリケーション10をダウンロードしたり、アプリケーション10が記憶されている記憶装置からアプリケーション10を読み出したりする処理である。アプリケーション10をファイルシステム上に配置する処理は、例えば、アプリケーション10の実行ファイルや設定ファイルを、所定のディレクトリに格納する処理である。アプリケーション10に関する設定を行う処理は、例えば、レジストリや設定ファイルなどに対し、アプリケーション10の実行に必要な設定データを書き込む処理である。
なお、アプリケーション10の実行ファイルを所定のディレクトリに配置する処理や、アプリケーション10に関する設定を行う処理は、アプリケーション10のインストーラを実行することで自動で行われる場合もあれば、アプリケーション10の導入作業を行うユーザによって手動で行われる場合もある。また、アプリケーション10を入手する処理も自動で行われうる。例えば、或るアプリケーションXが別のアプリケーションYを必要としている場合に、アプリケーションXのインストーラがアプリケーションYの入手を自動で行うようなケースがある。
導入関連情報30は、アプリケーション10の識別情報に対応づけて、そのアプリケーション10の導入に関する情報を示す。例えば前述したように、アプリケーション10の識別情報は、「アプリケーション10が導入されている端末40の識別情報、アプリケーション10の名称など」という組み合わせなどで表すことができる。
導入関連情報30に含まれるアプリケーション10の導入に関する情報としては、様々なものを採用できる。例えば導入関連情報30は、以下の情報を含みうる。
1)経路情報:アプリケーション10の導入経路に関する情報
2)配置情報:アプリケーション10が配置された場所に関する情報
3)設定情報:アプリケーション10の導入に伴う設定に関する情報
1)経路情報:アプリケーション10の導入経路に関する情報
2)配置情報:アプリケーション10が配置された場所に関する情報
3)設定情報:アプリケーション10の導入に伴う設定に関する情報
以下、上述した種々の情報について、その詳細な内容及びそれらの情報を得る方法について説明する。
<<1)経路情報について>>
経路情報は、アプリケーション10の導入に関わるソフトウエア、ハードウエア、及びサービスなどに関する情報を含む。アプリケーション10の導入に関わるソフトウエアは、例えば、アプリケーション10をダウンロードするために利用されるダウンローダや、アプリケーション10のインストールに利用されるインストーラである。また、アプリケーション10のインストーラ等が圧縮されたファイルを入手する場合、その圧縮ファイルの解凍に利用される解凍ソフトウエアも、アプリケーション10の導入に関わるソフトウエアといえる。アプリケーション10の導入に関わるハードウエアは、例えば、アプリケーション10のインストーラや実行ファイルなどが格納されている記憶装置などである。アプリケーション10の導入に関わるサービスは、例えば、アプリケーション10のインストーラなどを提供する Web サイトや、アプリケーション10の提供元と端末40との間に配置されるプロキシなどである。
経路情報は、アプリケーション10の導入に関わるソフトウエア、ハードウエア、及びサービスなどに関する情報を含む。アプリケーション10の導入に関わるソフトウエアは、例えば、アプリケーション10をダウンロードするために利用されるダウンローダや、アプリケーション10のインストールに利用されるインストーラである。また、アプリケーション10のインストーラ等が圧縮されたファイルを入手する場合、その圧縮ファイルの解凍に利用される解凍ソフトウエアも、アプリケーション10の導入に関わるソフトウエアといえる。アプリケーション10の導入に関わるハードウエアは、例えば、アプリケーション10のインストーラや実行ファイルなどが格納されている記憶装置などである。アプリケーション10の導入に関わるサービスは、例えば、アプリケーション10のインストーラなどを提供する Web サイトや、アプリケーション10の提供元と端末40との間に配置されるプロキシなどである。
例えば、アプリケーションXのインストーラIの圧縮ファイルであるファイルFがサーバSで提供されているとする。そして、ダウンローダDを用いてサーバSからファイルFをダウンロードし、ファイルFを解凍ソフトウエアBで解凍し、この解凍によって得られたアプリケーションXのインストーラIを実行することで、端末40にアプリケーションXが導入されたとする。この場合、例えばアプリケーションXについての経路情報は、「サーバS、ダウンローダD、解凍ソフトウエアB、インストーラI」という情報を示す。
経路情報の生成は、例えば、アプリケーション10の導入に関連しうる種々のイベントの履歴(イベントの主体、客体、及び内容を表す情報)を利用することで実現できる。アプリケーション10の導入に関連しうるイベントは、例えば、ファイルのダウンロード、圧縮ファイルの解凍、及びインストーラの実行などである。ここで、これらのイベントの履歴は、記憶装置に記憶させておく。なお、イベントの履歴を記録する技術には既存の技術を利用することができる。また、ここでいうイベントの履歴は、異常検知装置60が利用するイベントの履歴と同じであってもよいし、異なっていてもよい。
経路情報の生成は、例えば、端末40に常駐させておくエージェントソフトウエアによって行われる。例えば、エージェントソフトウエアは、アプリケーション10の導入に伴って発生しうる特定のイベント(以下、キーイベント)の発生を検知する。例えばキーイベントは、インストーラの実行である。さらにエージェントソフトウエアは、キーイベントの検知に応じて、そのキーイベントに関連する他のイベントを特定していく。例えばキーイベントがインストーラの実行である場合、エージェントソフトウエアは、イベントの履歴の中から、そのインストーラが含まれていた圧縮ファイルの解凍というイベントや、その圧縮ファイルのダウンロードというイベントを抽出する。
上述したイベントの抽出により、「インストーラが含まれる圧縮ファイルのダウンロード->圧縮ファイルの解凍->インストーラの実行」という、アプリケーション10の導入に関連するイベント列を抽出できる。導入経路の情報は、このイベント列から生成することができる。例えば、圧縮ファイルのダウンロードイベントに基づいて、アプリケーション10のインストーラの提供元(ウェブサイトなど)の特定、及びダウンロードに利用されたダウンローダの特定が行える。また、インストーラが含まれる圧縮ファイル解凍というイベントに基づいて、解凍に利用された解凍ソフトウエアを特定することができる。さらに、インストーラの実行というイベントに基づいて、アプリケーション10のインストールに利用されたインストーラを特定することができる。経路情報は、これら特定された種々の情報で構成される。
なお、キーイベントには、所定の条件に当てはまるイベントを利用できる。例えば、アプリケーションが配置される標準的なディレクトリは OS やミドルウエアごとに予め決まっており、このようなディレクトリに対するファイルの書き込みは、アプリケーション10の導入に関連する蓋然性が高いイベントであると考えられる。そこで例えば、エージェントソフトウエアは、アプリケーションが配置されるべき標準的なディレクトリに対してファイルを書き込むイベントを、キーイベントとして検知する。
その他にも例えば、アプリケーションの導入は、レジストリや所定の設定ファイル(環境変数が格納されているファイルなど)の更新を伴うことが多い。そこで例えば、エージェントソフトウエアは、レジストリや所定の設定ファイルに対する書き込みのイベントをキーイベントとして検知する。
その他にも例えば、アプリケーションの導入は、既知のインストーラ(例えば、OS に標準で用意されているインストーラ)を利用して行われることが多い。そこで例えば、エージェントソフトウエアは、このような既知のインストーラの実行を表すイベント(所定のプログラムの実行を表すイベント)をキーイベントとして検知する。
なお、キーイベントの検出に用いる所定の条件は、エージェントソフトウエアからアクセス可能な記憶装置に予め記憶させておく。
<<2)配置情報について>>
配置情報は、アプリケーション10に関連するファイル(実行ファイルや設定ファイルなど)が書き込まれた場所(ディレクトリなど)に関する情報などを示す。
配置情報は、アプリケーション10に関連するファイル(実行ファイルや設定ファイルなど)が書き込まれた場所(ディレクトリなど)に関する情報などを示す。
例えば配置情報の生成は、以下のようにして行われる。まず、前提として、ファイルの書き込みイベントの履歴を記録しておく。そして、前述したエージェントソフトウエアが、このイベントの履歴を利用して、配置情報を生成する。例えばエージェントソフトウエアは、まず、インストーラの実行のイベントを検知する。さらにエージェントソフトウエアは、そのインストーラによって行われたファイルの書き込みイベントを特定する。そして、エージェントソフトウエアは、特定した各イベントにおいてファイルが書き込まれた場所を示す配置情報を生成する。
<<3)設定情報について>>
アプリケーション10によっては、そのインストールに伴い、レジストリや既存の設定ファイルに対して変更が加えられる。設定情報は、このようにアプリケーション10の導入に伴って加えられる設定の変更を表す。
アプリケーション10によっては、そのインストールに伴い、レジストリや既存の設定ファイルに対して変更が加えられる。設定情報は、このようにアプリケーション10の導入に伴って加えられる設定の変更を表す。
例えば設定情報は、配置情報と同様に、ファイルの書き込みイベントの履歴を利用して生成される。例えばエージェントソフトウエアは、まず、インストーラの実行のイベントを検知する。さらにエージェントソフトウエアは、そのインストーラによって行われた、レジストリや所定の設定ファイルに対する書き込みイベントを特定する。そして、エージェントソフトウエアは、特定した各イベントについて「イベントにおいて書き込みが行われたファイルの識別情報(パスなど)、そのファイルに対して書き込まれたデータの内容」という組み合わせを示す設定情報を生成する。
図6は、導入関連情報30をテーブル形式で例示する図である。図6のテーブルを、テーブル200と呼ぶ。テーブル200は、識別情報202、属性名204、及び属性値206という3つの列を有する。識別情報202は、アプリケーション10の識別情報を表す。属性名204は、提供元、ダウンローダ、解凍ソフトウエア、インストーラ、配置情報、及び設定情報などといった情報の種類を表す。属性値206は、属性名202が示す種類の情報について、その内容を表す。例えば、「識別情報202:端末XのアプリケーションA、属性名204:ダウンローダ、属性値206:ブラウザX」という組みを示すレコードは、端末Xで実行されているアプリケーションAを導入する際、ダウンローダとしてブラウザXが利用されたことを表す。
なお、導入関連情報30の生成は、必ずしも前述したエージェントソフトウエアによって行われる必要はない。例えば導入関連情報30の生成は、評価装置2000によって行われてもよい。具体的には、評価装置2000は、異常が検知されたアプリケーション10の識別情報を取得したら、その識別情報を用いて、アプリケーション10が実行されている端末40について記録されたイベントの履歴から、アプリケーション10の導入に関連するイベントの履歴を抽出する。そして、評価装置2000は、抽出したイベントの履歴を用いて、導入関連情報30を生成する。
<導入関連情報30の取得:S102>
取得部2020は、異常が検知されたアプリケーション10についての導入関連情報30を取得する(S102)。そのために、取得部2020は、アプリケーション10の異常を検知した装置(前述した異常検知装置60など)から、異常が検知されたアプリケーション10の識別情報を取得する。そして、取得部2020は、取得した識別情報を示す導入関連情報30を取得する。
取得部2020は、異常が検知されたアプリケーション10についての導入関連情報30を取得する(S102)。そのために、取得部2020は、アプリケーション10の異常を検知した装置(前述した異常検知装置60など)から、異常が検知されたアプリケーション10の識別情報を取得する。そして、取得部2020は、取得した識別情報を示す導入関連情報30を取得する。
取得部2020が導入関連情報30を取得する具体的な方法は任意である。例えば取得部2020は、異常が検知されたアプリケーション10の識別情報を用いて、そのアプリケーション10が導入されている端末40を特定する。そして、取得部2020は、特定した端末40で動作しているエージェントソフトウエアと通信することで、異常が検知されたアプリケーション10の導入関連情報30を取得する。例えば取得部2020は、エージェントソフトウエアに対し、導入関連情報30の取得のリクエストを送信する。このリクエストには、異常が検知されたアプリケーション10の識別情報を含める。このリクエストを受信したエージェントソフトウエアは、リクエストに識別情報が示されているアプリケーション10についての導入関連情報30を、取得部2020へ送信する。
ここで、エージェントソフトウエアは、取得部2020からリクエストを受信したことに応じて導入関連情報30を生成してもよいし、予め各アプリケーション10について導入関連情報30を生成していてもよい。
前述した様に、導入関連情報30は、評価装置2000によって生成されてもよい。この場合、取得部2020は、評価装置2000によって生成された導入関連情報30を任意の方法で取得する。
なお、予め導入関連情報30が生成されている場合、導入関連情報30を評価装置2000からアクセス可能な記憶装置に記憶させておいてもよい。この場合、取得部2020は、この記憶装置にアクセスすることで、異常が検知されたアプリケーション10についての導入関連情報30を取得する。
<アプリケーション10の評価:S104>
評価部2040は、異常が検知されたアプリケーション10について、導入関連情報30を用いて評価を行う。例えば評価部2040は、異常が検知されたアプリケーション10について取得した導入関連情報30を、アプリケーションの導入についての基準となる情報(以下、基準情報)と比較することで、アプリケーション10の評価を行う。基準情報は、ルールやポリシーなどとも呼ぶことができる。
評価部2040は、異常が検知されたアプリケーション10について、導入関連情報30を用いて評価を行う。例えば評価部2040は、異常が検知されたアプリケーション10について取得した導入関連情報30を、アプリケーションの導入についての基準となる情報(以下、基準情報)と比較することで、アプリケーション10の評価を行う。基準情報は、ルールやポリシーなどとも呼ぶことができる。
<<基準情報について>>
例えば基準情報は、正常なアプリケーションについての導入経路などを定めた情報である。このような基準情報を利用すると、例えば、導入関連情報30と基準情報との一致度合いが高い場合に、アプリケーション10の正常度が高いと判断することができる。このような基準情報を、正常基準情報と呼ぶ。
例えば基準情報は、正常なアプリケーションについての導入経路などを定めた情報である。このような基準情報を利用すると、例えば、導入関連情報30と基準情報との一致度合いが高い場合に、アプリケーション10の正常度が高いと判断することができる。このような基準情報を、正常基準情報と呼ぶ。
例えば正常基準情報には、以下の情報が含まれる。
1)正常経路情報:アプリケーション10の正常な導入経路
2)正常配置情報:アプリケーション10の正常な配置場所
3)正常設定情報:アプリケーション10のインストールに伴う正常な設定
1)正常経路情報:アプリケーション10の正常な導入経路
2)正常配置情報:アプリケーション10の正常な配置場所
3)正常設定情報:アプリケーション10のインストールに伴う正常な設定
正常経路情報は、アプリケーション10の導入に関連する正常なソフトウエア、正常なハードウエア、及び正常なサービスなどの情報を表す。例えば、正常経路情報は、アプリケーション10の提供元となる正常なサービスやハードウエア(ウェブサイトや記憶装置など)を表す。さらに例えば、正常経路情報は、正常なインストーラ、正常な解凍ソフトウエア、及び正常なダウンローダなど、アプリケーションの導入に利用されうる正常なソフトウエアを示す。正常経路情報は、例えば、アプリケーションごとに定められる。その他にも例えば、正常経路情報は、OS 等の実行環境ごとに定められていてもよい。
また、正常経路情報は、正常な提供元やソフトウエアのセットを表してもよい。例えばこの情報は、「サーバS1、ダウンローダD1、インストーラI1」などといった情報である。
正常配置情報は、アプリケーションがインストールされるべき正常な場所(ディレクトリなど)を示す。なお、アプリケーションがインストールされるべき場所は、アプリケーションごとや、OS などの実行環境ごとに定められていてもよい。
正常設定情報は、アプリケーションの導入に伴って行われる正常な設定を表す。正常設定情報は、例えば、アプリケーションごとに定められる。例えば、アプリケーションXが導入された場合にレジストリに所定のレコードRが追加されることが分かっているとする。この場合、アプリケーションXについての正常設定情報は、「レジストリに対するレコードRの追加」を示す。
基準情報は、異常なアプリケーションについての導入経路などを定めた情報であってもよい。このような基準情報を利用すると、例えば、導入関連情報30と基準情報との一致度合いが高い場合に、アプリケーション10の異常度が高い(正常度が低い)と判断することができる。このような基準情報を、異常基準情報と呼ぶ。
異常基準情報には、例えば、以下の情報が含まれうる。
1)異常経路情報:アプリケーションの異常な導入経路
2)異常配置情報:アプリケーションの異常な配置場所
3)異常設定情報:アプリケーションのインストールに伴う異常な設定
1)異常経路情報:アプリケーションの異常な導入経路
2)異常配置情報:アプリケーションの異常な配置場所
3)異常設定情報:アプリケーションのインストールに伴う異常な設定
異常基準情報の詳細は、基本的に、正常基準情報の説明において「正常」と「異常」を入れ替えることで把握することができる。例えば、正常経路情報がアプリケーションの導入に利用されうる正常なソフトウエアなどを示す一方で、異常経路情報はアプリケーションの導入に利用されうる異常なソフトウエアなどを示す。例えば、マルウエアを拡散させていることで知られている既知の悪意あるウェブサイトがある場合、異常経路情報には、異常なソフトウエアの提供元として、そのウェブサイトの URL などを含めることができる。
ここで、基準情報を正常と異常に二分する代わりに、基準情報において、各属性値にその属性値の正常度(又は異常度)を対応づけて示してもよい。例えば、「属性名:インストーラ、属性値:インストーラI1、正常度合い:c1」などのような情報を、基準情報として利用することができる。
図7は、基準情報をテーブル形式で例示する図である。このテーブルをテーブル300と呼ぶ。テーブル300は、識別情報302、属性名304、属性値306、及び正常度308という4つの列を含む。識別情報302、属性名304、及び属性値306については、テーブル200の識別情報202、属性名204、及び属性値206と同様である。ただし、識別情報302にデータが示されていないレコードは、アプリケーションや実行環境に依存しないことを表す。正常度308は、対応する属性値の正常度を表す。
<<評価の方法>>
評価部2040は、導入関連情報30と基準情報とを比較することで、アプリケーション10の評価を行う。例えば評価部2040は、導入関連情報30と基準情報とを比較することで、アプリケーション10の正常度又は異常度を表す評価値を算出する。具体的には、評価部2040は、導入関連情報30と基準情報との一致度合いに基づいて評価値を算出する。ここで、ルールやポリシー(本発明における基準情報)と実際の状況(本発明における導入関連情報30)との一致度合いを算出する技術自体には、種々の既存の技術を利用することができる。
評価部2040は、導入関連情報30と基準情報とを比較することで、アプリケーション10の評価を行う。例えば評価部2040は、導入関連情報30と基準情報とを比較することで、アプリケーション10の正常度又は異常度を表す評価値を算出する。具体的には、評価部2040は、導入関連情報30と基準情報との一致度合いに基づいて評価値を算出する。ここで、ルールやポリシー(本発明における基準情報)と実際の状況(本発明における導入関連情報30)との一致度合いを算出する技術自体には、種々の既存の技術を利用することができる。
例えば、導入関連情報30と基準情報との一致度合いは、以下の式(1)などを用いて算出することができる。
ここで、v は評価値を表す。E は、導入関連情報30に示されている属性値の集合であり、|E| はその集合の要素数を表す。また、S は、導入関連情報30と基準情報とで互いに一致する属性値の集合であり、|S| はその集合の要素数を表す。
導入関連情報30と正常基準情報とを比較する場合、これらの一致度合いは、アプリケーション10の正常度合いを表す。一方、導入関連情報30と異常基準情報とを比較する場合、これらの一致度合いは、アプリケーション10の異常度合いを表す。
また、基準情報が各属性についてその正常度を示すとする。この場合、導入関連情報30と正常基準情報との間で一致する属性値の正常度の積算値や統計値(平均値、中央値、最頻値、最大値、及び最小値など)を、アプリケーション10の正常度を表す評価値として利用することができる。例えば、以下の数式(2)などを用いて評価値を算出することができる。
ここで、wi は属性値 i に付されている正常度である。
一方、基準情報が各属性についてその異常度を示すとする。この場合、導入関連情報30と異常基準情報との間で一致する属性値の異常度の積算値や統計値を、アプリケーション10の異常度を表す評価値として利用することができる。その算出方法は、正常度を表す評価値と同様である。
なお、評価部2040は、導入関連情報30と基準情報との不一致の度合いを評価に利用してもよい。例えば評価部2040は、導入関連情報30と正常基準情報との一致度合いを表す評価値から、導入関連情報30と正常基準情報との不一致度合いを表す評価値を引くことで、アプリケーション10の正常度を表す評価値を算出する。同様に、例えば評価部2040は、導入関連情報30と異常基準情報との一致度合いを表す評価値から、導入関連情報30と異常基準情報との不一致度合いを表す評価値を引くことで、アプリケーション10の異常度を表す評価値を算出してもよい。
評価部2040は、基準情報と導入関連情報30との比較によって算出された評価値そのものをアプリケーション10の評価結果として扱ってもよいし、評価値に基づいて所定の判定を行い、その判定結果をアプリケーション10の評価結果としてもよい。後者の場合において、評価値がアプリケーション10の正常度を表すとする。この場合、例えば評価部2040は、評価値が所定の閾値以上であれば「アプリケーション10は正常である」と判定し、評価値が所定の閾値未満であれば「アプリケーション10は正常で無い」と判定する。一方、評価値がアプリケーション10の異常度を表すとする。この場合、評価値が所定の閾値以上であれば「アプリケーション10は異常である」と判定し、評価値が所定の閾値未満であれば「アプリケーション10は異常で無い」と判定する。
アプリケーション10の評価は、評価値を利用するものに限定されない。例えば評価部2040は、導入関連情報30を基準情報と比較することによってアプリケーション10の特徴を特定し、その特徴を評価結果としてもよい。例えばアプリケーション10の特徴は、導入関連情報30が示す各属性値が正常であるか否かの判定結果である。例えば、導入関連情報30が経路情報を示している場合、「提供元:正常、ダウンローダ:正常、解凍ソフトウエア:正常、インストーラ:正常でない」などのように、アプリケーション10の導入に関連する提供元やソフトウエアについて、正常であるか否かの判定が行われる。
各属性値が正常であるか否かの判定は、導入関連情報30と基準情報との比較によって行われる。例えば、導入関連情報30が示す属性値が正常であると判定されるのは、その属性値と正常基準情報が示す属性値が一致する場合、その属性値と異常基準情報が示す属性値が一致しない場合、その属性値について基準情報が示す正常度が所定の閾値以上である場合、又はその属性値について基準情報が示す異常度が所定の閾値未満である場合などである。一方、導入関連情報30が示す属性値が正常でないと判定されるのは、その属性値と正常基準情報が示す属性値が一致しない場合、その属性値と異常基準情報が示す属性値が一致する場合、その属性値について基準情報が示す正常度が所定の閾値未満である場合、又はその属性値について基準情報が示す異常度が所定の閾値異常である場合などである。
また、正常度や異常度を示す基準情報を利用する場合、評価部2040は、導入関連情報30を基準情報と比較することで、導入関連情報30の各属性値の正常度や異常度を特定してもよい。例えば、導入関連情報30が経路情報を示している場合、「提供元の正常度:c1、ダウンローダの正常度:c2、解凍ソフトウエアの正常度:c3、インストーラの正常度:c4」などのように、アプリケーション10の導入に関連する提供元やソフトウエアについての正常度が特定される。導入関連情報30が示す属性値の正常度としては、基準情報がその属性値について示す正常度を用いることができる。異常度についても同様である。
なお、特許文献2には、インストーラの情報等に基づいてアプリケーションの安全性を評価する技術が開示されている。しかしながら、特許文献2には、少なくとも、EDR 等の他の異常検知手法によって異常が検知されたアプリケーションを対象として評価を行うことは開示されていない。
<基準情報の生成方法>
前述した基準情報を生成する方法は様々である。例えば基準情報は、評価装置2000を運用する組織の IT 管理者などによって手動で生成される。その他にも例えば、基準情報は、評価装置2000又は他の装置によって自動で生成されてもよい。説明を容易にするため、以下の説明では、評価装置2000が基準情報を生成するものとする。
前述した基準情報を生成する方法は様々である。例えば基準情報は、評価装置2000を運用する組織の IT 管理者などによって手動で生成される。その他にも例えば、基準情報は、評価装置2000又は他の装置によって自動で生成されてもよい。説明を容易にするため、以下の説明では、評価装置2000が基準情報を生成するものとする。
例えば評価装置2000は、対象システム20におけるアプリケーション10の導入の実績に基づいて基準情報を生成する。概念的には、対象システム20に含まれる端末40におけるこれまでのアプリケーションの導入において、より多く利用された導入経路、配置場所、及び設定ほど、それぞれ、正常度が高い導入経路、配置場所、及び設定として扱われる。例えば、各アプリケーション10について、アプリケーション10が導入されたタイミングなどで、導入関連情報30を生成しておく。そして、評価装置2000は、これまでに生成された導入関連情報30を統計処理することで、基準情報を生成する。
例えば、各属性値の正常度は、これまでに生成された導入関連情報30のうち、その属性値を示すものの個数と正の相関を持つように定められる。例えば、正常度は、上記個数を所定の非単調減少関数に入力することで得られる値として定められる。ただし、導入関連情報30の個数ではなく、端末40の個数をカウントするようにしてもよい。すなわち、属性値の正常度を、その属性値を示す導入関連情報30が生成された端末40の個数と正の相関を持つように定める。
正常度を示す基準情報を生成する場合、例えば評価装置2000は、前述した方法で正常度が算出された属性値について、その属性値と正常度との組み合わせを含む基準情報を生成する。正常基準情報を生成する場合、例えば評価装置2000は、前述した方法で算出された正常度が所定の閾値以上である属性値を含む正常基準情報を生成する。異常基準情報を生成する場合、例えば評価装置2000は、前述した方法で算出された正常度が所定の閾値以下である属性値を含む異常基準情報を生成する。なお、正常基準情報の生成に利用する閾値と、異常基準情報の生成に利用する閾値は、同じであってもよいし、異なっていてもよい。
また、評価装置2000は、対象システム20が運用されているグループや外部組織などにおける評判(reputation)に基づいて、各属性値の正常度等を決定してもよい。対象システム20が運用されているグループにおける評判は、例えば、グループのメンバーに対して行ったアンケートを集計したり、グループ内で運用されている SNS(Social Networking Service)に投稿された情報を収集したりすることで得ることができる。また、外部組織における評判は、例えば、マルウエアなどの悪意あるソフトウエアや悪意あるウェブサイトなどに関する情報を公開しているサイトにアクセスしたりすることで収集することができる。評価装置2000は、これらの方法により、基準情報に含めうる種々の属性値(アプリケーションの提供元となるサービスやハードウエア、導入に利用されるソフトウエア、アプリケーションの配置場所、アプリケーションの導入によって行われる設定など)について、その評判の情報を収集する。そして、評価装置2000は、収集した評判の情報に基づいて、各属性値の正常度や異常度を算出する処理や、各属性値が正常と異常のどちらであるかを判定する処理を行う。そして、評価装置2000は、これらの処理結果に基づいて、基準情報を生成する。
また、アプリケーション10が信頼度の高い有名なアプリケーションである場合、そのアプリケーションの導入経路や配置場所、及びそのアプリケーションの導入に伴って行われる設定についての情報が、信頼できるウェブサイトなど(例えばアプリケーション10の提供元のウェブサイト)などで公開されていることがある。そこで評価装置2000は、アプリケーション10の導入について信頼度の高い情報を提供していると考えられるウェブサイト等にアクセスして情報を得ることで、基準情報を生成してもよい。
評価部2040が基準情報を取得する方法は様々である。例えば評価部2040は、基準情報が記憶されている記憶装置から基準情報を取得する。その他にも例えば、評価部2040は、基準情報を生成した装置から基準情報を取得してもよい。
その他にも例えば、評価部2040は、以下で説明する方法で基準情報を取得してもよい。図9は、基準情報を管理する構成を例示する図である。まず、基準情報が格納されうる記憶装置として、評価部2040からのアクセスに要する時間が比較的短い第1記憶装置70と、評価部2040からのアクセスに要する時間が比較的長い第2記憶装置80が設けられているとする。例えば第1記憶装置70は、評価装置2000の内部に設けられている記憶装置や、評価装置2000と LAN で接続されている記憶装置である。一方、第2記憶装置80は、評価装置2000と WAN で接続されている記憶装置(例えば、クラウドストレージ)である。
基準情報は、第1記憶装置70と第2記憶装置80の双方に格納されうる。以下、第1記憶装置70に格納される基準情報を第1基準情報と呼び、第2記憶装置80に格納される基準情報を第2基準情報と呼ぶ。評価装置2000の運用開始時における第1基準情報は、例えば、IT 管理者によって手動で生成されたものである。また、評価装置2000は、対象システム20におけるアプリケーション10の導入の実績に基づいて、第1基準情報を更新してもよい。第2基準情報は、サーバ90がインターネット上の情報を収集することによって随時更新されていく。
評価部2040は、取得した導入関連情報30との比較に利用する基準情報を取得する際、まずは第1記憶装置70にアクセスして、第1基準情報の取得を試みる。第1基準情報の中に、導入関連情報30に示されている属性値と一致する属性値が含まれていれば、評価部2040は、第1基準情報を利用する。一方、導入関連情報30に示されている属性値の中に、一致する属性値が第1基準情報には存在しないものがあれば、評価部2040はサーバ90にアクセスする。
具体的には、評価部2040は、属性値を示すリクエストをサーバ90へ送信する。サーバ90は、第2記憶装置80にアクセスし、リクエストに示される属性値が第2基準情報に含まれるか否かを判定する。リクエストに示される属性値が第2基準情報に含まれている場合、サーバ90は、その属性値を示す第2基準情報のレコードが含まれるレスポンスを、評価部2040へ送信する。評価部2040は、受信したレコードに含まれる情報をアプリケーション10の評価に利用する。また、評価部2040は、このようにして取得したレコードを、第1基準情報に追加する。こうすることで、次回以降の評価では、同じ情報を第2記憶装置80ではなく第1記憶装置70から取得することができるため、情報の取得をより早く行える。一方、リクエストに示される属性値が第2基準情報に含まれていない場合、サーバ90は、所望の情報が第2基準情報に含まれない旨を示すレスポンスを評価部2040へ送信する。この場合に評価部2040が行う評価の方法は様々である。
<導入関連情報30以外の情報をさらに利用した評価>
アプリケーション10の評価には、導入関連情報30以外の情報がさらに利用されてもよい。導入関連情報30以外の情報としては、例えば、以下の情報を利用することができる。
1)アプリケーション10の作成者に関する情報
2)アプリケーション10のシグニチャ(バイナリのハッシュ値など)
3)アプリケーション10自体に関する評判
アプリケーション10の評価には、導入関連情報30以外の情報がさらに利用されてもよい。導入関連情報30以外の情報としては、例えば、以下の情報を利用することができる。
1)アプリケーション10の作成者に関する情報
2)アプリケーション10のシグニチャ(バイナリのハッシュ値など)
3)アプリケーション10自体に関する評判
アプリケーション10の作成者が有名な人物や組織である場合、アプリケーション10の正常度は高いと考えられる。また、アプリケーション10のシグニチャが、信頼性が担保されている(例えば、正当な認証局によって認証済みである)アプリケーションについて公開されているシグニチャと一致する場合、アプリケーション10の正常度は高いと考えられる。同様に、端末40に導入されたアプリケーション10のシグニチャが、既知にマルウエアのシグニチャと一致する場合、アプリケーション10の正常度は低いと考えられる。さらに、対象システム20が運用されているグループや外部組織など(例えばインターネット上)におけるアプリケーション10の評判が高ければ、アプリケーション10の正常度は高いと考えられる。
このように、アプリケーション10の導入に関する以外の種々の情報も、アプリケーション10の評価を行う上で有用なものになりうる。そこで評価装置2000は、これら種々の情報をさらに利用して、アプリケーション10の評価を行いうる。この場合、例えば前述した基準情報に、アプリケーション10の導入に関する基準に加え、アプリケーション10の作成者、シグニチャ、及び評判などに関する基準も加える。例えば、「属性名:作成者、属性値:xyz.inc」などと基準である。また、取得部2020は、異常が検知されたアプリケーション10について、導入関連情報30に加え、アプリケーション10の作成者、シグニチャ、及び評判などに関する情報も取得する。そして、評価部2040は、取得した各種の情報を基準情報と比較することで、アプリケーション10の評価を行う。
ここで、異常が検知されたアプリケーション10について取得した作成者、シグニチャ、及び評判などに関する情報と、基準情報に含まれるこれらの情報とを比較する方法は、導入関連情報30と基準情報とを比較する方法と同様である。例えば評価部2040は、前述した式(1)や(2)に示した評価値の算出式に、アプリケーション10の導入に関連する情報の一致度合いだけでなく、作成者、シグニチャ、及び評判などの一致度合いも含めるようにする。
<評価結果の出力>
例えば評価装置2000は、評価部2040による評価結果を表す出力情報を生成し、生成した出力情報の出力を行う。出力情報の生成及び出力を行う機能構成部を、出力部2060と呼ぶ。図8は、出力部2060を有する評価装置2000の構成を例示するブロック図である。
例えば評価装置2000は、評価部2040による評価結果を表す出力情報を生成し、生成した出力情報の出力を行う。出力情報の生成及び出力を行う機能構成部を、出力部2060と呼ぶ。図8は、出力部2060を有する評価装置2000の構成を例示するブロック図である。
出力部2060は、評価部2040による評価結果に基づいて、出力情報を生成する。例えば出力情報は、評価結果を表す画面(以下、評価結果画面)を含む。評価結果画面は、例えば、評価装置2000による評価が行われた(すなわち、異常検知装置60などによって異常が検知された)各アプリケーション10の識別情報と、そのアプリケーション10についての評価結果とを対応付けた情報を含む。
図10は、評価結果画面を例示する図である。図10において、評価結果画面100は、各アプリケーション10について、アプリケーション10が導入されている端末40の識別情報、アプリケーション10の名称、及びアプリケーション10についての総合的な評価結果を示している。総合的な評価結果は、アプリケーション10が正常であるか否かを示している。また、各アプリケーション10について、「詳細表示」というボタンが設けられている。このボタンが押されると、出力部2060は、そのボタンに対応するアプリケーション10について、そのアプリケーション10の評価に利用された属性値とその評価についての情報を示す詳細画面110をさらに出力する。
なお、出力情報は画面に限定されない。例えば出力情報は、異常が検知された各アプリケーション10についての評価結果が記録されたファイルであってもよい。この場合、出力部2060は、各アプリケーション10についての評価は、1つのファイルに記録されてもよいし、個々のファイルに記録されてもよい。なお、上記ファイルは、評価装置2000からアクセス可能な記憶装置に格納されてもよいし、他の装置(例えば、各 IT 管理者が利用する端末)へ送信されてもよい。
また、評価部2040による評価結果の利用方法は、その結果を表す情報の出力に限定されない。例えば以下の実施形態2で説明するように、評価部2040による評価結果は、評価されたアプリケーション10の制御などに利用されてもよい。
出力部2060は、異常が検知されたアプリケーション10のユーザ(そのアプリケーション10が動作している端末40のユーザ)に対して情報の出力を行ってもよい。例えば出力部2060は、アプリケーション10について異常が検知されたことを異常検知装置60から通知されたら、そのアプリケーション10について評価部2040による評価を開始すると共に、そのアプリケーション10について異常が検知されたことや、そのアプリケーション10についての評価を行っていることを表す通知を、そのアプリケーション10が動作している端末40に対して送信する。この通知は、例えば、端末40に接続されているディスプレイ装置に表示される。この通知を閲覧することにより、アプリケーション10のユーザは、そのアプリケーション10について異常が検知されたことや、そのアプリケーション10について評価が行われていることを把握することができる。これにより、例えばユーザが、アプリケーション10についての評価が終わるまでそのアプリケーション10の利用を控えるなどといった対処を行うことができる。
また、出力部2060は、上述した通知に代えて、又は上述した通知に加えて、アプリケーション10についての評価結果を表す通知を、アプリケーション10が動作している端末40に対して送信してもよい。この通知は、例えば、端末40に接続されているディスプレイ装置に表示される。この通知を閲覧することにより、アプリケーション10のユーザは、アプリケーション10についての評価結果を把握することができる。
<変形例>
評価装置2000は、異常が検知されたアプリケーション10についての評価を行う代わりに、異常が検知されなかったアプリケーション10について、前述した種々の評価を行ってもよい。例えば異常検知装置60において、フォールスネガティブが発生しにくい異常検知を行う代わりに、フォールスポジティブが発生しにくい検知を行うようにする。このようにすると、異常検知装置60において異常であると判定されたアプリケーション10は確実に異常であると考えられる一方で、異常検知装置60において正常であると判定されたアプリケーション10については異常である可能性もある。
評価装置2000は、異常が検知されたアプリケーション10についての評価を行う代わりに、異常が検知されなかったアプリケーション10について、前述した種々の評価を行ってもよい。例えば異常検知装置60において、フォールスネガティブが発生しにくい異常検知を行う代わりに、フォールスポジティブが発生しにくい検知を行うようにする。このようにすると、異常検知装置60において異常であると判定されたアプリケーション10は確実に異常であると考えられる一方で、異常検知装置60において正常であると判定されたアプリケーション10については異常である可能性もある。
そこでこのような場合、異常検知装置60において正常であるとは判定された(異常が検知されなかった)アプリケーション10について評価装置2000による評価を行うことで、アプリケーション10が本当に正常であるかどうかやアプリケーション10の正常度合などを把握できるようになる。すなわち、アプリケーション10の正常又は異常について、より精度の高い評価を実現できる。
[実施形態2]
図11は、実施形態2の評価装置2000の機能構成を例示するブロック図である。以下で説明する点を除き、実施形態2の評価装置2000は、実施形態1の評価装置2000と同様の機能を有する。
図11は、実施形態2の評価装置2000の機能構成を例示するブロック図である。以下で説明する点を除き、実施形態2の評価装置2000は、実施形態1の評価装置2000と同様の機能を有する。
実施形態2の評価装置2000は制御部2080を有する。制御部2080は、評価部2040による評価の結果に基づいて、アプリケーション10の制御を行う。例えば制御部2080は、異常であると評価されたアプリケーション10の実行を停止する。その他にも例えば、制御部2080は、異常であると評価されたアプリケーション10が他のオブジェクト(プロセス、ファイル、及びソケットなど)へアクセスできないようにする。なお、アクセスを制限するオブジェクトは、一部のオブジェクトのみであってもよい。その他にも例えば、制御部2080は、異常であると評価されたアプリケーション10から外部に送信されたメッセージを遮断してもよい。
例えば制御部2080は、前述したエージェントアプリケーションに対して所定のリクエストを送信することで、アプリケーション10を制御する。エージェントアプリケーションは、OS やミドルウエアに対し、指定したアプリケーションの実行を停止する指示を出力したり、指定したアプリケーションによる他のオブジェクトへのアクセスを制限する指示を出力できるように構成される。制御部2080は、「アプリケーション10の識別情報、制御内容」という組み合わせを示すリクエストをエージェントアプリケーションへ送信する。エージェントアプリケーションは、リクエストで指定されたアプリケーション10について、リクエストに示される制御内容を実現するように、OS 等に対して指示を送る。こうすることで、制御部2080による指示に従って、アプリケーション10の動作が制御される。
ここで、アプリケーション10の制御の内容は、アプリケーション10の正常度や異常度に基づいて決められてもよい。例えば、評価部2040によって算出される評価値の複数の数値範囲に対し、それぞれ異なる制御の内容を対応づけておく。こうすることで、アプリケーション10の異常度の高さに応じて、アプリケーション10に対して適用する制御の内容を変えることができる。
例えば、異常度の定義域を、異常度が非常に高いことを表す第1の範囲(異常度>=Th1)、異常度が中程度であることを表す第2の範囲(Th1>異常度>=Th2)、及び異常度が低いことを表す第3の範囲(異常度<Th2)という3つの範囲に分けておく。ここで、Th1 と Th2 は、Th1>Th2 を満たす実数である。そして、第1の範囲に対しては「アプリケーションの停止」という制御を対応付けておき、第2の範囲には「他のオブジェクトに対するアクセスの遮断」という制御を対応づけておき、第3の範囲には「制御無し」を対応づけておく。こうすることにより、制御部2080は、異常度が第1の範囲に含まれるアプリケーション10(すなわち、異常度が非常に高いアプリケーション10)についてはその実行を停止し、異常度が第2の範囲に含まれるアプリケーション10(すなわち、異常度が中程度であるアプリケーション10)についてはその実行を停止せずに他のオブジェクトに対するアクセスを遮断し、異常度が第3の範囲に含まれるアプリケーション10(すなわち、異常度が低いアプリケーション10)についてはその動作を制限しないという制御を実現することができる。すなわち、異常度の高さに応じてアプリケーション10の動作を柔軟に制御することができる。
制御部2080による制御が行われた場合、出力部2060は、アプリケーション10について行われた制御に関する通知を、そのアプリケーション10が動作している端末40に対して通知してもよい。例えば制御部2080がアプリケーション10の実行を停止したとする。この場合、出力部2060は、評価装置2000による評価の結果に基づいてアプリケーション10の実行が停止されたことを表す通知を出力する。この通知は、例えば、端末40に接続されているディスプレイ装置に表示される。この通知を閲覧することにより、アプリケーション10のユーザは、端末40の不具合等の予期せぬ事態によってアプリケーション10が停止したわけではなく、評価装置2000による制御の結果としてアプリケーション10が停止したということを把握することができる。よって、アプリケーション10を停止させたことによってユーザが混乱してしまうことを防ぐことができる。
その他にも例えば、制御部2080がアプリケーション10の動作を制限したとする。この場合、出力部2060は、評価装置2000による評価の結果に基づいてアプリケーション10の動作が制限されたこと、及びその制限の内容を表す通知を出力する。この通知は、例えば、端末40に接続されているディスプレイ装置に表示される。この通知を閲覧することにより、アプリケーション10のユーザは、端末40の不具合等の予期せぬ事態によってアプリケーション10が正常に動作しなくなったわけではなく、評価装置2000による制御の結果としてアプリケーション10の動作が制限されているということを把握することができる。よって、アプリケーション10の動作を制限したことによってユーザが混乱してしまうことを防ぐことができる。
<ハードウエア構成の例>
実施形態2の評価装置2000のハードウエア構成は、例えば、実施形態1の評価装置2000のハードウエア構成と同様に、図3で表される。ただし、実施形態2の評価装置2000のストレージデバイス1080には、実施形態2の評価装置2000の機能を実現するプログラムモジュールが記憶される。
実施形態2の評価装置2000のハードウエア構成は、例えば、実施形態1の評価装置2000のハードウエア構成と同様に、図3で表される。ただし、実施形態2の評価装置2000のストレージデバイス1080には、実施形態2の評価装置2000の機能を実現するプログラムモジュールが記憶される。
<処理の流れ>
図12は、実施形態2の評価装置2000によって実行される処理の流れを例示するフローチャートである。S102からS104を実行した後、制御部2080は、評価結果に基づいてアプリケーション10の制御を行う(S202)。
図12は、実施形態2の評価装置2000によって実行される処理の流れを例示するフローチャートである。S102からS104を実行した後、制御部2080は、評価結果に基づいてアプリケーション10の制御を行う(S202)。
<変形例>
上述したアプリケーション10の制御は、評価装置2000によって自動で行われる代わりに、評価装置2000を利用して対象システム20の監視等を行う IT 管理者など(以下、IT 管理者等)による入力操作に応じて行われてもよい。この場合、出力部2060により、評価結果を表す出力情報(例えば図10の評価結果画面)が出力される。
上述したアプリケーション10の制御は、評価装置2000によって自動で行われる代わりに、評価装置2000を利用して対象システム20の監視等を行う IT 管理者など(以下、IT 管理者等)による入力操作に応じて行われてもよい。この場合、出力部2060により、評価結果を表す出力情報(例えば図10の評価結果画面)が出力される。
IT 管理者等は、出力情報を参照して、動作を制御したいアプリケーション10、及びそのアプリケーション10に対して行う制御の内容を選択する。評価装置2000は、「ユーザによって選択されたアプリケーション10の識別情報、及びアプリケーション10によって選択された制御の内容」という組み合わせを示すリクエストをエージェントソフトウエアに送信する。そして、エージェントソフトウエアが、受け付けたリクエストに応じてアプリケーション10を制御する。
また、評価装置2000は、評価結果に基づく自動制御と、IT 管理者等による手動制御との双方を行えるように構成されてもよい。例えば、異常度が十分に高い場合や異常度が十分に低い場合には評価装置2000による自動制御を実行し、異常度が中程度である場合にはIT 管理者等による手動制御を行うようにする。より具体的には、前述の例における異常度の第1の範囲、第2の範囲、及び第3の範囲にそれぞれに対し、「アプリケーションの停止」、「ユーザによる制御の選択」、「制御なし」を対応づけておく。このようにすることで、アプリケーション10の異常度が高い場合や低い場合にはアプリケーション10の制御を自動で行うことができる一方、アプリケーション10の異常度が高いとも低いとも言えない微妙な状況では、IT 管理者等にアプリケーション10の制御方法の決定を委譲することができる。よって、ユーザの作業負担を減らしつつ、アプリケーション10の正確な制御を実現することができる。
以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
1. アプリケーションの異常を検知する処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得部と、
前記取得した導入関連情報を用いて、前記アプリケーションの評価を行う評価部と、を有する評価装置。
2. 前記アプリケーションの異常は、そのアプリケーションの振る舞いに基づいて検知される、1.に記載の評価装置。
3. 前記導入関連情報は、前記アプリケーションの導入経路に関する導入経路情報、前記アプリケーションが配置された場所に関する配置情報、及び前記アプリケーションの導入に伴う設定に関する設定情報のいずれか1つ以上を含む、1.又は2.に記載の評価装置。
4. 前記導入経路情報は、前記アプリケーションの提供元の情報、前記アプリケーションのダウンロードに用いられたダウンローダの情報、及び前記アプリケーションのインストールに用いられたインストーラの情報の少なくとも1つを含む、3.に記載の評価装置。
5. 前記評価部は、前記アプリケーションの導入に関する基準を示す基準情報を取得し、前記導入関連情報と前記基準情報との比較に基づいて、前記アプリケーションの評価を行う、1.乃至4.いずれか一つに記載の評価装置。
6. 前記評価部は、前記導入関連情報と前記基準情報との一致度合いに基づいて、前記アプリケーションの正常度又は異常度を表す評価値を算出する、5.に記載の評価装置。
7. 前記評価部による評価の結果に基づいて、前記アプリケーションの制御を行う制御部を有する、1.乃至6.いずれか一つに記載の評価装置。
8. 前記制御部は、
前記アプリケーションの異常度が第1閾値以上である場合に、そのアプリケーションに対して所定の制御を行い、
前記アプリケーションの異常度が第1閾値未満である場合に、そのアプリケーションに対する制御の内容の選択をユーザから受け付け、そのアプリケーションに対して前記ユーザによって選択された内容の制御を行う、7.に記載の評価装置。
9. 異常検知装置と評価装置を含むシステムであり、
前記異常検知装置は、アプリケーションの異常を検知する処理を行い、
前記評価装置は、
前記異常検知装置によって異常検知の処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得部と、
前記取得した導入関連情報を用いて、前記アプリケーションの評価を行う評価部と、を有する、システム。
10. 前記アプリケーションの異常は、そのアプリケーションの振る舞いに基づいて検知される、9.に記載のシステム。
11. 前記導入関連情報は、前記アプリケーションの導入経路に関する導入経路情報、前記アプリケーションが配置された場所に関する配置情報、及び前記アプリケーションの導入に伴う設定に関する設定情報のいずれか1つ以上を含む、9.又は10.に記載のシステム。
12. 前記導入経路情報は、前記アプリケーションの提供元の情報、前記アプリケーションのダウンロードに用いられたダウンローダの情報、及び前記アプリケーションのインストールに用いられたインストーラの情報の少なくとも1つを含む、11.に記載のシステム。
13. 前記評価部は、前記アプリケーションの導入に関する基準を示す基準情報を取得し、前記導入関連情報と前記基準情報との比較に基づいて、前記アプリケーションの評価を行う、9.乃至12.いずれか一つに記載のシステム。
14. 前記評価部は、前記導入関連情報と前記基準情報との一致度合いに基づいて、前記アプリケーションの正常度又は異常度を表す評価値を算出する、13.に記載のシステム。
15. 前記評価部による評価の結果に基づいて、前記アプリケーションの制御を行う制御部を有する、9.乃至14.いずれか一つに記載のシステム。
16. 前記制御部は、
前記アプリケーションの異常度が第1閾値以上である場合に、そのアプリケーションに対して所定の制御を行い、
前記アプリケーションの異常度が第1閾値未満である場合に、そのアプリケーションに対する制御の内容の選択をユーザから受け付け、そのアプリケーションに対して前記ユーザによって選択された内容の制御を行う、15.に記載のシステム。
17. コンピュータによって実行される制御方法であって、
アプリケーションの異常を検知する処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得ステップと、
前記取得した導入関連情報を用いて、前記アプリケーションの評価を行う評価ステップと、を有する制御方法。
18. 前記アプリケーションの異常は、そのアプリケーションの振る舞いに基づいて検知される、17.に記載の制御方法。
19. 前記導入関連情報は、前記アプリケーションの導入経路に関する導入経路情報、前記アプリケーションが配置された場所に関する配置情報、及び前記アプリケーションの導入に伴う設定に関する設定情報のいずれか1つ以上を含む、17.又は18.に記載の制御方法。
20. 前記導入経路情報は、前記アプリケーションの提供元の情報、前記アプリケーションのダウンロードに用いられたダウンローダの情報、及び前記アプリケーションのインストールに用いられたインストーラの情報の少なくとも1つを含む、19.に記載の制御方法。
21. 前記評価ステップにおいて、前記アプリケーションの導入に関する基準を示す基準情報を取得し、前記導入関連情報と前記基準情報との比較に基づいて、前記アプリケーションの評価を行う、17.乃至20.いずれか一つに記載の制御方法。
22. 前記評価ステップにおいて、前記導入関連情報と前記基準情報との一致度合いに基づいて、前記アプリケーションの正常度又は異常度を表す評価値を算出する、21.に記載の制御方法。
23. 前記評価ステップによる評価の結果に基づいて、前記アプリケーションの制御を行う制御ステップを有する、17.乃至22.いずれか一つに記載の制御方法。
24. 前記制御ステップにおいて、
前記アプリケーションの異常度が第1閾値以上である場合に、そのアプリケーションに対して所定の制御を行い、
前記アプリケーションの異常度が第1閾値未満である場合に、そのアプリケーションに対する制御の内容の選択をユーザから受け付け、そのアプリケーションに対して前記ユーザによって選択された内容の制御を行う、23.に記載の制御方法。
25. 17.乃至24.いずれか一つに記載の制御方法の各ステップをコンピュータに実行させるプログラム。
1. アプリケーションの異常を検知する処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得部と、
前記取得した導入関連情報を用いて、前記アプリケーションの評価を行う評価部と、を有する評価装置。
2. 前記アプリケーションの異常は、そのアプリケーションの振る舞いに基づいて検知される、1.に記載の評価装置。
3. 前記導入関連情報は、前記アプリケーションの導入経路に関する導入経路情報、前記アプリケーションが配置された場所に関する配置情報、及び前記アプリケーションの導入に伴う設定に関する設定情報のいずれか1つ以上を含む、1.又は2.に記載の評価装置。
4. 前記導入経路情報は、前記アプリケーションの提供元の情報、前記アプリケーションのダウンロードに用いられたダウンローダの情報、及び前記アプリケーションのインストールに用いられたインストーラの情報の少なくとも1つを含む、3.に記載の評価装置。
5. 前記評価部は、前記アプリケーションの導入に関する基準を示す基準情報を取得し、前記導入関連情報と前記基準情報との比較に基づいて、前記アプリケーションの評価を行う、1.乃至4.いずれか一つに記載の評価装置。
6. 前記評価部は、前記導入関連情報と前記基準情報との一致度合いに基づいて、前記アプリケーションの正常度又は異常度を表す評価値を算出する、5.に記載の評価装置。
7. 前記評価部による評価の結果に基づいて、前記アプリケーションの制御を行う制御部を有する、1.乃至6.いずれか一つに記載の評価装置。
8. 前記制御部は、
前記アプリケーションの異常度が第1閾値以上である場合に、そのアプリケーションに対して所定の制御を行い、
前記アプリケーションの異常度が第1閾値未満である場合に、そのアプリケーションに対する制御の内容の選択をユーザから受け付け、そのアプリケーションに対して前記ユーザによって選択された内容の制御を行う、7.に記載の評価装置。
9. 異常検知装置と評価装置を含むシステムであり、
前記異常検知装置は、アプリケーションの異常を検知する処理を行い、
前記評価装置は、
前記異常検知装置によって異常検知の処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得部と、
前記取得した導入関連情報を用いて、前記アプリケーションの評価を行う評価部と、を有する、システム。
10. 前記アプリケーションの異常は、そのアプリケーションの振る舞いに基づいて検知される、9.に記載のシステム。
11. 前記導入関連情報は、前記アプリケーションの導入経路に関する導入経路情報、前記アプリケーションが配置された場所に関する配置情報、及び前記アプリケーションの導入に伴う設定に関する設定情報のいずれか1つ以上を含む、9.又は10.に記載のシステム。
12. 前記導入経路情報は、前記アプリケーションの提供元の情報、前記アプリケーションのダウンロードに用いられたダウンローダの情報、及び前記アプリケーションのインストールに用いられたインストーラの情報の少なくとも1つを含む、11.に記載のシステム。
13. 前記評価部は、前記アプリケーションの導入に関する基準を示す基準情報を取得し、前記導入関連情報と前記基準情報との比較に基づいて、前記アプリケーションの評価を行う、9.乃至12.いずれか一つに記載のシステム。
14. 前記評価部は、前記導入関連情報と前記基準情報との一致度合いに基づいて、前記アプリケーションの正常度又は異常度を表す評価値を算出する、13.に記載のシステム。
15. 前記評価部による評価の結果に基づいて、前記アプリケーションの制御を行う制御部を有する、9.乃至14.いずれか一つに記載のシステム。
16. 前記制御部は、
前記アプリケーションの異常度が第1閾値以上である場合に、そのアプリケーションに対して所定の制御を行い、
前記アプリケーションの異常度が第1閾値未満である場合に、そのアプリケーションに対する制御の内容の選択をユーザから受け付け、そのアプリケーションに対して前記ユーザによって選択された内容の制御を行う、15.に記載のシステム。
17. コンピュータによって実行される制御方法であって、
アプリケーションの異常を検知する処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得ステップと、
前記取得した導入関連情報を用いて、前記アプリケーションの評価を行う評価ステップと、を有する制御方法。
18. 前記アプリケーションの異常は、そのアプリケーションの振る舞いに基づいて検知される、17.に記載の制御方法。
19. 前記導入関連情報は、前記アプリケーションの導入経路に関する導入経路情報、前記アプリケーションが配置された場所に関する配置情報、及び前記アプリケーションの導入に伴う設定に関する設定情報のいずれか1つ以上を含む、17.又は18.に記載の制御方法。
20. 前記導入経路情報は、前記アプリケーションの提供元の情報、前記アプリケーションのダウンロードに用いられたダウンローダの情報、及び前記アプリケーションのインストールに用いられたインストーラの情報の少なくとも1つを含む、19.に記載の制御方法。
21. 前記評価ステップにおいて、前記アプリケーションの導入に関する基準を示す基準情報を取得し、前記導入関連情報と前記基準情報との比較に基づいて、前記アプリケーションの評価を行う、17.乃至20.いずれか一つに記載の制御方法。
22. 前記評価ステップにおいて、前記導入関連情報と前記基準情報との一致度合いに基づいて、前記アプリケーションの正常度又は異常度を表す評価値を算出する、21.に記載の制御方法。
23. 前記評価ステップによる評価の結果に基づいて、前記アプリケーションの制御を行う制御ステップを有する、17.乃至22.いずれか一つに記載の制御方法。
24. 前記制御ステップにおいて、
前記アプリケーションの異常度が第1閾値以上である場合に、そのアプリケーションに対して所定の制御を行い、
前記アプリケーションの異常度が第1閾値未満である場合に、そのアプリケーションに対する制御の内容の選択をユーザから受け付け、そのアプリケーションに対して前記ユーザによって選択された内容の制御を行う、23.に記載の制御方法。
25. 17.乃至24.いずれか一つに記載の制御方法の各ステップをコンピュータに実行させるプログラム。
Claims (25)
- アプリケーションの異常を検知する処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得部と、
前記取得した導入関連情報を用いて、前記アプリケーションの評価を行う評価部と、を有する評価装置。 - 前記アプリケーションの異常は、そのアプリケーションの振る舞いに基づいて検知される、請求項1に記載の評価装置。
- 前記導入関連情報は、前記アプリケーションの導入経路に関する導入経路情報、前記アプリケーションが配置された場所に関する配置情報、及び前記アプリケーションの導入に伴う設定に関する設定情報のいずれか1つ以上を含む、請求項1又は2に記載の評価装置。
- 前記導入経路情報は、前記アプリケーションの提供元の情報、前記アプリケーションのダウンロードに用いられたダウンローダの情報、及び前記アプリケーションのインストールに用いられたインストーラの情報の少なくとも1つを含む、請求項3に記載の評価装置。
- 前記評価部は、前記アプリケーションの導入に関する基準を示す基準情報を取得し、前記導入関連情報と前記基準情報との比較に基づいて、前記アプリケーションの評価を行う、請求項1乃至4いずれか一項に記載の評価装置。
- 前記評価部は、前記導入関連情報と前記基準情報との一致度合いに基づいて、前記アプリケーションの正常度又は異常度を表す評価値を算出する、請求項5に記載の評価装置。
- 前記評価部による評価の結果に基づいて、前記アプリケーションの制御を行う制御部を有する、請求項1乃至6いずれか一項に記載の評価装置。
- 前記制御部は、
前記アプリケーションの異常度が第1閾値以上である場合に、そのアプリケーションに対して所定の制御を行い、
前記アプリケーションの異常度が第1閾値未満である場合に、そのアプリケーションに対する制御の内容を選択する入力を受け付け、そのアプリケーションに対して前記選択された内容の制御を行う、請求項7に記載の評価装置。 - 異常検知装置と評価装置を含むシステムであり、
前記異常検知装置は、アプリケーションの異常を検知する処理を行い、
前記評価装置は、
前記異常検知装置によって異常検知の処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得部と、
前記取得した導入関連情報を用いて、前記アプリケーションの評価を行う評価部と、を有する、システム。 - 前記アプリケーションの異常は、そのアプリケーションの振る舞いに基づいて検知される、請求項9に記載のシステム。
- 前記導入関連情報は、前記アプリケーションの導入経路に関する導入経路情報、前記アプリケーションが配置された場所に関する配置情報、及び前記アプリケーションの導入に伴う設定に関する設定情報のいずれか1つ以上を含む、請求項9又は10に記載のシステム。
- 前記導入経路情報は、前記アプリケーションの提供元の情報、前記アプリケーションのダウンロードに用いられたダウンローダの情報、及び前記アプリケーションのインストールに用いられたインストーラの情報の少なくとも1つを含む、請求項11に記載のシステム。
- 前記評価部は、前記アプリケーションの導入に関する基準を示す基準情報を取得し、前記導入関連情報と前記基準情報との比較に基づいて、前記アプリケーションの評価を行う、請求項9乃至12いずれか一項に記載のシステム。
- 前記評価部は、前記導入関連情報と前記基準情報との一致度合いに基づいて、前記アプリケーションの正常度又は異常度を表す評価値を算出する、請求項13に記載のシステム。
- 前記評価部による評価の結果に基づいて、前記アプリケーションの制御を行う制御部を有する、請求項9乃至14いずれか一項に記載のシステム。
- 前記制御部は、
前記アプリケーションの異常度が第1閾値以上である場合に、そのアプリケーションに対して所定の制御を行い、
前記アプリケーションの異常度が第1閾値未満である場合に、そのアプリケーションに対する制御の内容を選択する入力を受け付け、そのアプリケーションに対して前記選択された内容の制御を行う、請求項15に記載のシステム。 - コンピュータによって実行される制御方法であって、
アプリケーションの異常を検知する処理が行われたアプリケーションについて、そのアプリケーションの導入に関する導入関連情報を取得する取得ステップと、
前記取得した導入関連情報を用いて、前記アプリケーションの評価を行う評価ステップと、を有する制御方法。 - 前記アプリケーションの異常は、そのアプリケーションの振る舞いに基づいて検知される、請求項17に記載の制御方法。
- 前記導入関連情報は、前記アプリケーションの導入経路に関する導入経路情報、前記アプリケーションが配置された場所に関する配置情報、及び前記アプリケーションの導入に伴う設定に関する設定情報のいずれか1つ以上を含む、請求項17又は18に記載の制御方法。
- 前記導入経路情報は、前記アプリケーションの提供元の情報、前記アプリケーションのダウンロードに用いられたダウンローダの情報、及び前記アプリケーションのインストールに用いられたインストーラの情報の少なくとも1つを含む、請求項19に記載の制御方法。
- 前記評価ステップにおいて、前記アプリケーションの導入に関する基準を示す基準情報を取得し、前記導入関連情報と前記基準情報との比較に基づいて、前記アプリケーションの評価を行う、請求項17乃至20いずれか一項に記載の制御方法。
- 前記評価ステップにおいて、前記導入関連情報と前記基準情報との一致度合いに基づいて、前記アプリケーションの正常度又は異常度を表す評価値を算出する、請求項21に記載の制御方法。
- 前記評価ステップによる評価の結果に基づいて、前記アプリケーションの制御を行う制御ステップを有する、請求項17乃至22いずれか一項に記載の制御方法。
- 前記制御ステップにおいて、
前記アプリケーションの異常度が第1閾値以上である場合に、そのアプリケーションに対して所定の制御を行い、
前記アプリケーションの異常度が第1閾値未満である場合に、そのアプリケーションに対する制御の内容を選択する入力を受け付け、そのアプリケーションに対して前記選択された内容の制御を行う、請求項23に記載の制御方法。 - 請求項17乃至24いずれか一項に記載の制御方法の各ステップをコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/021475 WO2020240766A1 (ja) | 2019-05-30 | 2019-05-30 | 評価装置、システム、制御方法、及びプログラム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JPWO2020240766A1 JPWO2020240766A1 (ja) | 2020-12-03 |
| JPWO2020240766A5 JPWO2020240766A5 (ja) | 2022-02-09 |
| JP7235109B2 true JP7235109B2 (ja) | 2023-03-08 |
Family
ID=73552080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021521681A Active JP7235109B2 (ja) | 2019-05-30 | 2019-05-30 | 評価装置、システム、制御方法、及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220229716A1 (ja) |
| JP (1) | JP7235109B2 (ja) |
| WO (1) | WO2020240766A1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080120611A1 (en) | 2006-10-30 | 2008-05-22 | Jeffrey Aaron | Methods, systems, and computer program products for controlling software application installations |
| JP2010267128A (ja) | 2009-05-15 | 2010-11-25 | Ntt Docomo Inc | 解析システム、解析装置、検知方法、解析方法及びプログラム |
| US20190050571A1 (en) | 2017-08-11 | 2019-02-14 | Nec Laboratories America, Inc. | Automated software safeness categorization with installation lineage and hybrid information sources |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7900201B1 (en) * | 2004-12-21 | 2011-03-01 | Zenprise, Inc. | Automated remedying of problems in software application deployments |
| US8931086B2 (en) * | 2008-09-26 | 2015-01-06 | Symantec Corporation | Method and apparatus for reducing false positive detection of malware |
| CN113454600B (zh) * | 2019-03-04 | 2024-04-09 | 华为云计算技术有限公司 | 使用跟踪数据在分布式系统中进行自动根因分析 |
-
2019
- 2019-05-30 US US17/614,677 patent/US20220229716A1/en active Pending
- 2019-05-30 JP JP2021521681A patent/JP7235109B2/ja active Active
- 2019-05-30 WO PCT/JP2019/021475 patent/WO2020240766A1/ja active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080120611A1 (en) | 2006-10-30 | 2008-05-22 | Jeffrey Aaron | Methods, systems, and computer program products for controlling software application installations |
| JP2010267128A (ja) | 2009-05-15 | 2010-11-25 | Ntt Docomo Inc | 解析システム、解析装置、検知方法、解析方法及びプログラム |
| US20190050571A1 (en) | 2017-08-11 | 2019-02-14 | Nec Laboratories America, Inc. | Automated software safeness categorization with installation lineage and hybrid information sources |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220229716A1 (en) | 2022-07-21 |
| JPWO2020240766A1 (ja) | 2020-12-03 |
| WO2020240766A1 (ja) | 2020-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9507936B2 (en) | Systems, methods, apparatuses, and computer program products for forensic monitoring | |
| US8621608B2 (en) | System, method, and computer program product for dynamically adjusting a level of security applied to a system | |
| US9413773B2 (en) | Method and apparatus for classifying and combining computer attack information | |
| US9838419B1 (en) | Detection and remediation of watering hole attacks directed against an enterprise | |
| US20140137190A1 (en) | Methods and systems for passively detecting security levels in client devices | |
| CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| KR102098064B1 (ko) | 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 | |
| JP2019003598A (ja) | 異常な事象を検出するシステム及び方法 | |
| WO2016209729A1 (en) | Systems and methods for aggregating asset vulnerabilities | |
| US8364776B1 (en) | Method and system for employing user input for website classification | |
| JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
| US20170193222A1 (en) | Baseline Calculation for Firewalling | |
| JP7352345B2 (ja) | 情報処理装置およびその制御方法、情報処理システム、並びにプログラム | |
| JP7235109B2 (ja) | 評価装置、システム、制御方法、及びプログラム | |
| AU2017417179B2 (en) | Alarm processing devices, methods, and systems | |
| JP2020194478A (ja) | 異常検知システム、及び異常検知方法 | |
| CN114900375A (zh) | 一种基于ai图分析的恶意威胁侦测方法 | |
| JP7255681B2 (ja) | 実行制御システム、実行制御方法、及びプログラム | |
| JP7268742B2 (ja) | ポリシー評価装置、制御方法、及びプログラム | |
| KR102535251B1 (ko) | 전자 장치의 사이버 보안 리포트 생성 방법 | |
| US11818028B2 (en) | Network diagnostic sampling in a distributed computing environment | |
| US20230097020A1 (en) | Network safety rules in a distributed computing environment | |
| US20230038796A1 (en) | Automated generation of privacy audit reports for web applications | |
| JP2024046098A (ja) | 情報管理装置および情報管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211110 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211110 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230124 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230206 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7235109 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |