JP7241360B2 - セキュリティポリシー及び監査ログ双方向照会、照合、追跡システム及びその方法{security policy and audit log bi-directional lookup,comparing and tracking system and method thereof} - Google Patents

セキュリティポリシー及び監査ログ双方向照会、照合、追跡システム及びその方法{security policy and audit log bi-directional lookup,comparing and tracking system and method thereof} Download PDF

Info

Publication number
JP7241360B2
JP7241360B2 JP2020567063A JP2020567063A JP7241360B2 JP 7241360 B2 JP7241360 B2 JP 7241360B2 JP 2020567063 A JP2020567063 A JP 2020567063A JP 2020567063 A JP2020567063 A JP 2020567063A JP 7241360 B2 JP7241360 B2 JP 7241360B2
Authority
JP
Japan
Prior art keywords
security policy
policy
security
log
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020567063A
Other languages
English (en)
Other versions
JP2021532440A (ja
Inventor
ユン ホン,キ
ホ リ,キュ
グン リ,ソン
ヤン ソン,ジュ
マン ソン,ジョン
Original Assignee
シキューブ カンパニー,リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シキューブ カンパニー,リミテッド filed Critical シキューブ カンパニー,リミテッド
Publication of JP2021532440A publication Critical patent/JP2021532440A/ja
Application granted granted Critical
Publication of JP7241360B2 publication Critical patent/JP7241360B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、現行及び過去セキュリティポリシーとログをリアルタイムで双方向照会、総合及び追跡して確認することができるセキュリティポリシー及び監査ログ双方向照会、総合、追跡システム及びその方法に関する。
韓国公開特許第10-2009-0044202号公報は、ウェブページの多様な攻撃タイプの中ウェブページの迂回侵入及びウェブページ媒介変数の変調による侵入に対する探知可能なウェブセキュリティシステムを構築することで、セキュリティ体系を強化できるウェブページの迂回侵入探知及び媒介変数変調侵入探知を利用したウェブセキュリティサービス方法及びそのシステムを提供する。
韓国公開特許第10-2009-0044202号公報は、ウェブサーバから生成されたログファイルを収集し、収集されたログファイルを保存し、このログファイルを利用して、アクセスの試みられたウェブページのアクセス手順を分析し、正常なウェブページのアクセス手順と比較して一致可否を判断し非正常アクセスの試みと判断されると報告書を生成し、その報告書を管理者端末に転送する。
しかし、韓国公開特許第10-2009-0044202号公報は、各ログ情報を基にどのようなセキュリティポリシーが適用されたのか照合確認が困難であり、各セキュリティポリシー情報を基にどのようなログが生成及び記録されたのか照会確認が難しい問題がある。
そして、現行セキュリティポリシーとログをリアルタイムに双方向照会、総合及び追跡確認が不可能で、現行以前に設定された過去セキュリティポリシーとログをリアルタイムに双方向照会、照合及び追跡確認が不可能である。
ハッキング及びセキュリティ侵害攻撃の技術レベルは日々発展しているが、ログファイルを収集しても、これを該当セキュリティシステムに設定されたセキュリティポリシーと比較して、ログ情報がどのセキュリティポリシーと関連したのかを分析できなければ、迅速かつ体系的なハッキング及びセキュリティ侵害事故の原因分析と対応が困難にならざるを得ない。
また、管理者が収集したログファイルをセキュリティポリシーといちいち比較して分析すると、かなり時間がかかり、経済的面でもかなり非効率にならざるを得ない。
結局、ビックデータ統合ログなど各種セキュリティ関連ログが幾何級数的に増加している現状において、組織のセキュリティポリシーの中でどのポリシーから該当ログが発生したのかを明確に比較分析することが非常に困難であり、ハッキング及びセキュリティ侵害事故の原因分析と対応が迅速かつ体系的に行われていない実情である。
上記のような状況を総合してみると、膨大な量のログ情報をセキュリティポリシーとリアルタイム及び双方向に比較、分析してセキュリティ侵害事故の原因を即に把握できるようにし、迅速な事項対応が可能とするセキュリティソリューションが切実に必要な時期である。
韓国公開特許第10-2009-0044202号公報
本発明は上記のような問題を改善するために発明されたもので、様々なセキュリティポリシーの設定及び変更によって発生する各種ログ情報を効果的に照会及び確認することができ、収集されたログ情報を基準に、これに関連するセキュリティポリシーがどのようなものであるかを照会及び確認できるセキュリティポリシー及び監査ログ双方向照会、照合、追跡システム及びその方法を提供するためのものである。
具体的に、本発明は新規セキュリティポリシーだけではなく、既存セキュリティポリシーを適用して、セキュリティポリシーを遵守及び違反するイベントが発生時、監査ログを記録し、セキュリティポリシーと監査ログ両方に記録されたポリシー識別情報(セキュリティポリシーID又はポリシー構成情報)及びセキュリティシステムIDを利用してセキュリティポリシーと関連されたログ及びログと関連されたセキュリティポリシーを双方向で照会、照合、追跡することができるシステム及びその方法を提供するためのものである。
上記のような目的を達成するために、本発明はセキュリティポリシーが生成及び変更される度に、固有のポリシー識別情報を付与して該当セキュリティポリシーを統合セキュリティポリシーヒストリDBに記録及び管理し、セキュリティソフトウェアエージェントにセキュリティポリシー情報を転送するセキュリティポリシー設定部であって、上記ポリシー識別情報はセキュリティポリシーID又はセキュリティポリシーIDとポリシー構成情報で構成されるセキュリティポリシー設定部、上記セキュリティポリシー設定部で受信したセキュリティポリシーを適用し、上記セキュリティポリシーを遵守するログ及びセキュリティポリシーを違反するログ発生時に、該当ログ発生と関連されたセキュリティポリシー固有のセキュリティポリシーID又はポリシー構成情報を上記ログ情報に含めて監査ログを生成するセキュリティソフトウェアエージェント、上記セキュリティソフトウェアエージェントで生成した監査ログを収集し、該当監査ログでセキュリティポリシーID又はポリシー構成情報を抽出し、これをポリシー識別情報として収集された監査ログ内容とマッピングして監査ログDBに記録する監査ログ収集部、及び上記統合セキュリティポリシーヒストリDBに記録されたポリシー識別情報と監査ログDBに記録されたポリシー識別情報を比較してセキュリティポリシーと関連された監査ログを照会、照合及び追跡して、監査ログと関連されたセキュリティポリシーを照会、照合及び追跡する双方向照会追跡部、を含むことを特徴とする。
一方、上記のような目的を達成するために、本発明はセキュリティポリシーが生成及び変更される度に固有のポリシー識別情報を付与して該当セキュリティポリシーを統合セキュリティポリシーヒストリDBに記録及び管理し、セキュリティソフトウェアエージェントにセキュリティポリシー情報を転送するセキュリティポリシー設定段階であって、上記ポリシー識別情報はセキュリティポリシーID又はセキュリティポリシーIDとポリシー構成情報で構成されるセキュリティポリシー設定段階、セキュリティソフトウェアエージェントは受信したセキュリティポリシーを適用して上記セキュリティポリシーを遵守するログ及びセキュリティポリシーを違反するログ発生時に、該当ログ発生と関連されたセキュリティポリシー固有のセキュリティポリシーID又はポリシー構成情報を上記ログ情報に含めて監査ログを生成するセキュリティポリシー適用段階、生成した監査ログを収集し、該当監査ログでセキュリティポリシーID又はポリシー構成情報を抽出し、これをポリシー識別情報として収集された監査ログ内容とマッピングした後、監査ログDBに記録する監査ログ収集段階、及び統合セキュリティポリシーヒストリDBに記録されたポリシー識別情報と監査ログDBに記録されたポリシー識別情報を比較してセキュリティポリシーと関連された監査ログを照会、照合及び追跡して、監査ログと関連されたセキュリティポリシーを照会、照合及び追跡する双方向照会追跡段階、を含むことを特徴とする。
上記のような構成の本発明によれば、次のような効果を図ることができる。
まず、各セキュリティポリシーによって生成及び記録されたログを照会、照合及び追跡が可能で、収集されたログに適用されたセキュリティポリシーが何か照会、照合及び追跡が可能であり、セキュリティポリシーとログをリアルタイムで双方向照会、照合及び追跡が可能である。
そして、ビックデータ統合ログ等多量のログ分析時、過去から現在までのセキュリティポリシーと照合や追跡が可能で、組織のセキュリティポリシーの中でどのようなセキュリティポリシーから該当ログが発生したのかを明確に比較分析することができハッキング及びセキュリティ侵害事故の原因分析と対応が迅速かつ体系的に行われる。
さらに、セキュリティポリシーDBと申請情報DBを比較してセキュリティポリシーに対する申請者情報を確認することはもちろん、監査ログDBとセキュリティポリシーDBを比較して監査ログに対するセキュリティポリシーを確認して、これを利用して申請情報DBから申請者情報を確認することができて監査ログからセキュリティポリシー申請者情報を追跡することができる。
図1は本発明の一実施例によるセキュリティポリシー及び監査ログ双方向照会、照合、追跡システムのブロック図である。 図2は本発明の一実施例によるセキュリティポリシー及び監査ログ双方向照会、照合、追跡方法の手順図である。 図3は本発明の一実施例によるセキュリティポリシー及び監査ログ双方向照会、照合、追跡システムの構成する各構成要素間の関係を表す構成図である。 図4はセキュリティポリシーの例示を表す図面である。 図5は統合セキュリティポリシーヒストリDBの例示を表した図面である。 図6は監査ログの例示を表した図面である。 図7はポリシー識別情報抽出例示を表した図面である。 図8は監査ログDBの例示を表した図面である。 図9は本発明の一実施例によるセキュリティポリシー及び監査ログ双方向照会、照合、追跡システムでセキュリティポリシーと監査ログの間に双方向照会、照合及び追跡が行われる状況に対する概念図である。 図10は本発明の一実施例によるセキュリティポリシー及び監査ログ双方向照会、照合、追跡システムでセキュリティポリシーと監査ログ情報を通じて申請者情報を確認する状況に対する概念図である。 図11は本発明の一実施例によるセキュリティポリシー及び監査ログ双方向照会、照合、追跡システムで監査ログを通じてセキュリティポリシーヒストリを照会し、セキュリティポリシーに対する申請者情報を照会する概念図である。
本発明の利点及び特徴、そしてそれらを達成する方法は、添付される図面と一緒に詳細に後述される実施例を参照すると明確になる。
しかし、本発明は、以下で開始される実施例に限定されるものではなく、異なる様々な形で実装されるものである。
本明細書において、本実施例は本発明の開示が完全に行われるようにし、本発明が属する技術分野で通常の知識を持つ者に発明の範疇を完全に知らせるために提供されるものである。
そして、本発明は請求項の範疇によって定義されるだけである。
したがって、いくつかの実施例で、よく知られた構成要素、よく知られている動作及びよく知られている技術は、本発明が曖昧に解釈されることを防ぐために具体的に説明されない。
なお、明細書全体にかけて、同一参照符号は同一構成要素を指し、本明細書で使用された(言及された)用語は実施例を説明するためのものであり、本発明を制限しようとするものではない。
本明細書で、単数形は文言で特別に言及しない限り複数形も含み、‘含む(又は、具備)する’と述べられた構成要素及び動作は1つ以上の違う構成要素及び動作の存在又は追加を排除しない。
他の定義がなければ、本明細書で使用されるすべての用語(技術及び科学的用語を含む)は、本発明が属する技術分野で通常の知識を持つ者に共通的に理解できる意味として使えるだろう。
また、一般的に使用される辞書に定義されている用語は、定義されていない限り理想的に又は過渡に解釈されない。
以下、添付された図面を参考に、本発明の望ましい実施例に対して説明する。
図1ないし図11を参考すると、セキュリティポリシー及び監査ログ双方向照会、照合、追跡システム(100)は、セキュリティポリシー設定部(110)、セキュリティソフトウェアエージェント(120)、監査ログ収集部(130)及び双方向照会追跡部(140)を含み、申請情報設定部(150)及び申請情報確認部(160)をさらに含むことができる。
図3ないし図5を参考すると、ユーザがセキュリティポリシーを申請すると、管理者はセキュリティポリシーを生成及び変更する。
セキュリティポリシー設定部(110)は、セキュリティポリシーが生成及び変更される度に固有のポリシー識別情報を付与して該当セキュリティポリシーを統合セキュリティポリシーヒストリDB(113)に記録及び管理し、セキュリティソフトウェアエージェント(120)にセキュリティポリシー情報を転送する。ポリシー識別情報は、セキュリティポリシーIDあるいはセキュリティポリシーIDとポリシー構成情報に構成される。
セキュリティポリシーは、サブジェクト、オブジェクト、行為、ポリシー(許容/拒否)、制約条件などの項目で構成され、図4のように記述され、項目を区分することができる。
図4を参考すると、Linux(登録商標)ホストファイアウォール(iptables)にIPアドレス‘111.222.33.44’ですべてProtocolにアクセスする行為を遮断するセキュリティポリシーとアクセス制御セキュリティSWで‘root’ユーザが‘/home/test’ディレクトリに‘読込/書込’行為のみを許容するセキュリティポリシーを表す。
ポリシー識別情報は、該当セキュリティポリシーを唯一識別可能なセキュリティポリシーID又はセキュリティポリシーID及びポリシー構成情報として生成することができる。
ポリシー構成情報は、セキュリティポリシー及び監査ログに記録される項目又は項目の組み合わせでなければならない。ポリシー構成情報は、セキュリティポリシーIDと1:1にマッピングされて保存及び管理される。
セキュリティポリシー設定部(110)は、セキュリティポリシーを唯一識別可能なセキュリティポリシーID又はセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報を生成し、セキュリティポリシーIDと該当セキュリティポリシーをマッピングしたりセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報をセキュリティポリシーとマッピングして、統合セキュリティポリシーヒストリDB(113)に記録する。
ポリシー構成情報は、該当セキュリティポリシーで抽出したサブジェクト情報、オブジェクト情報及び行為情報を含む複数の項目で構成される。
ポリシー構成情報に対して具体的に説明すると以下のようになる。
サブジェクト情報は、プロセス、IP(Host)アドレス情報、ユーザアカウント、グループアカウント等コンピュータシステムで行為者を識別できる情報をいう。
オブジェクト情報は、ファイル、ディレクトリ、IP(Host)アドレス情報、プロセス等コンピュータシステムで行為対象を識別できる情報をいう。
行為情報は、ファイル/ディレクトリ(読取り、書込み、削除、名前変更等)、プロセス(実行、終了)、ネットワーク(Incoming、Outgoing)等コンピュータシステムでオブジェクトの状態変更又は情報の流れが伴う行為をいう。
セキュリティポリシー設定部(110)は、セキュリティソフトウェアで既設定されたセキュリティポリシーを収取し、これと同じサブジェクト情報、オブジェクト情報、行為情報を含むポリシー構成情報を設定する。
具体的に、セキュリティポリシー設定部(110)は、セキュリティソフトウェアのセキュリティポリシーIDがないセキュリティポリシーを収集し、該当セキュリティポリシーで抽出した行為者又は行為者のアクセスパスを示すサブジェクト情報、上記行為者又はアクセスパスを通じてアクセスしようとする対象を示すオブジェクト情報及び上記行為者又はアクセスパスでアクセスしようとする対象に対して実行しようとする内容を示す行為情報を含む複数の項目で構成されるポリシー構成情報を設定し、セキュリティポリシーIDを付与してセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報をセキュリティポリシーとマッピングして統合セキュリティポリシーヒストリDB(113)に記録する。
既存に設定されたセキュリティポリシーには、セキュリティポリシーIDが付与されていないので、セキュリティポリシーIDがないセキュリティポリシーを収集し、該当セキュリティポリシーで抽出した情報を利用して構成されるポリシー構成情報を設定した後、セキュリティポリシーIDを付与するものである。
なお、セキュリティポリシー設定部(110)は、セキュリティポリシーIDを適用できるセキュリティソフトウェアの場合、セキュリティポリシーに対してセキュリティポリシーIDを付与して統合セキュリティポリシーヒストリDB(113)に記録し、セキュリティポリシーIDが含まれたセキュリティポリシー情報をセキュリティソフトウェアエージェント(120)に転送する。セキュリティポリシーIDを適用できないセキュリティソフトウェアの場合、セキュリティポリシーに対してポリシー構成情報を設定し、セキュリティポリシーIDを付与してセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報をセキュリティポリシーとマッピングして統合セキュリティポリシーヒストリDB(113)に記録して、セキュリティポリシー情報のみをセキュリティソフトウェアエージェント(120)に転送する。
この場合、新規に設定されるセキュリティポリシーに対して、セキュリティソフトウェアエージェント(120)がセキュリティポリシーIDを適用できる場合、セキュリティポリシーにセキュリティポリシーIDを付与してセキュリティポリシーIDが含まれたセキュリティポリシー情報をセキュリティソフトウェアエージェント(120)に転送し、セキュリティソフトウェアエージェント(120)がセキュリティポリシーIDを適用できない場合、ポリシー構成情報を設定し、セキュリティポリシーIDを付与するが、セキュリティポリシー情報のみをセキュリティソフトウェアエージェント(120)に転送することである。
結局、セキュリティポリシーIDが含まれてないセキュリティソフトウェアに対するセキュリティポリシーは、セキュリティポリシーIDとポリシー構成情報がマッピングされて統合セキュリティポリシーヒストリDB(113)に保存され、セキュリティポリシーIDが含まれたセキュリティソフトウェアに対するセキュリティポリシーは、セキュリティポリシーIDのみマッピングされて統合セキュリティポリシーヒストリDB(113)に保存される。
図5を参考すると、統合セキュリティポリシーヒストリDB(113)は、ポリシー識別情報とセキュリティポリシーをマッピングして保存する。図5は、図4のセキュリティポリシー例示で見た2つのセキュリティポリシーに対するポリシー識別情報及びセキュリティポリシー保存に対する例を表す。
<セキュリティポリシーID、ポリシー構成情報、セキュリティポリシー、その他情報>を統合セキュリティポリシーヒストリDB(113)に記録及び維持する。<その他情報>では、セキュリティポリシー設定を要請した申請者又は管理者の情報を入力することができる。
セキュリティポリシーIDは唯一ポリシーを識別し、ポリシー構成情報は対象セキュリティポリシー項目の組み合わせとなることができる。
セキュリティポリシーID“00000001”のポリシー構成情報として選択された‘サブジェクト’、‘行為’項目は監査ログに記録される項目の中から選択された組み合わせである。
統合セキュリティポリシーヒストリDB(113)は、現行統合セキュリティポリシーDBと過去統合セキュリティポリシーDBに構成され、セキュリティポリシー変更の場合、現行統合セキュリティポリシーDBに保存し、既存ポリシーは過去統合セキュリティポリシーDBに移して保存する。
セキュリティポリシー設定部(110)は、固有のポリシー識別情報を付与して該当セキュリティポリシーを統合セキュリティポリシーヒストリDB(113)に記録及び管理し、セキュリティソフトウェアエージェント(120)にセキュリティポリシー情報を転送する。
セキュリティソフトウェアエージェント(120)は、セキュリティポリシー設定部(110)で受信したセキュリティポリシーを適用してセキュリティポリシーを遵守するログ及びセキュリティポリシーを違反するログ発生時に、該当ログ発生と関連されたセキュリティポリシー固有のセキュリティポリシーID又はポリシー構成情報をログ情報に含めて監査ログを生成する。セキュリティソフトウェアエージェント(120)は、管理対象になる装置やサーバの等、どの装置でも設定及び動作が可能である。
セキュリティソフトウェアエージェント(120)は、セキュリティポリシー設定部(110)が配布したセキュリティポリシーを適用してセキュリティ機能を実行する。適用されたセキュリティポリシーには、ポリシー識別情報(セキュリティポリシーID又はポリシー構成情報)が含まれて構成される。
セキュリティソフトウェアエージェント(120)は、セキュリティポリシーを遵守するログ及びセキュリティポリシーを違反するログ発生時、該当ログをセキュリティポリシー設定部(110)で受信したセキュリティポリシー情報で検索して該当ログのセキュリティポリシーIDがある場合、セキュリティポリシーIDをログに含めて監査ログを記録する。
セキュリティポリシー情報で検索結果該当ログのセキュリティポリシーIDがない場合は、セキュリティポリシーIDを記録することができないため、ポリシー構成情報をログに含めて監査ログを記録する。
具体的に、セキュリティソフトウェアエージェント(120)は、該当ログにセキュリティポリシーIDを含めることができない場合、セキュリティポリシーで抽出した行為者又は行為者のアクセスパスを表したサブジェクト情報、上記行為者又はアクセスパスを通じてアクセスしようとする対象を示すオブジェクト情報、上記行為者又はアクセスパスでアクセスしようとする対象に対して実行しようとする内容を示す行為情報及びアクセスしようとする対象に対して実行しようとする内容を許容するか又は拒否するかを示す許容/拒否情報を含むポリシー構成情報をログに含めて監査ログを記録する。
図6を参考すると、アクセス制御セキュリティソフトウェアの場合、セキュリティポリシーIDを含めて監査ログを記録された例を示す。該当ログのセキュリティポリシーID“00000002”を含めて監査ログを記録したものである。セキュリティポリシーIDを適用できるセキュリティソフトウェアの場合、セキュリティポリシーIDを含めて監査ログを記録することができる。
Linux(登録商標)ホストファイアウォールの場合、セキュリティポリシーIDを含むことができなくてポリシー構成情報を含めて監査ログを記録した例示を示す。行為“INPUT”、許容可否“DROP”、サブジェクト“SRC:111.222.33.44”、オブジェクト“PROTO=TCP”をポリシー構成情報として含め、セキュリティポリシーIDを適用できないセキュリティソフトウェア又はセキュリティポリシーIDを適用できるセキュリティソフトウェアであってもセキュリティポリシーIDが付与されていないセキュリティポリシーに該当し、セキュリティポリシーIDをログに含めることができない場合、ポリシー構成情報を含めて監査ログを記録する。
監査ログ収集部(130)は、セキュリティソフトウェアエージェント(120)で生成した監査ログを収集し、該当監査ログでセキュリティポリシーID又はポリシー構成情報を抽出し、これをID又はポリシー構成情報を抽出し、これをポリシー識別情報として収集された監査ログ内容とマッピングして監査ログDB(133)に記録する。
監査ログ収集部(130)は、収集された監査ログにセキュリティポリシーIDが記録されている場合、セキュリティポリシーIDを抽出してポリシー識別情報として使用し、収集された監査ログにセキュリティポリシーIDが記録されていない場合、ポリシー構成情報を抽出し、これを利用して統合セキュリティポリシーヒストリDB(113)を照会し、セキュリティポリシーIDを獲得してポリシー識別情報として使用する。
図7を参考すると、アクセス制御セキュリティソフトウェアは、監査ログにセキュリティポリシーIDが含まれている。この場合、“policyid”項目を抽出してセキュリティポリシーID“00000002”を獲得する。
Linux(登録商標)ホストファイアウォールの場合、セキュリティポリシーIDが含まれておらず、ポリシー構成情報“INPUT”、“SRC=111.222.33.44”、“PROTO=TCP”を抽出する。
該当情報を利用して統合セキュリティポリシーヒストリDB(113)を照会する。“PROTO=TCP”は“PROTO=ALL”に含まれる。セキュリティポリシーID“00000001”を獲得して、セキュリティシステムID情報も一緒に獲得する。
図8を参考すると、監査ログ収集部(130)は、このように収集した監査ログ内容と獲得したセキュリティポリシーID及びセキュリティシステムIDをマッピングして監査ログDB(133)に記録する。
双方向照会追跡部(140)は、統合セキュリティポリシーヒストリDB(113)に記録されたポリシー識別情報と監査ログDB(133)に記録されたポリシー識別情報を比較してセキュリティポリシーと関連された監査ログを照会、照合及び追跡し、監査ログと関連されたセキュリティポリシーを照会、照合及び追跡することができる。
統合セキュリティポリシーヒストリDB(113)は、各セキュリティポリシー別に該当セキュリティポリシーを申請した申請書IDが割当てられる。
図9を参考すると、セキュリティポリシー→監査ログ方向でセキュリティポリシーと関連された監査ログを照会及び追跡することができる。
そして、監査ログ→セキュリティポリシー方向で監査ログと関連された該当セキュリティポリシーを照合及び追跡することができる。
統合セキュリティポリシーヒストリDB(113)と監査ログDB(133)にはセキュリティポリシーIDが共通に入っているため、これを利用して双方向照合及び追跡が可能である。
セキュリティポリシー設定部(110)は、セキュリティソフトウェアに対する各セキュリティポリシー別にセキュリティシステムIDをマッピングして統合セキュリティポリシーヒストリDB(113)に記録し、監査ログ収集部(130)は、各監査ログ別にセキュリティシステムIDをマッピングして監査ログDB(133)に記録する。
双方向照会追跡部(140)は、統合セキュリティポリシーヒストリDB(113)に記録されたセキュリティシステムIDと監査ログDB(133)に記録されたセキュリティシステムIDを比較して異機種セキュリティソフトウェアに対しても双方向照会、照合及び追跡機能を提供する。
異機種セキュリティソフトウェアに対してセキュリティポリシーをすべて設定することはできないが、セキュリティポリシーを収集しこれを基にポリシー識別情報を構成して統合セキュリティポリシーヒストリDB(113)にセキュリティシステムID、セキュリティポリシーID及びポリシー構成情報を保存することができる。
まとめると、セキュリティポリシーヒストリ毎のポリシー内容を比較してセキュリティポリシーの変更履歴を追跡及び確認することができ、現行のセキュリティポリシーと監査ログをリアルタイムで双方向照会、照合及び追跡が可能である。
そして、現行以前に設定されていた過去セキュリティポリシーと監査ログをリアルタイムで双方向照会、照合及び追跡が可能である。
また、セキュリティポリシーの申請応報(申請書ID)をセキュリティポリシーIDとマッピングして管理することで、監査ログでセキュリティポリシー申請者情報を追跡することができる。
申請情報設定部(150)は、申請書ID、セキュリティポリシーの申請者情報、セキュリティポリシー申請内容を含む情報を申請情報DB(153)に記録及び管理する。
図10を参考すると、統合セキュリティポリシーヒストリDB(113)と申請情報DB(153)には申請書IDが含まれている。申請書IDは、統合セキュリティポリシーヒストリDB(113)と申請情報DB(153)を連結するためのインデックス(index)である。
つまり、統合セキュリティポリシーヒストリDB(113)の各セキュリティポリシーに対する申請者及び申請書内容などを探すためのインデックスである。
申請情報DB(153)は、申請書ID、申請者情報、申請日付、申請内容、申請理由などが含まれる。
図10を参考すると、申請情報確認部(160)は、統合セキュリティポリシーヒストリDB(113)の申請書IDを基に申請情報DB(153)を照会して該当セキュリティポリシーに対する申請情報を照会することができる。
また、監査ログDB(133)からセキュリティポリシーID及びセキュリティシステムIDを獲得した後、これを利用して統合セキュリティポリシーヒストリDB(113)を照会してセキュリティポリシー内容を照会することもでき、統合セキュリティポリシーヒストリDB(113)を照会して獲得した申請書IDを基に申請情報DB(153)を照会することもできる。
図11を参考すると、申請情報確認部(160)は、監査ログDB(133)の各監査ログに割当てられたセキュリティポリシーIDを基に統合セキュリティポリシーヒストリDB(113)を検索して該当セキュリティポリシーに対する申請書IDを確認した後、申請書IDを基に申請情報DB(153)を照会して該当セキュリティポリシーに対する申請情報を照会することができる。
まとめると、監査ログが発生した時点のセキュリティポリシー及び申請情報を確認することができ、セキュリティポリシーのヒストリ毎のポリシー内容を比較してセキュリティポリシーの変更履歴を追跡及び確認が可能である。セキュリティポリシーIDと申請情報DBの申請書IDをマッピングして管理することで、監査ログでセキュリティポリシー申請者情報を追跡することができる。
図1ないし図3を参考して、本発明のセキュリティポリシー及び監査ログ双方向照会、照合、追跡方法を説明する。
まず、セキュリティポリシー設定部(110)は、セキュリティポリシーが生成及び変更される度に固有のポリシー識別情報を付与して該当セキュリティポリシーを統合セキュリティポリシーヒストリDB(113)に記録及び管理し、セキュリティソフトウェアエージェント(120)にセキュリティポリシー情報を転送するセキュリティポリシー設定段階を実行する(S210)。ポリシー識別情報は、セキュリティポリシーID又はセキュリティポリシーIDとポリシー構成情報で構成される。
セキュリティソフトウェアエージェント(120)は、受信したセキュリティポリシーを適用してセキュリティポリシーを遵守するログ及びセキュリティポリシーを違反するログ発生時、該当ログ発生と関連されたセキュリティポリシー固有のセキュリティポリシーID又はポリシー構成情報をログ情報に含めて監査ログを生成するセキュリティポリシー適用段階を実行する(S220)。
監査ログ収集部(130)は生成した監査ログを収取し、該当監査ログでセキュリティポリシーID又はポリシー構成情報を抽出し、これをポリシー識別情報として収集された監査ログ内容とマッピングさせた後、監査ログDB(133)に記録する監査ログ収集段階を実行する(S230)。
双方向照会追跡部(140)は、統合セキュリティポリシーヒストリDB(113)に記録されたポリシー識別情報と監査ログDB(133)に記録されたポリシー識別情報を比較してセキュリティポリシーと関連された監査ログを照会、照合及び追跡し、監査ログと関連されたセキュリティポリシーを照会、照合及び追跡する双方向照会追跡段階を実行する(S240)。
セキュリティポリシー設定段階(S210)は、セキュリティポリシーを唯一識別可能なセキュリティポリシーID又はセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報を生成し、セキュリティポリシーIDと該当セキュリティポリシーをマッピングしたり、セキュリティポリシーID及び複数の項目で構成されたポリシー構成情報をセキュリティポリシーとマッピングして統合セキュリティポリシーヒストリDB(113)に記録する。
セキュリティポリシー設定段階(S210)は、セキュリティソフトウェアに既設定されたセキュリティポリシーIDがないセキュリティポリシーを収集し、該当セキュリティポリシーで抽出した行為者又は行為者のアクセスパスを示すサブジェクト情報、上記行為者又はアクセスパスを通じてアクセスしようとする対象を示すオブジェクト情報及び上記行為者又はアクセスパスにアクセスしようとする対象に対して実行しようとする内容を示す行為情報を含む複数の項目で構成されたポリシー構成情報を設定し、セキュリティポリシーIDを付与してセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報をセキュリティポリシーとマッピングして統合セキュリティポリシーヒストリDB(113)に記録する。
そして、セキュリティポリシー設定段階(S210)は、セキュリティポリシーIDを適用できるセキュリティIDを適用できるセキュリティソフトウェアのセキュリティポリシーに対してセキュリティポリシーIDを付与し、統合セキュリティポリシーヒストリDB(113)へ記録し、セキュリティポリシーIDが含まれたセキュリティポリシー情報をセキュリティソフトウェアエージェント(120)に転送する。セキュリティポリシーIDを適用できないセキュリティソフトウェアの場合、セキュリティポリシーに対してポリシー構成情報を設定し、セキュリティポリシーIDを付与してセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報をセキュリティポリシーとマッピングして統合セキュリティポリシーヒストリDB(113)に記録し、セキュリティポリシー情報のみをセキュリティソフトウェアエージェント(120)に転送する。
セキュリティポリシー設定段階(S210)は、セキュリティソフトウェアに対する各セキュリティポリシー毎にセキュリティシステムIDをマッピングして統合セキュリティポリシーヒストリDB(113)に記録して、監査ログ収集段階(S230)は、各監査ログ毎にセキュリティシステムIDをマッピングして監査ログDB(133)に記録する。
双方向照会追跡段階(S240)は、統合セキュリティポリシーヒストリDB(113)に記録されたセキュリティシステムIDと監査ログDB(133)に記録されたセキュリティシステムIDを比較してセキュリティポリシーと監査ログの間に双方向照会、照合及び追跡機能を提供する。
セキュリティポリシー適用段階(S220)は、セキュリティポリシーを遵守するログ及びセキュリティポリシーを違反するログ発生時、該当ログをセキュリティポリシー設定段階(S210)で受信したセキュリティポリシー情報から検索して該当ログのセキュリティポリシーIDがある場合、セキュリティポリシーIDをログに含めて監査ログを記録し、セキュリティポリシー情報で検索結果該当ログのセキュリティポリシーIDがない場合、ポリシー構成情報をログに含めて監査ログを記録する。
セキュリティポリシー適用段階(S220)は、該当ログにセキュリティポリシーID含めることができない場合、セキュリティポリシーで抽出した行為者又は行為者のアクセスパスを示すサブジェクト情報、上記行為者又はアクセスパスを通じてアクセスしようとする対象を示すオブジェクト情報、上記行為者又はアクセスパスにアクセスしようとする対象に対して実行しようとする内容を示す行為情報及びアクセスしようとする対象に対して実行しようとする内容を許容するか又は拒否するかを表す許容/拒否情報を表す情報を含むポリシー構成情報をログに含めて監査ログを記録する。
監査ログ収集段階(S230)は、収集された監査ログにセキュリティポリシーIDが記録されている場合、セキュリティポリシーIDを抽出してポリシー識別情報として使用し、収集された監査ログにセキュリティポリシーIDが記録されていない場合、ポリシー構成情報を抽出し、これを利用して統合セキュリティポリシーヒストリDB(113)を照会し、セキュリティポリシーIDを獲得してポリシー識別情報として使用する。
申請書ID、セキュリティポリシーの申請者情報、セキュリティポリシー申請内容を含む情報を申請情報DB(153)に記録及び管理し、統合セキュリティポリシーヒストリDB(113)は、各セキュリティポリシー毎に該当セキュリティポリシーを申請した申請書IDが割当てられる。
最後に、統合セキュリティポリシーヒストリDB(113)の申請書IDを基に申請情報DB(153)を照会して該当セキュリティポリシーに対する申請情報を照会したり、監査ログDB(133)の各監査ログに割当てられたセキュリティポリシーIDを基に統合セキュリティポリシーヒストリDB(113)を検索して該当セキュリティポリシーに対する申請書IDを確認した後、申請書IDを基に申請情報DB(153)を照会して該当セキュリティポリシーに対する申請情報を照会する申請情報確認段階(S250)を実行することができる。
その他、重複される具体的な説明は、上記で詳細に説明しているので省略する。
これまで、本発明を望ましい実施例を参照して詳細に説明したが、本発明が、本発明が属する技術分野の当業者は、本発明がその技術的思想や必須的特徴を変更することなく、他の具体的な形で実施することができるため、以上述べた実施例は、すべての面で例示的なものであり限定的なものではないものとして理解すべきである。
そして、本発明の範囲は、上記詳細な説明よりは、後述する特許請求の範囲によって特定されるものであり、特許請求の範囲の意味及び範囲並びにその等価概念から導出されるすべての変更又は変更された形が、本発明の範囲に含まれるものと解釈されなければならない。
100 セキュリティポリシー及び監査ログ双方向照会、総合、追跡システム
110 セキュリティポリシー設定部
113 統合セキュリティポリシーヒストリDB
120 セキュリティソフトウェアエージェント
130 監査ログ収集部
133 監査ログDB
140 双方向照会追跡部
150 申請情報設定部
153 申請情報DB
160 申請情報確認部

Claims (12)

  1. セキュリティポリシーが生成及び変更される度に固有のポリシー識別情報を付与して前記セキュリティポリシーを統合セキュリティポリシーヒストリDBに記録及び管理し、セキュリティソフトウェアエージェントにセキュリティポリシー情報を転送するセキュリティポリシー設定部であって、前記ポリシー識別情報は、セキュリティポリシーID又はセキュリティポリシーIDとポリシー構成情報に構成されるセキュリティポリシー設定部、
    前記セキュリティポリシー設定部で受信したセキュリティポリシーを適用して前記セキュリティポリシーを遵守するログ及びセキュリティポリシーを違反するログ発生時に、前記ログ発生と関連されたセキュリティポリシー固有のセキュリティポリシーID又はポリシー構成情報をログ情報に含めて監査ログを生成するセキュリティソフトウェアエージェント、
    前記セキュリティソフトウェアエージェントで生成した監査ログを収集し、前記監査ログでセキュリティポリシーID又はポリシー構成情報を抽出して、これを前記ポリシー識別情報として収集された監査ログ内容とマッピングして監査ログDBに記録する監査ログ収集部、及び
    前記統合セキュリティポリシーヒストリDBに記録された前記ポリシー識別情報と前記監査ログDBに記録された前記ポリシー識別情報を比較してセキュリティポリシーと関連された監査ログを照会、照合及び追跡し、監査ログと関連されたセキュリティポリシーを照会、照合及び追跡する双方向照会追跡部、を含み、
    前記セキュリティポリシー設定部は、
    セキュリティポリシーを唯一識別可能なセキュリティポリシーID又はセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報を生成し、セキュリティポリシーIDと前記セキュリティポリシーをマッピングしたり、セキュリティポリシーID及び複数の項目で構成されたポリシー構成情報をセキュリティポリシーとマッピングして前記統合セキュリティポリシーヒストリDBに記録し、
    前記セキュリティポリシー設定部は、
    セキュリティソフトウェアのセキュリティポリシーIDがないセキュリティポリシーを収集して前記セキュリティポリシーで抽出した行為者又は前記行為者のアクセスパスを示すサブジェクト情報、前記行為者又は前記アクセスパスを通じてアクセスしようとする対象を示すオブジェクト情報及び前記行為者又は前記アクセスパスでアクセスしようとする対象に対して実行しようとする内容を表す行為情報を含む複数の項目で構成されるポリシー構成情報を設定し、セキュリティポリシーIDを付与してセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報をセキュリティポリシーとマッピングして前記統合セキュリティポリシーヒストリDBに記録することを特徴とする、セキュリティポリシー及び監査ログ双方向照会、照合、追跡システム。
  2. 前記セキュリティポリシー設定部は、セキュリティソフトウェアに対する各セキュリティポリシー毎にセキュリティシステムIDをマッピングして前記統合セキュリティポリシーヒストリDBに記録し、
    前記監査ログ収集部は、各監査ログ毎にセキュリティシステムIDをマッピングして前記監査ログDBに記録し、
    前記双方向照会追跡部は、前記統合セキュリティポリシーヒストリDBに記録されたセキュリティシステムIDと前記監査ログDBに記録されたセキュリティシステムIDを比較してセキュリティポリシーと監査ログ間に双方向照会、照合及び追跡機能を提供することを特徴とする、請求項に記載のセキュリティポリシー及び監査ログ双方向照会、照合、追跡システム。
  3. 前記セキュリティソフトウェアエージェントは、セキュリティポリシーを遵守するログ及びセキュリティポリシーを違反するログ発生時、前記ログを前記セキュリティポリシー設定部から受信したセキュリティポリシー情報で検索し、前記ログのセキュリティポリシーIDがある場合、セキュリティポリシーIDをログに含めて監査ログを記録し、セキュリティポリシー情報で検索した結果、前記ログのセキュリティポリシーIDがない場合、ポリシー構成情報をログに含めて監査ログを記録することを特徴とする、請求項1に記載のセキュリティポリシー及び監査ログ双方向照会、照合、追跡システム。
  4. 前記セキュリティソフトウェアエージェントは、前記ログにセキュリティポリシーIDを含めることができない場合、セキュリティポリシーで抽出した行為者又は前記行為者のアクセスパスを示すサブジェクト情報、前記行為者又は前記アクセスパスを通じてアクセスしようとする対象を示すオブジェクト情報、前記行為者又は前記アクセスパスでアクセスしようとする対象に対して実行しようとする内容を示す行為情報及びアクセスしようとする対象に対して実行しようとする内容を許容するか又は拒否するかを示す許容/可否情報を含むポリシー構成情報をログに含めて監査ログを記録することを特徴とする、請求項に記載のセキュリティポリシー及び監査ログ双方向照会、照合、追跡システム。
  5. 前記監査ログ収集部は、収集された監査ログにセキュリティポリシーIDが記録されている場合、セキュリティポリシーIDを抽出して前記ポリシー識別情報として使用し、収集された監査ログにセキュリティポリシーIDが記録されていない場合、ポリシー構成情報を抽出し、これを利用して前記統合セキュリティポリシーヒストリDBを照会してセキュリティポリシーIDを獲得して前記ポリシー識別情報として使用することを特徴とする、請求項1に記載のセキュリティポリシー及び監査ログ双方向照会、照合、追跡システム。
  6. 申請書ID、セキュリティポリシーの申請者情報、セキュリティポリシー申請内容を含む情報を申請情報DBに記録及び管理する申請情報設定部をさらに備え、
    前記統合セキュリティポリシーヒストリDBは、各セキュリティポリシー毎に前記セキュリティポリシーを申請した前記申請書IDが割当てられ、
    前記統合セキュリティポリシーヒストリDBの前記申請書IDを基に前記申請情報DBを照会して前記セキュリティポリシーに対する申請情報を照会したり、前記監査ログDBの各監査ログに割当てられたセキュリティポリシーIDを基に前記統合セキュリティポリシーヒストリDBを検索して前記セキュリティポリシーに対する前記申請書IDを確認した後、前記申請書IDを基に前記申請情報DBを照会して前記セキュリティポリシーに対する申請情報を照会する申請情報確認部をさらに備えることを特徴とする、請求項1に記載のセキュリティポリシー及び監査ログ双方向照会、照合、追跡システム。
  7. セキュリティポリシーが生成及び変更される度に固有のポリシー識別情報を付与して前記セキュリティポリシーを統合セキュリティポリシーヒストリDBに記録及び管理し、セキュリティソフトウェアエージェントにセキュリティポリシー情報を転送するセキュリティポリシー設定段階であって、前記ポリシー識別情報は、セキュリティポリシーID又はセキュリティポリシーIDとポリシー構成情報で構成されるセキュリティポリシー設定段階、
    前記セキュリティソフトウェアエージェントは、受信したセキュリティポリシーを適用して前記セキュリティポリシーを遵守するログ及びセキュリティポリシーを違反するログ発生時、前記ログ発生と関連されたセキュリティポリシー固有のセキュリティポリシーID又はポリシー構成情報をログ情報に含めて監査ログを生成するセキュリティポリシー適用段階、
    生成した監査ログを収集し、前記監査ログでセキュリティポリシーID又はポリシー構成情報を抽出し、これを前記ポリシー識別情報として収集された監査ログ内容とマッピングした後監査ログDBに記録する監査ログ収集段階、及び
    前記統合セキュリティポリシーヒストリDBに記録された前記ポリシー識別情報と前記監査ログDBに記録された前記ポリシー識別情報を比較してセキュリティポリシーと関連された監査ログを照会、照合及び追跡し、監査ログと関連されたセキュリティポリシーを照会、照合及び追跡する双方向照会追跡段階、を含み、
    前記セキュリティポリシー設定段階は、
    セキュリティポリシーを唯一識別可能なセキュリティポリシーID又はセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報を生成し、セキュリティポリシーIDと前記セキュリティポリシーをマッピングしたりセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報をセキュリティポリシーとマッピングして前記統合セキュリティポリシーヒストリDBに記録し、
    前記セキュリティポリシー設定段階は、
    セキュリティポリシーIDがないセキュリティポリシーを収集して前記セキュリティポリシーから抽出した行為者又は前記行為者のアクセスパスを表すサブジェクト情報、前記行為者又は前記アクセスパスを通じてアクセスしようとする対象を表すオブジェクト情報及び前記行為者又は前記アクセスパスでアクセスしようとする対象に対して実行しようとする内容を表す行為情報を含む複数の項目で構成されるポリシー構成情報を設定し、セキュリティポリシーIDを付与してセキュリティポリシーID及び複数の項目で構成されたポリシー構成情報をセキュリティポリシーとマッピングして前記統合セキュリティポリシーヒストリDBに記録することを特徴とする、セキュリティポリシー及び監査ログ双方向照会、照合、追跡方法。
  8. 前記セキュリティポリシー設定段階は、前記セキュリティソフトウェアに対する各セキュリティポリシー毎にセキュリティシステムIDをマッピングして前記統合セキュリティポリシーヒストリDBに記録し、
    前記監査ログ収集段階は、各監査ログ毎にセキュリティシステムIDをマッピングして前記監査ログDBに記録し、
    前記双方向照会追跡段階は、前記統合セキュリティポリシーヒストリDBに記録されたセキュリティシステムIDと前記監査ログDBに記録されたセキュリティシステムIDを比較してセキュリティポリシーと監査ログ間に双方向照会、照合及び追跡機能を提供することを特徴とする、請求項に記載のセキュリティポリシー及び監査ログ双方向照会、照合、追跡方法。
  9. 前記セキュリティポリシー適用段階は、セキュリティポリシーを遵守するログ及びセキュリティポリシーを違反するログ発生時、前記ログをセキュリティポリシー設定部から受信したセキュリティポリシー情報で検索して前記ログのセキュリティポリシーIDがある場合、セキュリティポリシーIDをログに含んで監査ログを記録し、セキュリティポリシー情報で検索した結果、前記ログのセキュリティポリシーIDがない場合、ポリシー構成情報をログに含めて監査ログを記録することを特徴とする、請求項に記載のセキュリティポリシー及び監査ログ双方向照会、照合、追跡方法。
  10. 前記セキュリティポリシー適用段階は、前記ログにセキュリティポリシーIDを含めることができない場合、セキュリティポリシーから抽出した行為者又は前記行為者のアクセスパスを表すサブジェクト情報、前記行為者又は前記アクセスパスを通じてアクセスしようとする対象を表すオブジェクト情報、前記行為者又は前記アクセスパスでアクセスしようとする対象に対して実行しようとする内容を表す行為情報及びアクセスしようとする対象に対して実行しようとする内容を許容するか又は拒否するかを表す許容/拒否情報を表す情報を含むポリシー構成情報をログに含めて監査ログを記録することを特徴とする、請求項に記載のセキュリティポリシー及び監査ログ双方向照会、照合、追跡方法。
  11. 前記監査ログ収集段階は、収集された監査ログにセキュリティポリシーIDが記録されている場合、セキュリティポリシーIDを抽出して前記ポリシー識別情報IDを抽出して前記ポリシー識別情報として使用し、収集された監査ログにセキュリティポリシーIDが記録されていない場合、ポリシー構成情報を抽出し、これを利用して前記統合セキュリティポリシーヒストリDBを照会しセキュリティポリシーIDを獲得して前記ポリシー識別情報として使用することを特徴とする、請求項に記載のセキュリティポリシー及び監査ログ双方向照会、照合、追跡方法。
  12. 申請書ID、セキュリティポリシーの申請者情報、セキュリティポリシー申請内容を含む情報を申請情報DBに記録及び管理し、前記統合セキュリティポリシーヒストリDBは、各セキュリティポリシー毎に前記セキュリティポリシーを申請した前記申請書IDが割当てられ、
    前記統合セキュリティポリシーヒストリDBの前記申請書IDを基に前記申請情報DBを照会して前記セキュリティポリシーに対する申請情報を照会したり、前記監査ログDBの各監査ログに割当てられたセキュリティポリシーIDを基に前記統合セキュリティポリシーヒストリDBを検索して前記セキュリティポリシーに対する前記申請書IDを確認した後、前記申請書IDを基に前記申請情報DBを照会して前記セキュリティポリシーに対する申請情報を照会する申請情報確認段階をさらに備えることを特徴とする、請求項に記載のセキュリティポリシー及び監査ログ双方向照会、照合、追跡方法。
JP2020567063A 2018-06-01 2019-03-21 セキュリティポリシー及び監査ログ双方向照会、照合、追跡システム及びその方法{security policy and audit log bi-directional lookup,comparing and tracking system and method thereof} Active JP7241360B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020180063167A KR101920613B1 (ko) 2018-06-01 2018-06-01 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법
KR10-2018-0063167 2018-06-01
PCT/KR2019/003325 WO2019231089A1 (ko) 2018-06-01 2019-03-21 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
JP2021532440A JP2021532440A (ja) 2021-11-25
JP7241360B2 true JP7241360B2 (ja) 2023-03-17

Family

ID=64602278

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020567063A Active JP7241360B2 (ja) 2018-06-01 2019-03-21 セキュリティポリシー及び監査ログ双方向照会、照合、追跡システム及びその方法{security policy and audit log bi-directional lookup,comparing and tracking system and method thereof}

Country Status (5)

Country Link
US (1) US20210279329A1 (ja)
EP (1) EP3809298B1 (ja)
JP (1) JP7241360B2 (ja)
KR (1) KR101920613B1 (ja)
WO (1) WO2019231089A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230247034A1 (en) * 2022-02-01 2023-08-03 Sap Se Log entry buffer extension network
CN116015840B (zh) * 2022-12-23 2024-01-30 星环信息科技(上海)股份有限公司 一种数据操作审计方法、系统、设备及存储介质
CN115914005B (zh) * 2022-12-23 2024-01-23 星环信息科技(上海)股份有限公司 一种数据审计系统及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002247033A (ja) 2001-02-16 2002-08-30 Hitachi Ltd セキュリティ管理システム
JP2007310579A (ja) 2006-05-17 2007-11-29 Fujitsu Ltd 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法
JP2012155546A (ja) 2011-01-26 2012-08-16 Fujitsu Ltd アクセス制御データ編集支援プログラム、アクセス制御データ編集支援装置、及びアクセス制御データ編集支援方法
US20130263206A1 (en) 2012-03-30 2013-10-03 Nokia Corporation Method and apparatus for policy adaption based on application policy compliance analysis

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4843546B2 (ja) * 2007-03-30 2011-12-21 ヤフー株式会社 情報漏洩監視システムおよび情報漏洩監視方法
KR20090044202A (ko) 2007-10-31 2009-05-07 주식회사 이븐스타 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를이용한 웹 보안 서비스 방법 및 그 시스템
US9559800B1 (en) * 2008-10-24 2017-01-31 Vmware, Inc. Dynamic packet filtering
KR101548138B1 (ko) * 2009-04-28 2015-08-31 에스케이텔레콤 주식회사 정보보안 증적 추적 시스템 및 방법
JP5524878B2 (ja) * 2011-02-22 2014-06-18 日立電線ネットワークス株式会社 検疫ネットワークシステム
US8850593B2 (en) * 2011-05-12 2014-09-30 Hewlett-Packard Development Company, L.P. Data management using a virtual machine-data image
JP6223099B2 (ja) * 2013-10-01 2017-11-01 キヤノン株式会社 画像処理装置、及びその制御方法、並びにプログラム
US9607163B2 (en) * 2013-12-17 2017-03-28 Canon Kabushiki Kaisha Information processing apparatus, control method, and storage medium storing program
KR101560534B1 (ko) * 2013-12-31 2015-10-16 주식회사 윈스 행위 기반 분석 기술을 이용한 지능적 지속 공격 탐지 및 대응 시스템 및 방법
KR20150136369A (ko) * 2014-05-27 2015-12-07 주식회사 커머스톤컨설팅 로그 보안 및 빅 데이터를 이용한 통합 관리 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002247033A (ja) 2001-02-16 2002-08-30 Hitachi Ltd セキュリティ管理システム
JP2007310579A (ja) 2006-05-17 2007-11-29 Fujitsu Ltd 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法
JP2012155546A (ja) 2011-01-26 2012-08-16 Fujitsu Ltd アクセス制御データ編集支援プログラム、アクセス制御データ編集支援装置、及びアクセス制御データ編集支援方法
US20130263206A1 (en) 2012-03-30 2013-10-03 Nokia Corporation Method and apparatus for policy adaption based on application policy compliance analysis

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
BRUCKER, A.D. et al.,A Framework for Managing and Analyzing Changes of Security Policies,2011 IEEE International Symposium on Policies for Distributed Systems and Networks [online],2011年06月06日,pp. 105-112,[retrieved on 2022-04-07], Retrieved from the Internet: <URL: https://ieeexplore.ieee.org/document/5976802>,<DOI: 10.1109/POLICY.2011.47>
OASYS Standard,eXtensible Access Control Markup Language (XACML) Version 3.0,2013年01月22日,pp. 49-51,[retrieved on 2022-04-11], Retrieved from the Internet: <URL: http://docs.oasis-open.org/xacml/3.0/xacml-3.0-core-spec-os-en.pdf>

Also Published As

Publication number Publication date
JP2021532440A (ja) 2021-11-25
WO2019231089A1 (ko) 2019-12-05
KR101920613B1 (ko) 2018-11-21
US20210279329A1 (en) 2021-09-09
EP3809298A4 (en) 2022-04-27
EP3809298A1 (en) 2021-04-21
EP3809298B1 (en) 2024-08-28

Similar Documents

Publication Publication Date Title
US20230076019A1 (en) Smart pest trap as iot in policy fabric and sharing system for enabling multi-party data processing in an iot environment
US10795643B2 (en) System and method for resource reconciliation in an enterprise management system
US9602515B2 (en) Enforcing alignment of approved changes and deployed changes in the software change life-cycle
JP7241360B2 (ja) セキュリティポリシー及び監査ログ双方向照会、照合、追跡システム及びその方法{security policy and audit log bi-directional lookup,comparing and tracking system and method thereof}
US20180075240A1 (en) Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device
US9807125B2 (en) System and method for tracking and auditing data access in a network environment
US8516586B1 (en) Classification of unknown computer network traffic
US10097569B2 (en) System and method for tracking malware route and behavior for defending against cyberattacks
JP2012108934A (ja) データ記憶アクセスの制御方法
CN113132311B (zh) 异常访问检测方法、装置和设备
US10614225B2 (en) System and method for tracing data access and detecting abnormality in the same
EP2880579A1 (en) Conjoint vulnerability identifiers
CN115238247A (zh) 基于零信任数据访问控制系统的数据处理方法
US11651313B1 (en) Insider threat detection using access behavior analysis
CN117527298A (zh) 一种基于dns解析的恶意域名检测系统
KR20100105161A (ko) 확장된 보안 레이블을 이용하는 프로세스 및 파일 추적 시스템 및 프로세스 및 파일 추적 방법
US20170237738A1 (en) Method and apparatus for tracking data access route
RU2536678C1 (ru) Способ проверки прав доступа для учетных записей пользователей в грид-системах и система для его осуществления
Sykosch et al. Hunting observable objects for indication of compromise
KR102693969B1 (ko) 클라우드 이벤트에 대한 매핑 정보를 생성하는 방법 및 매핑 서버
CN117009353B (zh) 一种基于云平台的金融大数据信息存储方法及设备
KR102449417B1 (ko) 위치정보 기반의 방화벽 시스템
US20230418939A1 (en) Method for managing externally imported files, apparatus for the same, computer program for the same, and recording medium storing computer program thereof
KR20140046255A (ko) 온라인 서비스로 제공되는 저작 콘텐츠의 보호를 위한 콘텐츠 유통 로그 에이전트 및 운영방법
Lee et al. PCA in ERP environment using the misuse detection system design and implementation of RBAC permissions

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210326

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220419

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20220715

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20220829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221019

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230227

R150 Certificate of patent or registration of utility model

Ref document number: 7241360

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150