JP7328635B2 - Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program - Google Patents
Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program Download PDFInfo
- Publication number
- JP7328635B2 JP7328635B2 JP2019023325A JP2019023325A JP7328635B2 JP 7328635 B2 JP7328635 B2 JP 7328635B2 JP 2019023325 A JP2019023325 A JP 2019023325A JP 2019023325 A JP2019023325 A JP 2019023325A JP 7328635 B2 JP7328635 B2 JP 7328635B2
- Authority
- JP
- Japan
- Prior art keywords
- log information
- user terminal
- log
- analysis
- security incident
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 87
- 238000004458 analytical method Methods 0.000 claims description 153
- 238000000034 method Methods 0.000 claims description 21
- 238000004891 communication Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 6
- 230000004931 aggregating effect Effects 0.000 claims description 5
- 238000013500 data storage Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000006378 damage Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、エンドポイントにおいてセキュリティインシデントの被害を防ぐ技術に関し、特に、エンドポイントにおいてセキュリティインシデントが発生した後の事後対処を支援するセキュリティインシデント検知装置、セキュリティインシデント検知システム及びセキュリティインシデント検知方法に関する。 TECHNICAL FIELD The present invention relates to technology for preventing damage from security incidents at endpoints, and more particularly to a security incident detection device, a security incident detection system, and a security incident detection method that support post-incident measures after a security incident has occurred at an endpoint.
従来、エンドポイントにおいてセキュリティインシデントを発生させるマルウェアの検知は、マルウェア検体をもとにシグネチャ(例えば、コンピュータウイルスなどに含まれる特徴的なデータ断片や、攻撃者のアクセスに特徴的な受信データのパターンなど)を作成して防御する機能を中心に発展してきた。ここで、マルウェアとは、利用者やコンピュータに害を成す不正な動作を行うソフトウェアの総称をいい、セキュリティインシデントとは、事業運営に影響を与えたり、情報セキュリティを脅かしたりする事件や事故のことをいう。 Conventionally, the detection of malware that causes security incidents at endpoints is based on signatures (e.g., characteristic data fragments included in computer viruses, etc., and received data patterns characteristic of attackers' access) based on malware specimens. etc.) has been developed around the ability to create and defend against Here, malware is a general term for software that behaves maliciously and harms users and computers, and security incidents are incidents and accidents that affect business operations and threaten information security. Say.
しかしながら、昨今のマルウェアに関しては、標的型攻撃や多種多様な亜種を簡単に作成できるツールなどが存在することにより、マルウェア検体自体の効果は薄れてきている状況にある。 However, with regard to recent malware, the effectiveness of malware samples themselves is waning due to the existence of targeted attacks and tools that can easily create a wide variety of subspecies.
そのため、情報セキュリティ業界においては、マルウェア等のセキュリティ被害を100%完璧に防御することは出来ないことが常識になっており、この防御を破られマルウェア被害に遭ってしてしまうことを前提にした「事後対処」が非常に重要である、という考えが急速に加速している。 Therefore, in the information security industry, it is common knowledge that it is impossible to completely protect against security damage such as malware. The idea that “reacting after the fact” is very important is accelerating rapidly.
この点、エンドポイントセキュリティ製品の中で昨今注目を集めているのは、マルウェアによる感染後の調査・復旧・対策を支援する「EDR」(Endpoint Detection abd Response)や機密情報の紛失・漏洩を防ぐ「DLP」(Data Loss Prevention)といったセキュリティインシデントの事後対処を支援する製品である。 In this regard, endpoint security products that have recently been attracting attention are endpoint detection abd response (EDR), which supports investigation, recovery, and countermeasures after infection by malware, and prevention of loss and leakage of confidential information. It is a product that supports post-event handling of security incidents such as "DLP" (Data Loss Prevention).
例えば、非特許文献1には、EDRに関する製品が開示されており、非特許文献2には、DLPに関する製品が開示されている。
For example, Non-Patent Document 1 discloses a product related to EDR, and Non-Patent
しかしながら、従来のEDRやDLPに関する製品は、高額な製品であり、大企業を中心に導入が進んでいた。また、従来のEDRやDLPに関する製品は、リアルタイムでセキュリティインシデントに対する処理を実行する必要があり、また、常時データを収集・保管するデータ保存領域を確保する必要があることから、エンドポイントやネットワークの負荷を高めてしまうという問題があった。また、製品導入後の運用においても、専門性の高い人材の配置が必要となるという問題があった。 However, conventional products related to EDR and DLP are expensive products and have been introduced mainly by large companies. In addition, conventional EDR and DLP products are required to process security incidents in real time and to secure data storage areas for collecting and storing data at all times. There was a problem of increasing the load. In addition, there is a problem that it is necessary to allocate highly specialized human resources for the operation after the introduction of the product.
その結果、中堅企業や中小企業においては、EDRやDLPといったセキュリティインシデントの事後対処を支援する製品を導入することが困難であるという状況があった。 As a result, it has been difficult for medium-sized companies and small and medium-sized enterprises to introduce products such as EDR and DLP that support post-incident handling of security incidents.
本発明は上記の事情を鑑みてなされたものであり、高額なコストをかけず、またエンドポイントに負荷をかけることなく、さらには専門的な人材を必要とすることなく、中堅企業や中小企業であっても容易に導入することができるエンドポイントに対するセキュリティインシデント検知装置、セキュリティインシデント検知システム及びセキュリティインシデント検知方法を提供することを目的とする。 The present invention has been made in view of the above circumstances, and can be used by medium-sized companies and small and medium-sized enterprises without incurring high costs, without imposing a load on endpoints, and without requiring specialized human resources. It is an object of the present invention to provide a security incident detection device, a security incident detection system, and a security incident detection method for endpoints that can be easily introduced even if the
上記目的を達成するため、本発明に係るセキィリティインシデント検知装置は、その一態様として、通信ネットワークを介して、企業に設けられた利用者端末と相互に通信可能であり、前記利用者端末に発生したセキュリティインシデントを検知するセキィリティインシデント検知装置であって、前記利用者端末から定期的にセキュリティインシデントに関連するログ情報を収集するログ情報収集部と、前記ログ情報収集部により収集された前記ログ情報に対して、検知するセキュリティインシデントのタイプごとに設けられた分析パターンごとに、分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析部と、前記ログ情報分析部による前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成部と、作成した分析レポートを前記利用者端末に出力する分析レポート出力部と、を備える。 In order to achieve the above object, a security incident detection device according to the present invention, as one aspect thereof, is capable of mutual communication with a user terminal provided in a company via a communication network. a security incident detection device for detecting a security incident that has occurred, comprising: a log information collecting unit for periodically collecting log information related to the security incident from the user terminal; and the log information collected by the log information collecting unit. for each analysis pattern provided for each type of security incident to be detected, a log information analysis unit that analyzes the log information associated with the analysis pattern and detects the possibility of a security incident occurring; An analysis report creation unit that aggregates analysis results of the log information by the log information analysis unit for each company and creates an analysis report, and an analysis report output unit that outputs the created analysis report to the user terminal.
また、本発明に係るセキィリティインシデント検知システムは、その一態様として、企業に設けられた利用者端末と、前記利用者端末と通信ネットワークを介して相互に通信可能なサーバ装置と、を備え、前記利用者端末に発生したセキュリティインシデントを検知するセキュリティインシデント検知システムであって、前記利用者端末は、定期的にセキュリティインシデントに関連するログ情報を収集して送信するログ情報送信部を備え、前記サーバ装置は、前記ログ情報送信部から送信された前記ログ情報を受信するログ情報受信部と、検知するセキュリティインシデントのタイプごとに分析パターンを記憶する分析パターン記憶部と、前記分析パターン記憶部に記憶されたそれぞれの分析パターンごとに、該分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析部と、前記ログ情報分析部による前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成部と、作成した分析レポートを前記利用者端末に出力する分析レポート出力部と、を備え、前記利用者端末は、前記分析レポート出力部により出力された分析レポートを表示する分析レポート表示部を備える。 Further, a security incident detection system according to the present invention comprises, as one aspect thereof, a user terminal provided in a company, and a server device capable of mutually communicating with the user terminal via a communication network, A security incident detection system for detecting a security incident that has occurred in a user terminal, wherein the user terminal includes a log information transmission unit that periodically collects and transmits log information related to the security incident, and the server The apparatus includes a log information receiving unit that receives the log information transmitted from the log information transmitting unit, an analysis pattern storage unit that stores an analysis pattern for each type of security incident to be detected, and storage in the analysis pattern storage unit. a log information analysis unit that analyzes the log information associated with the analysis pattern for each analysis pattern and detects the possibility of occurrence of a security incident; and analysis of the log information by the log information analysis unit. an analysis report creation unit that aggregates results for each company and creates an analysis report; and an analysis report output unit that outputs the created analysis report to the user terminal, wherein the user terminal outputs the analysis report. an analysis report display unit for displaying the analysis report output by the unit;
また、本発明に係るセキィリティインシデント検知方法は、その一態様として、企業に設けられた利用者端末に発生したセキュリティインシデントを検知するセキュリティインシデント検知方法であって、前記利用者端末から定期的にセキュリティインシデントに関連するログ情報を収集するログ情報収集ステップと、前記ログ情報収集ステップにより収集された前記ログ情報に対して、検知するセキュリティインシデントのタイプごとに設けられた分析パターンごとに、分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析ステップと、前記ログ情報分析ステップによる前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成ステップと、作成した分析レポートを前記利用者端末に出力する分析レポート出力ステップと、を備える。 Further, a security incident detection method according to the present invention, as one aspect thereof, is a security incident detection method for detecting a security incident that has occurred in a user terminal provided in a company, wherein a security incident is periodically detected from the user terminal. a log information collection step for collecting log information related to an incident; and for each analysis pattern provided for each type of security incident to be detected, for the log information collected by the log information collection step. A log information analysis step of analyzing the associated log information and detecting the possibility of occurrence of a security incident, and aggregating the analysis results of the log information by the log information analysis step for each company and creating an analysis report. It comprises an analysis report creation step and an analysis report output step of outputting the created analysis report to the user terminal.
本発明によれば、高額なコストをかけず、またエンドポイントに負荷をかけることなく、さらには専門的な人材を必要としない。これにより、中堅企業や中小企業であっても容易に導入することができる。 The present invention does not incur high costs, does not burden endpoints, and does not require specialized personnel. As a result, even medium-sized enterprises and small and medium-sized enterprises can easily introduce the system.
以下、本発明の実施の形態について図面を用いて説明する。 BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings.
<セキュリティインシデント検知システムの構成>
図1は、本発明の実施の形態に係るセキュリティインシデント検知システム1の概略構成図である。セキュリティインシデント検知システム1は、企業のエンドポイント20に発生したセキュリティインシデントを検知するサービス(以下、Endpoint Incident Scanning Service;以下、EISSという)を提供するコンピュータシステムである。エンドポイント20とは、通信ネットワークに接続されたサーバ、パーソナルコンピュータ(以下、PCと略す)、スマートフォンなどの携帯情報端末を意味するが、本実施の形態では、エンドポイント20を、EISSを利用する企業に設置されたPCとして説明する。また、エンドポイント20を利用者端末20と表記する。
<Security incident detection system configuration>
FIG. 1 is a schematic configuration diagram of a security incident detection system 1 according to an embodiment of the present invention. The security incident detection system 1 is a computer system that provides a service for detecting security incidents that have occurred at
セキュリティインシデント検知システム1は、セキュリティインシデント検知サーバ10と、企業の1又は複数の利用者端末20と、セキュリティインシデント検知サーバ10と利用者端末20をそれぞれ相互に通信可能とする、例えば、インターネット網、公衆網、LAN(Local Area Network)などの構内網、などからなる通信ネットワーク2、とを備えて構成されている。このような構成の下、セキュリティインシデント検知サーバ10は、企業の利用者端末20から定期的に送信されるログ情報211を分析して、企業単位に分析レポート115Pを作成し、作成した分析レポート115Pを企業に送信するようにしている。EISSを利用する企業はこの分析レポート115Pを見ることにより、企業の利用者端末20においてセキュリティインシデントが発生しているか否かを把握することができる。
The security incident detection system 1 enables the security
このように、本実施の形態に係るセキュリティインシデント検知システム1では、企業に備えた利用者端末20側でデータ収集、分析及び結果出力という一連のリアルタイム処理を行うのではなく、利用者端末20側では対象となるログ情報を定期的に収集して送信するだけであり、セキュリティインシデント検知サーバ10側でログ情報の分析及び結果出力を行うようにしている。そのため、企業側にコストや処理負荷をかけることなく、また、専門性の高い人材を配置する必要もないという効果を有している。つまり、EISSは、エンドポイントにおいてセキュリティインシデントが発生した後の事後対処を支援するサービスとして、中堅企業や中小企業であっても容易に導入することができるサービスとなっている。
As described above, in the security incident detection system 1 according to the present embodiment, instead of performing a series of real-time processing such as data collection, analysis, and result output on the
図2は、セキュリティインシデント検知システム1において実行されるログ分析の概要を説明する図である。 FIG. 2 is a diagram explaining an overview of log analysis performed in the security incident detection system 1. As shown in FIG.
本実施の形態に係るセキュリティインシデント検知システム1のログ分析を説明する前に、まず、本実施の形態に係るログ情報について説明する。 Before explaining the log analysis of the security incident detection system 1 according to this embodiment, first, log information according to this embodiment will be explained.
本実施の形態に係るログ情報211は、プログラム実行履歴211Aと、ユーザ操作履歴211Bと、システム情報211Cと、に大別される。プログラム実行履歴211Aは、利用者端末20で実行されたプログラムの履歴に関する情報である。例えば、プロセスリスト(システムの裏(バックエンド)で実行されるプログラムの一覧情報)などが該当する。ユーザ操作履歴211Bは、利用者の利用者端末20に対する操作の履歴に関する情報である。例えば、USB接続デバイスリスト(利用者端末20に接続されたUSBデバイスの一覧情報)やネットワーク接続履歴リスト(利用者端末20がどのネットワークに接続されたかの一覧情報)などである。システム情報211Cは、利用者端末20のその時点のシステム状況に関する情報である。例えば、プログラムハッシュリスト(特定ディレクトリに存在するプログラムのハッシュ情報一覧)などである。
The
本実施の形態では、このようなログ情報211が利用者端末20から定期的にセキュリティインシデント検知サーバ10にアップロードされてくる。
In this embodiment,
セキュリティインシデント検知サーバ10は、このようなログ情報211のそれぞれを、セキュリティインシデント検知サーバ10が備える分析パターン112、及びマスタデータ113を参照して、ログ分析を行う。ログ分析の結果、セキュリティインシデント発生の可能性があると判断された場合には、後述する分析後データ114として記録する。
The security
ここで、分析パターン112は、セキュリティインシデントを検知するための条件に関するロジックデータである。例えば、プロセスリストをログ分析する場合には、予め用意した不正なプロセスに関する分析パターン112を参照して、当該プロセスリストのプロセスが不正であるか否かを検知する。なお、本実施の形態の分析パターン112は、データとして保持されるようにしているが、ロジックとしてプログラムに組み込まれるようにしてもよい。
Here, the
また、マスタデータ113は、企業ごとのセキュリティルールに関するデータや公開されている不正プログラムや不正ファイルに関するデータである。例えば、企業ごとのセキュリティのルールに関するデータとしては、USB利用可否やWifi利用可否に関するデータなどが挙げられる。例えば、上述のUSB接続デバイスリストやネットワーク接続履歴リストのログ分析においては、これらの企業ごとのマスタデータ113も参照して行われる。
The
図2においては、例えば、プログラム実行履歴211AのA1というログ情報は分析パターン1を用いてログ分析をし、ユーザ操作履歴211BのB1というログ情報は分析パターン3及びマスタデータ1を用いてログ分析をする。このようにログ情報211と分析パターン112及びマスタデータ113との関係は1対1の対応関係ではなく、N対Nの対応関係となっている。実際には、それぞれの分析パターンに112に合わせて、対応付けられたログ情報211をログ分析する。その際、マスタデータ113が必要な場合には、マスタデータ113も参照してログ分析を行う。
In FIG. 2, for example, the log information A1 in the
図3は、セキュリティインシデント検知サーバ10の機能構成図である。セキュリティインシデント検知サーバ10は、セキュリティインシデント検知システム1の中核となるサーバ装置である。
FIG. 3 is a functional configuration diagram of the security
セキュリティインシデント検知サーバ10は、図3に示すように、例えば、ハードディスク等から構成され、セキュリティインシデント検知サーバ10が管理するデータを記憶する記憶部11と、例えば、CPU及びメモリ等から構成され、記憶部11の制御や、各種データの転送、種々の演算、データの一時的な格納等を行うことにより、本実施の形態の後述する各種処理(ログ収集処理、ログ分析処理)を実行する制御部12と、通信ネットワーク2を介して利用者端末20とデータの送受信を行う通信部13と、を備えている。
As shown in FIG. 3, the security
記憶部11は、詳しくは、ログ収集制御データ111、分析パターン112、マスタデータ113、分析後データ114、及びレポートデータ115を記憶する。
More specifically, the
ログ収集制御データ111は、ログ取集を制御するマスタデータであり、企業単位に設定される。例えば、ログ収集のタイミング、ログ収集の対象となるファイル(設定ファイルともいう)などに関するデータが設定されている。
The log
分析パターン112及びマスタデータ113は、ログ分析において参照されるデータであり、図2で説明した通りである。
The
分析後データ114は、セキュリティインシデント検知サーバ10のログ分析によりセキュリティインシデント発生の疑いありと判断されたデータである。分析後データ114は、ログ分析単位で作成される。
The
レポートデータ115は、企業に送信される分析レポート115Pのデータであり、本実施の形態では、企業の利用者(管理者)は、メール又はWeb上の管理画面サイトで分析レポート115Pを見ることが可能となっている。
The
図4に分析レポート115Pの一例を示す。図4(a)は、企業全体における分析結果概要を示す図であり、分析対象期間、契約内容、分析端末情報、及び分析結果概要を示している。図7(a)に示す分析レポートで115Pは、13台の利用者端末20のうち1台に情報詐取のおそれがある旨が報告されている。図4(b)は、分析結果詳細を示す図であり、利用者端末20ごとの検知内容を示している。検知内容としては、図4(b)に示すように、利用者端末20にセキュリティインシデントのおそれがない場合には「情報搾取の痕跡はみられませんでした」、利用者端末20にセキュリティインシデントのおそれがある場合には「情報搾取の恐れがあります」などのメッセージを出力する。
FIG. 4 shows an example of the
企業の利用者(管理者)は、この分析レポート115Pの結果に基づいて、以後対策を講ずる。例えば、セキュリティインシデントのおそれがある利用者端末20に対してウィルス対策ソフトを使って駆除したり、EISSを提供するサービス事業者に連絡をし、以後の具体的な解決方法を求めたりする。本実施の形態のセキュリティインシデント検知システム1は、セキュリティインシデントの検知に特化しており、その解決まで対応しているシステムではないからである。
The user (administrator) of the company takes countermeasures based on the results of this
制御部12は、主たる機能に細分化すると、ログ収集制御部121、ログ分析部122、及び分析レシート作成部123に分類される。
The
ログ収集制御部121は、後述するログ収集処理におけるセキュリティインシデント検知サーバ10側の処理を実行する。例えば、利用者端末20からログ収集の問い合わせがあった場合には、ログ収集制御データ111を参照して今がログ収集のタイミングであるか否かを伝え、また、ログ収集する対象のファイルを示す設定ファイルの取得要求があった場合には、ログ収集設定データ111を参照して設定ファイルを送信する。
The log
ログ分析部122は、後述するログ分析処理を実行し、利用者端末20から送信されたログ情報を解析し、分析後データ114を記憶部11に登録する。
The
なお、分析後データ114は、セキュリティインシデント発生の疑いありと判断されたデータであり、誤検知されたデータも含まれるため、このようなデータは分析後データ114から取り除く。例えば、システム情報211Cの一例として挙げた、プログラムハッシュリスト(特定ディレクトリに存在するプログラムのハッシュ情報一覧)に対しては、tempフォルダ内にあるEXEファイルの存在を検知する分析パターン112を用いてログ分析を行うが、tempフォルダ内にあるEXEファイルのすべてがマルウェアの疑いありというわけではないので、セキィリティインシデントに関連しないファイルは除外する。
Note that the
分析レシート作成部123は、ログ分析部122が作成した分析後データ114に基づいて企業ごとのレポートデータ115を作成する。また、作成したレポートデータ115に基づく分析レポート115Pを企業の管理者に送信する。
The analyzed
なお、セキュリティインシデント検知サーバ10は、上述したようなアプリケーションサーバ、データベースサーバ、及びWeb(World Wide Web)サーバとしての機能を有しており、利用者端末20とアプリケーションやWebを活用した情報授受ができるようになっている。さらに、セキュリティインシデント検知サーバ10は、物理的に一つからなる装置の他、複数の装置がネットワーク接続されたシステムから構成されてもよく、複数の装置で構成された場合には、同一の場所にすべてが設置されていてもよいし、複数の場所に分散して設置されていてもよい。
The security
図5は、利用者端末20の機能構成図である。利用者端末20は、図5に示すように、例えば、ハードディスク等から構成され、プログラムや各種データを記憶する記憶部21と、例えば、キーボードやマウスなどで構成される入力部22、例えば、液晶ディスプレイやスピーカなどで構成される出力部23と、例えば、CPU及びメモリ等から構成され、記憶部21の制御や、各種データの転送、種々の演算、データの一時的な格納等を行うことにより、本実施の形態の後述するログ取集処理を実行する制御部24と、通信ネットワーク2を介してセキュリティインシデント検知サーバ10とデータの送受信を行う通信部25と、を具備する構成である。
FIG. 5 is a functional configuration diagram of the
記憶部21は、収集対象であるログ情報211、ログ取集プログラム212などを記憶している。ログ取集プログラム212は、EISSを利用する企業の各利用者端末20にインストールされるアプリケーションプログラムである。利用者端末20は、このログ取集プログラム212に基づいてセキュリティインシデント検知サーバ10にアクセスすることにより、ログ収集に関する情報、例えば、ログ収集のタイミングやログ収集の対象ファイルなどの情報を取得する。
The
制御部24は、セキュリティインシデント検知システム1の機能として、利用者端末20のログ情報を定期的に収集するログ収集部241を有する。なお、管理者の利用者端末20の制御部24には、ログ収集部241のほか、セキュリティインシデント検知サーバ10が作成した分析レポートを閲覧するレポート閲覧部242(図示せず)を有する。このレポート閲覧部242の機能により、企業の管理者は、利用者端末20において分析レポート115Pを閲覧することが可能である。
As a function of the security incident detection system 1 , the
なお、本実施の形態に係るセキュリティインシデント検知システム1の各種処理(ログ収集処理、ログ分析処理)を実行するプログラムは、上述したメモリなどの主記憶装置やハードディスクなどの補助記憶装置に格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disc)、BD(Blu-ray Disc(登録商標))などのコンピュータが読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。 A program for executing various processes (log collection process, log analysis process) of the security incident detection system 1 according to the present embodiment is stored in a main storage device such as the above-described memory or an auxiliary storage device such as a hard disk. There is. This program can be recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD (Compact Disc), a DVD (Digital Versatile Disc), and a BD (Blu-ray Disc (registered trademark)). Delivery via a communication network is also possible.
<セキュリティインシデント検知システムの動作>
次に、図6及び図7を用いて、本実施の形態に係るセキュリティインシデント検知システム1の動作について説明する。
<Operation of security incident detection system>
Next, the operation of the security incident detection system 1 according to this embodiment will be described with reference to FIGS. 6 and 7. FIG.
まず、図6を用いて、本実施の形態に係るセキュリティインシデント検知システム1のログ収集処理について説明する。図6は、ログ収集処理の流れを示すフローチャートである。 First, log collection processing of the security incident detection system 1 according to the present embodiment will be described with reference to FIG. FIG. 6 is a flowchart showing the flow of log collection processing.
なお、図6に示したログ収集処理のうち、ステップS20~ステップS60の利用者端末20側の処理は、ログ収集プログラム212に基づくログ収集部241の機能による。一方、図6に示したログ収集処理のうち、セキュリティインシデント検知サーバ10側の処理は、ログ収集制御部121の機能による。
Note that, among the log collection processing shown in FIG. 6, the processing on the
企業の利用者は利用者端末20を起動すると(ステップS10)、利用者端末20は、ログ収集問い合わせをセキュリティインシデント検知サーバ10に送信する(ステップS20)。
When the corporate user activates the user terminal 20 (step S10), the
セキュリティインシデント検知サーバ10は、ログ収集問い合わせを受信すると、問い合わせをした企業のログ収集制御データ111を参照して、ログ収集タイミングか否かの回答を利用者端末20に送信する。
Upon receiving the log collection inquiry, the security
利用者端末20は、ログ収集タイミングに関する回答を受信すると、受信した回答に基づいてログ収集タイミングであるか否かを判断する(ステップS30)。
When the
利用者端末20は、ログ収集タイミングであると判断した場合には(ステップS30:YES)、設定ファイルの取得要求をセキュリティインシデント検知サーバ10に送信する。セキュリティインシデント検知サーバ10は、設定ファイルの取得要求を受信すると、問い合わせをした企業の設定ファイルを利用者端末20に送信する。これにより、利用者端末20は、セキュリティインシデント検知サーバ10から設定ファイルを取得する(ステップS40)。設定ファイルには、ログ収集の対象となるファイルが記載されている。
When the
次いで、利用者端末20は、取得した設定ファイルに基づいて、利用者端末20内のログ情報211を収集し(ステップS50)、収集したログ情報211をデータ圧縮してセキュリティインシデント検知サーバ10に送信する(ステップS60)。
Next, based on the acquired setting file, the
この結果、セキュリティインシデント検知サーバ10は、利用者端末20からデータ圧縮されたログ情報211を収集する。
As a result, the security
一方、利用者端末20は、ログ収集タイミングではないと判断した場合には(ステップS30:NO)、ログ収集処理を終了する。
On the other hand, when the
なお、図6に示したログ収集処理は、企業の一の利用者端末20について説明したが、セキュリティインシデント検知サーバ10は、当該企業の対象となる全利用者端末20からログ情報211を収集する。
Although the log collection processing shown in FIG. 6 has been described for one
次に、図7を用いて、本実施の形態に係るセキュリティインシデント検知システム1のログ分析処理について説明する。図7は、ログ分析処理の流れを示すフローチャートである。ログ分析処理は、ログ収集処理が実行され、利用者端末20からログ情報を受信したことを契機に実行される。
Next, log analysis processing of the security incident detection system 1 according to the present embodiment will be described using FIG. FIG. 7 is a flowchart showing the flow of log analysis processing. The log analysis process is executed when the log collection process is executed and the log information is received from the
セキュリティインシデント検知サーバ10は、まず、受信したログ情報211を分解する(ステップS110)。これは、具体的には、データ圧縮されたログ情報211をデータ解凍にすることを意味する。
The security
次に、セキュリティインシデント検知サーバ10は、ログ情報211を分析する(ステップS120)。このログ分析は、上述したように、分析パターン112及びマスタデータ113を参照して実行される。すなわち、分析パターン112ごとにマスタデータ113を用いて対象となるログ情報211を分析し、ごとにセキュリティインシデントの発生があるのか否かを判定する(図2参照)。
Next, the security
次に、セキュリティインシデント検知サーバ10は、ログ分析の結果、セキュリティインシデント発生の疑いがあるログ情報211を分析後データ114として作成し、作成した分析後データ114を記憶部11に記憶する(ステップS130)。なお、セキュリティインシデント検知サーバ10は、記憶部11に記憶された分析後データ114から誤検知されたデータを取り除く。
Next, the security
次に、セキュリティインシデント検知サーバ10は、分析後データ114を企業単位に集計して分析レポートを作成する(ステップS140)。すなわち、利用者端末20ごとに実行されたステップS110~S130の処理を企業単位に集計したレポートデータ115を作成する。
Next, the security
次に、セキュリティインシデント検知サーバ10は、作成したレポートデータ115を記憶部11に記憶させるとともにレポートデータ115に基づく分析レポート115Pを企業の管理者に送信する(ステップS150)。具体的には、分析レポート115Pは、企業の管理者に送信される電子メールにファイルとして添付される。勿論、これ以外にも、管理者は、管理画面サイトから分析レポート115Pを閲覧することができる。
Next, the security
以上、本実施の形態のセキュリティインシデント検知システム1は、企業に設けられた利用者端末20から定期的にセキュリティインシデントに関連するログ情報211を収集し、検知するセキュリティインシデントのタイプごとに設けられた分析パターン112ごとに、分析パターン112に対応付けられたログ情報211を分析し、セキュリティインシデント発生の可能性を検知するとともに、このログ情報211の分析を企業単位に集計した分析レポート115Pを作成し、利用者端末20に出力する構成を採用する。
As described above, the security incident detection system 1 of the present embodiment periodically collects
このような構成を採用することにより、本実施の形態のセキュリティインシデント検知システム1は、高額なコストをかけず、またエンドポイントに負荷をかけることなく、さらには専門的な人材を必要としないという顕著な効果を有する。これにより、中堅企業や中小企業であっても容易に導入することができる。 By adopting such a configuration, the security incident detection system 1 of the present embodiment does not incur high costs, does not impose a load on endpoints, and does not require specialized personnel. Has a pronounced effect. As a result, even medium-sized enterprises and small and medium-sized enterprises can easily introduce the system.
より詳しくは、セキュリティインシデント検知サーバ10は、定期的にログ情報を収集し、ログ分析するので、必要なセキュリティ対策処理を軽減することができ、高額なコストを必要としない。すなわち、EISSを利用する企業は、セキュリティインシデントが発生した後の事後対処処理を少ないコストで実行することができる。
More specifically, the security
また、例えば、ユーザ操作履歴211Bなどに基づいてデータ流出や破壊などにつながるデータの動き、操作自体の動きなど行動に着目して監視をすることはできるので、人為的な内部犯行も早期に発見することができる。
In addition, for example, based on the
さらには、セキュリティインシデント検知サーバ10は、プログラムリスト(プログラム実行履歴211Aの一例)など揮発性データを定期的に収集し保持することができる。その結果、利用者端末20のデータ記録の証拠性を明らかにすることができる。
Furthermore, the security
以上、本発明の実施の形態について説明してきたが、本発明は、上述した実施の形態に限られるものではなく、本発明の要旨を逸脱しない範囲において、本発明の実施の形態に対して種々の変形や変更を施すことができ、そのような変形や変更を伴うものもまた、本発明の技術的範囲に含まれるものである。また、発明の実施の形態に記載された、作用及び効果は、本発明から生じる最も好適な作用及び効果を列挙したに過ぎず、本発明による作用及び効果は、本発明の実施の形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments, and various modifications can be made to the embodiments of the present invention without departing from the gist of the present invention. Modifications and modifications can be applied, and those involving such modifications and modifications are also included in the technical scope of the present invention. In addition, the actions and effects described in the embodiments of the invention are merely enumerations of the most suitable actions and effects resulting from the present invention, and the actions and effects of the present invention are described in the embodiments of the invention. are not limited to those listed.
1 セキュリティインシデント検知システム
2 通信ネットワーク
10 セキュリティインシデント検知サーバ
11,21 記憶部
12,24 制御部
13,25 通信部
20 利用者端末(エンドポイント)
22 入力部
23 出力部
111 ログ収集制御データ
112 分析パターン
113 マスタデータ
114 分析後データ
115 レポートデータ
115P 分析レポート
121 ログ収集制御部
122 ログ分析部
123 分析レポート作成部
211 ログ情報
212 ログ収集プログラム
241 ログ収集部
1 security
22
Claims (8)
企業ごとに、セキュリティインシデントに関連するログ情報のログ収集タイミング及び収集対象となるファイルに関するログ収集制御データを記憶するログ収集制御データ記憶部と、
前記利用者端末から前記ログ情報のログ収集問い合わせを受けると、前記ログ収集制御データを参照して前記ログ収集タイミングであるか否かの回答を前記利用者端末に送信し、前記利用者端末が、前記回答に基づいて前記ログ収集タイミングであると判断したことに伴って前記ファイルを示す設定ファイルの取得要求を送信してきたことに応答して、前記ログ収集制御データを参照して前記設定ファイルを前記利用者端末に送信することにより、前記利用者端末から前記ファイルの前記ログ情報を収集するログ情報収集部と、
前記ログ情報収集部により収集された前記ログ情報に対して、検知するセキュリティインシデントのタイプごとに設けられた分析パターンごとに、分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析部と、
前記ログ情報分析部による前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成部と、
作成した分析レポートを前記利用者端末に出力する分析レポート出力部と、
を備えるセキュリティインシデント検知装置。 A security incident detection device capable of mutual communication with a user terminal provided in a company via a communication network and detecting a security incident occurring in the user terminal,
A log collection control data storage unit that stores log collection control data related to log collection timing and files to be collected for log information related to security incidents for each company;
When a log collection inquiry for the log information is received from the user terminal, the log collection control data is referred to, and a response as to whether or not it is the log collection timing is transmitted to the user terminal. and referring to the log collection control data and referring to the setting file in response to transmitting a setting file acquisition request indicating the file in response to the fact that it is determined that it is time to collect the log based on the answer. to the user terminal to collect the log information of the file from the user terminal;
For each analysis pattern provided for each type of security incident to be detected, the log information associated with the analysis pattern is analyzed with respect to the log information collected by the log information collection unit, and the security incident is detected. a log information analysis unit that detects the possibility of
an analysis report creation unit that aggregates the analysis results of the log information by the log information analysis unit for each company and creates an analysis report;
an analysis report output unit that outputs the created analysis report to the user terminal;
security incident detection device.
前記ログ情報分析部は、前記マスタデータ記憶部に記憶されたマスタデータを参照して前記ログ情報を分析する請求項1から3のいずれか1項に記載のセキュリティインシデント検知装置。 further comprising a master data storage unit that stores data on security rules for each company and master data on publicly available malicious programs and malicious files;
The security incident detection device according to any one of claims 1 to 3, wherein the log information analysis unit analyzes the log information with reference to master data stored in the master data storage unit.
前記利用者端末は、
前記サーバ装置に対して定期的にセキュリティインシデントに関連するログ情報のログ収集問い合わせを行い、前記ログ情報を収集して送信するログ情報送信部を備え、
前記サーバ装置は、
企業ごとに、前記ログ情報のログ収集タイミング及び収集対象となるファイルに関するログ収集制御データを記憶するログ収集制御データ記憶部と、
前記利用者端末の前記ログ情報送信部から前記ログ情報のログ収集問い合わせを受けると、前記ログ収集制御データを参照して前記ログ収集タイミングであるか否かの回答を前記利用者端末に送信し、前記利用者端末の前記ログ情報送信部が、前記回答に基づいて前記ログ収集タイミングであると判断したことに伴って前記ファイルを示す設定ファイルの取得要求を送信してきたことに応答して、前記ログ収集制御データを参照して前記設定ファイルを前記利用者端末に送信することにより、前記利用者端末の前記ログ情報送信部から送信された前記ファイルの前記ログ情報を受信するログ情報受信部と、
検知するセキュリティインシデントのタイプごとに分析パターンを記憶する分析パターン記憶部と、
前記分析パターン記憶部に記憶されたそれぞれの分析パターンごとに、該分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析部と、
前記ログ情報分析部による前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成部と、
作成した分析レポートを前記利用者端末に出力する分析レポート出力部と、
を備え、
前記利用者端末は、
前記分析レポート出力部により出力された分析レポートを表示する分析レポート表示部を備えるセキュリティインシデント検知システム。 A security incident detection system comprising a user terminal provided in a company and a server device capable of communicating with the user terminal via a communication network, and detecting a security incident occurring in the user terminal. hand,
The user terminal is
a log information transmission unit that periodically inquires of the server device for log collection of log information related to security incidents, collects and transmits the log information,
The server device
a log collection control data storage unit that stores log collection control data related to the log collection timing of the log information and files to be collected for each company;
When a log collection inquiry for the log information is received from the log information transmission unit of the user terminal, the log collection control data is referred to and a response as to whether or not it is the log collection timing is transmitted to the user terminal. , in response to the fact that the log information transmission unit of the user terminal has transmitted a request to acquire a configuration file indicating the file in response to judging that it is the log collection timing based on the response, A log information receiving unit that receives the log information of the file transmitted from the log information transmitting unit of the user terminal by referring to the log collection control data and transmitting the setting file to the user terminal. and,
an analysis pattern storage unit that stores an analysis pattern for each type of security incident to be detected;
a log information analysis unit that analyzes the log information associated with each analysis pattern stored in the analysis pattern storage unit and detects the possibility of a security incident occurring;
an analysis report creation unit that aggregates the analysis results of the log information by the log information analysis unit for each company and creates an analysis report;
an analysis report output unit that outputs the created analysis report to the user terminal;
with
The user terminal is
A security incident detection system comprising an analysis report display unit that displays the analysis report output by the analysis report output unit.
前記利用者端末からセキュリティインシデントに関連するログ情報のログ収集問い合わせを受け、企業ごとに記憶してある前記ログ情報のログ収集タイミング及び収集対象となるファイルに関するログ収集制御データを参照して前記ログ収集タイミングであるか否かの回答を前記利用者端末に送信し、前記利用者端末が、前記回答に基づいて前記ログ収集タイミングであると判断したことに伴って前記ファイルを示す設定ファイルの取得要求を送信してきたことに応答して、前記ログ収集制御データを参照して前記設定ファイルを前記利用者端末に送信することにより、前記利用者端末から前記ファイルの前記ログ情報を収集するログ情報収集ステップと、
前記ログ情報収集ステップにより収集された前記ログ情報に対して、検知するセキュリティインシデントのタイプごとに設けられた分析パターンごとに、分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析ステップと、
前記ログ情報分析ステップによる前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成ステップと、
作成した分析レポートを前記利用者端末に出力する分析レポート出力ステップと、
を備えるセキュリティインシデント検知方法。 A security incident detection method for detecting a security incident occurring in a user terminal provided in a company,
Upon receipt of a log collection inquiry for log information related to a security incident from the user terminal, the log is collected by referring to the log collection timing of the log information stored for each company and the log collection control data related to the files to be collected. A reply indicating whether or not it is time to collect the logs is transmitted to the user terminal, and the user terminal acquires a setting file indicating the file when the user terminal determines that it is time to collect the logs based on the reply. log information for collecting the log information of the file from the user terminal by referring to the log collection control data and transmitting the setting file to the user terminal in response to the transmission of the request; a collecting step;
For each analysis pattern provided for each type of security incident to be detected, the log information associated with the analysis pattern is analyzed with respect to the log information collected by the log information collection step, and the security incident is detected. a log information analysis step for detecting the possibility;
an analysis report creation step of aggregating the analysis results of the log information by the log information analysis step for each company and creating an analysis report;
an analysis report output step of outputting the created analysis report to the user terminal;
A security incident detection method comprising:
前記利用者端末からセキュリティインシデントに関連するログ情報のログ収集問い合わせを受け、企業ごとに記憶してある前記ログ情報のログ収集タイミング及び収集対象となるファイルに関するログ収集制御データを参照して前記ログ収集タイミングであるか否かの回答を前記利用者端末に送信し、前記利用者端末が、前記回答に基づいて前記ログ収集タイミングであると判断したことに伴って前記ファイルを示す設定ファイルの取得要求を送信してきたことに応答して、前記ログ収集制御データを参照して前記設定ファイルを前記利用者端末に送信することにより、前記利用者端末から前記ファイルの前記ログ情報を収集するログ情報収集手順と、
前記ログ情報収集手順により収集された前記ログ情報に対して、検知するセキュリティインシデントのタイプごとに設けられた分析パターンごとに、分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析手順と、
前記ログ情報分析手順による前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成手順と、
作成した分析レポートを前記利用者端末に出力する分析レポート出力手順と、
を実行させる、プログラム。 When executed by a computer that detects a security incident that has occurred on a user terminal installed in a company, the computer:
Upon receipt of a log collection inquiry for log information related to a security incident from the user terminal, the log is collected by referring to the log collection timing of the log information stored for each company and the log collection control data related to the files to be collected. A reply indicating whether or not it is time to collect the logs is transmitted to the user terminal, and the user terminal acquires a setting file indicating the file when the user terminal determines that it is time to collect the logs based on the reply. log information for collecting the log information of the file from the user terminal by referring to the log collection control data and transmitting the setting file to the user terminal in response to the transmission of the request; a collection procedure;
For each analysis pattern provided for each type of security incident to be detected, the log information associated with the analysis pattern is analyzed with respect to the log information collected by the log information collection procedure, and the security incident occurrence is detected. a log information analysis procedure for detecting the possibility of
an analysis report creation procedure for aggregating the analysis results of the log information by the log information analysis procedure for each company and creating an analysis report;
an analysis report output procedure for outputting the created analysis report to the user terminal;
The program that causes the to run.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019023325A JP7328635B2 (en) | 2019-02-13 | 2019-02-13 | Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019023325A JP7328635B2 (en) | 2019-02-13 | 2019-02-13 | Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2020135002A JP2020135002A (en) | 2020-08-31 |
JP2020135002A5 JP2020135002A5 (en) | 2022-03-28 |
JP7328635B2 true JP7328635B2 (en) | 2023-08-17 |
Family
ID=72263286
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019023325A Active JP7328635B2 (en) | 2019-02-13 | 2019-02-13 | Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7328635B2 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006295232A (en) | 2005-04-05 | 2006-10-26 | Lac Co Ltd | Security monitoring apparatus, and security monitoring method and program |
JP2008059552A (en) | 2006-08-03 | 2008-03-13 | Quality Kk | Management system, management server, and management program |
JP2008250872A (en) | 2007-03-30 | 2008-10-16 | Quality Kk | Management system, management server and management program |
JP2009053992A (en) | 2007-08-28 | 2009-03-12 | Jiec Co Ltd | Log collection system |
JP2009098969A (en) | 2007-10-17 | 2009-05-07 | Quality Kk | System for management, management server, and management program |
JP2009098968A (en) | 2007-10-17 | 2009-05-07 | Quality Kk | Management system, management server, and management program |
-
2019
- 2019-02-13 JP JP2019023325A patent/JP7328635B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006295232A (en) | 2005-04-05 | 2006-10-26 | Lac Co Ltd | Security monitoring apparatus, and security monitoring method and program |
JP2008059552A (en) | 2006-08-03 | 2008-03-13 | Quality Kk | Management system, management server, and management program |
JP2008250872A (en) | 2007-03-30 | 2008-10-16 | Quality Kk | Management system, management server and management program |
JP2009053992A (en) | 2007-08-28 | 2009-03-12 | Jiec Co Ltd | Log collection system |
JP2009098969A (en) | 2007-10-17 | 2009-05-07 | Quality Kk | System for management, management server, and management program |
JP2009098968A (en) | 2007-10-17 | 2009-05-07 | Quality Kk | Management system, management server, and management program |
Also Published As
Publication number | Publication date |
---|---|
JP2020135002A (en) | 2020-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Dimitriadis et al. | D4I-Digital forensics framework for reviewing and investigating cyber attacks | |
US10652274B2 (en) | Identifying and responding to security incidents based on preemptive forensics | |
US11153341B1 (en) | System and method for detecting malicious network content using virtual environment components | |
EP2754081B1 (en) | Dynamic cleaning for malware using cloud technology | |
US11381578B1 (en) | Network-based binary file extraction and analysis for malware detection | |
Oberheide et al. | CloudAV: N-Version Antivirus in the Network Cloud. | |
JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
JP5440973B2 (en) | Computer inspection system and computer inspection method | |
US20130067576A1 (en) | Restoration of file damage caused by malware | |
JP2016503936A (en) | System and method for identifying and reporting application and file vulnerabilities | |
KR100992434B1 (en) | Method for Detecting the file with fraud name and apparatus thereof | |
US20100154061A1 (en) | System and method for identifying malicious activities through non-logged-in host usage | |
US20210194915A1 (en) | Identification of potential network vulnerability and security responses in light of real-time network risk assessment | |
CN116860489A (en) | System and method for threat risk scoring of security threats | |
US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
Ganame et al. | Network behavioral analysis for zero-day malware detection–a case study | |
US20080295153A1 (en) | System and method for detection and communication of computer infection status in a networked environment | |
US9069964B2 (en) | Identification of malicious activities through non-logged-in host usage | |
US10616245B2 (en) | Real-time remediation respective of security incidents | |
Kumar et al. | Malware in pirated software: Case study of malware encounters in personal computers | |
JP7328635B2 (en) | Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program | |
JP2006295232A (en) | Security monitoring apparatus, and security monitoring method and program | |
Teeraratchakarn et al. | Automated monitoring and behavior analysis for proactive security operations | |
US20220083646A1 (en) | Context Based Authorized External Device Copy Detection | |
WO2015178002A1 (en) | Information processing device, information processing system, and communication history analysis method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220208 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20220225 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220303 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20220329 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221214 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230124 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230324 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230711 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230726 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7328635 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |