JP7328635B2 - Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program - Google Patents

Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program Download PDF

Info

Publication number
JP7328635B2
JP7328635B2 JP2019023325A JP2019023325A JP7328635B2 JP 7328635 B2 JP7328635 B2 JP 7328635B2 JP 2019023325 A JP2019023325 A JP 2019023325A JP 2019023325 A JP2019023325 A JP 2019023325A JP 7328635 B2 JP7328635 B2 JP 7328635B2
Authority
JP
Japan
Prior art keywords
log information
user terminal
log
analysis
security incident
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019023325A
Other languages
Japanese (ja)
Other versions
JP2020135002A5 (en
JP2020135002A (en
Inventor
智明 栗田
Original Assignee
株式会社セキュアイノベーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社セキュアイノベーション filed Critical 株式会社セキュアイノベーション
Priority to JP2019023325A priority Critical patent/JP7328635B2/en
Publication of JP2020135002A publication Critical patent/JP2020135002A/en
Publication of JP2020135002A5 publication Critical patent/JP2020135002A5/en
Application granted granted Critical
Publication of JP7328635B2 publication Critical patent/JP7328635B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、エンドポイントにおいてセキュリティインシデントの被害を防ぐ技術に関し、特に、エンドポイントにおいてセキュリティインシデントが発生した後の事後対処を支援するセキュリティインシデント検知装置、セキュリティインシデント検知システム及びセキュリティインシデント検知方法に関する。 TECHNICAL FIELD The present invention relates to technology for preventing damage from security incidents at endpoints, and more particularly to a security incident detection device, a security incident detection system, and a security incident detection method that support post-incident measures after a security incident has occurred at an endpoint.

従来、エンドポイントにおいてセキュリティインシデントを発生させるマルウェアの検知は、マルウェア検体をもとにシグネチャ(例えば、コンピュータウイルスなどに含まれる特徴的なデータ断片や、攻撃者のアクセスに特徴的な受信データのパターンなど)を作成して防御する機能を中心に発展してきた。ここで、マルウェアとは、利用者やコンピュータに害を成す不正な動作を行うソフトウェアの総称をいい、セキュリティインシデントとは、事業運営に影響を与えたり、情報セキュリティを脅かしたりする事件や事故のことをいう。 Conventionally, the detection of malware that causes security incidents at endpoints is based on signatures (e.g., characteristic data fragments included in computer viruses, etc., and received data patterns characteristic of attackers' access) based on malware specimens. etc.) has been developed around the ability to create and defend against Here, malware is a general term for software that behaves maliciously and harms users and computers, and security incidents are incidents and accidents that affect business operations and threaten information security. Say.

しかしながら、昨今のマルウェアに関しては、標的型攻撃や多種多様な亜種を簡単に作成できるツールなどが存在することにより、マルウェア検体自体の効果は薄れてきている状況にある。 However, with regard to recent malware, the effectiveness of malware samples themselves is waning due to the existence of targeted attacks and tools that can easily create a wide variety of subspecies.

そのため、情報セキュリティ業界においては、マルウェア等のセキュリティ被害を100%完璧に防御することは出来ないことが常識になっており、この防御を破られマルウェア被害に遭ってしてしまうことを前提にした「事後対処」が非常に重要である、という考えが急速に加速している。 Therefore, in the information security industry, it is common knowledge that it is impossible to completely protect against security damage such as malware. The idea that “reacting after the fact” is very important is accelerating rapidly.

この点、エンドポイントセキュリティ製品の中で昨今注目を集めているのは、マルウェアによる感染後の調査・復旧・対策を支援する「EDR」(Endpoint Detection abd Response)や機密情報の紛失・漏洩を防ぐ「DLP」(Data Loss Prevention)といったセキュリティインシデントの事後対処を支援する製品である。 In this regard, endpoint security products that have recently been attracting attention are endpoint detection abd response (EDR), which supports investigation, recovery, and countermeasures after infection by malware, and prevention of loss and leakage of confidential information. It is a product that supports post-event handling of security incidents such as "DLP" (Data Loss Prevention).

例えば、非特許文献1には、EDRに関する製品が開示されており、非特許文献2には、DLPに関する製品が開示されている。 For example, Non-Patent Document 1 discloses a product related to EDR, and Non-Patent Document 2 discloses a product related to DLP.

サイバーリーズン・ジャパン 株式会社、“Cybereason EDR”、[online]、[平成31年1月15日検索]、インターネット<URL:https://www.cybereason.co.jp/products/edr/>Cybereason Japan Co., Ltd., “Cybereason EDR”, [online], [searched on January 15, 2019], Internet <URL: https://www.cybereason.co.jp/products/edr/> マカフィー株式会社、“McAfee DLP Endpoint”、[online]、[平成31年1月15日検索]、インターネット<URL: https://www.mcafee.com/enterprise/ja-jp/products/dlp-endpoint.html>McAfee, Inc., “McAfee DLP Endpoint”, [online], [searched on January 15, 2019], Internet <URL: https://www.mcafee.com/enterprise/ja-jp/products/dlp-endpoint .html>

しかしながら、従来のEDRやDLPに関する製品は、高額な製品であり、大企業を中心に導入が進んでいた。また、従来のEDRやDLPに関する製品は、リアルタイムでセキュリティインシデントに対する処理を実行する必要があり、また、常時データを収集・保管するデータ保存領域を確保する必要があることから、エンドポイントやネットワークの負荷を高めてしまうという問題があった。また、製品導入後の運用においても、専門性の高い人材の配置が必要となるという問題があった。 However, conventional products related to EDR and DLP are expensive products and have been introduced mainly by large companies. In addition, conventional EDR and DLP products are required to process security incidents in real time and to secure data storage areas for collecting and storing data at all times. There was a problem of increasing the load. In addition, there is a problem that it is necessary to allocate highly specialized human resources for the operation after the introduction of the product.

その結果、中堅企業や中小企業においては、EDRやDLPといったセキュリティインシデントの事後対処を支援する製品を導入することが困難であるという状況があった。 As a result, it has been difficult for medium-sized companies and small and medium-sized enterprises to introduce products such as EDR and DLP that support post-incident handling of security incidents.

本発明は上記の事情を鑑みてなされたものであり、高額なコストをかけず、またエンドポイントに負荷をかけることなく、さらには専門的な人材を必要とすることなく、中堅企業や中小企業であっても容易に導入することができるエンドポイントに対するセキュリティインシデント検知装置、セキュリティインシデント検知システム及びセキュリティインシデント検知方法を提供することを目的とする。 The present invention has been made in view of the above circumstances, and can be used by medium-sized companies and small and medium-sized enterprises without incurring high costs, without imposing a load on endpoints, and without requiring specialized human resources. It is an object of the present invention to provide a security incident detection device, a security incident detection system, and a security incident detection method for endpoints that can be easily introduced even if the

上記目的を達成するため、本発明に係るセキィリティインシデント検知装置は、その一態様として、通信ネットワークを介して、企業に設けられた利用者端末と相互に通信可能であり、前記利用者端末に発生したセキュリティインシデントを検知するセキィリティインシデント検知装置であって、前記利用者端末から定期的にセキュリティインシデントに関連するログ情報を収集するログ情報収集部と、前記ログ情報収集部により収集された前記ログ情報に対して、検知するセキュリティインシデントのタイプごとに設けられた分析パターンごとに、分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析部と、前記ログ情報分析部による前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成部と、作成した分析レポートを前記利用者端末に出力する分析レポート出力部と、を備える。 In order to achieve the above object, a security incident detection device according to the present invention, as one aspect thereof, is capable of mutual communication with a user terminal provided in a company via a communication network. a security incident detection device for detecting a security incident that has occurred, comprising: a log information collecting unit for periodically collecting log information related to the security incident from the user terminal; and the log information collected by the log information collecting unit. for each analysis pattern provided for each type of security incident to be detected, a log information analysis unit that analyzes the log information associated with the analysis pattern and detects the possibility of a security incident occurring; An analysis report creation unit that aggregates analysis results of the log information by the log information analysis unit for each company and creates an analysis report, and an analysis report output unit that outputs the created analysis report to the user terminal.

また、本発明に係るセキィリティインシデント検知システムは、その一態様として、企業に設けられた利用者端末と、前記利用者端末と通信ネットワークを介して相互に通信可能なサーバ装置と、を備え、前記利用者端末に発生したセキュリティインシデントを検知するセキュリティインシデント検知システムであって、前記利用者端末は、定期的にセキュリティインシデントに関連するログ情報を収集して送信するログ情報送信部を備え、前記サーバ装置は、前記ログ情報送信部から送信された前記ログ情報を受信するログ情報受信部と、検知するセキュリティインシデントのタイプごとに分析パターンを記憶する分析パターン記憶部と、前記分析パターン記憶部に記憶されたそれぞれの分析パターンごとに、該分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析部と、前記ログ情報分析部による前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成部と、作成した分析レポートを前記利用者端末に出力する分析レポート出力部と、を備え、前記利用者端末は、前記分析レポート出力部により出力された分析レポートを表示する分析レポート表示部を備える。 Further, a security incident detection system according to the present invention comprises, as one aspect thereof, a user terminal provided in a company, and a server device capable of mutually communicating with the user terminal via a communication network, A security incident detection system for detecting a security incident that has occurred in a user terminal, wherein the user terminal includes a log information transmission unit that periodically collects and transmits log information related to the security incident, and the server The apparatus includes a log information receiving unit that receives the log information transmitted from the log information transmitting unit, an analysis pattern storage unit that stores an analysis pattern for each type of security incident to be detected, and storage in the analysis pattern storage unit. a log information analysis unit that analyzes the log information associated with the analysis pattern for each analysis pattern and detects the possibility of occurrence of a security incident; and analysis of the log information by the log information analysis unit. an analysis report creation unit that aggregates results for each company and creates an analysis report; and an analysis report output unit that outputs the created analysis report to the user terminal, wherein the user terminal outputs the analysis report. an analysis report display unit for displaying the analysis report output by the unit;

また、本発明に係るセキィリティインシデント検知方法は、その一態様として、企業に設けられた利用者端末に発生したセキュリティインシデントを検知するセキュリティインシデント検知方法であって、前記利用者端末から定期的にセキュリティインシデントに関連するログ情報を収集するログ情報収集ステップと、前記ログ情報収集ステップにより収集された前記ログ情報に対して、検知するセキュリティインシデントのタイプごとに設けられた分析パターンごとに、分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析ステップと、前記ログ情報分析ステップによる前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成ステップと、作成した分析レポートを前記利用者端末に出力する分析レポート出力ステップと、を備える。 Further, a security incident detection method according to the present invention, as one aspect thereof, is a security incident detection method for detecting a security incident that has occurred in a user terminal provided in a company, wherein a security incident is periodically detected from the user terminal. a log information collection step for collecting log information related to an incident; and for each analysis pattern provided for each type of security incident to be detected, for the log information collected by the log information collection step. A log information analysis step of analyzing the associated log information and detecting the possibility of occurrence of a security incident, and aggregating the analysis results of the log information by the log information analysis step for each company and creating an analysis report. It comprises an analysis report creation step and an analysis report output step of outputting the created analysis report to the user terminal.

本発明によれば、高額なコストをかけず、またエンドポイントに負荷をかけることなく、さらには専門的な人材を必要としない。これにより、中堅企業や中小企業であっても容易に導入することができる。 The present invention does not incur high costs, does not burden endpoints, and does not require specialized personnel. As a result, even medium-sized enterprises and small and medium-sized enterprises can easily introduce the system.

本発明の実施の形態に係るセキュリティインシデント検知システムの概略構成図である。1 is a schematic configuration diagram of a security incident detection system according to an embodiment of the present invention; FIG. 本発明の実施の形態に係るセキュリティインシデント検知システムにおけるログ分析を説明する概要図である。FIG. 2 is a schematic diagram explaining log analysis in the security incident detection system according to the embodiment of the present invention; 本発明の実施の形態に係るセキュリティインシデント検知サーバの概略構成図である。1 is a schematic configuration diagram of a security incident detection server according to an embodiment of the present invention; FIG. 本発明の実施の形態に係る分析レポートの一例を示す図である。It is a figure which shows an example of the analysis report based on embodiment of this invention. 本発明の実施の形態に係る利用者端末の概略構成図である。1 is a schematic configuration diagram of a user terminal according to an embodiment of the present invention; FIG. 本発明の実施の形態に係るログ収集処理の流れを示すフローチャートである。4 is a flow chart showing the flow of log collection processing according to the embodiment of the present invention; 本発明の実施の形態に係るログ分析処理の流れを示すフローチャートである。4 is a flow chart showing the flow of log analysis processing according to the embodiment of the present invention;

以下、本発明の実施の形態について図面を用いて説明する。 BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings.

<セキュリティインシデント検知システムの構成>
図1は、本発明の実施の形態に係るセキュリティインシデント検知システム1の概略構成図である。セキュリティインシデント検知システム1は、企業のエンドポイント20に発生したセキュリティインシデントを検知するサービス(以下、Endpoint Incident Scanning Service;以下、EISSという)を提供するコンピュータシステムである。エンドポイント20とは、通信ネットワークに接続されたサーバ、パーソナルコンピュータ(以下、PCと略す)、スマートフォンなどの携帯情報端末を意味するが、本実施の形態では、エンドポイント20を、EISSを利用する企業に設置されたPCとして説明する。また、エンドポイント20を利用者端末20と表記する。 <Security incident detection system configuration>
FIG. 1 is a schematic configuration diagram of a security incident detection system 1 according to an embodiment of the present invention. The security incident detection system 1 is a computer system that provides a service for detecting security incidents that have occurred at endpoints 20 of a company (hereinafter referred to as Endpoint Incident Scanning Service; hereinafter referred to as EISS). The endpoint 20 means a server connected to a communication network, a personal computer (hereinafter abbreviated as PC), and a mobile information terminal such as a smartphone. A PC installed in a company will be described. Also, the endpoint 20 is described as a user terminal 20 .

セキュリティインシデント検知システム1は、セキュリティインシデント検知サーバ10と、企業の1又は複数の利用者端末20と、セキュリティインシデント検知サーバ10と利用者端末20をそれぞれ相互に通信可能とする、例えば、インターネット網、公衆網、LAN(Local Area Network)などの構内網、などからなる通信ネットワーク2、とを備えて構成されている。このような構成の下、セキュリティインシデント検知サーバ10は、企業の利用者端末20から定期的に送信されるログ情報211を分析して、企業単位に分析レポート115Pを作成し、作成した分析レポート115Pを企業に送信するようにしている。EISSを利用する企業はこの分析レポート115Pを見ることにより、企業の利用者端末20においてセキュリティインシデントが発生しているか否かを把握することができる。 The security incident detection system 1 enables the security incident detection server 10, one or more user terminals 20 of a company, and the security incident detection server 10 and the user terminals 20 to communicate with each other. A communication network 2 including a public network, a private network such as a LAN (Local Area Network), and the like. Under such a configuration, the security incident detection server 10 analyzes the log information 211 periodically transmitted from the user terminal 20 of the company, creates an analysis report 115P for each company, and creates the analysis report 115P. is sent to companies. By viewing this analysis report 115P, a company using EISS can grasp whether or not a security incident has occurred in the user terminal 20 of the company.

このように、本実施の形態に係るセキュリティインシデント検知システム1では、企業に備えた利用者端末20側でデータ収集、分析及び結果出力という一連のリアルタイム処理を行うのではなく、利用者端末20側では対象となるログ情報を定期的に収集して送信するだけであり、セキュリティインシデント検知サーバ10側でログ情報の分析及び結果出力を行うようにしている。そのため、企業側にコストや処理負荷をかけることなく、また、専門性の高い人材を配置する必要もないという効果を有している。つまり、EISSは、エンドポイントにおいてセキュリティインシデントが発生した後の事後対処を支援するサービスとして、中堅企業や中小企業であっても容易に導入することができるサービスとなっている。 As described above, in the security incident detection system 1 according to the present embodiment, instead of performing a series of real-time processing such as data collection, analysis, and result output on the user terminal 20 side provided in the company, the user terminal 20 side However, the security incident detection server 10 only periodically collects and transmits target log information, and analyzes the log information and outputs the results. Therefore, there is an effect that there is no cost or processing load on the company side, and there is no need to allocate highly specialized personnel. In other words, EISS is a service that can be easily introduced even by small and medium-sized enterprises as a service that supports post-incident measures after a security incident occurs at an endpoint.

図2は、セキュリティインシデント検知システム1において実行されるログ分析の概要を説明する図である。 FIG. 2 is a diagram explaining an overview of log analysis performed in the security incident detection system 1. As shown in FIG.

本実施の形態に係るセキュリティインシデント検知システム1のログ分析を説明する前に、まず、本実施の形態に係るログ情報について説明する。 Before explaining the log analysis of the security incident detection system 1 according to this embodiment, first, log information according to this embodiment will be explained.

本実施の形態に係るログ情報211は、プログラム実行履歴211Aと、ユーザ操作履歴211Bと、システム情報211Cと、に大別される。プログラム実行履歴211Aは、利用者端末20で実行されたプログラムの履歴に関する情報である。例えば、プロセスリスト(システムの裏(バックエンド)で実行されるプログラムの一覧情報)などが該当する。ユーザ操作履歴211Bは、利用者の利用者端末20に対する操作の履歴に関する情報である。例えば、USB接続デバイスリスト(利用者端末20に接続されたUSBデバイスの一覧情報)やネットワーク接続履歴リスト(利用者端末20がどのネットワークに接続されたかの一覧情報)などである。システム情報211Cは、利用者端末20のその時点のシステム状況に関する情報である。例えば、プログラムハッシュリスト(特定ディレクトリに存在するプログラムのハッシュ情報一覧)などである。 The log information 211 according to this embodiment is roughly divided into program execution history 211A, user operation history 211B, and system information 211C. The program execution history 211A is information related to the history of programs executed on the user terminal 20 . For example, a process list (list information of programs executed behind the system (backend)) is applicable. The user operation history 211B is information about the history of operations on the user terminal 20 by the user. For example, there is a USB connection device list (list information of USB devices connected to the user terminal 20) and a network connection history list (list information of which network the user terminal 20 is connected to). The system information 211C is information about the current system status of the user terminal 20 . For example, it is a program hash list (a list of hash information of programs existing in a specific directory).

本実施の形態では、このようなログ情報211が利用者端末20から定期的にセキュリティインシデント検知サーバ10にアップロードされてくる。 In this embodiment, such log information 211 is periodically uploaded from the user terminal 20 to the security incident detection server 10 .

セキュリティインシデント検知サーバ10は、このようなログ情報211のそれぞれを、セキュリティインシデント検知サーバ10が備える分析パターン112、及びマスタデータ113を参照して、ログ分析を行う。ログ分析の結果、セキュリティインシデント発生の可能性があると判断された場合には、後述する分析後データ114として記録する。 The security incident detection server 10 performs log analysis on each piece of log information 211 by referring to the analysis pattern 112 and the master data 113 provided in the security incident detection server 10 . As a result of log analysis, when it is determined that there is a possibility of occurrence of a security incident, it is recorded as post-analysis data 114, which will be described later.

ここで、分析パターン112は、セキュリティインシデントを検知するための条件に関するロジックデータである。例えば、プロセスリストをログ分析する場合には、予め用意した不正なプロセスに関する分析パターン112を参照して、当該プロセスリストのプロセスが不正であるか否かを検知する。なお、本実施の形態の分析パターン112は、データとして保持されるようにしているが、ロジックとしてプログラムに組み込まれるようにしてもよい。 Here, the analysis pattern 112 is logic data regarding conditions for detecting security incidents. For example, when log-analyzing a process list, an analysis pattern 112 related to an unauthorized process prepared in advance is referenced to detect whether or not the process in the process list is unauthorized. Although the analysis pattern 112 of this embodiment is held as data, it may be incorporated into a program as logic.

また、マスタデータ113は、企業ごとのセキュリティルールに関するデータや公開されている不正プログラムや不正ファイルに関するデータである。例えば、企業ごとのセキュリティのルールに関するデータとしては、USB利用可否やWifi利用可否に関するデータなどが挙げられる。例えば、上述のUSB接続デバイスリストやネットワーク接続履歴リストのログ分析においては、これらの企業ごとのマスタデータ113も参照して行われる。 The master data 113 is data related to security rules for each company and data related to publicly available malicious programs and files. For example, the data regarding the security rules for each company include data regarding whether or not USB can be used and whether or not Wifi can be used. For example, in log analysis of the USB connection device list and the network connection history list described above, the master data 113 for each company is also referred to.

図2においては、例えば、プログラム実行履歴211AのA1というログ情報は分析パターン1を用いてログ分析をし、ユーザ操作履歴211BのB1というログ情報は分析パターン3及びマスタデータ1を用いてログ分析をする。このようにログ情報211と分析パターン112及びマスタデータ113との関係は1対1の対応関係ではなく、N対Nの対応関係となっている。実際には、それぞれの分析パターンに112に合わせて、対応付けられたログ情報211をログ分析する。その際、マスタデータ113が必要な場合には、マスタデータ113も参照してログ分析を行う。 In FIG. 2, for example, the log information A1 in the program execution history 211A is analyzed using analysis pattern 1, and the log information B1 in the user operation history 211B is analyzed using analysis pattern 3 and master data 1. do. In this way, the relationship between the log information 211, the analysis pattern 112, and the master data 113 is not a one-to-one correspondence, but an N-to-N correspondence. In practice, log analysis is performed on the associated log information 211 according to each analysis pattern 112 . At that time, when the master data 113 is required, the master data 113 is also referred to for log analysis.

図3は、セキュリティインシデント検知サーバ10の機能構成図である。セキュリティインシデント検知サーバ10は、セキュリティインシデント検知システム1の中核となるサーバ装置である。 FIG. 3 is a functional configuration diagram of the security incident detection server 10. As shown in FIG. The security incident detection server 10 is a core server device of the security incident detection system 1 .

セキュリティインシデント検知サーバ10は、図3に示すように、例えば、ハードディスク等から構成され、セキュリティインシデント検知サーバ10が管理するデータを記憶する記憶部11と、例えば、CPU及びメモリ等から構成され、記憶部11の制御や、各種データの転送、種々の演算、データの一時的な格納等を行うことにより、本実施の形態の後述する各種処理(ログ収集処理、ログ分析処理)を実行する制御部12と、通信ネットワーク2を介して利用者端末20とデータの送受信を行う通信部13と、を備えている。 As shown in FIG. 3, the security incident detection server 10 is composed of, for example, a hard disk, etc., and is composed of a storage unit 11 for storing data managed by the security incident detection server 10, and, for example, a CPU and memory. A control unit that executes various processes (log collection process, log analysis process) described later in this embodiment by controlling the unit 11, transferring various data, performing various calculations, temporarily storing data, etc. 12 and a communication unit 13 that transmits and receives data to and from the user terminal 20 via the communication network 2 .

記憶部11は、詳しくは、ログ収集制御データ111、分析パターン112、マスタデータ113、分析後データ114、及びレポートデータ115を記憶する。 More specifically, the storage unit 11 stores log collection control data 111 , analysis patterns 112 , master data 113 , post-analysis data 114 , and report data 115 .

ログ収集制御データ111は、ログ取集を制御するマスタデータであり、企業単位に設定される。例えば、ログ収集のタイミング、ログ収集の対象となるファイル(設定ファイルともいう)などに関するデータが設定されている。 The log collection control data 111 is master data for controlling log collection, and is set for each company. For example, data relating to the timing of log collection, files to be collected as logs (also referred to as configuration files), and the like are set.

分析パターン112及びマスタデータ113は、ログ分析において参照されるデータであり、図2で説明した通りである。 The analysis pattern 112 and the master data 113 are data referred to in log analysis, and are as described with reference to FIG.

分析後データ114は、セキュリティインシデント検知サーバ10のログ分析によりセキュリティインシデント発生の疑いありと判断されたデータである。分析後データ114は、ログ分析単位で作成される。 The post-analysis data 114 is data determined to be suspected of a security incident by log analysis of the security incident detection server 10 . The post-analysis data 114 is created in units of log analysis.

レポートデータ115は、企業に送信される分析レポート115Pのデータであり、本実施の形態では、企業の利用者(管理者)は、メール又はWeb上の管理画面サイトで分析レポート115Pを見ることが可能となっている。 The report data 115 is the data of the analysis report 115P sent to the company. In this embodiment, the user (administrator) of the company can view the analysis report 115P by email or on the management screen site on the Web. It is possible.

図4に分析レポート115Pの一例を示す。図4(a)は、企業全体における分析結果概要を示す図であり、分析対象期間、契約内容、分析端末情報、及び分析結果概要を示している。図7(a)に示す分析レポートで115Pは、13台の利用者端末20のうち1台に情報詐取のおそれがある旨が報告されている。図4(b)は、分析結果詳細を示す図であり、利用者端末20ごとの検知内容を示している。検知内容としては、図4(b)に示すように、利用者端末20にセキュリティインシデントのおそれがない場合には「情報搾取の痕跡はみられませんでした」、利用者端末20にセキュリティインシデントのおそれがある場合には「情報搾取の恐れがあります」などのメッセージを出力する。 FIG. 4 shows an example of the analysis report 115P. FIG. 4(a) is a diagram showing an overview of analysis results for the entire company, and shows an analysis target period, contract details, analysis terminal information, and an overview of analysis results. In the analysis report shown in FIG. 7(a), 115P reports that one of the 13 user terminals 20 is likely to steal information. FIG. 4(b) is a diagram showing the details of the analysis result, showing detection contents for each user terminal 20. As shown in FIG. As shown in FIG. 4(b), when there is no risk of a security incident on the user terminal 20, the content of the detection is "No evidence of information exploitation was found." If there is a risk, a message such as "There is a risk of information exploitation" is output.

企業の利用者(管理者)は、この分析レポート115Pの結果に基づいて、以後対策を講ずる。例えば、セキュリティインシデントのおそれがある利用者端末20に対してウィルス対策ソフトを使って駆除したり、EISSを提供するサービス事業者に連絡をし、以後の具体的な解決方法を求めたりする。本実施の形態のセキュリティインシデント検知システム1は、セキュリティインシデントの検知に特化しており、その解決まで対応しているシステムではないからである。 The user (administrator) of the company takes countermeasures based on the results of this analysis report 115P. For example, the user terminal 20 that may cause a security incident is exterminated using anti-virus software, or the service provider that provides EISS is contacted to request a specific solution thereafter. This is because the security incident detection system 1 of the present embodiment specializes in detecting security incidents, and is not a system that deals with the resolution of security incidents.

制御部12は、主たる機能に細分化すると、ログ収集制御部121、ログ分析部122、及び分析レシート作成部123に分類される。 The control unit 12 is classified into a log collection control unit 121 , a log analysis unit 122 , and an analyzed receipt creation unit 123 when subdivided into main functions.

ログ収集制御部121は、後述するログ収集処理におけるセキュリティインシデント検知サーバ10側の処理を実行する。例えば、利用者端末20からログ収集の問い合わせがあった場合には、ログ収集制御データ111を参照して今がログ収集のタイミングであるか否かを伝え、また、ログ収集する対象のファイルを示す設定ファイルの取得要求があった場合には、ログ収集設定データ111を参照して設定ファイルを送信する。 The log collection control unit 121 executes processing on the security incident detection server 10 side in log collection processing, which will be described later. For example, when there is an inquiry about log collection from the user terminal 20, the user refers to the log collection control data 111 and informs whether or not it is time to collect the log, and also selects the file to be collected as the log. When there is an acquisition request for the setting file shown, the log collection setting data 111 is referred to and the setting file is transmitted.

ログ分析部122は、後述するログ分析処理を実行し、利用者端末20から送信されたログ情報を解析し、分析後データ114を記憶部11に登録する。 The log analysis unit 122 executes log analysis processing, which will be described later, analyzes the log information transmitted from the user terminal 20 , and registers post-analysis data 114 in the storage unit 11 .

なお、分析後データ114は、セキュリティインシデント発生の疑いありと判断されたデータであり、誤検知されたデータも含まれるため、このようなデータは分析後データ114から取り除く。例えば、システム情報211Cの一例として挙げた、プログラムハッシュリスト(特定ディレクトリに存在するプログラムのハッシュ情報一覧)に対しては、tempフォルダ内にあるEXEファイルの存在を検知する分析パターン112を用いてログ分析を行うが、tempフォルダ内にあるEXEファイルのすべてがマルウェアの疑いありというわけではないので、セキィリティインシデントに関連しないファイルは除外する。 Note that the post-analysis data 114 is data determined to be suspected of causing a security incident, and includes misdetected data, so such data is removed from the post-analysis data 114 . For example, for the program hash list (a list of hash information of programs existing in a specific directory), which is given as an example of the system information 211C, log Analyze, but exclude files not related to security incidents, as not all EXE files in the temp folder are suspect malware.

分析レシート作成部123は、ログ分析部122が作成した分析後データ114に基づいて企業ごとのレポートデータ115を作成する。また、作成したレポートデータ115に基づく分析レポート115Pを企業の管理者に送信する。 The analyzed receipt creation unit 123 creates report data 115 for each company based on the post-analysis data 114 created by the log analysis unit 122 . Also, an analysis report 115P based on the created report data 115 is sent to the company administrator.

なお、セキュリティインシデント検知サーバ10は、上述したようなアプリケーションサーバ、データベースサーバ、及びWeb(World Wide Web)サーバとしての機能を有しており、利用者端末20とアプリケーションやWebを活用した情報授受ができるようになっている。さらに、セキュリティインシデント検知サーバ10は、物理的に一つからなる装置の他、複数の装置がネットワーク接続されたシステムから構成されてもよく、複数の装置で構成された場合には、同一の場所にすべてが設置されていてもよいし、複数の場所に分散して設置されていてもよい。 The security incident detection server 10 has functions as an application server, database server, and Web (World Wide Web) server as described above, and exchanges information with the user terminal 20 using applications and the Web. It is possible. Furthermore, the security incident detection server 10 may consist of a single physical device, or may consist of a system in which a plurality of devices are connected to a network. may be installed in one location, or may be installed in a plurality of locations.

図5は、利用者端末20の機能構成図である。利用者端末20は、図5に示すように、例えば、ハードディスク等から構成され、プログラムや各種データを記憶する記憶部21と、例えば、キーボードやマウスなどで構成される入力部22、例えば、液晶ディスプレイやスピーカなどで構成される出力部23と、例えば、CPU及びメモリ等から構成され、記憶部21の制御や、各種データの転送、種々の演算、データの一時的な格納等を行うことにより、本実施の形態の後述するログ取集処理を実行する制御部24と、通信ネットワーク2を介してセキュリティインシデント検知サーバ10とデータの送受信を行う通信部25と、を具備する構成である。 FIG. 5 is a functional configuration diagram of the user terminal 20. As shown in FIG. As shown in FIG. 5, the user terminal 20 includes, for example, a hard disk, a storage unit 21 that stores programs and various data, and an input unit 22 that includes, for example, a keyboard and a mouse. An output unit 23 composed of a display, a speaker, etc., and, for example, a CPU, a memory, etc., which controls the storage unit 21, transfers various data, performs various calculations, temporarily stores data, etc. , a control unit 24 that executes log collection processing described later in this embodiment, and a communication unit 25 that transmits and receives data to and from the security incident detection server 10 via the communication network 2 .

記憶部21は、収集対象であるログ情報211、ログ取集プログラム212などを記憶している。ログ取集プログラム212は、EISSを利用する企業の各利用者端末20にインストールされるアプリケーションプログラムである。利用者端末20は、このログ取集プログラム212に基づいてセキュリティインシデント検知サーバ10にアクセスすることにより、ログ収集に関する情報、例えば、ログ収集のタイミングやログ収集の対象ファイルなどの情報を取得する。 The storage unit 21 stores log information 211 to be collected, a log collection program 212, and the like. The log collection program 212 is an application program installed in each user terminal 20 of a company that uses EISS. The user terminal 20 accesses the security incident detection server 10 based on the log collection program 212 to obtain information related to log collection, such as log collection timing and log collection target files.

制御部24は、セキュリティインシデント検知システム1の機能として、利用者端末20のログ情報を定期的に収集するログ収集部241を有する。なお、管理者の利用者端末20の制御部24には、ログ収集部241のほか、セキュリティインシデント検知サーバ10が作成した分析レポートを閲覧するレポート閲覧部242(図示せず)を有する。このレポート閲覧部242の機能により、企業の管理者は、利用者端末20において分析レポート115Pを閲覧することが可能である。 As a function of the security incident detection system 1 , the control unit 24 has a log collection unit 241 that periodically collects log information of the user terminal 20 . Note that the control unit 24 of the user terminal 20 of the administrator has, in addition to the log collection unit 241 , a report browsing unit 242 (not shown) for browsing analysis reports created by the security incident detection server 10 . The function of this report browsing unit 242 enables the administrator of the company to browse the analysis report 115P on the user terminal 20. FIG.

なお、本実施の形態に係るセキュリティインシデント検知システム1の各種処理(ログ収集処理、ログ分析処理)を実行するプログラムは、上述したメモリなどの主記憶装置やハードディスクなどの補助記憶装置に格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disc)、BD(Blu-ray Disc(登録商標))などのコンピュータが読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。 A program for executing various processes (log collection process, log analysis process) of the security incident detection system 1 according to the present embodiment is stored in a main storage device such as the above-described memory or an auxiliary storage device such as a hard disk. There is. This program can be recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD (Compact Disc), a DVD (Digital Versatile Disc), and a BD (Blu-ray Disc (registered trademark)). Delivery via a communication network is also possible.

<セキュリティインシデント検知システムの動作>
次に、図6及び図7を用いて、本実施の形態に係るセキュリティインシデント検知システム1の動作について説明する。 <Operation of security incident detection system>
Next, the operation of the security incident detection system 1 according to this embodiment will be described with reference to FIGS. 6 and 7. FIG.

まず、図6を用いて、本実施の形態に係るセキュリティインシデント検知システム1のログ収集処理について説明する。図6は、ログ収集処理の流れを示すフローチャートである。 First, log collection processing of the security incident detection system 1 according to the present embodiment will be described with reference to FIG. FIG. 6 is a flowchart showing the flow of log collection processing.

なお、図6に示したログ収集処理のうち、ステップS20~ステップS60の利用者端末20側の処理は、ログ収集プログラム212に基づくログ収集部241の機能による。一方、図6に示したログ収集処理のうち、セキュリティインシデント検知サーバ10側の処理は、ログ収集制御部121の機能による。 Note that, among the log collection processing shown in FIG. 6, the processing on the user terminal 20 side in steps S20 to S60 is performed by the function of the log collection unit 241 based on the log collection program 212. FIG. On the other hand, among the log collection processing shown in FIG.

企業の利用者は利用者端末20を起動すると(ステップS10)、利用者端末20は、ログ収集問い合わせをセキュリティインシデント検知サーバ10に送信する(ステップS20)。 When the corporate user activates the user terminal 20 (step S10), the user terminal 20 transmits a log collection inquiry to the security incident detection server 10 (step S20).

セキュリティインシデント検知サーバ10は、ログ収集問い合わせを受信すると、問い合わせをした企業のログ収集制御データ111を参照して、ログ収集タイミングか否かの回答を利用者端末20に送信する。 Upon receiving the log collection inquiry, the security incident detection server 10 refers to the log collection control data 111 of the inquiring company and transmits to the user terminal 20 a response as to whether or not it is time to collect the log.

利用者端末20は、ログ収集タイミングに関する回答を受信すると、受信した回答に基づいてログ収集タイミングであるか否かを判断する(ステップS30)。 When the user terminal 20 receives the response regarding the log collection timing, it determines whether or not it is the log collection timing based on the received response (step S30).

利用者端末20は、ログ収集タイミングであると判断した場合には(ステップS30:YES)、設定ファイルの取得要求をセキュリティインシデント検知サーバ10に送信する。セキュリティインシデント検知サーバ10は、設定ファイルの取得要求を受信すると、問い合わせをした企業の設定ファイルを利用者端末20に送信する。これにより、利用者端末20は、セキュリティインシデント検知サーバ10から設定ファイルを取得する(ステップS40)。設定ファイルには、ログ収集の対象となるファイルが記載されている。 When the user terminal 20 determines that it is time to collect logs (step S30: YES), the user terminal 20 transmits a configuration file acquisition request to the security incident detection server 10 . When the security incident detection server 10 receives the setting file acquisition request, the security incident detection server 10 transmits the setting file of the inquired company to the user terminal 20 . As a result, the user terminal 20 acquires the setting file from the security incident detection server 10 (step S40). The configuration file describes the files that are the targets of log collection.

次いで、利用者端末20は、取得した設定ファイルに基づいて、利用者端末20内のログ情報211を収集し(ステップS50)、収集したログ情報211をデータ圧縮してセキュリティインシデント検知サーバ10に送信する(ステップS60)。 Next, based on the acquired setting file, the user terminal 20 collects the log information 211 in the user terminal 20 (step S50), compresses the collected log information 211, and transmits the data to the security incident detection server 10. (step S60).

この結果、セキュリティインシデント検知サーバ10は、利用者端末20からデータ圧縮されたログ情報211を収集する。 As a result, the security incident detection server 10 collects data-compressed log information 211 from the user terminal 20 .

一方、利用者端末20は、ログ収集タイミングではないと判断した場合には(ステップS30:NO)、ログ収集処理を終了する。 On the other hand, when the user terminal 20 determines that it is not the log collection timing (step S30: NO), the log collection process ends.

なお、図6に示したログ収集処理は、企業の一の利用者端末20について説明したが、セキュリティインシデント検知サーバ10は、当該企業の対象となる全利用者端末20からログ情報211を収集する。 Although the log collection processing shown in FIG. 6 has been described for one user terminal 20 of a company, the security incident detection server 10 collects log information 211 from all target user terminals 20 of the company. .

次に、図7を用いて、本実施の形態に係るセキュリティインシデント検知システム1のログ分析処理について説明する。図7は、ログ分析処理の流れを示すフローチャートである。ログ分析処理は、ログ収集処理が実行され、利用者端末20からログ情報を受信したことを契機に実行される。 Next, log analysis processing of the security incident detection system 1 according to the present embodiment will be described using FIG. FIG. 7 is a flowchart showing the flow of log analysis processing. The log analysis process is executed when the log collection process is executed and the log information is received from the user terminal 20 .

セキュリティインシデント検知サーバ10は、まず、受信したログ情報211を分解する(ステップS110)。これは、具体的には、データ圧縮されたログ情報211をデータ解凍にすることを意味する。 The security incident detection server 10 first decomposes the received log information 211 (step S110). Specifically, this means that the data-compressed log information 211 is decompressed.

次に、セキュリティインシデント検知サーバ10は、ログ情報211を分析する(ステップS120)。このログ分析は、上述したように、分析パターン112及びマスタデータ113を参照して実行される。すなわち、分析パターン112ごとにマスタデータ113を用いて対象となるログ情報211を分析し、ごとにセキュリティインシデントの発生があるのか否かを判定する(図2参照)。 Next, the security incident detection server 10 analyzes the log information 211 (step S120). This log analysis is performed with reference to the analysis pattern 112 and the master data 113 as described above. That is, the target log information 211 is analyzed using the master data 113 for each analysis pattern 112 to determine whether or not a security incident has occurred (see FIG. 2).

次に、セキュリティインシデント検知サーバ10は、ログ分析の結果、セキュリティインシデント発生の疑いがあるログ情報211を分析後データ114として作成し、作成した分析後データ114を記憶部11に記憶する(ステップS130)。なお、セキュリティインシデント検知サーバ10は、記憶部11に記憶された分析後データ114から誤検知されたデータを取り除く。 Next, the security incident detection server 10 creates post-analysis data 114 from the log information 211 suspected of having caused a security incident as a result of the log analysis, and stores the created post-analysis data 114 in the storage unit 11 (step S130). ). Note that the security incident detection server 10 removes erroneously detected data from the post-analysis data 114 stored in the storage unit 11 .

次に、セキュリティインシデント検知サーバ10は、分析後データ114を企業単位に集計して分析レポートを作成する(ステップS140)。すなわち、利用者端末20ごとに実行されたステップS110~S130の処理を企業単位に集計したレポートデータ115を作成する。 Next, the security incident detection server 10 aggregates the post-analysis data 114 for each company and creates an analysis report (step S140). That is, the report data 115 is generated by aggregating the processing of steps S110 to S130 executed for each user terminal 20 for each company.

次に、セキュリティインシデント検知サーバ10は、作成したレポートデータ115を記憶部11に記憶させるとともにレポートデータ115に基づく分析レポート115Pを企業の管理者に送信する(ステップS150)。具体的には、分析レポート115Pは、企業の管理者に送信される電子メールにファイルとして添付される。勿論、これ以外にも、管理者は、管理画面サイトから分析レポート115Pを閲覧することができる。 Next, the security incident detection server 10 stores the created report data 115 in the storage unit 11 and transmits an analysis report 115P based on the report data 115 to the company administrator (step S150). Specifically, the analysis report 115P is attached as a file to an e-mail sent to the company administrator. Of course, in addition to this, the administrator can view the analysis report 115P from the management screen site.

以上、本実施の形態のセキュリティインシデント検知システム1は、企業に設けられた利用者端末20から定期的にセキュリティインシデントに関連するログ情報211を収集し、検知するセキュリティインシデントのタイプごとに設けられた分析パターン112ごとに、分析パターン112に対応付けられたログ情報211を分析し、セキュリティインシデント発生の可能性を検知するとともに、このログ情報211の分析を企業単位に集計した分析レポート115Pを作成し、利用者端末20に出力する構成を採用する。 As described above, the security incident detection system 1 of the present embodiment periodically collects log information 211 related to security incidents from user terminals 20 provided in companies, and is provided for each type of security incident to be detected. For each analysis pattern 112, the log information 211 associated with the analysis pattern 112 is analyzed to detect the possibility of occurrence of a security incident, and an analysis report 115P is created by aggregating the analysis of the log information 211 for each company. , to the user terminal 20.

このような構成を採用することにより、本実施の形態のセキュリティインシデント検知システム1は、高額なコストをかけず、またエンドポイントに負荷をかけることなく、さらには専門的な人材を必要としないという顕著な効果を有する。これにより、中堅企業や中小企業であっても容易に導入することができる。 By adopting such a configuration, the security incident detection system 1 of the present embodiment does not incur high costs, does not impose a load on endpoints, and does not require specialized personnel. Has a pronounced effect. As a result, even medium-sized enterprises and small and medium-sized enterprises can easily introduce the system.

より詳しくは、セキュリティインシデント検知サーバ10は、定期的にログ情報を収集し、ログ分析するので、必要なセキュリティ対策処理を軽減することができ、高額なコストを必要としない。すなわち、EISSを利用する企業は、セキュリティインシデントが発生した後の事後対処処理を少ないコストで実行することができる。 More specifically, the security incident detection server 10 periodically collects log information and analyzes the logs, so the necessary security countermeasure processing can be reduced and high costs are not required. In other words, a company using EISS can perform post-incident response processing at low cost after a security incident occurs.

また、例えば、ユーザ操作履歴211Bなどに基づいてデータ流出や破壊などにつながるデータの動き、操作自体の動きなど行動に着目して監視をすることはできるので、人為的な内部犯行も早期に発見することができる。 In addition, for example, based on the user operation history 211B, etc., it is possible to monitor by focusing on actions such as the movement of data leading to data leakage or destruction, or the movement of the operation itself, so that human-induced internal crimes can be detected at an early stage. can do.

さらには、セキュリティインシデント検知サーバ10は、プログラムリスト(プログラム実行履歴211Aの一例)など揮発性データを定期的に収集し保持することができる。その結果、利用者端末20のデータ記録の証拠性を明らかにすることができる。 Furthermore, the security incident detection server 10 can periodically collect and hold volatile data such as a program list (an example of the program execution history 211A). As a result, the evidence of the data record of the user terminal 20 can be clarified.

以上、本発明の実施の形態について説明してきたが、本発明は、上述した実施の形態に限られるものではなく、本発明の要旨を逸脱しない範囲において、本発明の実施の形態に対して種々の変形や変更を施すことができ、そのような変形や変更を伴うものもまた、本発明の技術的範囲に含まれるものである。また、発明の実施の形態に記載された、作用及び効果は、本発明から生じる最も好適な作用及び効果を列挙したに過ぎず、本発明による作用及び効果は、本発明の実施の形態に記載されたものに限定されるものではない。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments, and various modifications can be made to the embodiments of the present invention without departing from the gist of the present invention. Modifications and modifications can be applied, and those involving such modifications and modifications are also included in the technical scope of the present invention. In addition, the actions and effects described in the embodiments of the invention are merely enumerations of the most suitable actions and effects resulting from the present invention, and the actions and effects of the present invention are described in the embodiments of the invention. are not limited to those listed.

1 セキュリティインシデント検知システム
2 通信ネットワーク
10 セキュリティインシデント検知サーバ
11,21 記憶部
12,24 制御部
13,25 通信部
20 利用者端末(エンドポイント)
22 入力部
23 出力部
111 ログ収集制御データ
112 分析パターン
113 マスタデータ
114 分析後データ
115 レポートデータ
115P 分析レポート
121 ログ収集制御部
122 ログ分析部
123 分析レポート作成部
211 ログ情報
212 ログ収集プログラム
241 ログ収集部
1 security incident detection system 2 communication network 10 security incident detection servers 11 and 21 storage units 12 and 24 control units 13 and 25 communication unit 20 user terminal (end point)
22 input unit 23 output unit 111 log collection control data 112 analysis pattern 113 master data 114 post-analysis data 115 report data 115P analysis report 121 log collection control unit 122 log analysis unit 123 analysis report creation unit 211 log information 212 log collection program 241 log collection unit

Claims (8)

通信ネットワークを介して、企業に設けられた利用者端末と相互に通信可能であり、前記利用者端末に発生したセキュリティインシデントを検知するセキュリティインシデント検知装置であって、
企業ごとに、セキュリティインシデントに関連するログ情報のログ収集タイミング及び収集対象となるファイルに関するログ収集制御データを記憶するログ収集制御データ記憶部と、
前記利用者端末から前記ログ情報のログ収集問い合わせを受けると、前記ログ収集制御データを参照して前記ログ収集タイミングであるか否かの回答を前記利用者端末に送信し、前記利用者端末が、前記回答に基づいて前記ログ収集タイミングであると判断したことに伴って前記ファイルを示す設定ファイルの取得要求を送信してきたことに応答して、前記ログ収集制御データを参照して前記設定ファイルを前記利用者端末に送信することにより、前記利用者端末から前記ファイルの前記ログ情報を収集するログ情報収集部と、
前記ログ情報収集部により収集された前記ログ情報に対して、検知するセキュリティインシデントのタイプごとに設けられた分析パターンごとに、分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析部と、
前記ログ情報分析部による前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成部と、
作成した分析レポートを前記利用者端末に出力する分析レポート出力部と、
を備えるセキュリティインシデント検知装置。 A security incident detection device capable of mutual communication with a user terminal provided in a company via a communication network and detecting a security incident occurring in the user terminal,
A log collection control data storage unit that stores log collection control data related to log collection timing and files to be collected for log information related to security incidents for each company;
When a log collection inquiry for the log information is received from the user terminal, the log collection control data is referred to, and a response as to whether or not it is the log collection timing is transmitted to the user terminal. and referring to the log collection control data and referring to the setting file in response to transmitting a setting file acquisition request indicating the file in response to the fact that it is determined that it is time to collect the log based on the answer. to the user terminal to collect the log information of the file from the user terminal;
For each analysis pattern provided for each type of security incident to be detected, the log information associated with the analysis pattern is analyzed with respect to the log information collected by the log information collection unit, and the security incident is detected. a log information analysis unit that detects the possibility of
an analysis report creation unit that aggregates the analysis results of the log information by the log information analysis unit for each company and creates an analysis report;
an analysis report output unit that outputs the created analysis report to the user terminal;
security incident detection device. 前記ログ情報は、プログラム実行履歴に関するログ情報、ユーザ操作履歴に関するログ情報、及びシステム情報を備える請求項1に記載のセキュリティインシデント検知装置。 2. The security incident detection device according to claim 1, wherein the log information includes log information regarding program execution history, log information regarding user operation history, and system information. 記ログ情報収集部は、前記利用者端末が、前記セキュリティインシデント検知装置から受信した前記設定ファイルに示される前記ファイルの前記ログ情報を収集して送信することにより、前記ログ情報を収集する請求項1又は2に記載のセキュリティインシデント検知装置。 The log information collecting unit collects the log information by the user terminal collecting and transmitting the log information of the file indicated in the setting file received from the security incident detection device. The security incident detection device according to claim 1 or 2. 企業ごとのセキュリティルールに関するデータ、及び公開されている不正プログラムや不正ファイルに関するマスタデータを記憶するマスタデータ記憶部をさらに備え、
前記ログ情報分析部は、前記マスタデータ記憶部に記憶されたマスタデータを参照して前記ログ情報を分析する請求項1から3のいずれか1項に記載のセキュリティインシデント検知装置。 further comprising a master data storage unit that stores data on security rules for each company and master data on publicly available malicious programs and malicious files;
The security incident detection device according to any one of claims 1 to 3, wherein the log information analysis unit analyzes the log information with reference to master data stored in the master data storage unit. 前記分析レポートは、前記ログ情報の分析を受けた前記利用者端末の数、セキュリティインシデント発生の可能性がある前記利用者端末の数、セキュリティインシデント発生の可能性がある前記利用者端末に関する情報が記されている請求項1から4のいずれか1項に記載のセキュリティインシデント検知装置。 The analysis report includes information on the number of user terminals that have undergone analysis of the log information, the number of user terminals that may have security incidents, and the user terminals that may have security incidents. A security incident detection device according to any one of the preceding claims 1-4. 企業に設けられた利用者端末と、前記利用者端末と通信ネットワークを介して相互に通信可能なサーバ装置と、を備え、前記利用者端末に発生したセキュリティインシデントを検知するセキュリティインシデント検知システムであって、
前記利用者端末は、
前記サーバ装置に対して定期的にセキュリティインシデントに関連するログ情報のログ収集問い合わせを行い、前記ログ情報を収集して送信するログ情報送信部を備え、
前記サーバ装置は、
企業ごとに、前記ログ情報のログ収集タイミング及び収集対象となるファイルに関するログ収集制御データを記憶するログ収集制御データ記憶部と、
前記利用者端末の前記ログ情報送信部から前記ログ情報のログ収集問い合わせを受けると、前記ログ収集制御データを参照して前記ログ収集タイミングであるか否かの回答を前記利用者端末に送信し、前記利用者端末の前記ログ情報送信部が、前記回答に基づいて前記ログ収集タイミングであると判断したことに伴って前記ファイルを示す設定ファイルの取得要求を送信してきたことに応答して、前記ログ収集制御データを参照して前記設定ファイルを前記利用者端末に送信することにより、前記利用者端末の前記ログ情報送信部から送信された前記ファイルの前記ログ情報を受信するログ情報受信部と、
検知するセキュリティインシデントのタイプごとに分析パターンを記憶する分析パターン記憶部と、
前記分析パターン記憶部に記憶されたそれぞれの分析パターンごとに、該分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析部と、
前記ログ情報分析部による前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成部と、
作成した分析レポートを前記利用者端末に出力する分析レポート出力部と、
を備え、
前記利用者端末は、
前記分析レポート出力部により出力された分析レポートを表示する分析レポート表示部を備えるセキュリティインシデント検知システム。 A security incident detection system comprising a user terminal provided in a company and a server device capable of communicating with the user terminal via a communication network, and detecting a security incident occurring in the user terminal. hand,
The user terminal is
a log information transmission unit that periodically inquires of the server device for log collection of log information related to security incidents, collects and transmits the log information,
The server device
a log collection control data storage unit that stores log collection control data related to the log collection timing of the log information and files to be collected for each company;
When a log collection inquiry for the log information is received from the log information transmission unit of the user terminal, the log collection control data is referred to and a response as to whether or not it is the log collection timing is transmitted to the user terminal. , in response to the fact that the log information transmission unit of the user terminal has transmitted a request to acquire a configuration file indicating the file in response to judging that it is the log collection timing based on the response, A log information receiving unit that receives the log information of the file transmitted from the log information transmitting unit of the user terminal by referring to the log collection control data and transmitting the setting file to the user terminal. and,
an analysis pattern storage unit that stores an analysis pattern for each type of security incident to be detected;
a log information analysis unit that analyzes the log information associated with each analysis pattern stored in the analysis pattern storage unit and detects the possibility of a security incident occurring;
an analysis report creation unit that aggregates the analysis results of the log information by the log information analysis unit for each company and creates an analysis report;
an analysis report output unit that outputs the created analysis report to the user terminal;
with
The user terminal is
A security incident detection system comprising an analysis report display unit that displays the analysis report output by the analysis report output unit. 企業に設けられた利用者端末に発生したセキュリティインシデントを検知するセキュリティインシデント検知方法であって、
前記利用者端末からセキュリティインシデントに関連するログ情報のログ収集問い合わせを受け、企業ごとに記憶してある前記ログ情報のログ収集タイミング及び収集対象となるファイルに関するログ収集制御データを参照して前記ログ収集タイミングであるか否かの回答を前記利用者端末に送信し、前記利用者端末が、前記回答に基づいて前記ログ収集タイミングであると判断したことに伴って前記ファイルを示す設定ファイルの取得要求を送信してきたことに応答して、前記ログ収集制御データを参照して前記設定ファイルを前記利用者端末に送信することにより、前記利用者端末から前記ファイルの前記ログ情報を収集するログ情報収集ステップと、
前記ログ情報収集ステップにより収集された前記ログ情報に対して、検知するセキュリティインシデントのタイプごとに設けられた分析パターンごとに、分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析ステップと、
前記ログ情報分析ステップによる前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成ステップと、
作成した分析レポートを前記利用者端末に出力する分析レポート出力ステップと、
を備えるセキュリティインシデント検知方法。 A security incident detection method for detecting a security incident occurring in a user terminal provided in a company,
Upon receipt of a log collection inquiry for log information related to a security incident from the user terminal, the log is collected by referring to the log collection timing of the log information stored for each company and the log collection control data related to the files to be collected. A reply indicating whether or not it is time to collect the logs is transmitted to the user terminal, and the user terminal acquires a setting file indicating the file when the user terminal determines that it is time to collect the logs based on the reply. log information for collecting the log information of the file from the user terminal by referring to the log collection control data and transmitting the setting file to the user terminal in response to the transmission of the request; a collecting step;
For each analysis pattern provided for each type of security incident to be detected, the log information associated with the analysis pattern is analyzed with respect to the log information collected by the log information collection step, and the security incident is detected. a log information analysis step for detecting the possibility;
an analysis report creation step of aggregating the analysis results of the log information by the log information analysis step for each company and creating an analysis report;
an analysis report output step of outputting the created analysis report to the user terminal;
A security incident detection method comprising: 企業に設けられた利用者端末に発生したセキュリティインシデントを検知するセキュリティインシデントを検知するコンピュータによって実行された場合に、前記コンピュータに、
前記利用者端末からセキュリティインシデントに関連するログ情報のログ収集問い合わせを受け、企業ごとに記憶してある前記ログ情報のログ収集タイミング及び収集対象となるファイルに関するログ収集制御データを参照して前記ログ収集タイミングであるか否かの回答を前記利用者端末に送信し、前記利用者端末が、前記回答に基づいて前記ログ収集タイミングであると判断したことに伴って前記ファイルを示す設定ファイルの取得要求を送信してきたことに応答して、前記ログ収集制御データを参照して前記設定ファイルを前記利用者端末に送信することにより、前記利用者端末から前記ファイルの前記ログ情報を収集するログ情報収集手順と、
前記ログ情報収集手順により収集された前記ログ情報に対して、検知するセキュリティインシデントのタイプごとに設けられた分析パターンごとに、分析パターンに対応付けられた前記ログ情報を分析し、セキュリティインシデント発生の可能性を検知するログ情報分析手順と、
前記ログ情報分析手順による前記ログ情報の分析結果を企業単位に集計し、分析レポートを作成する分析レポート作成手順と、
作成した分析レポートを前記利用者端末に出力する分析レポート出力手順と、
を実行させる、プログラム。 When executed by a computer that detects a security incident that has occurred on a user terminal installed in a company, the computer:
Upon receipt of a log collection inquiry for log information related to a security incident from the user terminal, the log is collected by referring to the log collection timing of the log information stored for each company and the log collection control data related to the files to be collected. A reply indicating whether or not it is time to collect the logs is transmitted to the user terminal, and the user terminal acquires a setting file indicating the file when the user terminal determines that it is time to collect the logs based on the reply. log information for collecting the log information of the file from the user terminal by referring to the log collection control data and transmitting the setting file to the user terminal in response to the transmission of the request; a collection procedure;
For each analysis pattern provided for each type of security incident to be detected, the log information associated with the analysis pattern is analyzed with respect to the log information collected by the log information collection procedure, and the security incident occurrence is detected. a log information analysis procedure for detecting the possibility of
an analysis report creation procedure for aggregating the analysis results of the log information by the log information analysis procedure for each company and creating an analysis report;
an analysis report output procedure for outputting the created analysis report to the user terminal;
The program that causes the to run.
JP2019023325A 2019-02-13 2019-02-13 Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program Active JP7328635B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019023325A JP7328635B2 (en) 2019-02-13 2019-02-13 Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019023325A JP7328635B2 (en) 2019-02-13 2019-02-13 Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program

Publications (3)

Publication Number Publication Date
JP2020135002A JP2020135002A (en) 2020-08-31
JP2020135002A5 JP2020135002A5 (en) 2022-03-28
JP7328635B2 true JP7328635B2 (en) 2023-08-17

Family

ID=72263286

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019023325A Active JP7328635B2 (en) 2019-02-13 2019-02-13 Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program

Country Status (1)

Country Link
JP (1) JP7328635B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006295232A (en) 2005-04-05 2006-10-26 Lac Co Ltd Security monitoring apparatus, and security monitoring method and program
JP2008059552A (en) 2006-08-03 2008-03-13 Quality Kk Management system, management server, and management program
JP2008250872A (en) 2007-03-30 2008-10-16 Quality Kk Management system, management server and management program
JP2009053992A (en) 2007-08-28 2009-03-12 Jiec Co Ltd Log collection system
JP2009098969A (en) 2007-10-17 2009-05-07 Quality Kk System for management, management server, and management program
JP2009098968A (en) 2007-10-17 2009-05-07 Quality Kk Management system, management server, and management program

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006295232A (en) 2005-04-05 2006-10-26 Lac Co Ltd Security monitoring apparatus, and security monitoring method and program
JP2008059552A (en) 2006-08-03 2008-03-13 Quality Kk Management system, management server, and management program
JP2008250872A (en) 2007-03-30 2008-10-16 Quality Kk Management system, management server and management program
JP2009053992A (en) 2007-08-28 2009-03-12 Jiec Co Ltd Log collection system
JP2009098969A (en) 2007-10-17 2009-05-07 Quality Kk System for management, management server, and management program
JP2009098968A (en) 2007-10-17 2009-05-07 Quality Kk Management system, management server, and management program

Also Published As

Publication number Publication date
JP2020135002A (en) 2020-08-31

Similar Documents

Publication Publication Date Title
Dimitriadis et al. D4I-Digital forensics framework for reviewing and investigating cyber attacks
US10652274B2 (en) Identifying and responding to security incidents based on preemptive forensics
US11153341B1 (en) System and method for detecting malicious network content using virtual environment components
EP2754081B1 (en) Dynamic cleaning for malware using cloud technology
US11381578B1 (en) Network-based binary file extraction and analysis for malware detection
Oberheide et al. CloudAV: N-Version Antivirus in the Network Cloud.
JP5972401B2 (en) Attack analysis system, linkage device, attack analysis linkage method, and program
JP5440973B2 (en) Computer inspection system and computer inspection method
US20130067576A1 (en) Restoration of file damage caused by malware
JP2016503936A (en) System and method for identifying and reporting application and file vulnerabilities
KR100992434B1 (en) Method for Detecting the file with fraud name and apparatus thereof
US20100154061A1 (en) System and method for identifying malicious activities through non-logged-in host usage
US20210194915A1 (en) Identification of potential network vulnerability and security responses in light of real-time network risk assessment
CN116860489A (en) System and method for threat risk scoring of security threats
US20240045954A1 (en) Analysis of historical network traffic to identify network vulnerabilities
Ganame et al. Network behavioral analysis for zero-day malware detection–a case study
US20080295153A1 (en) System and method for detection and communication of computer infection status in a networked environment
US9069964B2 (en) Identification of malicious activities through non-logged-in host usage
US10616245B2 (en) Real-time remediation respective of security incidents
Kumar et al. Malware in pirated software: Case study of malware encounters in personal computers
JP7328635B2 (en) Security Incident Detection Device, Security Incident Detection System, Security Incident Detection Method and Program
JP2006295232A (en) Security monitoring apparatus, and security monitoring method and program
Teeraratchakarn et al. Automated monitoring and behavior analysis for proactive security operations
US20220083646A1 (en) Context Based Authorized External Device Copy Detection
WO2015178002A1 (en) Information processing device, information processing system, and communication history analysis method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220208

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20220225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220303

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220329

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230324

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230711

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230726

R150 Certificate of patent or registration of utility model

Ref document number: 7328635

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150