JP7361997B1 - 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム - Google Patents
配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム Download PDFInfo
- Publication number
- JP7361997B1 JP7361997B1 JP2023526121A JP2023526121A JP7361997B1 JP 7361997 B1 JP7361997 B1 JP 7361997B1 JP 2023526121 A JP2023526121 A JP 2023526121A JP 2023526121 A JP2023526121 A JP 2023526121A JP 7361997 B1 JP7361997 B1 JP 7361997B1
- Authority
- JP
- Japan
- Prior art keywords
- user
- target
- files
- area
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
配置場所選定装置(100)は、対象システムにおいて第1対象外エリアと第2対象外エリアとを除くエリアであって、ファイルツリーの一部に相当するエリアに囮ファイルを配置する囮配置部(140)を備える。第1対象外エリアは、高リスクユーザが高リスクユーザの通常業務において利用すると推定されるエリアである。第2対象外エリアは、高リスクユーザ以外の各ユーザが各ユーザの通常業務において利用すると推定されるエリアから成る。
Description
本開示は、配置場所選定装置、配置場所選定方法、及び配置場所選定プログラムに関する。
セキュリティ攻撃に対する対策として、囮データを用いる欺瞞システムがある。特許文献1は、不正と判断されたプロセスからのデータ読み取りをインターセプトし、当該プロセスに対して偽のデータを返す技術を開示している。
特許文献1が開示している技術では、不正評価の精度が完璧であるとは限らないために正規プロセスに対して偽のデータを返す可能性がある。ここで、正規プロセスに対して偽のデータを返した場合に悪意がない正規ユーザの業務が阻害される。従って、当該技術によれば、悪意がない正規ユーザの業務を阻害するリスクがあるという課題がある。
本開示は、囮データを用いる欺瞞システムにおいて、悪意がない正規ユーザの業務を阻害するリスクを減らすことを目的とする。
本開示は、囮データを用いる欺瞞システムにおいて、悪意がない正規ユーザの業務を阻害するリスクを減らすことを目的とする。
本開示に係る配置場所選定装置は、
対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置部
を備える。
対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置部
を備える。
本開示によれば、第1対象外エリアと第2対象外エリアとを除くエリアに囮ファイルを配置する。ここで、第1対象外エリアは高リスクユーザが高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであり、第2対象外エリアは高リスクユーザ以外の各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアである。従って、本開示によれば、囮データを用いる欺瞞システムにおいて、悪意がない正規ユーザの業務を阻害するリスクを減らすことができる。
実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。
実施の形態1.
以下、本実施の形態について、図面を参照しながら詳細に説明する。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
***構成の説明***
図1は、本実施の形態に係る配置場所選定装置100の構成例を示している。配置場所選定装置100は、本図に示すように、ログ収集部110と、リスク値算出部120と、通常業務分析部130と、囮配置部140と、囮監視部150とを備える。また、配置場所選定装置100は、アクセスログDB(Database)180と、囮ファイルDB190とを記憶する。
図1は、本実施の形態に係る配置場所選定装置100の構成例を示している。配置場所選定装置100は、本図に示すように、ログ収集部110と、リスク値算出部120と、通常業務分析部130と、囮配置部140と、囮監視部150とを備える。また、配置場所選定装置100は、アクセスログDB(Database)180と、囮ファイルDB190とを記憶する。
ログ収集部110は、アクセスログ21と、囮ファイル191に対するアクセスログとを収集し、収集したログをアクセスログDB180に記録する。アクセスログ21は対象システム20におけるファイルアクセスのログである。
対象システム20は、複数のユーザが業務において利用するコンピュータシステムであり、複数のファイルを格納するシステムである。対象システム20は、具体例として、ゼロトラストに基づいて運用されているシステムであり、オンプレミスシステムとクラウドシステムとの少なくともいずれかから成る。対象システム20は、複数のファイルの各ファイルをファイルツリーの一部として管理する。ファイルツリーは、複数のファイルを階層的に管理するファイルシステムである。対象システム20において、各ファイルはいずれかのフォルダに格納されており、各ユーザはファイルアクセスツールを用いて対象システム20が管理している各ファイルにアクセスする。フォルダはディレクトリとも呼ばれる。ファイルアクセスツールは、各ユーザが各ファイルにアクセスするためのツールであり、具体例としてエクスプローラ又はブラウザである。
リスク値算出部120は、対象システム20におけるファイルアクセスなどのログに基づいて各ユーザに対応するリスク値を算出する。リスク値算出部120は、囮ファイル191が配置されていない場合において、典型的には各ユーザの対象システム20におけるアクセスパターンに基づいて各ユーザに対応するリスク値を算出する。リスク値算出部120は、囮ファイル191が配置されている場合においても各ユーザの対象システム20におけるアクセスパターンに基づいて各ユーザに対応するリスク値を算出してもよい。対象システム20に囮ファイル191が配置されている場合において、リスク値算出部120は、各ユーザに対応するリスク値を算出する際に囮ファイル191に対するアクセスログを用いてもよい。リスク値算出部120は、対象ユーザが1つ以上の囮ファイル191の少なくとも1つにアクセスした場合に、対象ユーザに対応するリスク値を引き上げてもよい。各ユーザは対象システム20のユーザである。各ユーザは、人間であってもよく、コンピュータであってもよい。
各ユーザに対応するリスク値は、対象システム20における各ユーザの振舞いに応じて算出される値であり、また、各ユーザが実際に内部不正者である可能性に対応する値である。対象システム20における各ユーザの振舞いは、対象システム20における各ユーザの行動である。各ユーザの振舞いの構成要素は、具体例として、各ユーザがアクセスしたファイルと、各ユーザのファイルアクセスの順序と、各ユーザがファイルアクセスを実行した時間帯と、各ユーザの単位時間当たりのファイルアクセス数とである。内部不正者は、組織からデータを窃取することを目的として組織の内部において活動する主体である。内部不正者は、具体例として、対象システム20における内部犯、又は、正規のクレデンシャルを窃取したマルウェアであって、対象システム20を管理している組織において用いられているPC(Personal Computer)に感染しているマルウェアである。内部犯は、正規のアクセス権限を持つユーザのうち、組織の内部においてセキュリティ攻撃に携わるユーザである。内部犯は悪意を持つユーザでもある。マルウェアは、具体例として、単体で自律的に動作するもの、又は、インターネット上のCommand&Controlサーバを介して、組織外部の攻撃者からの指令に従って動作するものである。
リスク値算出部120は、あらかじめファイルアクセスなどのログからユーザごとに対象システム20における正常な振舞いのパターンをモデル化し、対象システム20における各ユーザの実際の振舞いがモデル化した正常な振舞いのパターンから逸脱した度合いを各ユーザに対応するリスク値として算出してもよい。リスク値算出部120は、正常な振舞いのパターンをモデル化する際に、機械学習などの技術を活用してもよく、User and Entity Behavior Analytics(UEBA)などのアクセスログに基づいてユーザごとに振舞いの異常を検知する技術を用いてもよい。
また、リスク値算出部120は、高リスクユーザ情報121を生成し、生成した高リスクユーザ情報121を出力する。高リスクユーザ情報121は、各高リスクユーザと、各高リスクユーザの特性との各々を示す情報である。高リスクユーザ情報121には、具体例として、各高リスクユーザと、各高リスクユーザに対応するリスク値と、各高リスクユーザがアクセスしていた1つ以上のファイルなどを示すデータが含まれる。高リスクユーザは、対象システム20のユーザであり、対象システム20のユーザのうち対応するリスク値が既定の閾値であるリスク基準値以上であるユーザであり、内部不正者である可能性が比較的高いユーザである。なお、アクセスログ21と囮ファイルアクセス情報151との少なくともいずれかが更新された場合に、更新された情報に基づいて高リスクユーザ情報121が更新されることもある。
各ユーザに対応するリスク値は、対象システム20における各ユーザの振舞いに応じて算出される値であり、また、各ユーザが実際に内部不正者である可能性に対応する値である。対象システム20における各ユーザの振舞いは、対象システム20における各ユーザの行動である。各ユーザの振舞いの構成要素は、具体例として、各ユーザがアクセスしたファイルと、各ユーザのファイルアクセスの順序と、各ユーザがファイルアクセスを実行した時間帯と、各ユーザの単位時間当たりのファイルアクセス数とである。内部不正者は、組織からデータを窃取することを目的として組織の内部において活動する主体である。内部不正者は、具体例として、対象システム20における内部犯、又は、正規のクレデンシャルを窃取したマルウェアであって、対象システム20を管理している組織において用いられているPC(Personal Computer)に感染しているマルウェアである。内部犯は、正規のアクセス権限を持つユーザのうち、組織の内部においてセキュリティ攻撃に携わるユーザである。内部犯は悪意を持つユーザでもある。マルウェアは、具体例として、単体で自律的に動作するもの、又は、インターネット上のCommand&Controlサーバを介して、組織外部の攻撃者からの指令に従って動作するものである。
リスク値算出部120は、あらかじめファイルアクセスなどのログからユーザごとに対象システム20における正常な振舞いのパターンをモデル化し、対象システム20における各ユーザの実際の振舞いがモデル化した正常な振舞いのパターンから逸脱した度合いを各ユーザに対応するリスク値として算出してもよい。リスク値算出部120は、正常な振舞いのパターンをモデル化する際に、機械学習などの技術を活用してもよく、User and Entity Behavior Analytics(UEBA)などのアクセスログに基づいてユーザごとに振舞いの異常を検知する技術を用いてもよい。
また、リスク値算出部120は、高リスクユーザ情報121を生成し、生成した高リスクユーザ情報121を出力する。高リスクユーザ情報121は、各高リスクユーザと、各高リスクユーザの特性との各々を示す情報である。高リスクユーザ情報121には、具体例として、各高リスクユーザと、各高リスクユーザに対応するリスク値と、各高リスクユーザがアクセスしていた1つ以上のファイルなどを示すデータが含まれる。高リスクユーザは、対象システム20のユーザであり、対象システム20のユーザのうち対応するリスク値が既定の閾値であるリスク基準値以上であるユーザであり、内部不正者である可能性が比較的高いユーザである。なお、アクセスログ21と囮ファイルアクセス情報151との少なくともいずれかが更新された場合に、更新された情報に基づいて高リスクユーザ情報121が更新されることもある。
通常業務分析部130は、アクセスログ21に基づいて第1対象外エリアと第2対象外エリアとの各々を推定する。第1対象外エリアは、対象ファイル群が含むファイルのうち高リスクユーザが高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、対象システム20が管理しているファイルツリーの一部に相当するエリアである。通常業務はどのように定義されてもよい。対象ファイル群は、高リスクユーザがアクセスした複数のファイルであって、アクセスログ21が示す複数のファイルから成る。第2対象外エリアは、対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、ファイルツリーの一部に相当するエリアから成る。対象正常ユーザ群に複数のユーザが含まれる場合において、第2対象外エリアは各ユーザに対応する通常アクセスエリアの和集合である。対象正常ユーザ群は、対象ファイル群が含むファイルのうち第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした高リスクユーザ以外の1以上のユーザであって、対象システム20の1以上のユーザから成る。また、通常業務分析部130は対象外エリア情報131を生成し、生成した対象外エリア情報131を出力する。対象外エリア情報131は、囮ファイル191を配置しないエリアを示す情報である。
具体例として、通常業務分析部130は、高リスクユーザ情報121が示す各高リスクユーザのファイルアクセスのログから各高リスクユーザに対応する通常アクセスエリアを特定し、特定した通常アクセスエリアを配置対象外エリアに加える。各ユーザに対応する通常アクセスエリアは、各ユーザが業務において普段アクセスするファイルツリーの範囲であり、各ユーザが比較的高い頻度でアクセスするエリアであり、具体例として各ユーザが普段アクセスしている1つ以上のファイルと1つ以上のディレクトリとから成る。この際、通常業務分析部130は、具体例として、既定の期間内に各ユーザが既定の回数以上のアクセスしたファイル及びディレクトリを各ユーザが普段アクセスしているファイル及びディレクリとする。配置対象外エリアは、ファイルツリーの一部に相当するエリアであり、囮ファイル191を配置しないエリアである。
また、通常業務分析部130は、高リスクユーザ情報121が示す各高リスクユーザがアクセスした各ファイルに対するアクセスなどを示すログから、各ファイルに普段アクセスする他のユーザが各高リスクユーザと同じ又は比較的近いタイミングでアクセスする1つ以上のファイル及び1つ以上のディレクトリを特定し、特定した1つ以上のファイル及び1つ以上のディレクトリを含む範囲を配置対象外エリアに加える。この際、通常業務分析部130は、具体例として、各高リスクユーザがアクセスした各ファイルがアクセスされたタイミングから既定の期間内に既定の回数以上のアクセスがあったファイル及びディレクトリを、他のユーザが各高リスクユーザと同じ又は比較的近いタイミングでアクセスするファイル及びディレクトリとする。
具体例として、通常業務分析部130は、高リスクユーザ情報121が示す各高リスクユーザのファイルアクセスのログから各高リスクユーザに対応する通常アクセスエリアを特定し、特定した通常アクセスエリアを配置対象外エリアに加える。各ユーザに対応する通常アクセスエリアは、各ユーザが業務において普段アクセスするファイルツリーの範囲であり、各ユーザが比較的高い頻度でアクセスするエリアであり、具体例として各ユーザが普段アクセスしている1つ以上のファイルと1つ以上のディレクトリとから成る。この際、通常業務分析部130は、具体例として、既定の期間内に各ユーザが既定の回数以上のアクセスしたファイル及びディレクトリを各ユーザが普段アクセスしているファイル及びディレクリとする。配置対象外エリアは、ファイルツリーの一部に相当するエリアであり、囮ファイル191を配置しないエリアである。
また、通常業務分析部130は、高リスクユーザ情報121が示す各高リスクユーザがアクセスした各ファイルに対するアクセスなどを示すログから、各ファイルに普段アクセスする他のユーザが各高リスクユーザと同じ又は比較的近いタイミングでアクセスする1つ以上のファイル及び1つ以上のディレクトリを特定し、特定した1つ以上のファイル及び1つ以上のディレクトリを含む範囲を配置対象外エリアに加える。この際、通常業務分析部130は、具体例として、各高リスクユーザがアクセスした各ファイルがアクセスされたタイミングから既定の期間内に既定の回数以上のアクセスがあったファイル及びディレクトリを、他のユーザが各高リスクユーザと同じ又は比較的近いタイミングでアクセスするファイル及びディレクトリとする。
囮配置部140は、配置対象エリアに1つ以上の囮ファイル191を配置する。囮ファイル191を配置することには、プラグインなどに対して囮ファイル191を配置するよう指示することが含まれる。配置対象エリアは、第1対象外エリアと第2対象外エリアとを除くエリアであって、対象システム20が管理しているファイルツリーの一部に相当するエリアである。配置対象エリアは、高リスクユーザがアクセスすると予想されるエリアを含んでもよい。
具体的には、囮配置部140は、囮ファイルDB190から1つ以上の囮ファイル191を選定し、ファイルツリーにおけるエリアであって、高リスクユーザ情報121が示す各高リスクユーザがアクセスしたファイルの近辺のエリア、かつ、配置対象外エリア以外のエリアに選定した囮ファイル191を配置する指示を対象システム20に対して実行し、実行した指示に対応する囮ファイル情報141を生成し、生成した囮ファイル情報141を出力する。囮ファイル191に対応する囮ファイル情報141は、囮ファイル191のファイル名及び配置場所などを示す情報である。この際、囮配置部140は、ランダムに囮ファイル191を囮ファイルDB190から選定してもよく、高リスクユーザの特性に応じて囮ファイル191を囮ファイルDB190から選定してもよい。囮配置部140は、囮ファイル191を配置する指示を対象システム20に対して実行する代わりに囮ファイル191を対象システム20に配置してもよい。
なお、囮配置部140は、高リスクユーザがアクセスしたファイルのコンテンツ及びファイル名などからトピックを抽出し、抽出したトピックに関連があるファイル又はディレクトリが存在するエリアをさらに絞りこみ、絞り込んだエリア内に囮ファイル191を配置してもよい。この際、囮配置部140はTop2Vecなどのトピックモデルを利用してトピックを抽出してもよい。
囮配置部140は、囮フォルダを作成し、作成した囮フォルダに囮ファイル191を配置する指示を対象システム20に対して実行してもよい。囮配置部140は、各ユーザに対応するアクセスログ21に囮ファイル191にアクセスしたことを示す情報を追加してもよい。
具体的には、囮配置部140は、囮ファイルDB190から1つ以上の囮ファイル191を選定し、ファイルツリーにおけるエリアであって、高リスクユーザ情報121が示す各高リスクユーザがアクセスしたファイルの近辺のエリア、かつ、配置対象外エリア以外のエリアに選定した囮ファイル191を配置する指示を対象システム20に対して実行し、実行した指示に対応する囮ファイル情報141を生成し、生成した囮ファイル情報141を出力する。囮ファイル191に対応する囮ファイル情報141は、囮ファイル191のファイル名及び配置場所などを示す情報である。この際、囮配置部140は、ランダムに囮ファイル191を囮ファイルDB190から選定してもよく、高リスクユーザの特性に応じて囮ファイル191を囮ファイルDB190から選定してもよい。囮配置部140は、囮ファイル191を配置する指示を対象システム20に対して実行する代わりに囮ファイル191を対象システム20に配置してもよい。
なお、囮配置部140は、高リスクユーザがアクセスしたファイルのコンテンツ及びファイル名などからトピックを抽出し、抽出したトピックに関連があるファイル又はディレクトリが存在するエリアをさらに絞りこみ、絞り込んだエリア内に囮ファイル191を配置してもよい。この際、囮配置部140はTop2Vecなどのトピックモデルを利用してトピックを抽出してもよい。
囮配置部140は、囮フォルダを作成し、作成した囮フォルダに囮ファイル191を配置する指示を対象システム20に対して実行してもよい。囮配置部140は、各ユーザに対応するアクセスログ21に囮ファイル191にアクセスしたことを示す情報を追加してもよい。
なお、本開示では、各ユーザの悪意の有無によってアクセス傾向の差異が生じるという仮説に基づいて囮ファイル191が配置される。アクセス傾向の差異は、具体例として、内部不正者は内部不正者に対応する業務ファイル群のほかに当該業務ファイル群と関係がない様々なファイルにもアクセスし、悪意がない正規ユーザ(以下、正常ユーザ)は正常ユーザに対応する業務ファイル群と当該業務ファイル群に対応する周辺ファイル群のみに基本的にアクセスするというものである。正規ユーザは、対象システム20に正規に登録されているユーザである。正規ユーザを「ユーザ」と表記することもある。各ユーザに対応する業務ファイル群は、各ユーザの業務に関連する少なくとも1つのファイルから成る。業務ファイル群に対応する周辺ファイル群は、業務ファイル群を構成するファイル以外のファイルから成り、ファイルツリーにおいて業務ファイル群を構成する各ファイルから比較的少ないステップ数で辿り着くことができる少なくとも1つのファイルから成る。
囮ファイル191は、各ユーザの業務との関連が直接的にはないファイルである。囮ファイル191のファイル名及びファイル形式などは、内部不正者のアクセス傾向などを分析した結果に基づいて内部不正者の興味を引き得るように生成されたものであってもよく、AI(Artificial Intelligence)によって生成されたものであってもよい。
囮ファイル191は、各ユーザの業務との関連が直接的にはないファイルである。囮ファイル191のファイル名及びファイル形式などは、内部不正者のアクセス傾向などを分析した結果に基づいて内部不正者の興味を引き得るように生成されたものであってもよく、AI(Artificial Intelligence)によって生成されたものであってもよい。
図2は、通常業務分析部130及び囮配置部140の処理を説明する図である。図2において、円で囲われたSは機密性があることを示す。図2を用いて通常業務分析部130及び囮配置部140の処理を説明する。
通常業務分析部130は、正常ユーザによるファイルアクセスの傾向を分析し、分析した結果に基づいて悪意がない範囲で各ユーザがアクセスする可能性があるフォルダを推測する。具体的には、通常業務分析部130は、正常ユーザの通常アクセスエリアと、高リスクユーザの通常アクセスエリアとの各々を推測する。正常ユーザの通常アクセスエリアは第2対象外エリアに相当する。高リスクユーザの通常アクセスエリアは第1対象外エリアに相当する。
囮配置部140は、通常業務分析部130が推測した結果に基づいて囮ファイル191を配置するフォルダを選定する。この際、囮配置部140は、各ユーザの振舞いの監視によって検出された異常に基づいて高リスクユーザによる今後のファイルアクセスを予想し、予想したファイルアクセスに対応するファイルを格納しているフォルダに囮ファイル191を配置してもよい。具体例として、囮配置部140は、図2に示すように、高リスクユーザによる今後のファイルアクセスを予想し、予想した結果に基づいて囮ファイル191を配置するフォルダを選定する。
通常業務分析部130は、正常ユーザによるファイルアクセスの傾向を分析し、分析した結果に基づいて悪意がない範囲で各ユーザがアクセスする可能性があるフォルダを推測する。具体的には、通常業務分析部130は、正常ユーザの通常アクセスエリアと、高リスクユーザの通常アクセスエリアとの各々を推測する。正常ユーザの通常アクセスエリアは第2対象外エリアに相当する。高リスクユーザの通常アクセスエリアは第1対象外エリアに相当する。
囮配置部140は、通常業務分析部130が推測した結果に基づいて囮ファイル191を配置するフォルダを選定する。この際、囮配置部140は、各ユーザの振舞いの監視によって検出された異常に基づいて高リスクユーザによる今後のファイルアクセスを予想し、予想したファイルアクセスに対応するファイルを格納しているフォルダに囮ファイル191を配置してもよい。具体例として、囮配置部140は、図2に示すように、高リスクユーザによる今後のファイルアクセスを予想し、予想した結果に基づいて囮ファイル191を配置するフォルダを選定する。
囮監視部150は、高リスクユーザ情報121が示す各高リスクユーザに関して、囮ファイル情報141が示す囮ファイル191に対するアクセスを監視し、監視した結果に対応する囮ファイルアクセス情報151を生成し、生成した囮ファイルアクセス情報151を出力する。囮ファイルアクセス情報151は、具体例として、囮ファイル191に既定の回数以上アクセスした高リスクユーザが存在する場合に、当該高リスクユーザが囮ファイル191に既定の回数以上アクセスしたことを示す情報である。高リスクユーザ情報121は、高リスクユーザ以外のユーザが囮ファイル191にアクセスしたことを示す情報であってもよい。
分析者は、囮ファイルアクセス情報151と高リスクユーザ情報121とに基づいて高リスクユーザを絞り込んでもよく、絞り込んだ結果を高リスクユーザ情報121に反映してもよい。分析者は、具体例として対象システム20におけるセキュリティ攻撃を分析する人又はコンピュータである。
分析者は、囮ファイルアクセス情報151と高リスクユーザ情報121とに基づいて高リスクユーザを絞り込んでもよく、絞り込んだ結果を高リスクユーザ情報121に反映してもよい。分析者は、具体例として対象システム20におけるセキュリティ攻撃を分析する人又はコンピュータである。
アクセスログDB180は、対象システム20におけるアクセスログを示す情報を格納するデータベースである。
囮ファイルDB190は、1つ以上の囮ファイル191を格納するデータベースである。
囮ファイルDB190は、1つ以上の囮ファイル191を格納するデータベースである。
図3は、本実施の形態に係る配置場所選定システム90の実施例を示している。図3を用いて配置場所選定システム90の実施例を説明する。図3において、配置場所選定装置100は機能ごとに分割されて図示されている。ここで、内部不正者は、対象システム20内のファイルを調査したり、囮ファイル191を回避したりするものとする。
リスクベース認証機能は、リスクベース認証技術を活用することにより、対象システム20から各ユーザのアクセスログ21を受信し、受信したログに基づいて各ユーザに対応するリスク値を算出する。また、囮ファイル191が既に配置されている場合において、リスク値算出部120は各ユーザのリスク値を算出する際に囮ファイル191に対するアクセスログを参照する。
内部不正者対策基盤は、内部不正者対策機能を有するシステムであり、デコイ動的配布機能とファイルアクセス機能とを有する。
デコイ動的配布機能は、囮ファイル191を配置するフォルダを選定し、囮ファイル191を選定し、選定した囮ファイル191を選定したフォルダに配置する機能である。
囮配置部140は、内部不正者対策プラグインに対して囮ファイル191を配置するよう指示する。
内部不正者対策プラグインは、ファイルアクセスツールに対する追加機能を実現するソフトウェアモジュールである。囮監視部150の機能は内部不正者対策プラグインによって実現される。
ファイルアクセス機能を実現するファイルアクセスツールは、デコイ動的配布機能の指示に基づいて内部不正者対策プラグインを利用して囮ファイル191を配置する。内部不正者対策プラグインは、囮ファイル191を対象システム20に実際に配置してもよく、囮ファイル191を対象システム20に実際に配置せずに囮ファイル191が配置されるべきフォルダに各ユーザがアクセスした際にファイルアクセスツールの操作画面に囮ファイル191を表示してもよい。
リスクベース認証機能は、リスクベース認証技術を活用することにより、対象システム20から各ユーザのアクセスログ21を受信し、受信したログに基づいて各ユーザに対応するリスク値を算出する。また、囮ファイル191が既に配置されている場合において、リスク値算出部120は各ユーザのリスク値を算出する際に囮ファイル191に対するアクセスログを参照する。
内部不正者対策基盤は、内部不正者対策機能を有するシステムであり、デコイ動的配布機能とファイルアクセス機能とを有する。
デコイ動的配布機能は、囮ファイル191を配置するフォルダを選定し、囮ファイル191を選定し、選定した囮ファイル191を選定したフォルダに配置する機能である。
囮配置部140は、内部不正者対策プラグインに対して囮ファイル191を配置するよう指示する。
内部不正者対策プラグインは、ファイルアクセスツールに対する追加機能を実現するソフトウェアモジュールである。囮監視部150の機能は内部不正者対策プラグインによって実現される。
ファイルアクセス機能を実現するファイルアクセスツールは、デコイ動的配布機能の指示に基づいて内部不正者対策プラグインを利用して囮ファイル191を配置する。内部不正者対策プラグインは、囮ファイル191を対象システム20に実際に配置してもよく、囮ファイル191を対象システム20に実際に配置せずに囮ファイル191が配置されるべきフォルダに各ユーザがアクセスした際にファイルアクセスツールの操作画面に囮ファイル191を表示してもよい。
図4は、本実施の形態に係る配置場所選定装置100のハードウェア構成例を示している。配置場所選定装置100は一般的なコンピュータから成る。配置場所選定装置100は複数のコンピュータから成ってもよい。対象システム20と配置場所選定装置100とは一体的に構成されてもよい。
配置場所選定装置100は、本図に示すように、プロセッサ11と、記憶装置12などのハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して適宜接続されている。
プロセッサ11は、演算処理を行うIC(Integrated Circuit)であり、かつ、コンピュータが備えるハードウェアを制御する。プロセッサ11は、具体例として、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、又はGPU(Graphics Processing Unit)である。
配置場所選定装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサはプロセッサ11の役割を分担する。
配置場所選定装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサはプロセッサ11の役割を分担する。
記憶装置12は、揮発性の記憶装置と、不揮発性の記憶装置との少なくともいずれかから成る。揮発性の記憶装置は、具体例としてRAM(Random Access Memory)である。不揮発性の記憶装置は、具体例として、ROM(Read Only Memory)、HDD(Hard Disk Drive)、又はフラッシュメモリである。記憶装置12に記憶されたデータは、必要に応じてプロセッサ11にロードされる。
配置場所選定装置100は、入出力IF(Interface)と、通信装置などのハードウェアを備えてもよい。
入出力IFは、入力装置及び出力装置が接続されるポートである。入出力IFは、具体例としてUSB(Universal Serial Bus)端子である。入力装置は、具体例としてキーボード及びマウスである。出力装置は、具体例としてディスプレイである。
通信装置は、レシーバ及びトランスミッタである。通信装置は、具体例として通信チップ又はNIC(Network Interface Card)である。
配置場所選定装置100の各部は、他の装置などと通信する際に、入出力IF及び通信装置を適宜用いてもよい。
入出力IFは、入力装置及び出力装置が接続されるポートである。入出力IFは、具体例としてUSB(Universal Serial Bus)端子である。入力装置は、具体例としてキーボード及びマウスである。出力装置は、具体例としてディスプレイである。
通信装置は、レシーバ及びトランスミッタである。通信装置は、具体例として通信チップ又はNIC(Network Interface Card)である。
配置場所選定装置100の各部は、他の装置などと通信する際に、入出力IF及び通信装置を適宜用いてもよい。
記憶装置12は配置場所選定プログラムを記憶している。配置場所選定プログラムは、配置場所選定装置100が備える各部の機能をコンピュータに実現させるプログラムである。配置場所選定プログラムは、記憶装置12にロードされて、プロセッサ11によって実行される。配置場所選定装置100が備える各部の機能は、ソフトウェアにより実現される。
記憶装置12は、対象システム20が管理しているファイルを記憶してもよい。
記憶装置12は、対象システム20が管理しているファイルを記憶してもよい。
配置場所選定プログラムを実行する際に用いられるデータと、配置場所選定プログラムを実行することによって得られるデータなどは、記憶装置12に適宜記憶される。配置場所選定装置100の各部は記憶装置12を適宜利用する。なお、データという用語と情報という用語とは同等の意味を有することもある。
記憶装置12は、コンピュータと独立したものであってもよい。各データベースは外部のサーバなどに格納されていてもよい。
記憶装置12は、コンピュータと独立したものであってもよい。各データベースは外部のサーバなどに格納されていてもよい。
配置場所選定プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。配置場所選定プログラムは、プログラムプロダクトとして提供されてもよい。
***動作の説明***
配置場所選定装置100の動作手順は配置場所選定方法に相当する。また、配置場所選定装置100の動作を実現するプログラムは配置場所選定プログラムに相当する。
配置場所選定装置100の動作手順は配置場所選定方法に相当する。また、配置場所選定装置100の動作を実現するプログラムは配置場所選定プログラムに相当する。
図5は、配置場所選定装置100の動作の一例を示すフローチャートである。図5を参照して配置場所選定装置100の動作を説明する。
(ステップS101:リスク値算出処理)
リスク値算出部120は、アクセスログDB180を参照し、ファイルアクセスのログに基づいて各ユーザの振舞いに関するリスク値を算出する。
リスク値算出部120は、アクセスログDB180を参照し、ファイルアクセスのログに基づいて各ユーザの振舞いに関するリスク値を算出する。
(ステップS102:第1対象外エリア特定処理)
通常業務分析部130は、高リスクユーザが普段の正常業務において比較的高い頻度でアクセスするフォルダ群を含むエリアであってファイルツリーの一部に相当するエリアを第1対象外エリアとして特定する。
通常業務分析部130は、高リスクユーザが普段の正常業務において比較的高い頻度でアクセスするフォルダ群を含むエリアであってファイルツリーの一部に相当するエリアを第1対象外エリアとして特定する。
(ステップS103:第2対象外エリア特定処理)
通常業務分析部130は、高リスクユーザがアクセスしたフォルダ群のうち高リスクユーザが普段の正常業務において使わないフォルダにアクセスしたユーザが正常業務において比較的高い頻度でアクセスするフォルダを含むエリアであってファイルツリーの一部に相当するエリアを第2対象外エリアとして特定する。
通常業務分析部130は、高リスクユーザがアクセスしたフォルダ群のうち高リスクユーザが普段の正常業務において使わないフォルダにアクセスしたユーザが正常業務において比較的高い頻度でアクセスするフォルダを含むエリアであってファイルツリーの一部に相当するエリアを第2対象外エリアとして特定する。
(ステップS104:囮ファイル配置処理)
囮配置部140は、囮ファイルDB190から囮ファイル191を選定し、通常業務分析部130が特定した第1対象外エリア及び第2対象外エリアを避けた場所に選定した囮ファイル191を配置する。
囮配置部140は、囮ファイルDB190から囮ファイル191を選定し、通常業務分析部130が特定した第1対象外エリア及び第2対象外エリアを避けた場所に選定した囮ファイル191を配置する。
(ステップS105:囮監視処理)
囮監視部150は、囮ファイル191に対するアクセスを監視し、監視した結果を示す囮ファイルアクセス情報151を生成し、生成した囮ファイルアクセス情報151を出力する。
囮監視部150は、囮ファイル191に対するアクセスを監視し、監視した結果を示す囮ファイルアクセス情報151を生成し、生成した囮ファイルアクセス情報151を出力する。
(ステップS106:高リスクユーザ情報修正処理)
リスク値算出部120は、出力された囮ファイルアクセス情報151に基づいて高リスクユーザ情報121を修正する。
リスク値算出部120は、出力された囮ファイルアクセス情報151に基づいて高リスクユーザ情報121を修正する。
***実施の形態1の効果の説明***
以上のように、本実施の形態によれば、囮データを用いる欺瞞システムにおいて、正規ユーザが普段アクセスするフォルダを避けて囮ファイル191が配置されるため、正規ユーザが囮ファイル191にアクセスする機会を減らすことができる。従って、本実施の形態によれば、悪意がない正規ユーザの業務を阻害するリスクを減らすことができる。
また、本実施の形態によれば、第1対象外エリアを避けて囮ファイル191を配置するため、高リスクユーザが実際には正常ユーザである場合においても当該高リスクユーザの通常業務を阻害するリスクを減らすことができる。
以上のように、本実施の形態によれば、囮データを用いる欺瞞システムにおいて、正規ユーザが普段アクセスするフォルダを避けて囮ファイル191が配置されるため、正規ユーザが囮ファイル191にアクセスする機会を減らすことができる。従って、本実施の形態によれば、悪意がない正規ユーザの業務を阻害するリスクを減らすことができる。
また、本実施の形態によれば、第1対象外エリアを避けて囮ファイル191を配置するため、高リスクユーザが実際には正常ユーザである場合においても当該高リスクユーザの通常業務を阻害するリスクを減らすことができる。
***他の構成***
<変形例1>
図6は、本変形例に係る配置場所選定装置100のハードウェア構成例を示している。
配置場所選定装置100は、プロセッサ11、あるいはプロセッサ11と記憶装置12に代えて、処理回路18を備える。
処理回路18は、配置場所選定装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、記憶装置12に格納されるプログラムを実行するプロセッサであってもよい。
<変形例1>
図6は、本変形例に係る配置場所選定装置100のハードウェア構成例を示している。
配置場所選定装置100は、プロセッサ11、あるいはプロセッサ11と記憶装置12に代えて、処理回路18を備える。
処理回路18は、配置場所選定装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、記憶装置12に格納されるプログラムを実行するプロセッサであってもよい。
処理回路18が専用のハードウェアである場合、処理回路18は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)又はこれらの組み合わせである。
配置場所選定装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
配置場所選定装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
配置場所選定装置100において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。
処理回路18は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
プロセッサ11と記憶装置12と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、配置場所選定装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係る配置場所選定装置100についても、本変形例と同様の構成であってもよい。
プロセッサ11と記憶装置12と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、配置場所選定装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係る配置場所選定装置100についても、本変形例と同様の構成であってもよい。
実施の形態2.
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
***構成の説明***
図7は、本実施の形態に係る配置場所選定装置100の構成例を示している。配置場所選定装置100は、図7に示すように、アクセスパターン分析部210をさらに備える。また、配置場所選定装置100は、アクセスパターンDB280と、配置ルールDB290とをさらに記憶する。
図7は、本実施の形態に係る配置場所選定装置100の構成例を示している。配置場所選定装置100は、図7に示すように、アクセスパターン分析部210をさらに備える。また、配置場所選定装置100は、アクセスパターンDB280と、配置ルールDB290とをさらに記憶する。
内部不正者が、ファイルを1つずつ開いて目視で確認して窃取するファイルを収集しているのではなく、スクリプトなどの自動プログラムを使って一括で窃取するファイルを収集しようとしているとき、内部不正者に対応するリスク値が高くなった時点において内部不正者がアクセスしているファイルの近傍に囮ファイル191を置くことは、囮ファイル191を置いた時点において当該ファイルの近傍に対するアクセスを既に終えているために手遅れである場合がある。なお、当該ファイルの近傍に囮ファイル191を置くと悪意がない正規ユーザが囮ファイル191にアクセスする可能性が増加する。
図8は、マルウェアによるファイルアクセスが異常として検出された場合において囮ファイル191を配置することを説明する図である。図8に示すように、マルウェアがアクセスしているファイルの近傍に囮ファイル191を配置しても手遅れであるが、当該ファイルの近傍以外に囮ファイル191を配置することは手遅れではない。
また、あらかじめ囮ファイル191を広範囲に配置した場合、悪意がない正規ユーザが囮ファイル191にアクセスする可能性が増加する。
ここで、内部不正者のアクセスパターンに応じて囮ファイル191の適切な配置場所は異なるものと考えられる。内部不正者のアクセスパターンは、具体例として、内部不正者が手動アクセスするパターンと、内部不正者がマルウェアにより自動アクセスするパターンとである。そこで、本実施の形態では、アクセスパターンの種類に応じてより効果的に囮ファイル191を配置する手法を提案する。
図8は、マルウェアによるファイルアクセスが異常として検出された場合において囮ファイル191を配置することを説明する図である。図8に示すように、マルウェアがアクセスしているファイルの近傍に囮ファイル191を配置しても手遅れであるが、当該ファイルの近傍以外に囮ファイル191を配置することは手遅れではない。
また、あらかじめ囮ファイル191を広範囲に配置した場合、悪意がない正規ユーザが囮ファイル191にアクセスする可能性が増加する。
ここで、内部不正者のアクセスパターンに応じて囮ファイル191の適切な配置場所は異なるものと考えられる。内部不正者のアクセスパターンは、具体例として、内部不正者が手動アクセスするパターンと、内部不正者がマルウェアにより自動アクセスするパターンとである。そこで、本実施の形態では、アクセスパターンの種類に応じてより効果的に囮ファイル191を配置する手法を提案する。
アクセスパターン分析部210は、アクセスログ21に基づいて対象システム20の各ユーザの対象システム20におけるアクセスパターンを分析する。具体的には、アクセスパターン分析部210は、高リスクユーザ情報121が示す各高リスクユーザの直近のファイルアクセスなどのログと、アクセスパターンDB280が記憶している各アクセスパターン281とを照らし合わせることにより、各高リスクユーザに対応するアクセスパターン281を特定する。
その後、アクセスパターン分析部210は、特定したアクセスパターン281に対応する配置ルール291を配置ルールDB290から特定し、特定した結果に基づいて配置方針情報211を生成し、生成した配置方針情報211を出力する。ここで、アクセスパターンDB280が記憶しているアクセスパターン281ごとに適切な配置ルール291があらかじめ定義されているものとする。なお、アクセスパターン分析部210が検知することができないアクセスパターン281が存在してもよい。
配置方針情報211は、各囮ファイル191を配置する方針を示す情報である。
その後、アクセスパターン分析部210は、特定したアクセスパターン281に対応する配置ルール291を配置ルールDB290から特定し、特定した結果に基づいて配置方針情報211を生成し、生成した配置方針情報211を出力する。ここで、アクセスパターンDB280が記憶しているアクセスパターン281ごとに適切な配置ルール291があらかじめ定義されているものとする。なお、アクセスパターン分析部210が検知することができないアクセスパターン281が存在してもよい。
配置方針情報211は、各囮ファイル191を配置する方針を示す情報である。
アクセスパターンDB280は1つ以上のアクセスパターン281の各々を示すデータを記憶する。
各アクセスパターン281は、具体例として、ユーザの種類と、ユーザがファイルアクセスしたエリアと、ユーザがファイルアクセスした頻度との少なくともいずれかに応じた分類であってもよい。ユーザの種類は、具体例として、外部攻撃者と、高リスクユーザと、低リスクユーザとである。低リスクユーザは高リスクユーザ以外のユーザである。外部攻撃者は高リスクユーザの一部として扱われてもよい。
各アクセスパターン281は、想定されるファイルアクセスの特徴に応じたファイルアクセスの分類に相当する。各アクセスパターン281には、各アクセスパターン281に当たるか否かを判定する検知ルールに関するデータが含まれてもよい。検知ルールに関するデータは、具体例として、ユーザが一定時間内にアクセスしたファイルの数の基準値と、一定時間内にアクセスしたディレクトリの数の基準値との少なくともいずれかを示す。
各アクセスパターン281は、内部不正者のファイルアクセスを手動で模擬実行した際のファイルアクセスのログ、又はマルウェアなどの自動プログラムを実行した際のファイルアクセスのログなどをあらかじめ収集しておき、収集したログを用いて機械学習などの技術を使って学習したパターンであってもよい。
各アクセスパターン281は、具体例として、ユーザの種類と、ユーザがファイルアクセスしたエリアと、ユーザがファイルアクセスした頻度との少なくともいずれかに応じた分類であってもよい。ユーザの種類は、具体例として、外部攻撃者と、高リスクユーザと、低リスクユーザとである。低リスクユーザは高リスクユーザ以外のユーザである。外部攻撃者は高リスクユーザの一部として扱われてもよい。
各アクセスパターン281は、想定されるファイルアクセスの特徴に応じたファイルアクセスの分類に相当する。各アクセスパターン281には、各アクセスパターン281に当たるか否かを判定する検知ルールに関するデータが含まれてもよい。検知ルールに関するデータは、具体例として、ユーザが一定時間内にアクセスしたファイルの数の基準値と、一定時間内にアクセスしたディレクトリの数の基準値との少なくともいずれかを示す。
各アクセスパターン281は、内部不正者のファイルアクセスを手動で模擬実行した際のファイルアクセスのログ、又はマルウェアなどの自動プログラムを実行した際のファイルアクセスのログなどをあらかじめ収集しておき、収集したログを用いて機械学習などの技術を使って学習したパターンであってもよい。
配置ルールDB290は1つ以上の配置ルール291の各々を示すデータを記憶する。
配置ルール291は、各囮ファイル191を配置するエリアを示すルールであり、具体例として、配置対象外エリアからxホップ以上かつyホップ未満である範囲内のエリアに囮ファイル191を配置することを示すルールである。ここで、ホップは2つのディレクトリ間の距離を表す単位であり、1階層離れた2つのディレクトリ間の距離は1ホップである。x及びyの各々は自然数であり、yの値はxの値よりも大きい。高リスクユーザがマルウェアを用いた場合に対応するアクセスパターンに対応する配置ルール291は、1つ以上の囮ファイル191を配置する時点から過去基準時間以内に高リスクユーザがアクセスしたファイルからファイルツリーにおいて基準距離以上離れたエリアに1つ以上の囮ファイル191を配置するルールであってもよい。1つ以上の囮ファイル191を配置する時点から過去基準時間以内は、1つ以上の囮ファイル191を配置する時点から過去基準時間分過去に遡った時点から、1つ以上の囮ファイル191を配置する時点までの間である。
なお、配置ルール291は、囮ファイル191の配置対象として、各高リスクユーザがアクセスしたドライブとは異なるドライブを示すルールであってもよい。配置対象は、クラウドシステム上のファイルシステムであってもよく、ネットワークドライブであってもよい。
配置ルール291は、各囮ファイル191を配置するエリアを示すルールであり、具体例として、配置対象外エリアからxホップ以上かつyホップ未満である範囲内のエリアに囮ファイル191を配置することを示すルールである。ここで、ホップは2つのディレクトリ間の距離を表す単位であり、1階層離れた2つのディレクトリ間の距離は1ホップである。x及びyの各々は自然数であり、yの値はxの値よりも大きい。高リスクユーザがマルウェアを用いた場合に対応するアクセスパターンに対応する配置ルール291は、1つ以上の囮ファイル191を配置する時点から過去基準時間以内に高リスクユーザがアクセスしたファイルからファイルツリーにおいて基準距離以上離れたエリアに1つ以上の囮ファイル191を配置するルールであってもよい。1つ以上の囮ファイル191を配置する時点から過去基準時間以内は、1つ以上の囮ファイル191を配置する時点から過去基準時間分過去に遡った時点から、1つ以上の囮ファイル191を配置する時点までの間である。
なお、配置ルール291は、囮ファイル191の配置対象として、各高リスクユーザがアクセスしたドライブとは異なるドライブを示すルールであってもよい。配置対象は、クラウドシステム上のファイルシステムであってもよく、ネットワークドライブであってもよい。
図9及び図10は、各アクセスパターン281と、各アクセスパターン281に対応する配置ルール291との具体例を説明する図である。図9及び図10に示すように、アクセスパターン281ごとに、アクセスパターン281を検知する検知ルールと、囮ファイル191の配置ルール291との各々が定義されている。
「アクセスパターンの特徴」は、各アクセスパターン281において特徴的な事項である。
「検知ルール」は、各アクセスパターン281を検知するルールであり、「アクセスパターンの特徴」に応じて定義されるルールである。
「今後の予想される行動」は、ユーザ又はツールの今後の行動として予想されるファイルアクセスである。
配置ルール291は、「今後予想される行動」に応じて定義されるルールである。
なお、アクセスパターンDB280は、「アクセスパターンの特徴」を示す情報と「今後予想される行動」を示す情報との各々を記憶しなくてもよい。
「アクセスパターンの特徴」は、各アクセスパターン281において特徴的な事項である。
「検知ルール」は、各アクセスパターン281を検知するルールであり、「アクセスパターンの特徴」に応じて定義されるルールである。
「今後の予想される行動」は、ユーザ又はツールの今後の行動として予想されるファイルアクセスである。
配置ルール291は、「今後予想される行動」に応じて定義されるルールである。
なお、アクセスパターンDB280は、「アクセスパターンの特徴」を示す情報と「今後予想される行動」を示す情報との各々を記憶しなくてもよい。
本実施の形態に係る囮配置部140は、高リスクユーザの対象システム20におけるアクセスパターンに対応する配置ルール291に応じて配置対象エリアに1つ以上の囮ファイル191を配置する。具体的には、囮配置部140は、配置方針情報211が示す配置方針に応じて、内部不正者対策プラグインに対して囮ファイル191を配置するよう指示する。また、囮配置部140は、高リスクユーザに対応するアクセスパターン281に対応する囮ファイル191の配置方針に応じて、配置対象外エリアの近辺だけでなく、配置対象外エリアの近辺以外の広範囲に囮ファイル191を配置する機能を有する。
***動作の説明***
図11は、配置場所選定装置100の動作の一例を示すフローチャートである。図11を用いて配置場所選定装置100の動作を説明する。
図11は、配置場所選定装置100の動作の一例を示すフローチャートである。図11を用いて配置場所選定装置100の動作を説明する。
(ステップS201:アクセスパターン特定処理)
アクセスパターン分析部210は、アクセスログDB180が示す高リスクユーザのアクセスログと、アクセスパターンDB280とに基づいて高リスクユーザのアクセスパターン281を特定し、特定したアクセスパターン281に対応する配置ルール291を配置ルールDB290から特定し、特定した配置ルール291に基づいて配置方針情報211を生成する。
アクセスパターン分析部210は、アクセスログDB180が示す高リスクユーザのアクセスログと、アクセスパターンDB280とに基づいて高リスクユーザのアクセスパターン281を特定し、特定したアクセスパターン281に対応する配置ルール291を配置ルールDB290から特定し、特定した配置ルール291に基づいて配置方針情報211を生成する。
(ステップS202:囮ファイル配置処理)
囮配置部140は、囮ファイルDB190から囮ファイル191を選定し、ステップS201において生成された配置方針情報211に応じて第1対象外エリア及び第2対象外エリアを避けた場所に選定した囮ファイル191を配置する。
囮配置部140は、囮ファイルDB190から囮ファイル191を選定し、ステップS201において生成された配置方針情報211に応じて第1対象外エリア及び第2対象外エリアを避けた場所に選定した囮ファイル191を配置する。
***実施の形態2の効果の説明***
以上のように、本実施の形態によれば、高リスクユーザのアクセスパターン281に応じて囮ファイル191を配置するため、不正なファイルアクセスの種類に応じてより効果的に囮ファイル191を配置することができる。
以上のように、本実施の形態によれば、高リスクユーザのアクセスパターン281に応じて囮ファイル191を配置するため、不正なファイルアクセスの種類に応じてより効果的に囮ファイル191を配置することができる。
***他の実施の形態***
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から2で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャートなどを用いて説明した手順は適宜変更されてもよい。
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から2で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャートなどを用いて説明した手順は適宜変更されてもよい。
11 プロセッサ、12 記憶装置、18 処理回路、20 対象システム、21 アクセスログ、90 配置場所選定システム、100 配置場所選定装置、110 ログ収集部、120 リスク値算出部、121 高リスクユーザ情報、130 通常業務分析部、131 対象外エリア情報、140 囮配置部、141 囮ファイル情報、150 囮監視部、151 囮ファイルアクセス情報、180 アクセスログDB、190 囮ファイルDB、191 囮ファイル、210 アクセスパターン分析部、211 配置方針情報、280 アクセスパターンDB、281 アクセスパターン、290 配置ルールDB、291 配置ルール。
Claims (12)
- 対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置部と、
前記対象システムにおけるアクセスログに基づいて前記第1対象外エリアと前記第2対象外エリアとの各々を推定する通常業務分析部と
を備える配置場所選定装置。 - 対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置部
を備える配置場所選定装置であって、
前記囮配置部は、前記高リスクユーザの前記対象システムにおけるアクセスパターンに対応する配置ルールに応じて前記配置対象エリアに前記1つ以上の囮ファイルを配置する配置場所選定装置。 - 前記配置対象エリアは、前記高リスクユーザがアクセスすると予想されるエリアを含む請求項1又は2に記載の配置場所選定装置。
- 前記配置場所選定装置は、さらに、
前記対象システムの各ユーザの前記対象システムにおけるアクセスパターンに基づいて各ユーザに対応するリスク値を算出するリスク値算出部
を備え、
前記高リスクユーザは、前記対象システムのユーザのうち対応するリスク値がリスク基準値以上であるユーザである請求項1又は2に記載の配置場所選定装置。 - 前記リスク値算出部は、前記対象システムのユーザである対象ユーザが前記1つ以上の囮ファイルの少なくとも1つにアクセスした場合に、前記対象ユーザに対応するリスク値を引き上げる請求項4に記載の配置場所選定装置。
- 前記配置場所選定装置は、さらに、
前記対象システムにおけるアクセスログに基づいて前記第1対象外エリアと前記第2対象外エリアとの各々を推定する通常業務分析部
を備える請求項2に記載の配置場所選定装置。 - 前記高リスクユーザがマルウェアを用いた場合に対応するアクセスパターンに対応する配置ルールは、前記1つ以上の囮ファイルを配置する時点から過去基準時間以内に前記高リスクユーザがアクセスしたファイルから前記ファイルツリーにおいて基準距離以上離れたエリアに前記1つ以上の囮ファイルを配置するルールである請求項2に記載の配置場所選定装置。
- 前記配置場所選定装置は、さらに、
前記対象システムにおけるアクセスログに基づいて前記対象システムの各ユーザの前記対象システムにおけるアクセスパターンを分析するアクセスパターン分析部
を備える請求項2又は7に記載の配置場所選定装置。 - コンピュータが、対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置し、
前記コンピュータが、前記対象システムにおけるアクセスログに基づいて前記第1対象外エリアと前記第2対象外エリアとの各々を推定する配置場所選定方法。 - コンピュータが、対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置し、
前記コンピュータが、前記高リスクユーザの前記対象システムにおけるアクセスパターンに対応する配置ルールに応じて前記配置対象エリアに前記1つ以上の囮ファイルを配置する配置場所選定方法。 - 対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置処理と、
前記対象システムにおけるアクセスログに基づいて前記第1対象外エリアと前記第2対象外エリアとの各々を推定する通常業務分析処理と
をコンピュータである配置場所選定装置に実行させる配置場所選定プログラム。 - 対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置処理
をコンピュータである配置場所選定装置に実行させる配置場所選定プログラムであって、
前記囮配置処理では、前記高リスクユーザの前記対象システムにおけるアクセスパターンに対応する配置ルールに応じて前記配置対象エリアに前記1つ以上の囮ファイルを配置する配置場所選定プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022044978 | 2022-12-06 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP7361997B1 true JP7361997B1 (ja) | 2023-10-16 |
Family
ID=88328355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023526121A Active JP7361997B1 (ja) | 2022-12-06 | 2022-12-06 | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7361997B1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014103115A1 (ja) | 2012-12-26 | 2014-07-03 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
| JP2022060950A (ja) | 2020-10-05 | 2022-04-15 | 三菱電機株式会社 | 欺瞞システム、欺瞞方法および欺瞞プログラム |
| WO2022225508A1 (en) | 2021-04-20 | 2022-10-27 | Assured Information Security, Inc. | Prevention and remediation of malware based on selective presentation of files to processes |
-
2022
- 2022-12-06 JP JP2023526121A patent/JP7361997B1/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014103115A1 (ja) | 2012-12-26 | 2014-07-03 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
| JP2022060950A (ja) | 2020-10-05 | 2022-04-15 | 三菱電機株式会社 | 欺瞞システム、欺瞞方法および欺瞞プログラム |
| WO2022225508A1 (en) | 2021-04-20 | 2022-10-27 | Assured Information Security, Inc. | Prevention and remediation of malware based on selective presentation of files to processes |
Non-Patent Citations (1)
| Title |
|---|
| 長谷川 翔 ほか,視覚型欺瞞機構と定期ログ分析の併用による標的型攻撃対策(A Countermeasure Against Targeted Attacks Us,コンピュータセキュリティシンポジウム2020論文集,日本,情報処理学会,2020年10月19日,pp.567-572 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9311476B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
| US9888032B2 (en) | Method and system for mitigating the effects of ransomware | |
| CN108268354A (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
| TWI703468B (zh) | 用於產生可疑事件時序圖的可疑事件研判裝置與相關的電腦程式產品 | |
| JP5736305B2 (ja) | ソフトウェア評価を確立し監視するシステムおよびプログラム | |
| US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
| CN111683084B (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
| Aldauiji et al. | Utilizing cyber threat hunting techniques to find ransomware attacks: A survey of the state of the art | |
| WO2016014014A1 (en) | Remedial action for release of threat data | |
| KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
| JP5413010B2 (ja) | 分析装置、分析方法およびプログラム | |
| JP7470116B2 (ja) | セキュア通信方法およびそのシステム | |
| JP2006350708A (ja) | セキュリティ設計支援方法及び支援装置 | |
| JP2019219898A (ja) | セキュリティ対策検討ツール | |
| CN116049859A (zh) | 一种数据安全治理方法、系统、终端设备及存储介质 | |
| Zhang | The utility of inconsistency in information security and digital forensics | |
| JP2009048317A (ja) | セキュリティ評価方法、セキュリティ評価装置 | |
| CN103001937A (zh) | 孤岛式以太网防御移动存储介质病毒的系统和方法 | |
| JP7361997B1 (ja) | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム | |
| KR101081875B1 (ko) | 정보시스템 위험에 대한 예비경보 시스템 및 그 방법 | |
| EP3783514A1 (en) | A system and a method for automated cyber-security risk control | |
| JP2005234661A (ja) | アクセスポリシ生成システム、アクセスポリシ生成方法およびアクセスポリシ生成用プログラム | |
| JP6274090B2 (ja) | 脅威分析装置、及び脅威分析方法 | |
| EP3441930A1 (en) | System and method of identifying potentially dangerous devices during the interaction of a user with banking services | |
| JP7427146B1 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230427 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230427 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230801 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230824 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230905 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231003 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7361997 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |