JP7361997B1 - 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム - Google Patents
配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム Download PDFInfo
- Publication number
- JP7361997B1 JP7361997B1 JP2023526121A JP2023526121A JP7361997B1 JP 7361997 B1 JP7361997 B1 JP 7361997B1 JP 2023526121 A JP2023526121 A JP 2023526121A JP 2023526121 A JP2023526121 A JP 2023526121A JP 7361997 B1 JP7361997 B1 JP 7361997B1
- Authority
- JP
- Japan
- Prior art keywords
- user
- target
- files
- area
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
Description
本開示は、囮データを用いる欺瞞システムにおいて、悪意がない正規ユーザの業務を阻害するリスクを減らすことを目的とする。
対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置部
を備える。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
図1は、本実施の形態に係る配置場所選定装置100の構成例を示している。配置場所選定装置100は、本図に示すように、ログ収集部110と、リスク値算出部120と、通常業務分析部130と、囮配置部140と、囮監視部150とを備える。また、配置場所選定装置100は、アクセスログDB(Database)180と、囮ファイルDB190とを記憶する。
各ユーザに対応するリスク値は、対象システム20における各ユーザの振舞いに応じて算出される値であり、また、各ユーザが実際に内部不正者である可能性に対応する値である。対象システム20における各ユーザの振舞いは、対象システム20における各ユーザの行動である。各ユーザの振舞いの構成要素は、具体例として、各ユーザがアクセスしたファイルと、各ユーザのファイルアクセスの順序と、各ユーザがファイルアクセスを実行した時間帯と、各ユーザの単位時間当たりのファイルアクセス数とである。内部不正者は、組織からデータを窃取することを目的として組織の内部において活動する主体である。内部不正者は、具体例として、対象システム20における内部犯、又は、正規のクレデンシャルを窃取したマルウェアであって、対象システム20を管理している組織において用いられているPC(Personal Computer)に感染しているマルウェアである。内部犯は、正規のアクセス権限を持つユーザのうち、組織の内部においてセキュリティ攻撃に携わるユーザである。内部犯は悪意を持つユーザでもある。マルウェアは、具体例として、単体で自律的に動作するもの、又は、インターネット上のCommand&Controlサーバを介して、組織外部の攻撃者からの指令に従って動作するものである。
リスク値算出部120は、あらかじめファイルアクセスなどのログからユーザごとに対象システム20における正常な振舞いのパターンをモデル化し、対象システム20における各ユーザの実際の振舞いがモデル化した正常な振舞いのパターンから逸脱した度合いを各ユーザに対応するリスク値として算出してもよい。リスク値算出部120は、正常な振舞いのパターンをモデル化する際に、機械学習などの技術を活用してもよく、User and Entity Behavior Analytics(UEBA)などのアクセスログに基づいてユーザごとに振舞いの異常を検知する技術を用いてもよい。
また、リスク値算出部120は、高リスクユーザ情報121を生成し、生成した高リスクユーザ情報121を出力する。高リスクユーザ情報121は、各高リスクユーザと、各高リスクユーザの特性との各々を示す情報である。高リスクユーザ情報121には、具体例として、各高リスクユーザと、各高リスクユーザに対応するリスク値と、各高リスクユーザがアクセスしていた1つ以上のファイルなどを示すデータが含まれる。高リスクユーザは、対象システム20のユーザであり、対象システム20のユーザのうち対応するリスク値が既定の閾値であるリスク基準値以上であるユーザであり、内部不正者である可能性が比較的高いユーザである。なお、アクセスログ21と囮ファイルアクセス情報151との少なくともいずれかが更新された場合に、更新された情報に基づいて高リスクユーザ情報121が更新されることもある。
具体例として、通常業務分析部130は、高リスクユーザ情報121が示す各高リスクユーザのファイルアクセスのログから各高リスクユーザに対応する通常アクセスエリアを特定し、特定した通常アクセスエリアを配置対象外エリアに加える。各ユーザに対応する通常アクセスエリアは、各ユーザが業務において普段アクセスするファイルツリーの範囲であり、各ユーザが比較的高い頻度でアクセスするエリアであり、具体例として各ユーザが普段アクセスしている1つ以上のファイルと1つ以上のディレクトリとから成る。この際、通常業務分析部130は、具体例として、既定の期間内に各ユーザが既定の回数以上のアクセスしたファイル及びディレクトリを各ユーザが普段アクセスしているファイル及びディレクリとする。配置対象外エリアは、ファイルツリーの一部に相当するエリアであり、囮ファイル191を配置しないエリアである。
また、通常業務分析部130は、高リスクユーザ情報121が示す各高リスクユーザがアクセスした各ファイルに対するアクセスなどを示すログから、各ファイルに普段アクセスする他のユーザが各高リスクユーザと同じ又は比較的近いタイミングでアクセスする1つ以上のファイル及び1つ以上のディレクトリを特定し、特定した1つ以上のファイル及び1つ以上のディレクトリを含む範囲を配置対象外エリアに加える。この際、通常業務分析部130は、具体例として、各高リスクユーザがアクセスした各ファイルがアクセスされたタイミングから既定の期間内に既定の回数以上のアクセスがあったファイル及びディレクトリを、他のユーザが各高リスクユーザと同じ又は比較的近いタイミングでアクセスするファイル及びディレクトリとする。
具体的には、囮配置部140は、囮ファイルDB190から1つ以上の囮ファイル191を選定し、ファイルツリーにおけるエリアであって、高リスクユーザ情報121が示す各高リスクユーザがアクセスしたファイルの近辺のエリア、かつ、配置対象外エリア以外のエリアに選定した囮ファイル191を配置する指示を対象システム20に対して実行し、実行した指示に対応する囮ファイル情報141を生成し、生成した囮ファイル情報141を出力する。囮ファイル191に対応する囮ファイル情報141は、囮ファイル191のファイル名及び配置場所などを示す情報である。この際、囮配置部140は、ランダムに囮ファイル191を囮ファイルDB190から選定してもよく、高リスクユーザの特性に応じて囮ファイル191を囮ファイルDB190から選定してもよい。囮配置部140は、囮ファイル191を配置する指示を対象システム20に対して実行する代わりに囮ファイル191を対象システム20に配置してもよい。
なお、囮配置部140は、高リスクユーザがアクセスしたファイルのコンテンツ及びファイル名などからトピックを抽出し、抽出したトピックに関連があるファイル又はディレクトリが存在するエリアをさらに絞りこみ、絞り込んだエリア内に囮ファイル191を配置してもよい。この際、囮配置部140はTop2Vecなどのトピックモデルを利用してトピックを抽出してもよい。
囮配置部140は、囮フォルダを作成し、作成した囮フォルダに囮ファイル191を配置する指示を対象システム20に対して実行してもよい。囮配置部140は、各ユーザに対応するアクセスログ21に囮ファイル191にアクセスしたことを示す情報を追加してもよい。
囮ファイル191は、各ユーザの業務との関連が直接的にはないファイルである。囮ファイル191のファイル名及びファイル形式などは、内部不正者のアクセス傾向などを分析した結果に基づいて内部不正者の興味を引き得るように生成されたものであってもよく、AI(Artificial Intelligence)によって生成されたものであってもよい。
通常業務分析部130は、正常ユーザによるファイルアクセスの傾向を分析し、分析した結果に基づいて悪意がない範囲で各ユーザがアクセスする可能性があるフォルダを推測する。具体的には、通常業務分析部130は、正常ユーザの通常アクセスエリアと、高リスクユーザの通常アクセスエリアとの各々を推測する。正常ユーザの通常アクセスエリアは第2対象外エリアに相当する。高リスクユーザの通常アクセスエリアは第1対象外エリアに相当する。
囮配置部140は、通常業務分析部130が推測した結果に基づいて囮ファイル191を配置するフォルダを選定する。この際、囮配置部140は、各ユーザの振舞いの監視によって検出された異常に基づいて高リスクユーザによる今後のファイルアクセスを予想し、予想したファイルアクセスに対応するファイルを格納しているフォルダに囮ファイル191を配置してもよい。具体例として、囮配置部140は、図2に示すように、高リスクユーザによる今後のファイルアクセスを予想し、予想した結果に基づいて囮ファイル191を配置するフォルダを選定する。
分析者は、囮ファイルアクセス情報151と高リスクユーザ情報121とに基づいて高リスクユーザを絞り込んでもよく、絞り込んだ結果を高リスクユーザ情報121に反映してもよい。分析者は、具体例として対象システム20におけるセキュリティ攻撃を分析する人又はコンピュータである。
囮ファイルDB190は、1つ以上の囮ファイル191を格納するデータベースである。
リスクベース認証機能は、リスクベース認証技術を活用することにより、対象システム20から各ユーザのアクセスログ21を受信し、受信したログに基づいて各ユーザに対応するリスク値を算出する。また、囮ファイル191が既に配置されている場合において、リスク値算出部120は各ユーザのリスク値を算出する際に囮ファイル191に対するアクセスログを参照する。
内部不正者対策基盤は、内部不正者対策機能を有するシステムであり、デコイ動的配布機能とファイルアクセス機能とを有する。
デコイ動的配布機能は、囮ファイル191を配置するフォルダを選定し、囮ファイル191を選定し、選定した囮ファイル191を選定したフォルダに配置する機能である。
囮配置部140は、内部不正者対策プラグインに対して囮ファイル191を配置するよう指示する。
内部不正者対策プラグインは、ファイルアクセスツールに対する追加機能を実現するソフトウェアモジュールである。囮監視部150の機能は内部不正者対策プラグインによって実現される。
ファイルアクセス機能を実現するファイルアクセスツールは、デコイ動的配布機能の指示に基づいて内部不正者対策プラグインを利用して囮ファイル191を配置する。内部不正者対策プラグインは、囮ファイル191を対象システム20に実際に配置してもよく、囮ファイル191を対象システム20に実際に配置せずに囮ファイル191が配置されるべきフォルダに各ユーザがアクセスした際にファイルアクセスツールの操作画面に囮ファイル191を表示してもよい。
配置場所選定装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサはプロセッサ11の役割を分担する。
入出力IFは、入力装置及び出力装置が接続されるポートである。入出力IFは、具体例としてUSB(Universal Serial Bus)端子である。入力装置は、具体例としてキーボード及びマウスである。出力装置は、具体例としてディスプレイである。
通信装置は、レシーバ及びトランスミッタである。通信装置は、具体例として通信チップ又はNIC(Network Interface Card)である。
配置場所選定装置100の各部は、他の装置などと通信する際に、入出力IF及び通信装置を適宜用いてもよい。
記憶装置12は、対象システム20が管理しているファイルを記憶してもよい。
記憶装置12は、コンピュータと独立したものであってもよい。各データベースは外部のサーバなどに格納されていてもよい。
配置場所選定装置100の動作手順は配置場所選定方法に相当する。また、配置場所選定装置100の動作を実現するプログラムは配置場所選定プログラムに相当する。
リスク値算出部120は、アクセスログDB180を参照し、ファイルアクセスのログに基づいて各ユーザの振舞いに関するリスク値を算出する。
通常業務分析部130は、高リスクユーザが普段の正常業務において比較的高い頻度でアクセスするフォルダ群を含むエリアであってファイルツリーの一部に相当するエリアを第1対象外エリアとして特定する。
通常業務分析部130は、高リスクユーザがアクセスしたフォルダ群のうち高リスクユーザが普段の正常業務において使わないフォルダにアクセスしたユーザが正常業務において比較的高い頻度でアクセスするフォルダを含むエリアであってファイルツリーの一部に相当するエリアを第2対象外エリアとして特定する。
囮配置部140は、囮ファイルDB190から囮ファイル191を選定し、通常業務分析部130が特定した第1対象外エリア及び第2対象外エリアを避けた場所に選定した囮ファイル191を配置する。
囮監視部150は、囮ファイル191に対するアクセスを監視し、監視した結果を示す囮ファイルアクセス情報151を生成し、生成した囮ファイルアクセス情報151を出力する。
リスク値算出部120は、出力された囮ファイルアクセス情報151に基づいて高リスクユーザ情報121を修正する。
以上のように、本実施の形態によれば、囮データを用いる欺瞞システムにおいて、正規ユーザが普段アクセスするフォルダを避けて囮ファイル191が配置されるため、正規ユーザが囮ファイル191にアクセスする機会を減らすことができる。従って、本実施の形態によれば、悪意がない正規ユーザの業務を阻害するリスクを減らすことができる。
また、本実施の形態によれば、第1対象外エリアを避けて囮ファイル191を配置するため、高リスクユーザが実際には正常ユーザである場合においても当該高リスクユーザの通常業務を阻害するリスクを減らすことができる。
<変形例1>
図6は、本変形例に係る配置場所選定装置100のハードウェア構成例を示している。
配置場所選定装置100は、プロセッサ11、あるいはプロセッサ11と記憶装置12に代えて、処理回路18を備える。
処理回路18は、配置場所選定装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、記憶装置12に格納されるプログラムを実行するプロセッサであってもよい。
配置場所選定装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
プロセッサ11と記憶装置12と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、配置場所選定装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係る配置場所選定装置100についても、本変形例と同様の構成であってもよい。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
図7は、本実施の形態に係る配置場所選定装置100の構成例を示している。配置場所選定装置100は、図7に示すように、アクセスパターン分析部210をさらに備える。また、配置場所選定装置100は、アクセスパターンDB280と、配置ルールDB290とをさらに記憶する。
図8は、マルウェアによるファイルアクセスが異常として検出された場合において囮ファイル191を配置することを説明する図である。図8に示すように、マルウェアがアクセスしているファイルの近傍に囮ファイル191を配置しても手遅れであるが、当該ファイルの近傍以外に囮ファイル191を配置することは手遅れではない。
また、あらかじめ囮ファイル191を広範囲に配置した場合、悪意がない正規ユーザが囮ファイル191にアクセスする可能性が増加する。
ここで、内部不正者のアクセスパターンに応じて囮ファイル191の適切な配置場所は異なるものと考えられる。内部不正者のアクセスパターンは、具体例として、内部不正者が手動アクセスするパターンと、内部不正者がマルウェアにより自動アクセスするパターンとである。そこで、本実施の形態では、アクセスパターンの種類に応じてより効果的に囮ファイル191を配置する手法を提案する。
その後、アクセスパターン分析部210は、特定したアクセスパターン281に対応する配置ルール291を配置ルールDB290から特定し、特定した結果に基づいて配置方針情報211を生成し、生成した配置方針情報211を出力する。ここで、アクセスパターンDB280が記憶しているアクセスパターン281ごとに適切な配置ルール291があらかじめ定義されているものとする。なお、アクセスパターン分析部210が検知することができないアクセスパターン281が存在してもよい。
配置方針情報211は、各囮ファイル191を配置する方針を示す情報である。
各アクセスパターン281は、具体例として、ユーザの種類と、ユーザがファイルアクセスしたエリアと、ユーザがファイルアクセスした頻度との少なくともいずれかに応じた分類であってもよい。ユーザの種類は、具体例として、外部攻撃者と、高リスクユーザと、低リスクユーザとである。低リスクユーザは高リスクユーザ以外のユーザである。外部攻撃者は高リスクユーザの一部として扱われてもよい。
各アクセスパターン281は、想定されるファイルアクセスの特徴に応じたファイルアクセスの分類に相当する。各アクセスパターン281には、各アクセスパターン281に当たるか否かを判定する検知ルールに関するデータが含まれてもよい。検知ルールに関するデータは、具体例として、ユーザが一定時間内にアクセスしたファイルの数の基準値と、一定時間内にアクセスしたディレクトリの数の基準値との少なくともいずれかを示す。
各アクセスパターン281は、内部不正者のファイルアクセスを手動で模擬実行した際のファイルアクセスのログ、又はマルウェアなどの自動プログラムを実行した際のファイルアクセスのログなどをあらかじめ収集しておき、収集したログを用いて機械学習などの技術を使って学習したパターンであってもよい。
配置ルール291は、各囮ファイル191を配置するエリアを示すルールであり、具体例として、配置対象外エリアからxホップ以上かつyホップ未満である範囲内のエリアに囮ファイル191を配置することを示すルールである。ここで、ホップは2つのディレクトリ間の距離を表す単位であり、1階層離れた2つのディレクトリ間の距離は1ホップである。x及びyの各々は自然数であり、yの値はxの値よりも大きい。高リスクユーザがマルウェアを用いた場合に対応するアクセスパターンに対応する配置ルール291は、1つ以上の囮ファイル191を配置する時点から過去基準時間以内に高リスクユーザがアクセスしたファイルからファイルツリーにおいて基準距離以上離れたエリアに1つ以上の囮ファイル191を配置するルールであってもよい。1つ以上の囮ファイル191を配置する時点から過去基準時間以内は、1つ以上の囮ファイル191を配置する時点から過去基準時間分過去に遡った時点から、1つ以上の囮ファイル191を配置する時点までの間である。
なお、配置ルール291は、囮ファイル191の配置対象として、各高リスクユーザがアクセスしたドライブとは異なるドライブを示すルールであってもよい。配置対象は、クラウドシステム上のファイルシステムであってもよく、ネットワークドライブであってもよい。
「アクセスパターンの特徴」は、各アクセスパターン281において特徴的な事項である。
「検知ルール」は、各アクセスパターン281を検知するルールであり、「アクセスパターンの特徴」に応じて定義されるルールである。
「今後の予想される行動」は、ユーザ又はツールの今後の行動として予想されるファイルアクセスである。
配置ルール291は、「今後予想される行動」に応じて定義されるルールである。
なお、アクセスパターンDB280は、「アクセスパターンの特徴」を示す情報と「今後予想される行動」を示す情報との各々を記憶しなくてもよい。
図11は、配置場所選定装置100の動作の一例を示すフローチャートである。図11を用いて配置場所選定装置100の動作を説明する。
アクセスパターン分析部210は、アクセスログDB180が示す高リスクユーザのアクセスログと、アクセスパターンDB280とに基づいて高リスクユーザのアクセスパターン281を特定し、特定したアクセスパターン281に対応する配置ルール291を配置ルールDB290から特定し、特定した配置ルール291に基づいて配置方針情報211を生成する。
囮配置部140は、囮ファイルDB190から囮ファイル191を選定し、ステップS201において生成された配置方針情報211に応じて第1対象外エリア及び第2対象外エリアを避けた場所に選定した囮ファイル191を配置する。
以上のように、本実施の形態によれば、高リスクユーザのアクセスパターン281に応じて囮ファイル191を配置するため、不正なファイルアクセスの種類に応じてより効果的に囮ファイル191を配置することができる。
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から2で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャートなどを用いて説明した手順は適宜変更されてもよい。
Claims (12)
- 対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置部と、
前記対象システムにおけるアクセスログに基づいて前記第1対象外エリアと前記第2対象外エリアとの各々を推定する通常業務分析部と
を備える配置場所選定装置。 - 対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置部
を備える配置場所選定装置であって、
前記囮配置部は、前記高リスクユーザの前記対象システムにおけるアクセスパターンに対応する配置ルールに応じて前記配置対象エリアに前記1つ以上の囮ファイルを配置する配置場所選定装置。 - 前記配置対象エリアは、前記高リスクユーザがアクセスすると予想されるエリアを含む請求項1又は2に記載の配置場所選定装置。
- 前記配置場所選定装置は、さらに、
前記対象システムの各ユーザの前記対象システムにおけるアクセスパターンに基づいて各ユーザに対応するリスク値を算出するリスク値算出部
を備え、
前記高リスクユーザは、前記対象システムのユーザのうち対応するリスク値がリスク基準値以上であるユーザである請求項1又は2に記載の配置場所選定装置。 - 前記リスク値算出部は、前記対象システムのユーザである対象ユーザが前記1つ以上の囮ファイルの少なくとも1つにアクセスした場合に、前記対象ユーザに対応するリスク値を引き上げる請求項4に記載の配置場所選定装置。
- 前記配置場所選定装置は、さらに、
前記対象システムにおけるアクセスログに基づいて前記第1対象外エリアと前記第2対象外エリアとの各々を推定する通常業務分析部
を備える請求項2に記載の配置場所選定装置。 - 前記高リスクユーザがマルウェアを用いた場合に対応するアクセスパターンに対応する配置ルールは、前記1つ以上の囮ファイルを配置する時点から過去基準時間以内に前記高リスクユーザがアクセスしたファイルから前記ファイルツリーにおいて基準距離以上離れたエリアに前記1つ以上の囮ファイルを配置するルールである請求項2に記載の配置場所選定装置。
- 前記配置場所選定装置は、さらに、
前記対象システムにおけるアクセスログに基づいて前記対象システムの各ユーザの前記対象システムにおけるアクセスパターンを分析するアクセスパターン分析部
を備える請求項2又は7に記載の配置場所選定装置。 - コンピュータが、対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置し、
前記コンピュータが、前記対象システムにおけるアクセスログに基づいて前記第1対象外エリアと前記第2対象外エリアとの各々を推定する配置場所選定方法。 - コンピュータが、対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置し、
前記コンピュータが、前記高リスクユーザの前記対象システムにおけるアクセスパターンに対応する配置ルールに応じて前記配置対象エリアに前記1つ以上の囮ファイルを配置する配置場所選定方法。 - 対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置処理と、
前記対象システムにおけるアクセスログに基づいて前記第1対象外エリアと前記第2対象外エリアとの各々を推定する通常業務分析処理と
をコンピュータである配置場所選定装置に実行させる配置場所選定プログラム。 - 対象システムのユーザである高リスクユーザがアクセスした複数のファイルであって、前記対象システムにおけるアクセスログが示す複数のファイルから成る対象ファイル群が含むファイルのうち前記高リスクユーザが前記高リスクユーザの通常業務において利用すると推定される1つ以上のファイルを含むエリアであって、前記対象システムが管理しているファイルツリーの一部に相当するエリアである第1対象外エリアと、
前記対象ファイル群が含むファイルのうち前記第1対象外エリア以外に存在する少なくとも1つのファイルにアクセスした前記高リスクユーザ以外の1以上のユーザであって、前記対象システムの1以上のユーザから成る対象正常ユーザ群に含まれる各ユーザが各ユーザの通常業務においてアクセスすると推定される1つ以上のファイルを含むエリアであって、前記ファイルツリーの一部に相当するエリアから成る第2対象外エリアと
を除くエリアであって、前記ファイルツリーの一部に相当するエリアである配置対象エリアに1つ以上の囮ファイルを配置する囮配置処理
をコンピュータである配置場所選定装置に実行させる配置場所選定プログラムであって、
前記囮配置処理では、前記高リスクユーザの前記対象システムにおけるアクセスパターンに対応する配置ルールに応じて前記配置対象エリアに前記1つ以上の囮ファイルを配置する配置場所選定プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022044978 | 2022-12-06 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP7361997B1 true JP7361997B1 (ja) | 2023-10-16 |
Family
ID=88328355
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023526121A Active JP7361997B1 (ja) | 2022-12-06 | 2022-12-06 | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7361997B1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014103115A1 (ja) | 2012-12-26 | 2014-07-03 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
JP2022060950A (ja) | 2020-10-05 | 2022-04-15 | 三菱電機株式会社 | 欺瞞システム、欺瞞方法および欺瞞プログラム |
WO2022225508A1 (en) | 2021-04-20 | 2022-10-27 | Assured Information Security, Inc. | Prevention and remediation of malware based on selective presentation of files to processes |
-
2022
- 2022-12-06 JP JP2023526121A patent/JP7361997B1/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014103115A1 (ja) | 2012-12-26 | 2014-07-03 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
JP2022060950A (ja) | 2020-10-05 | 2022-04-15 | 三菱電機株式会社 | 欺瞞システム、欺瞞方法および欺瞞プログラム |
WO2022225508A1 (en) | 2021-04-20 | 2022-10-27 | Assured Information Security, Inc. | Prevention and remediation of malware based on selective presentation of files to processes |
Non-Patent Citations (1)
Title |
---|
長谷川 翔 ほか,視覚型欺瞞機構と定期ログ分析の併用による標的型攻撃対策(A Countermeasure Against Targeted Attacks Us,コンピュータセキュリティシンポジウム2020論文集,日本,情報処理学会,2020年10月19日,pp.567-572 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9311476B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
US9888032B2 (en) | Method and system for mitigating the effects of ransomware | |
CN108268354A (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
TWI703468B (zh) | 用於產生可疑事件時序圖的可疑事件研判裝置與相關的電腦程式產品 | |
JP5736305B2 (ja) | ソフトウェア評価を確立し監視するシステムおよびプログラム | |
US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
CN111683084B (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
Aldauiji et al. | Utilizing cyber threat hunting techniques to find ransomware attacks: A survey of the state of the art | |
WO2016014014A1 (en) | Remedial action for release of threat data | |
KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
JP5413010B2 (ja) | 分析装置、分析方法およびプログラム | |
JP7470116B2 (ja) | セキュア通信方法およびそのシステム | |
JP2006350708A (ja) | セキュリティ設計支援方法及び支援装置 | |
JP2019219898A (ja) | セキュリティ対策検討ツール | |
CN116049859A (zh) | 一种数据安全治理方法、系统、终端设备及存储介质 | |
Zhang | The utility of inconsistency in information security and digital forensics | |
JP2009048317A (ja) | セキュリティ評価方法、セキュリティ評価装置 | |
CN103001937A (zh) | 孤岛式以太网防御移动存储介质病毒的系统和方法 | |
JP7361997B1 (ja) | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム | |
KR101081875B1 (ko) | 정보시스템 위험에 대한 예비경보 시스템 및 그 방법 | |
EP3783514A1 (en) | A system and a method for automated cyber-security risk control | |
JP2005234661A (ja) | アクセスポリシ生成システム、アクセスポリシ生成方法およびアクセスポリシ生成用プログラム | |
JP6274090B2 (ja) | 脅威分析装置、及び脅威分析方法 | |
EP3441930A1 (en) | System and method of identifying potentially dangerous devices during the interaction of a user with banking services | |
JP7427146B1 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230427 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230427 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230801 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230824 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230905 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231003 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7361997 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |