JPWO2012153746A1 - 不正行為検知システム、不正行為検知装置、不正行為検知方法及び不揮発性媒体 - Google Patents

不正行為検知システム、不正行為検知装置、不正行為検知方法及び不揮発性媒体 Download PDF

Info

Publication number
JPWO2012153746A1
JPWO2012153746A1 JP2013514023A JP2013514023A JPWO2012153746A1 JP WO2012153746 A1 JPWO2012153746 A1 JP WO2012153746A1 JP 2013514023 A JP2013514023 A JP 2013514023A JP 2013514023 A JP2013514023 A JP 2013514023A JP WO2012153746 A1 JPWO2012153746 A1 JP WO2012153746A1
Authority
JP
Japan
Prior art keywords
information
history information
operation history
audit
fraud detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013514023A
Other languages
English (en)
Inventor
貴之 佐々木
貴之 佐々木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2012153746A1 publication Critical patent/JPWO2012153746A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging

Abstract

本発明は、正常な操作と区別が付かない操作によって行われた不正行為を検知することを可能にする不正行為検知システムを提供する。その不正行為検知システムは、被監視装置の操作履歴情報を記憶する履歴記憶部と、不正行為を検知するための監査を実施することを示す情報を少なくとも含む監査情報を開示する監査情報開示部と、その監査情報を開示する時刻以前の操作履歴情報である開示前操作履歴情報と、その監査情報を開示した時刻以後の操作履歴情報である開示後操作履歴情報とに基づいて、不正行為を検出する不正行為検出部と、を備える。

Description

本発明は、不正行為検知システム、不正行為検知装置及び不正行為検知方法に関する。
アクセス権限を有する操作者(操作者は、人、コンピュータ及び他の機器を含む、以後アクセス権者と呼ぶ)による、情報システムに対する不正アクセスの検出に関し、さまざまな関連技術が知られている。
特許文献1は、複数のユーザからなるグループにおいて、そのグループ内の他のユーザに比して、特異な操作を行った特定のユーザを検出するログ分析サーバを開示する。
そのログ分析サーバは、以下のように動作する。
まず、そのログ分析サーバは、同一のグループに属するユーザによる、コンピュータ操作等のログを収集する。
次に、そのログ分析サーバは、そのグループに属するある特定ユーザが行った操作のログから、ある特定の時間の推移に沿って行われたその特定ユーザの操作のモデルを作成する。同時に、そのログ分析サーバは、複数の一般ユーザが行った操作のログから、その特定の時間(その特定ユーザの操作のモデルに対応する特定の時間と同一の時間)の推移に沿って行われた、それらの一般ユーザの操作のモデルを作成する。ここで、一般ユーザは、そのグループに属するある特定ユーザ以外の、そのグループに属するユーザである。
次に、そのログ分析サーバは、一般ユーザの操作のモデルの一般的な傾向と、その特定ユーザの操作のモデルとを比較して分析する。
特許文献1のログ分析サーバは、上述のように動作することで、グループ内において一般ユーザに比較して特異な操作を行った特定ユーザを検出する。
特許文献2は、通常の操作であると判断できる定常操作と現状の操作とに基づいて異常操作を検出する異常操作検出装置を開示する。
その異常操作検出装置は、ログ収集手段と、現状操作定義手段と、定常操作データベースと、操作比較手段とを有する。
ログ収集手段は、ユーザ端末の操作内容を取得する。
現状操作定義手段は、ログ収集手段が取得した特定のユーザ端末における、短時間の操作内容を現状操作として定義する。
定常操作データベースは、通常の操作であると判断できる定常操作に該当する内容を予め記憶している。
操作比較手段は、定常操作の数と定常操作から外れる現状操作の数との比を異常操作度数として求め、この異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する。
特許文献2の異常操作検出装置は、上述のような構成を有することで、定常操作と比較して異常である、現状操作を検出する。
特開2008−192091号公報 特開2010−250502号公報
しかしながら、上述した特許文献に記載された技術においては、正常な操作と区別が付かない操作によって行われた不正行為を検知できない場合があるという問題点がある。
不正行為を検知できない場合がある理由は、以下のとおりである。
特許文献1に記載のログ分析サーバは、定常操作に該当する操作により不正行為が行われた場合、この不正行為を検出できない。具体的には、そのログ分析サーバは、同一のグループに属する複数の一般ユーザの操作に類似した操作により、特定のユーザが不正行為を行った場合、この不正行為を検出できない。
また、そのログ分析サーバは、同時期に同じ操作をするグループを定義できない業務体系である場合は、適用することができない。具体的には、例えば一般的な企業の営業部門では、各部員がそれぞれの顧客の状況に合わせて業務を遂行している。従って、情報システムに対する各部員の操作は、同期していない。即ち、分析対象の情報システムを利用する業務の体系が、同時期に同じ操作をするグループを定義できる業務体系である場合にのみ、そのログ分析サーバを適用することができる。
特許文献2に記載の異常操作検出装置は、定常操作に該当する操作により不正行為が行われた場合、この不正行為を検出できない。具体的には、異常操作検出装置は、特定の操作により不正行為が行われた場合、この不正行為を検出できない。ここで、特定の操作は、異常操作検出装置が現状操作と定常操作との差異の比較に利用しない、操作内容の範囲内の操作である。
本発明の目的は、上述した問題点を解決する不正行為検知システム、不正行為検知装置及び不正行為検知方法を提供することにある。
本発明の不正行為検知システムは、被監視装置の操作履歴情報を記憶する履歴記憶手段と、不正行為を検知するための監査を実施することを示す情報を少なくとも含む監査情報を開示する監査情報開示手段と、前記監査情報を開示する時刻以前の前記操作履歴情報である開示前操作履歴情報と、前記監査情報を開示した時刻以後の前記操作履歴情報である開示後操作履歴情報とに基づいて、不正行為を検出する不正行為検出手段と、を有する。
本発明の不正行為検知装置は、被監視装置の操作履歴情報を記憶する履歴記憶手段と、不正行為を検知するための監査を実施することを示す情報を少なくとも含む監査情報を開示する監査情報開示手段と、前記監査情報を開示する時刻以前の前記操作履歴情報である開示前操作履歴情報と、前記監査情報を開示した時刻以後の前記操作履歴情報である開示後操作履歴情報とに基づいて、不正行為を検出する不正行為検出手段と、を有する。
本発明の不正行為検知方法は、不正行為検知装置が、被監視装置の操作履歴情報を記憶し、不正行為を検知するための監査を実施することを示す情報を少なくとも含む監査情報を開示し、前記監査情報を開示する時刻以前の前記操作履歴情報である開示前操作履歴情報と、前記監査情報を開示した時刻以後の前記操作履歴情報である開示後操作履歴情報とに基づいて、不正行為を検出する。
本発明の不揮発性媒体に記録されたプログラムは、被監視装置の操作履歴情報を記憶する手段を有するコンピュータに、不正行為を検知するための監査を実施することを示す情報を少なくとも含む監査情報を開示する処理と、前記監査情報を開示する時刻以前の前記操作履歴情報である開示前操作履歴情報と、前記監査情報を開示した時刻以後の前記操作履歴情報である開示後操作履歴情報とに基づいて、不正行為を検出する処理とを実行させる。
本発明は、正常な操作と区別が付かない操作によって行われた不正行為を検知することを可能にするという効果がある。
本発明の第1の実施形態の構成を示すブロック図である。 本発明の第1の実施形態における操作履歴情報の例を示す図である。 本発明の第1の実施形態における監査情報を開示する動作と不正行為を隠蔽する操作を検出する動作とを示すフローチャートである。 本発明の第1の実施形態における操作履歴情報を取得する動作と取得した操作履歴情報を記憶する動作とを示すフローチャートである。 本発明の第1の実施形態における不正行為を隠蔽する操作を検索する動作の詳細を示すフローチャートである。 本発明の第1の実施形態における削除リストの例を示す図である。 本発明の第3の実施形態における操作履歴情報の例を示す図である。 本発明の第4の実施形態の構成を示すブロック図である。 本発明の第5の実施形態の構成を示すブロック図である。 本発明の不正行為検知装置を含む被監視装置の例のブロック図である。 本発明のプログラムを記録した記録媒体を示す図である。
次に、本発明の実施形態について図面を参照して詳細に説明する。
[第1の実施の形態]
図1は、本発明の第1の実施形態の不正行為検知システムの構成を示すブロック図である。
図1を参照すると、本実施形態に係る不正行為検知システム100は、不正行為検知装置110と、被監視装置180とを含む。
不正行為検知装置110は、監査情報開示部120、履歴記憶部130及び不正行為検出部140を含む。不正行為検知装置110は、例えば、サーバ、パソコン、端末及びその他の情報処理装置であってよい。
被監視装置180は、監査情報表示部181、履歴取得部182及び制御部183を含む。被監視装置180は、例えば、サーバ、パソコン、端末及びその他の情報処理装置であってよい。
不正行為検知装置110の監査情報開示部120は、監査実施情報を少なくとも含む監査情報を開示する。ここで、監査実施情報は、不正行為を検知するための、監査を実施することを示す情報である。例えば、監査情報開示部120は、監査情報を被監視装置180へ送信することで、監査情報を開示する。
また、監査情報開示部120は、不正行為検出部140に動作を開始させる時刻に、監査情報を開示した時刻(以後、監査情報開示時刻と呼ぶ)を不正行為検出部140に出力する。ここで、不正行為検出部140に動作を開始させる時刻は、監査情報の開示から予め定められた予測期間が経過した後の時刻である。また、予め定められた予測期間は、例えば、図示しない手段によって予め与えられた、その予測期間が経過すると、不正行為隠蔽操作が行われると予測される期間である。ここで、不正行為隠蔽操作は、開示後監査情報の開示を契機にして不正行為を隠蔽する操作である。
また、監査情報開示部120は、例えば、監査情報を開示する時刻を事前に、不正行為検出部140に出力するようにしてもよい。この場合、不正行為検出部140は、受け取った監査情報を開示する時刻から、上述の予め定められた予測期間が経過した後の時刻に、動作を開始するようにしてもよい。
履歴記憶部130は、被監視装置180の履歴取得部182が取得した、操作履歴情報を記憶する。
図2は、操作履歴情報131の例を示す図である。図2を参照すると、操作履歴情報131は、操作内容132、操作時刻133、削除方法種別134、削除ファイル生成時刻135、削除ファイル名136及び削除ファイル内容137を少なくとも含む。
操作履歴情報131の内、操作内容132が「ファイル削除」である操作履歴情報131は、ファイル削除履歴情報とも呼ばれる。
操作内容132は、被監視装置180における操作者による操作の内容を示す情報である。操作内容132は、具体的には例えば、ファイルの削除の操作を示す「ファイル削除」である。操作内容132は、被監視装置180からの電子メールの送信の操作を示す「メール送信」であってよい。操作内容132は、被監視装置180への電子メールの受信の操作を示す「メール受信」であってよい。更に、操作内容132は、被監視装置180におけるインターネットへのアクセスの操作を示す「ウェブ閲覧」であってよい。
尚、ファイルは、例えば、テキストファイル、文書ファイル、数値データファイル、データベースデータファイル、画像データファイル、音声データファイル、電子メールデータファイル、プログラムなどのバイナリファイル及びその他のデータファイルである。
操作時刻133は、操作内容132で示される操作が行われた時刻を示す情報である。操作時刻133は、例えば、月日及び時分を「月/日 時:分」のように示す。
削除方法種別134は、例えば、ファイル削除の操作によりファイルをゴミ箱と名付けられたフォルダに移動する「ゴミ箱に移動」、或いはファイル消去の操作によりファイルを被監視装置の記憶手段(図示しない)から消し去る「消去」である。尚、例えば、ゴミ箱をクリアする操作によりゴミ箱内のファイルを消去する場合も、削除方法種別134は「消去」である。
削除ファイル生成時刻135は、ファイルの削除の操作により削除されたファイルが最初に生成された時刻を示す情報である。
削除ファイル名136は、ファイルの削除の操作により削除されたファイルのファイル名である。
削除ファイル内容137は、ファイルの削除の操作により削除されたファイルの内容である。削除ファイル内容137は、そのファイルの内容のすべてを含んでもよいし、一部を含んでもよい。尚、図中のN/Aは、「not available」の略であり、使用できないことを示す、即ち、削除ファイル内容137がN/Aの場合は、ファイルの内容を含んでいないことを示す。
不正行為検出部140は、開示前操作履歴情報と、開示後操作履歴情報とに基づいて、不正行為を検出する。ここで、開示前操作履歴情報は、監査情報を開示する時刻以前に履歴記憶部130に記憶された操作履歴情報131である。また、開示後操作履歴情報は、監査情報開示時刻以後に履歴記憶部130に記憶された操作履歴情報131である。尚、本実施形態の不正行為検出部140は、具体的には不正行為隠蔽操作を検出することにより、結果的に不正行為を検出する。次に、不正行為検出部140は、不正行為(不正行為隠蔽操作)を検出した場合、その検出した不正行為隠蔽操作に対応する情報を図示しない手段により外部へ出力する。尚、その検出した不正行為隠蔽操作に対応する情報、即ち不正行為に関連する情報である。
不正行為検出部140は、監査情報開示部120から監査情報開示時刻を受け取ったことを契機に、動作を開始する。尚、不正行為検出部140は、監査情報開示部120から監査情報開示時刻を受け取った後、前述の予め定められた予測期間後に、動作を開始するようにしてもよい。
次に、不正行為検出部140の動作の具体例を説明する。
[不正行為検出部の第1の具体例]
例えば、不正行為検出部140は、開示前操作履歴情報と開示後操作履歴情報とのそれぞれに含まれる、ファイル削除履歴情報の数に基づいて、不正行為隠蔽操作を検出する。
より具体的には、例えば、不正行為検出部140は、開示前操作履歴情報に含まれる、予め定められた単位時間(例えば、1日)当たりの、ファイル削除履歴情報の数を計数する。以後、「開示前操作履歴情報に含まれる、予め定められた単位時間当たりの、ファイル削除履歴情報の数」を通常削除数と呼ぶ。同時に、不正行為検出部140は、開示後操作履歴情報に含まれる、単位時間当たりの、ファイル削除履歴情報の数を計数する。以後、「開示後操作履歴情報に含まれる、単位時間当たりの、ファイル削除履歴情報の数」を検査削除数と呼ぶ。
続けて、不正行為検出部140は、複数の通常削除数を正規分布で近似し、この正規分布における検査削除数の偏差値を算出する。
続けて、不正行為検出部140は、算出した検査削除数の偏差値が予め定められた値(例えば、70)を超えるか否かに基づいて、不正行為隠蔽操作を検出する。
この場合、操作履歴情報は、操作履歴情報131の内の操作内容132と操作時刻133とだけを含む操作履歴情報であってよい。
[不正行為検出部の第2の具体例]
また例えば、不正行為検知装置110の監査情報開示部120は、監査実施情報に加えて、監査の実施の予定時刻を示す予定時刻情報を少なくとも含む監査情報を開示するようにしてもよい。
こうした場合、例えば上述の第1の具体例において、不正行為検出部140は、開示後実施前操作履歴情報に含まれる、単位時間当たりの、ファイル削除履歴情報の数を検査削除数として計数してもよい。尚、開示後実施前操作履歴情報は、操作時刻133が、監査情報の開示時刻から予定時刻情報で示される時刻までの間のいずれかの時刻である、操作履歴情報131である。
[不正行為検出部の第3の具体例]
また例えば、不正行為検出部140は、開示後操作履歴情報に含まれるファイル削除履歴情報で示される削除方法に基づいて、不正行為隠蔽操作を検出するようにしてもよい。
より具体的には、例えば、不正行為検出部140は、開示後操作履歴情報に含まれるファイル削除履歴情報の内の、削除方法種別134が「消去」であるファイル削除履歴情報の数の割合を算出する。続けて、不正行為検出部140は、算出した割合が予め定められた値(例えば、50パーセント)を超えるか否かに基づいて、不正行為隠蔽操作を検出する。
この場合、操作履歴情報は、操作履歴情報131の内の操作内容132と操作時刻133と削除方法種別134とだけを含む操作履歴情報であってよい。
[不正行為検出部の第4の具体例]
また例えば、不正行為検出部140は、開示後操作履歴情報に含まれるファイル削除履歴情報で示される、削除対象ファイルの生成日時に基づいて、不正行為隠蔽操作を検出するようにしてもよい。
より具体的には、例えば、不正行為検出部140は、開示後操作履歴情報に含まれるファイル削除履歴情報の内の、削除ファイル生成時刻135が予め定められた時刻以前である、ファイル削除履歴情報の数の割合を算出する。ここで、予め定められた時刻は、例えば、現在時刻から1年前の時刻である。尚、予め定められた時刻は、任意の時刻であってよい。
続けて、不正行為検出部140は、算出した割合が予め定められた値(例えば、50パーセント)を超えるか否かに基づいて、不正行為隠蔽操作を検出するようにしてもよい。
この場合、操作履歴情報は、操作履歴情報131の内の操作内容132と操作時刻133と削除ファイル生成時刻135とだけを含む操作履歴情報であってよい。
[不正行為検出部の第5の具体例]
また例えば、不正行為検出部140は、複数の被監視装置180の開示後操作履歴情報に含まれる、ファイル削除履歴情報に基づいて、不正行為隠蔽操作を検出するようにしてもよい。
より具体的には、例えば、不正行為検出部140は、複数の被監視装置180について、被監視装置180毎の開示前操作履歴情報に基づき通常削除数を計数する。続けて、不正行為検出部140は、被監視装置180毎に計数した通常削除数を加算して、合計通常削除数を求める。
同時に、不正行為検出部140は、複数の被監視装置180について、被監視装置180毎の開示後操作履歴情報に基づき検査削除数を計数する。続けて、不正行為検出部140は、被監視装置180毎に計数した検査削除数を加算して、合計検査削除数を求める。
続けて、不正行為検出部140は、合計通常削除数から生成した正規分布における合計検査削除数の偏差値を算出する。
続けて、不正行為検出部140は、算出した合計検査削除数の偏差値が予め定められた値(例えば、70)を超えるか否かに基づいて不正行為隠蔽操作を検出する。
この場合、操作履歴情報は、操作履歴情報131の内の操作内容132と操作時刻133とだけを含む操作履歴情報であってよい。
[不正行為検出部の第6の具体例]
また例えば、不正行為検出部140は、複数の被監視装置180の開示後操作履歴情報に含まれるファイル削除履歴情報の、特に削除ファイル名136に基づいて、不正行為隠蔽操作を検出するようにしてもよい。
より具体的には、例えば、不正行為検出部140は、複数の被監視装置180の開示後操作履歴情報において、同一の削除ファイル名136を含むファイル削除履歴情報を抽出する。
続けて、不正行為検出部140は、抽出したファイル削除履歴情報に含まれる、削除ファイル名136の種類の数を計数する。以後、この抽出したファイル削除履歴情報に含まれる削除ファイル名136の種類の数を、連携削除種類数と呼ぶ。
続けて、不正行為検出部140は、計数した連携削除種類数が予め定められた値(例えば、1)を超えるか否かに基づいて、不正行為隠蔽操作を検出するようにしてもよい。
この場合、操作履歴情報は、操作履歴情報131の内の操作内容132と操作時刻133と削除ファイル名136とだけを含む操作履歴情報であってよい。
[不正行為検出部の第7の具体例]
また例えば、不正行為検出部140は、上述の第1乃至第6の具体例を任意に組み合わせて、不正行為隠蔽操作を検出するようにしてもよい。
より具体的には、例えば、第1の具体例と第3の具体例を組み合わせて、以下のようにしてもよい。不正行為検出部140は、検査削除数の偏差値が予め定められた値を超えていて、かつ削除方法種別134が「消去」である、ファイル削除履歴情報の数を計数する。続けて、不正行為検出部140は、その計数した数の割合が予め定められた値を超えているか否かに基づいて、不正行為隠蔽操作を検出する。
また例えば、第1の具体例と第3の具体例を組み合わせて、以下のようにしてもよい。不正行為検出部140は、削除方法種別134が「消去」であるファイル削除履歴情報だけを対象にして、検査削除数の偏差値を算出する。
また例えば、第1の具体例と第4の具体例を組み合わせて、以下のようにしてもよい。不正行為検出部140は、削除ファイル生成時刻135が予め定められた時刻以前であるファイル削除履歴情報だけを対象にして、検査削除数の偏差値を算出する。
また例えば、第5の具体例と第4の具体例を組み合わせて、以下のようにしてもよい。不正行為検出部140は、削除ファイル生成時刻135が予め定められた時刻以前であるファイル削除履歴情報だけを対象にして、合計検査削除数の偏差値を算出する。
また例えば、第1の具体例と第6の具体例を組み合わせて、以下のようにしてもよい。不正行為検出部140は、開示前操作履歴情報に基づいて算出した連携削除種類数の正規分布を生成する。そして、不正行為検出部140は、この正規分布における開示後操作履歴情報に基づいて算出した連携削除種類数の偏差値を算出する。
更に例えば、第3乃至第6の具体例において、不正行為検出部140は、第1の具体例に対する第2の具体例のように「監査実施情報に加えて、監査の実施の予定時刻を示す予定時刻情報を少なくとも含む監査情報」に対応するようにしてもよい。
また、上述の具体例以外に、例えば、ファイル削除履歴情報は、ユーザが指示してファイルを消したのか、システムやアプリケーションが自動的に消したのかの区別を含むようにしてもよい。例えば、ユーザ指示の削除は、マウスの操作によりファイルをドラッグ・アンド・ドロップ(drag−and−drop)してゴミ箱に移したり、メニューバーから削除を選んで削除したりする、ファイル削除である。そして、不正行為検出部140は、ユーザ指示の削除を示すファイル削除履歴情報を対象として、不正行為隠蔽操作を検出するようにしてもよい。
以上が、不正行為検出部140の動作の具体例の説明である。
被監視装置180の監査情報表示部181は、受信した監査情報に基づいて、被監視装置180の図示しない表示手段に、監査情報を表示する。
履歴取得部182は、制御部183の動作を監視し、予め定められた1以上の操作(例えば、ファイル削除)のいずれかを検出した場合、その操作に関連する操作履歴情報131を取得し、出力する。
尚、履歴取得部182は、操作履歴情報131の内削除ファイル内容137を、監査情報表示部181が監査情報を表示した後から、予め定められた予測期間が経過するまでの間のみ、取得し、出力するようにしてもよい。尚、履歴取得部182は、例えば、前述した監査情報の開示を契機にして不正行為隠蔽操作が行われると予測された期間を取得し、それを予測期間として利用するようにしてよい。
履歴取得部182は、例えば、後述の制御部183におけるファイルの削除のAPI(Application Programming Interface)の呼び出しを監視することによって、ファイルの削除の操作を検出する。操作の検出に関する技術は周知であるため、詳細な説明は省略する。
制御部183は、被監視装置180の本来の動作を制御する。例えば、制御部183は、被監視装置180がサーバである場合はサーバとしての、パソコンである場合はパソコンとしての或いは端末である場合は端末としての動作を制御する。
次に、本実施形態の動作について、図面を参照して詳細に説明する。
まず、監査情報を開示する動作と不正行為隠蔽操作を検出する動作について説明する。
図3は、本実施形態の監査情報を開示する動作と不正行為隠蔽操作を検出する動作とを示すフローチャートである。
不正行為検知装置110の監査情報開示部120は、監査情報を被監視装置180の監査情報表示部181へ送信する。(ステップS101)。
次に、監査情報表示部181は、受信した監査情報を表示する。(ステップS102)。
次に、監査情報開示部120は、予め定められた時間後、監査情報開示時刻(監査情報を被監視装置180の監査情報表示部181へ送信した時刻)を不正行為検出部140に出力する。(ステップS103)。
次に、不正行為検出部140は、受け取った監査情報開示時刻に基づいて、履歴記憶部130から開示前操作履歴情報と開示後操作履歴情報とを取得する。(ステップS104)。
次に、不正行為検出部140は、取得した開示前操作履歴情報と開示後操作履歴情報とに基づいて、不正行為隠蔽操作を検出する。(ステップS105)。
次に、不正行為検出部140は、不正行為(不正行為隠蔽操作)を検出した場合、その検出した不正行為隠蔽操作に対応する情報、即ち不正行為に関連する情報を、出力する(ステップS106)。
次に、操作履歴情報131を取得する動作と取得した操作履歴情報131を記憶する動作について説明する。
図4は、本実施形態の操作履歴情報131を取得する動作と取得した操作履歴情報131を記憶する動作とを示すフローチャートである。
被監視装置180の履歴取得部182は、制御部183の動作を監視し、予め定められた1以上の操作の内のいずれかを検出した場合、その操作に関連する操作履歴情報131を取得する。(ステップS111)。
次に、履歴取得部182は、取得した操作履歴情報131を、不正行為検知装置110の履歴記憶部130へ出力する。(ステップS112)。
次に、履歴記憶部130は、受け取った操作履歴情報131を記憶する。(ステップS113)。
次に、不正行為検出部140の動作の第1の具体例について説明する。
図5は、本実施形態の不正行為隠蔽操作を検索する動作(図3のステップS104及びステップS105に対応)の詳細を示すフローチャートである。
不正行為検出部140は、履歴記憶部130を参照して、開示前操作履歴情報に対応する削除数のリストを取得する(ステップS121)。
図6は、不正行為検出部140が取得した、削除数のリストの例を示す図である。図6を参照すると、削除数リスト141は、開示前操作履歴情報に対応する、複数の単位時間当たりの通常削除数142を含む。
次に、不正行為検出部140は、削除数リスト141に含まれる通常削除数142を正規分布で近似する(ステップS122)。図6の例の場合、平均(μ)が「1.36」、分散(ρ×ρ)が「0.60」の正規分布となる。
次に、不正行為検出部140は、履歴記憶部130を参照して、開示後操作履歴情報に対応する検査削除数(例えば、5とする)を取得する(ステップS123)。尚、不正行為検出部140が取得する検査削除数は、複数の単位時間当たりの開示後操作履歴情報に対応する検査削除数の内の、最大値の検査削除数である。また、不正行為検出部140は、複数の単位時間当たりの開示後操作履歴情報に対応する検査削除数の、平均値を検査削除数として取得してもよい。
次に、不正行為検出部140は、通常削除数142の正規分布における、検査削除数「5」の偏差値を取得する(ステップS124)。図6の例の場合、偏差値は、「75.59」となる。
次に、不正行為検出部140は、算出した偏差値が予め定められた値(例えば、70)を超えるか否かに基づいて不正行為隠蔽操作を検出する(ステップS125)。
次に、不正行為検出部140は、検出した不正行為隠蔽操作に関連する情報(例えば、操作内容132が「ファイル削除」である、開示後操作履歴情報に含まれる削除ファイル名136及び削除ファイル内容137)を出力する(ステップS126)。
以上の本実施形態の説明では、ファイルの削除について説明したが、ファイル削除ではなく、ファイルの書き換えを計数するようにしてもよい。また、ファイル削除とファイル書き換えの両方を計数するようにしてもよい。
以上の本実施形態の説明では、OS(Operating System)で扱われるファイルの削除や書き換えを例として不正検知の動作を説明したが、例えば、電子メールソフトで扱われる電子メールの削除についても、同様の動作によって不正を検知してもよい。
上述した本実施形態における第1の効果は、正常な操作と区別が付かない操作によって行われた不正行為を検知することが可能になる点である。
その理由は、以下のような構成を含むからである。即ち、第1に、監査情報開示部120が監査情報を開示する。第2に、不正行為検出部140が履歴記憶部130を参照して開示前操作履歴情報と開示後操作履歴情報とに基づいて、不正行為隠蔽操作、即ち以前に不正行為が行われたことを示す操作、を検出する。
上述した本実施形態における第2の効果は、不正行為を特定するための具体的な規則(例えば、ホワイトリスト及びブラックリスト)の準備を不要にすることが可能になる点である。
その理由は、第1の効果の理由と同じである。
上述した本実施形態における第3の効果は、不正行為隠蔽操作を検出するための、適切な操作履歴情報131を効率的に取得することが可能になる点である。
その理由は、監査情報が予定時刻情報を含み、不正行為検出部140が、開示後実施前操作履歴情報を、開示後操作履歴情報として利用するようにしたからである。
上述した本実施形態における第4の効果は、監査の実施を効率的に行うことが可能になる点である。
その理由は、履歴記憶部130に記憶される開示後操作履歴情報に含まれる、ファイル削除履歴情報が、削除されたファイルの内容を含むようにしたからである。
上述した本実施形態における第5の効果は、削除されたファイルの内容を効率よく記録し、かつ履歴記憶部130の容量を節約することが可能になる点である。
その理由は、履歴取得部182が、操作履歴情報131の内の削除ファイル内容137を、監査情報表示部181が監査情報を表示した後から、予め定められた予測期間が経過するまでの間のみ、取得し、出力するようにしたからである。
上述した本実施形態における第6の効果は、複数の不正行為者が共謀して働いた、不正行為を検知することが可能になる点である。
その理由は、不正行為検出部140が、複数の被監視装置180の合計通常削除数及び合計検査削除数に基づいて、不正行為隠蔽操作を検出するようにしたからである。
上述した本実施形態における第7の効果は、不正行為検知の精度を、より向上させることが可能になる点である。
その理由は、ファイル削除履歴情報にユーザ指示によるファイル削除か否かの情報を含み、不正行為検出部140が、ユーザ指示の削除を示す、ファイル削除履歴情報を対象として不正行為隠蔽操作を検出するようにしたからである。
[第2の実施形態]
次に、本発明の第2の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
本発明の第2の実施形態は、第1の実施形態に比べて、監査情報開示部120及び履歴取得部182の動作が異なる。
本実施形態の監査情報開示部120は、被監視装置180の履歴取得部182に、操作履歴情報131の取得開始及び停止を指示する。
例えば、監査情報開示部120は、履歴取得部182に、取得開始時刻と取得停止時刻とを出力する。また例えば、監査情報開示部120は、取得開始時刻に開始指示を、取得停止時刻に停止命令を、履歴取得部182に出力するようにしてもよい。
尚、監査情報開示部120は、例えば予め定められた、監査情報の開示前に操作履歴情報131を取得する期間及び監査情報を開示する時刻に基づいて、取得開始時刻及び取得停止時刻を決定する。この取得開始時刻及び取得停止時刻は、監査情報の開示前に操作履歴情報131を取得する期間の、取得開始時刻及び取得停止時刻である。
また、監査情報開示部120は、例えば予め定められた、監査情報の開示後に操作履歴情報131を取得する期間及び監査情報を開示する時刻に基づいて、取得開始時刻及び取得停止を決定する。この取得開始時刻及び取得停止時刻は、監査情報の開示後に操作履歴情報131を取得する期間の、取得開始時刻及び取得停止時刻である。
また、監査情報開示部120は、例えば予め定められた、監査情報の開示後に操作履歴情報131を取得する期間、監査情報に含まれる予定時刻情報及び監査情報を開示する時刻に基づいて、取得開始時刻及び取得停止時刻を決定する。この取得開始時刻及び取得停止時刻は、「監査情報開示時刻から予定時刻情報で示される時刻までの時刻」の期間の、取得開始時刻及び取得停止時刻である。
履歴取得部182は、監査情報開示部120から指示された操作履歴情報131の取得開始及び停止に基づいて操作履歴情報131を取得する。
上述した本実施形態における第1の効果は、第1の実施形態の効果に加えて、誤検知を防止することが可能になる点である。
その理由は、監査情報開示部120が履歴取得部182に操作履歴情報131の取得開始と停止を指示し、履歴取得部182がその指示に基づいて必要な期間のみ操作履歴を取得するようにしたからである。
上述した本実施形態における第2の効果は、被監視装置180の負荷を軽くすることが可能になる点である。
その理由は、第1の効果の理由と同じである。
[第3の実施形態]
次に、本発明の第3の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
本発明の第3の実施形態は、第1の実施形態と比べて、不正行為検出部140の動作が異なる。また、本実施形態は、第1の実施形態と比べて、履歴記憶部130が記憶する操作履歴情報が異なる。
図7は、本実施形態における操作履歴情報331の例を示す図である。図7を参照すると、操作履歴情報131は、操作内容132、操作時刻133、アドレス334及び通信データ内容337を少なくとも含む。
アドレス334は、通信先のアドレスである。アドレス334は、例えば、操作内容132がメール受信及びメール送信の場合にはそのメールを送受信する相手先のメールアドレスである。アドレス334は、また例えば、操作内容132がウェブ閲覧である場合にはURL(Uniform Resource Locator)で示されるウェブページのアドレスである。
通信データ内容337は、アドレス334で示される相手先との、通信のデータの内容である。通信データ内容337は、その通信のデータの内容のすべてを含んでもよいし、一部を含んでもよい。通信データ内容337は、例えば、操作内容132がメール受信及びメール送信の場合には送受信されるそのメールのヘッダ情報、本文データ及び添付ファイルである。通信データ内容337は、例えばまた、操作内容132がウェブ閲覧である場合には受信した表示データ(例えば、ハイパーテキスト)及び送信した入力データ(例えば、フォームデータ)である。
本実施形態の不正行為検出部140は、第1の実施形態の不正行為検出部140と同様に、開示前操作履歴情報と開示後操作履歴情報とに基づいて、不正行為を検出する。尚、本実施形態の不正行為検出部140は、具体的には不正行為を行う操作が行われなくなったことを検出することにより、結果的に先に行われた不正行為を検出する。
次に、不正行為検出部140は、不正行為(不正行為を行う操作が行われなくなったこと)を検出した場合、その行われなくなった操作に対応する情報、即ち不正行為に関連する情報、を図示しない手段により外部へ出力する。
次に、本実施形態の不正行為検出部140の動作の具体例を説明する。
例えば、不正行為検出部140は、開示前操作履歴情報と開示後操作履歴情報とのそれぞれに含まれる、特定の操作内容132(例えば、メール送信)を含む操作履歴情報331のアドレス334に基づいて、不正行為を行う操作が行われなくなったことを検出する。
より具体的には、例えば、不正行為検出部140は、開示前操作履歴情報には含まれていて、開示後操作履歴情報には含まれていない、特定の操作内容332と特定のアドレス334とを含む操作履歴情報331の数を計数する。
続けて、不正行為検出部140は、計数した操作履歴情報331の数が予め定められた値(例えば、3)を超えるか否かに基づいて、不正行為を行う操作が行われなくなったことを検出する。即ち、不正行為検出部140は、計数した操作履歴情報331の数が予め定められた値を超えている場合、その操作履歴情報331を先に行われた不正行為の、操作の履歴であるとして検出する。
この場合、操作履歴情報は、操作履歴情報331の内の操作内容132と操作時刻133とアドレス334とだけを含む操作履歴情報であってよい。
上述の本実施形態の不正行為検出部140の動作は、操作内容132がメール受信及びウェブ閲覧の場合も同様である。
上述した本実施形態における効果は、第1の実施形態の効果に加えて、積極的な操作(例えば、不正行為隠蔽操作)が行われなかった場合についても、不正行為が行われていたことを検出することを可能にする点である。
その理由は、不正行為検出部140が開示前操作履歴情報と開示後操作履歴情報とに基づいて、特定の操作が行われなくなったことを検出するようにしたからである。
[第4の実施形態]
次に、本発明の第4の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図8は、本実施形態の構成を示すブロック図である。図8を参照すると、本実施形態に係る不正行為検知装置410は、監査情報開示部420、履歴記憶部130及び不正行為検出部140を含む。
監査情報開示部420は、第1の実施形態の監査情報開示部120に比べて、監査情報を、例えばメール等により外部へ通知する点が異なる。監査情報開示部420は、監査情報を、例えば図示しない表示部への表示を行うようにしてもよい。
上述した本実施形態における効果は、第1の実施形態と同じく、正常な操作と区別が付かない操作によって行われた不正行為を検知することを可能にする点である。
その理由は、監査情報開示部420が監査情報を開示し、不正行為検出部140が履歴記憶部130を参照して開示前操作履歴情報と開示後操作履歴情報とに基づいて、不正行為を検出するようにしたからである。
[第5の実施形態]
次に、本発明の第5の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
本発明の第5の実施形態は、第4の実施形態をプログラムにより所定の処理をコンピュータに実行させる実施形態である。
図9は、本実施形態に係る不正行為検知装置700の構成を示すブロック図である。図9を参照すると、本実施形態に係る不正行為検知装置700は、CPU(Central
Processing Unit)710、ディスク装置720、記憶部730及び通信部750を備えている。即ち、不正行為検知装置700は、コンピュータである。
尚、第1乃至第3の実施形態についても、同様に、不正行為検知装置は、図9に示すような、汎用的なコンピュータによって構成される不正行為検知装置700であってもよい。
図11は、プログラムを記録した記録媒体(または記憶媒体)770を示す図である。記録媒体770は、情報を非一時的に記憶する不揮発性記録媒体である。尚、記録媒体770は、情報を一時的に記憶する記録媒体であってもよい。
不正行為検知装置700は、外部から供給される記録媒体770を含んでもよい。
図8に示す不正行為検知装置410の監査情報開示部420及び不正行為検出部140は、CPU710とディスク装置720と記憶部730とに対応する。また、不正行為検知装置410の履歴記憶部130は、記憶部730に対応する。
CPU710は、オペレーティングシステム(不図示)を動作させて、不正行為検知装置700の、全体の動作を制御する。また、CPU710は、例えばディスク装置720に装着された記録媒体770から、プログラム(例えば、図3乃至5に示すフローチャートにおける、不正行為検知装置の動作を、不正行為検知装置700に実行させるプログラム)やデータを読み込む。そして、CPU710は、読み込んだプログラムやデータを記憶部730に書き込む。そして、CPU710は、読み込んだプログラムに従って、また読み込んだデータに基づいて、図8に示す監査情報開示部420及び不正行為検出部140として各種の処理を実行する。また、CPU710は、同様に、図1に示す監査情報開示部120及び不正行為検出部140として各種の処理を実行する。
尚、CPU710は、通信網(不図示)に接続されている外部コンピュータ(不図示)から、記憶部730にプログラムやデータをダウンロードするようにしてもよい。
CPU710は、ディスク装置720に格納されたプログラムを、例えば記憶部730に展開し、展開したプログラムに基づいて、監査情報開示部420及び不正行為検出部140と同様の処理を実行する。
ディスク装置720は、そのプログラムを記憶する。
ディスク装置720は、例えば、光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク及び半導体メモリであって、記録媒体770を含んでもよい。ディスク装置720は、プログラムをコンピュータ読み取り可能に記録する。また、ディスク装置720は、データをコンピュータ読み取り可能に記録してもよい。ディスク装置720は、履歴記憶部130を含んでよい。
記憶部730は、展開されたそのプログラムを記憶する。また、記憶部730は、履歴記憶部130と同様に、操作履歴情報131を記憶する。
通信部750は、監査情報開示部420及び不正行為検出部140に含まれる。
以上説明したように、図1に示す不正行為検知装置110及び図8に示す不正行為検知装置410の機能単位のブロックは、図9に示すハードウェア構成の不正行為検知装置700によって実現される。但し、不正行為検知装置700が備える各部の実現手段は、上記に限定されない。すなわち、不正行為検知装置700は、物理的に結合した1つの装置により実現されてもよいし、物理的に分離した2つ以上の装置を有線または無線で接続し、これら複数の装置により実現されてもよい。
尚、上述のプログラムのコードを記録した記録媒体770が、不正行為検知装置700に供給され、CPU710は、記録媒体770に格納されたプログラムのコードを読み出して実行するようにしてもよい。或いは、CPU710は、記録媒体770に格納されたプログラムのコードを、記憶部730、ディスク装置720またはその両方に格納するようにしてもよい。すなわち、本実施形態は、不正行為検知装置700(CPU710)が実行するプログラム(ソフトウェア)を、一時的にまたは非一時的に、記憶する記録媒体770の実施形態を含む。
上述した本実施形態における効果は、第1乃至第4の実施形態それぞれと同様である。
その理由は、汎用的なコンピュータによって各実施形態の各要素と同様の処理を実行するようにしたからである。
尚、以上の各実施形態では、被監視装置180を、例えば、サーバ、パソコン、端末及びその他の情報処理装置として説明した。しかし、被監視装置180は、例えば、入退室管理装置及び設備管理装置であってよい。これらの装置も、また、上述した各実施形態のようにして、開示前操作履歴情報と開示後操作履歴情報とに基づいて不正行為を検出するようにしてもよい。
また、以上の各実施形態に係る不正行為検知装置は、被監視装置に実装され、被監視装置に含まれてもよい。図10は、不正行為検知装置を含む被監視装置の例のブロック図である。
以上の各実施形態で説明した各構成要素は、必ずしも個々に独立した存在である必要はない。例えば、各構成要素は、複数の構成要素が1個のモジュールとして実現されたり、一つの構成要素が複数のモジュールで実現されたりしてもよい。また、各構成要素は、ある構成要素が他の構成要素の一部であったり、ある構成要素の一部と他の構成要素の一部とが重複していたり、といったような構成であってもよい。
また、以上説明した各実施形態では、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障しない範囲で変更することができる。
更に、以上説明した各実施形態では、複数の動作は個々に相違するタイミングで実行されることに限定されない。例えば、ある動作の実行中に他の動作が発生したり、ある動作と他の動作との実行タイミングが部分的に乃至全部において重複していたりしていてもよい。
更に、以上説明した各実施形態では、ある動作が他の動作の契機になるように記載しているが、その記載はある動作と他の動作のすべての関係を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の関係は内容的に支障のない範囲で変更することができる。また各構成要素の各動作の具体的な記載は、各構成要素の各動作を限定するものではない。このため、各構成要素の具体的な各動作は、各実施形態を実施する上で機能的、性能的、その他の特性に対して支障をきたさない範囲内で変更されて良い。
尚、以上説明した各実施形態における各構成要素は、必要に応じ可能であれば、ハードウェアで実現されても良いし、ソフトウェアで実現されても良いし、ハードウェアとソフトウェアの混在により実現されても良い。
また、各構成要素の物理的な構成は、以上の実施形態の記載に限定されることはなく、独立して存在しても良いし、組み合わされて存在しても良いしまたは分離して構成されても良い。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得るさまざまな変更をすることができる。
この出願は、2011年5月12日に出願された日本出願特願2011−107300を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
110 不正行為検知装置
120 監査情報開示部
130 履歴記憶部
131 操作履歴情報
132 操作内容
133 操作時刻
134 削除方法種別
135 削除ファイル生成時刻
136 削除ファイル名
137 削除ファイル内容
140 不正行為検出部
141 削除数リスト
142 通常削除数
180 被監視装置
181 監査情報表示部
182 履歴取得部
183 制御部
331 操作履歴情報
332 操作内容
334 アドレス
337 通信データ内容
410 不正行為検知装置
420 監査情報開示部
700 不正行為検知装置
710 CPU
720 ディスク装置
730 記憶部
750 通信部
770 記録媒体

Claims (13)

  1. 被監視装置の操作履歴情報を記憶する履歴記憶手段と、
    不正行為を検知するための監査を実施することを示す情報を少なくとも含む監査情報を開示する監査情報開示手段と、
    前記監査情報を開示する時刻以前の前記操作履歴情報である開示前操作履歴情報と、前記監査情報を開示した時刻以後の前記操作履歴情報である開示後操作履歴情報とに基づいて、不正行為を検出する不正行為検出手段と、を有する
    不正行為検知システム。
  2. 前記被監視装置は、操作履歴情報を取得する履歴取得手段を更に含み、
    前記監査情報開示手段は、前記履歴取得手段に前記操作履歴情報の取得の開始と停止とを指示する
    ことを特徴とする請求項1記載の不正行為検知システム。
  3. 前記監査情報は監査実施の予定時刻を示す予定時刻情報を更に含み、
    前記不正行為検出手段は、前記開示前操作履歴情報と、前記開示後操作履歴情報の内の前記監査情報を開示した時刻から前記予定時刻情報で示される前記予定時刻までの期間の前記操作履歴情報である開示後実施前操作履歴情報とに基づいて、不正行為を検出する
    ことを特徴とする請求項1または2記載の不正行為検知システム。
  4. 前記不正行為検出手段は、前記開示前操作履歴情報と前記開示後操作履歴情報とのそれぞれに含まれる、ファイル削除の操作の履歴を示す、ファイル削除履歴情報の数に基づいて、前記不正行為を検出する
    ことを特徴とする請求項1乃至3のいずれかに記載の不正行為検知システム。
  5. 前記不正行為検出手段は、前記ファイル削除履歴情報に含まれるファイルの削除方法の種別を示す情報に基づいて、前記不正行為を検出する
    ことを特徴とする請求項1乃至4のいずれかに記載の不正行為検知システム。
  6. 前記不正行為検出手段は、前記ファイル削除履歴情報に含まれる削除ファイルの生成日時を示す情報に基づいて、前記不正行為を検出する
    ことを特徴とする請求項1乃至5のいずれかに記載の不正行為検知システム。
  7. 前記不正行為検出手段は、複数の前記被監視装置の前記ファイル削除履歴情報に基づいて前記不正行為を検出する
    ことを特徴とする請求項1乃至6のいずれかに記載の不正行為検知システム。
  8. 前記開示後操作履歴情報に含まれる前記ファイル削除履歴情報は、削除されたファイルの内容を含む
    ことを特徴とする請求項4乃至7のいずれかに記載の不正行為検知システム。
  9. 前記不正行為検出手段は、前記開示前操作履歴情報と前記開示後操作履歴情報とのそれぞれに含まれる通信先のアドレス情報に基づいて、前記不正行為を検出する
    ことを特徴とする請求項1乃至8のいずれかに記載の不正行為検知システム。
  10. 被監視装置の操作履歴情報を記憶する履歴記憶手段と、
    不正行為を検知するための監査を実施することを示す情報を少なくとも含む監査情報を開示する監査情報開示手段と、
    前記監査情報を開示する時刻以前の前記操作履歴情報である開示前操作履歴情報と、前記監査情報を開示した時刻以後の前記操作履歴情報である開示後操作履歴情報とに基づいて、不正行為を検出する不正行為検出手段と、を有する
    不正行為検知装置。
  11. 操作履歴情報を取得する履歴取得手段を更に含む
    ことを特徴とする請求項10記載の不正行為検知装置。
  12. 不正行為検知装置が、
    被監視装置の操作履歴情報を記憶し、
    不正行為を検知するための監査を実施することを示す情報を少なくとも含む監査情報を開示し、
    前記監査情報を開示する時刻以前の前記操作履歴情報である開示前操作履歴情報と、前記監査情報を開示した時刻以後の前記操作履歴情報である開示後操作履歴情報とに基づいて、不正行為を検出する
    不正行為検知方法。
  13. 被監視装置の操作履歴情報を記憶する手段を有するコンピュータに、
    不正行為を検知するための監査を実施することを示す情報を少なくとも含む監査情報を開示する処理と、
    前記監査情報を開示する時刻以前の前記操作履歴情報である開示前操作履歴情報と、前記監査情報を開示した時刻以後の前記操作履歴情報である開示後操作履歴情報とに基づいて、不正行為を検出する処理とを実行させる
    プログラムを記録した不揮発性媒体。
JP2013514023A 2011-05-12 2012-04-27 不正行為検知システム、不正行為検知装置、不正行為検知方法及び不揮発性媒体 Pending JPWO2012153746A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011107300 2011-05-12
JP2011107300 2011-05-12
PCT/JP2012/061799 WO2012153746A1 (ja) 2011-05-12 2012-04-27 不正行為検知システム、不正行為検知装置、不正行為検知方法及び不揮発性媒体

Publications (1)

Publication Number Publication Date
JPWO2012153746A1 true JPWO2012153746A1 (ja) 2014-07-31

Family

ID=47139223

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013514023A Pending JPWO2012153746A1 (ja) 2011-05-12 2012-04-27 不正行為検知システム、不正行為検知装置、不正行為検知方法及び不揮発性媒体

Country Status (4)

Country Link
US (1) US9183388B2 (ja)
EP (1) EP2709029A4 (ja)
JP (1) JPWO2012153746A1 (ja)
WO (1) WO2012153746A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9681003B1 (en) * 2013-03-14 2017-06-13 Aeris Communications, Inc. Method and system for managing device status and activity history using big data storage
WO2017014823A2 (en) * 2015-05-04 2017-01-26 Hasan Syed Kamran Method and device for managing security in a computer network
CN109168025B (zh) * 2018-09-28 2021-01-29 成都安恒信息技术有限公司 一种跨平台的可标记审计视频敏感操作的视频播放方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7134141B2 (en) 2000-06-12 2006-11-07 Hewlett-Packard Development Company, L.P. System and method for host and network based intrusion detection and response
US7099866B1 (en) 2001-11-16 2006-08-29 Hewlett-Packard Development Company, L.P. Method of generating and presenting kernel data
JP2005332345A (ja) 2004-05-21 2005-12-02 Lightwell Co Ltd 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム
JP2006243947A (ja) 2005-03-01 2006-09-14 Ricoh Co Ltd 情報入力装置、情報入力方法及び記録媒体
JP2008181231A (ja) 2007-01-23 2008-08-07 Hitachi Ltd コンピュータ成りすまし使用防止システム、コンピュータ成りすまし使用防止方法、およびコンピュータ成りすまし使用防止プログラム
JP2008192091A (ja) 2007-02-07 2008-08-21 Intelligent Wave Inc ログ分析プログラム、ログ分析装置及びログ分析方法
US8707431B2 (en) * 2007-04-24 2014-04-22 The Mitre Corporation Insider threat detection
US20090048856A1 (en) * 2007-08-16 2009-02-19 Facility Audit Solutions, Llc System and method for managing vendor information of vendors that repair deficiencies at facilities
JP5155909B2 (ja) * 2009-03-06 2013-03-06 Sky株式会社 操作監視システム及び操作監視プログラム
JP2010250502A (ja) 2009-04-14 2010-11-04 Nec Corp 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム
US8315888B2 (en) * 2010-02-12 2012-11-20 Assets Quest, Inc. Method and system for estimating unpaid claims

Also Published As

Publication number Publication date
US9183388B2 (en) 2015-11-10
US20140208439A1 (en) 2014-07-24
EP2709029A1 (en) 2014-03-19
EP2709029A4 (en) 2014-10-29
WO2012153746A1 (ja) 2012-11-15

Similar Documents

Publication Publication Date Title
US11755387B1 (en) Updating code of an app feature based on a value of a query feature
US11558407B2 (en) Enterprise policy tracking with security incident integration
KR101757844B1 (ko) 요청된 정보를 삭제하기 위한 방법들 및 시스템들
US9262473B2 (en) Trail log analysis system, medium storing trail log analysis program, and trail log analysis method
US8589876B1 (en) Detection of central-registry events influencing dynamic pointers and app feature dependencies
US9256510B2 (en) Automatic rules based capturing of graphical objects for specified applications
US20160306827A1 (en) Synchronizing data rules and corresponding metadata to implement data governance
EP2851857A1 (en) Mobile application daily user engagement scores and user profiles
US20130318514A1 (en) Map generator for representing interrelationships between app features forged by dynamic pointers
US11194647B2 (en) User interface for monitoring crashes of a mobile application
US20160224400A1 (en) Automatic root cause analysis for distributed business transaction
US9185065B2 (en) Computer method and system for attachment reduction
US10635575B2 (en) Testing of enterprise resource planning systems
WO2012153746A1 (ja) 不正行為検知システム、不正行為検知装置、不正行為検知方法及び不揮発性媒体
Satrya et al. A novel Android memory forensics for discovering remnant data
JP2006331026A (ja) メッセージ分析システム及びメッセージ分析プログラム
JP6834703B2 (ja) 業務利用ファイル管理システム、業務利用ファイルの管理方法、および、プログラム
US7051230B2 (en) Method and system for allowing customization of remote data collection in the event of a system error
US11321277B2 (en) Apparatus and method for improved network data security enforcement and verification
US10963244B2 (en) Commit reversion detection
JP2019086880A (ja) ログファイル制御プログラム、ログファイル制御装置、及び、ログファイル制御方法
CN112363870B (zh) 应用程序开发处理方法、装置、计算机设备和存储介质
KR102198789B1 (ko) 통합 사용 로그 데이터를 생성하는 서버 및 그 동작 방법
US20220253529A1 (en) Information processing apparatus, information processing method, and computer readable medium
Ahmed Research on data analytics and user tracking