JPWO2015186216A1 - 業務システム監視装置及び業務システム監視方法 - Google Patents

業務システム監視装置及び業務システム監視方法 Download PDF

Info

Publication number
JPWO2015186216A1
JPWO2015186216A1 JP2016524990A JP2016524990A JPWO2015186216A1 JP WO2015186216 A1 JPWO2015186216 A1 JP WO2015186216A1 JP 2016524990 A JP2016524990 A JP 2016524990A JP 2016524990 A JP2016524990 A JP 2016524990A JP WO2015186216 A1 JPWO2015186216 A1 JP WO2015186216A1
Authority
JP
Japan
Prior art keywords
information
user
business
coincidence
degree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP2016524990A
Other languages
English (en)
Inventor
結 渡邊
結 渡邊
吉田 功
功 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Publication of JPWO2015186216A1 publication Critical patent/JPWO2015186216A1/ja
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data

Abstract

【課題】業務システムでの正当な操作傾向が業務の状況によって変化しうることに対応して、情報セキュリティ上の危険性に関する判定精度を向上可能とする。【解決手段】業務システム監視装置100において、業務システム50において現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、業務システム50から受信し、検証情報125を特徴情報129に照合して、ユーザ操作及び該当ユーザ操作がなされた業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと所定基準127とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置106または通信装置107に出力する処理を実行する演算装置104を備える構成とする。

Description

本発明は、業務システム監視装置及び業務システム監視方法に関し、具体的には、コンピュータシステムの利用者による情報の盗難や改竄を防止するためのセキュリティ管理技術に関する。
業務上の機密情報を含む各種情報を取り扱う業務システムにおいては、当該業務システムでの情報漏洩や改竄を防止する必要がある。そこで、業務システムにおいて行われる操作のうち不正操作である可能性が高い既知の操作パターンと、現在実行中の操作とを照合して、現在実行中の操作が不正操作である可能性を判定する方法が提案されている。また他にも、過去の操作履歴から操作のパターンを分析し、現在の操作を過去の操作履歴上の操作のパターンと比較して不正操作である可能性を判定する方法なども提案されている。
例えば上述の操作履歴を用いた判定技術として、以下の技術が提案されている。すなわち、コンピュータ等を不正に操作しているユーザを検知するために、グループに属する一のユーザが行った操作が、同一のグループに属するユーザの一般的な操作の傾向に比較して特異な操作に当たらないかを判定する技術(特許文献1参照)などが提案されている。
特開2008−192091号公報
従来技術によれば、企業や部署などのグループ内において相対的に怪しい操作を行っているユーザを検出することが可能になる。しかしながら、グループ内では一般的な操作であって問題とみなされない操作であっても、操作を行う状況によっては情報セキュリティ上の問題となる場合もありうる。
例えば、製品の設計業務において、回路設計を担当するユーザが、回路設計工程で完成した回路図ファイルを、次工程で部品設計を行う外注先に送信する事は、業務上の当然の操作であって問題無い。一方、このユーザが同様の操作を部品設計工程完了後に実施する、或いは未完成の回路図ファイルを外部に送信する、といった操作は業務上では不自然であり、情報漏洩を意図して行われている可能性が多分にある。
ところが従来技術においては、過去に正しいとされた操作内容、或いはグループ内の操作傾向と同様でありさえすれば、業務上は不自然な工程で操作が行われる事態を正常と判定してしまう。従って、悪意のユーザが業務システムにおいてごく一般的な操作を用いて情報漏洩や改竄等の不正行為を行う状況に対し、確実な対処が出来ないこととなっていた。
そこで本発明の目的は、業務システムでの正当な操作傾向が業務の状況によって変化しうることに対応して、情報セキュリティ上の危険性に関する判定精度を向上可能とする技術を提供することにある。
上記課題を解決する本発明の業務システム監視装置は、監視対象である業務システムと通信する通信装置と、前記業務システムにおいて過去の所定期間に行われた通常のユーザ操作及び該当ユーザ操作がなされた業務工程に関する各情報を含む特徴情報を格納する記憶装置と、前記業務システムにおいて現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、前記業務システムから受信し、前記検証情報を前記特徴情報に照合して、前記ユーザ操作及び該当ユーザ操作がなされた前記業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する演算装置と、を備えることを特徴とする。
また、本発明の業務システム監視方法は、監視対象である業務システムと通信する通信装置と、前記業務システムにおいて過去の所定期間に行われた通常のユーザ操作及び該当ユーザ操作がなされた業務工程に関する各情報を含む特徴情報を格納する記憶装置と、を備えた情報処理装置が、前記業務システムにおいて現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、前記業務システムから受信し、前記検証情報を前記特徴情報に照合して、前記ユーザ操作及び該当ユーザ操作がなされた前記業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、ことを特徴とする。
本発明によれば、業務システムでの正当な操作傾向が業務の状況によって変化しうることに対応して、情報セキュリティ上の危険性に関する判定精度を向上可能となる。
本実施形態における業務システム監視装置の構成例を示す図である。 本実施形態における業務システム監視方法の処理手順例を示すフロー図である。 本実施形態における業務システムが保持する操作ログ例を示す図である。 本実施形態における業務システムが保持する工程管理データ例を示す図である。 本実施形態における工程及び操作履歴データの例を示す図である。 本実施形態におけるユーザID定義の例を示す図である。 本実施形態における特徴情報データの例を示す図である。 本実施形態における緩和ルール定義の例を示す図である。 本実施形態における危険性判定表の例を示す図である。 本実施形態における工程及び操作履歴データの他の例を示す図である。 本実施形態における特徴情報データの他の例を示す図である。 本実施形態における業務システム監視方法の他の処理手順例を示すフロー図である。 本実施形態における危険性判定定義が含む判定レベル選択基準の例を示す図である。 本実施形態における危険性判定表の他の例を示す図である。
−−−システム構成の例−−−
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は本実施形態の業務システム監視装置100を含むネットワーク構成例を示す図である。図1に示す業務システム監視装置100は、業務システム50での正当な操作傾向が業務の状況によって変化しうることに対応して、業務システム50からの情報漏洩等、情報セキュリティ上の危険性に関する判定精度を向上可能とするためのコンピュータシステムである。
こうした業務システム監視装置100は、監視対象である業務システム50とネットワーク15を介して通信可能に結ばれている。また、業務システム50は、社内LAN(Local Area Network)などの所定のネットワーク10を介して、当該業務システム50にアクセスして業務工程の作業を実行するアクセス端末60と通信可能に結ばれている。
また、業務システム監視装置100のハードウェア構成は以下の如くとなる。業務システム監視装置100は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される記憶装置101、RAMなど揮発性記憶素子で構成されるメモリ103、メモリ103に保持されるプログラム110〜112を実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPU104(演算装置)、管理者等の指示を受け付けるキーボードやマウス等の入力装置105、処理結果を出力するディスプレイ等の出力装置106、および、ネットワーク15と接続し業務システム50との通信処理を担う通信インターフェイス107(通信装置)を備える。
なお、メモリ103内には、本実施形態の業務システム監視装置100として必要な機能を実装する為のプログラム110〜112が記憶されている。また、記憶装置101内には、各種処理に必要なデータ類125〜131が記憶されている。これらデータ類125〜131の詳細については後述する。
−−−機能の例−−−
続いて、本実施形態の業務システム監視装置100が備える機能について説明する。上述したように、以下に説明する機能は、例えば業務システム監視装置100がメモリ103で備えるプログラム110〜112をそれぞれ実行することで実装される機能と言える。なお、記憶装置101のデータ類のうち、危険性判定定義127(所定基準)は、ユーザ操作及び当該ユーザ操作がなされた業務工程に関する各一致度と、この各一致度の低さに応じて高くなる情報セキュリティ上の危険性の値との対応関係を定めたテーブルである。また、特徴情報データ129(特徴情報)は、業務システム50において過去の所定期間に行われた通常のユーザ操作及び該当ユーザ操作がなされた業務工程に関する各情報を含むものであり、また判定レベル選択基準130(厳格度基準情報)は、業務工程の進捗状況に応じた危険性判定の厳格度を定めたテーブルである。
こうした業務システム監視装置100は、業務システム50において現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、ネットワーク15および通信インターフェイス107を介して業務システム50から受信し、ここで受信した検証情報を上述の特徴情報データ129のフォーマットに整形し、工程及び操作履歴データ125におけるレコードを生成する機能を備えている。この機能は、上述の操作・工程整合プログラム110を実行することで業務システム監視装置100に実装される機能である。
また、業務システム監視装置100は、上述の整形後の検証情報、すなわち工程及び操作履歴データ125の所定レコードを、特徴情報データ129中に格納されているレコードに照合して、ユーザ操作及び該当ユーザ操作がなされた業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと危険性判定定義127とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置106または通信インターフェイス107に出力する機能を備えている。この機能は、上述の危険判定プログラム111を実行することで業務システム監視装置100に実装される機能である。
また、業務システム監視装置100は、上述の検証情報すなわち工程及び操作履歴データ125の所定レコードを、特徴情報データ129中のレコードに照合して、上述のユーザ操作の情報である、ユーザの属性、操作内容、及び操作対象データに関する一致度と、上述の業務工程の情報である、ユーザが該当ユーザ操作を行った業務工程及び操作対象データが通常取り扱われる業務工程の各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと危険性判定義127とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置106または通信インターフェイス107に出力する機能を備えている。
また、業務システム監視装置100は、上述の検証情報たる工程及び操作履歴データ125の所定レコードが示す業務工程の進捗状況の情報を、上述の判定レベル選択基準130に照合して、該当進捗状況に対応する厳格度を特定し、この厳格度に応じた危険性判定表131(上述の一致度に応じた情報セキュリティ上の危険度の値を定めた表)を選択し、この危険性判定表131において、上述の一致度と対応する危険度の値を特定する機能を備えている。
また、業務システム監視装置100は、上述の検証情報たる工程及び操作履歴データ125の所定レコードを、特徴情報データ129中のレコードに照合して、上述のユーザ操作の情報である、ユーザの属性、操作内容、及び操作対象データに関する一致度と、上述の業務工程の情報である、該当ユーザがユーザ操作を行った業務工程及び操作対象データが通常取り扱われる業務工程と、操作を行ったユーザの属性、業務工程の進捗状況、および操作対象データに関する作業進捗状況の各情報のうち少なくともいずれかとの各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと、上述の危険性判定定義127とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置106または通信インターフェイス107に出力する機能を備えている。
−−−処理フローの例−−−
以下、本実施形態における業務システム監視方法の実際手順について図に基づき説明する。以下で説明する業務システム監視方法に対応する各種動作は、業務システム監視装置100がメモリ102における各プログラム110〜112を実行することで実現される。そして、これらのプログラム110〜112は、以下に説明される各種の動作を行うためのコードから構成されている。
図2は、本実施形態における業務システム監視方法の処理手順例を示すフロー図である。ここでまず、業務システム監視装置100は、業務システム50において現在実行中または直近のユーザ操作の情報である操作ログ2001と、業務工程の進捗状況に関する情報である工程管理データ2011とを、業務システム50からネットワーク15を介して取得する(S1000)。
上述の操作ログ2001は、ユーザのアクセス端末60が業務システム50にログインした時点から開始されるセッション毎に生成されたレコードの集合体となっている。各レコードは、図3に例示するように、ログID(図中では“Lid”)をキーとして、ユーザ操作を行ったユーザのID、アクセス端末60のIPアドレスである接続元IP、およびアクセス端末60による業務システム50へのログイン時刻といった値が対応付けされている。
また上述の操作ログ2001は入れ子構造となっており、各レコードには、該当セッションを構成する一連のユーザ操作の内容が記載されたサブテーブル2002が一体に紐付いている。このサブテーブル2002は、当該サブテーブル2002におけるレコード番号(図中では“#”)および対応するログIDをキーとして、“LOGIN”、“Open”、“Move”、“Save”といった操作、この操作の対象データ(該当ファイルの格納先の情報含む)、および実施時刻といった値が対応付けされたレコードの集合体となっている。
また、上述の工程管理データ2011は、図4にて例示するように、当該工程管理データ2011におけるレコード番号(図中では“#”)および業務プロジェクトのID(図中では“PJid”)をキーとして、該当業務プロジェクトの担当ユーザ、この担当ユーザが扱っている操作対象データ(図中では“所属データ”)、該当担当ユーザらが現在対応中の業務工程(図中では“対応中工程”)、その進捗状況(図中では“進捗率”)、および、該当プロジェクトに関する参考情報(図中では“PJ履歴”)といった値が対応付けされたレコードの集合体となっている。
次に業務システム監視装置100は、上述のステップS1000で得た操作ログ2001および工程管理データ2011をマージして、工程及び操作履歴データ125を生成する(S1010)。
この場合、業務システム監視装置100は、操作ログ2001のサブテーブル2002のレコードを時刻の順に抽出し、該当レコードのログID、ユーザID(操作ログ2001の対応レコードに付与されている値)、操作、対象データ、および時刻の各値を読み出して、工程及び操作履歴データ125にレコードを生成し、操作履歴欄1251に対応する値を格納する。こうして値を格納したレコードの具体例としては、図5の工程及び操作履歴データ125で示すように、レコード番号“1”、ログID“0”、ユーザID“A”、操作“Open”、対象データ“..¥crr¥fo1.dwg”、および時刻“2013/04/05 10:28:26”の各値が設定されたレコードとなる。
また、業務システム監視装置100は、上述のように生成したレコードにおけるユーザIDを、ユーザID定義126に照合してユーザ名を特定する。ユーザID定義126は、図6にて例示するように、当該ユーザID定義126におけるレコード番号(図中では“#”)およびユーザID(図中では“操作ユーザID”)と、該当ユーザのユーザ名(図中では“担当ユーザ”)とを対応付けたレコードの集合体となっている。例えば、ユーザID“A”を、図6に例示するユーザID定義126に照合した場合、ユーザ名“UserA”を特定できる。
こうしてユーザ名を特定した業務システム監視装置100は、ユーザ名をキーにして上述の工程管理データ2011を検索し、該当ユーザが現在対応中の業務工程すなわち対応中工程を特定する。例えば、ユーザ名“UserA”をキーに、図4に例示した工程管理データ2011を検索すると、レコード番号“0”、PJid“0”、のレコードにおいて、対応中工程“要求定義”の値を特定出来る。業務システム監視装置100は、こうして特定した対応中工程の値を、工程及び操作履歴データ125の該当レコードにおける工程属性欄1252での該当欄に格納する。このように対応中工程の値が格納されたレコードとしては、例えば、工程及び履歴データ125で示すように、レコード番号“1”、ログID“0”、ユーザID“A”、操作“Open”、対象データ“..¥crr¥fo1.dwg”、および時刻“2013/04/05 10:28:26”の各値が設定されたレコードにおいて、工程属性欄1252の対応中工程欄に、“要求定義”の値が設定されたものとなる。
また、業務システム監視装置100は、上述のように工程及び操作履歴データ125のレコードに格納した対象データの値をキーに、工程管理データ2011を検索し、該当対象データの値が“所属データ”欄に含まれるレコードを特定し、このレコードにおける対応中工程の値を取得する。例えば、対象データの値“..¥crr¥fo1.dwg”をキーに、図4に例示した工程管理データ2011の各レコードにおける所属データ欄を検索すると、レコード番号“0”、PJid“0”、のレコードを特定し、このレコードにおける対応中工程“要求定義”の値を特定出来る。業務システム監視装置100は、こうして特定した対応中工程の値を、工程及び操作履歴データ125の該当レコードにおける工程属性欄1252でのデータの所属工程欄に格納する。このようにデータの所属工程欄に対応中工程の値が格納されたレコードとしては、例えば、工程及び履歴データ125で示すように、レコード番号“1”、ログID“0”、ユーザID“A”、操作“Open”、対象データ“..¥crr¥fo1.dwg”、時刻“2013/04/05 10:28:26”、対応中工程“要求定義”の各値が設定されたレコードにおいて、データの所属工程欄に、“要求定義”の値が設定されたものとなる。
以上のように工程及び操作履歴データ125を生成した業務システム監視装置100は、上述の工程及び操作履歴データ125の所定レコード(以後、検証レコード)が示す、ユーザID、操作、及び対象データの各値(ユーザ操作の情報)、及び、対応中工程およびデータの所属工程の各値(業務工程の情報)について、上述の特徴情報データ129の各レコードに照合する(S1020)。例えば、図5の工程及び操作履歴データ125のレコードのうち、レコード番号“1”、ログID“0”のレコードにおける、ユーザID“A”、操作“Open”、対象データ“..¥crr¥fo1.dwg”の各値(以上、ユーザ操作の情報)と、対応中工程“要求定義”およびデータの所属工程“要求定義”の各値(以上、業務工程の情報)を、図7の特徴情報データ129の各レコードの該当欄の値と照合する。
また、業務システム監視装置100は、上述の照合処理(S1020)の結果、各照合対象の値に関する検証レコードと特徴情報データ129のレコードとの一致度を特定する(S1030)。
なお、業務システム監視装置100は、ユーザID、操作、対象データの各値に関して、レベル0:「ユーザID及び操作が完全一致し、対象データも完全一致」、レベル1:「ユーザID及び操作が完全一致し、対象データの格納場所とデータ種別(拡張子)が一致」、レベル2:「ユーザID及び操作グループが一致し、対象データの格納場所とデータ種別(拡張子)が一致」・・・、といった一致度の基準を定めた緩和ルール定義128(図8)を記憶装置101に保持している。上述の操作グループとは、操作対象のデータに変更が生じる操作(例:削除や編集)のグループと、変更が生じない操作(例:ファイル開やファイル閉)のグループ、或いはアプリケーション別にグルーピングされた操作、WEB画面上の所定の操作メニュー毎のグループ、といったものを想定する。
そこで業務システム監視装置100は、上述のステップS1021において、上述のユーザ操作の情報、すなわちユーザID、操作、対象データの各値に関する照合の結果を、上述の緩和ルール定義128に適用して、ユーザ操作(ユーザID、操作、対象データ)に関する一致度に関する該当レベルを特定する。
また同様に、業務システム監視装置100は、業務工程の一致度に関する緩和ルール定義128として、対応中工程およびデータの所属工程の各値に関して、一致率“100”:「対応中工程およびデータの所属工程が一致」、一致率“75”:「対応中工程は一致し、データの所属工程は類似」、一致率“50”:「対応中工程は一致し、データの所属工程は不一致」、一致率“0”:「対応中工程が不一致の全ての場合」、・・・、といった一致度に関する該当一致率の基準を定めた定義を記憶装置101に保持している。
そこで業務システム監視装置100は、上述のステップS1021において、上述の業務工程の情報、すなわち対応中工程およびデータの所属工程の各値に関する照合の結果を、上述の緩和ルール定義128に適用して、業務工程(対応中工程およびデータの所属工程)に関する一致度に関する該当一致率を特定する。
次に業務システム監視装置100は、上述のように特定した、ユーザ操作に関する一致度に応じたレベルと、業務工程に関する一致度に応じた一致率との組み合わせを、危険性判定表131に照合し、情報セキュリティ上の危険性を判定する(S1040)。
図9は本実施形態における危険性判定表131の例を示す図である。危険性判定表131は、ユーザ操作に関する一致度と業務工程に関する一致度との組み合わせに対し、情報セキュリティ上の危険性を定めたマトリクスである。ユーザ操作に関する一致度が低いほど、すなわち図9の危険性判定表131におけるレベルの値が大きいほど、また、業務工程に関する一致度が低いほど、すなわち図9の危険性判定表131における一致率の値が小さいほど、イレギュラーなユーザ操作がなされており、情報漏洩等の情報セキュリティ上の危険性が高いと認定するデータ構成となっている。
業務システム監視装置100は、こうした危険性判定表131に対し、“レベル0”、“一致率75”といった値の組みあわせを適用して、対応する危険性の値を、“15”などと特定する。
また業務システム監視装置100は、上述のステップS1040で判定した判定結果、すなわち危険性の値を、出力装置106または通信装置107に出力し(S1050)、その後、業務システム50において該当ユーザのログアウト操作が行われるまで、(S1060:no→S1000)、上述のステップS1000以降の処理を繰り返し実行する。他方、業務システム50において該当ユーザのログアウト操作が行われたならば(S1060:yes)、特徴情報データ129の更新処理を行い(S1070)、業務システム監視装置100は、本フローを終了する。
なお、上述した特徴情報データ129の更新処理(S1070)は、ステップS1000〜S1060で処理対象とした工程及び操作履歴データ125のレコードのうち、システム管理者等が通常操作に関するものであると入力装置105にて指定したものについて、業務システム監視装置100が、特徴情報データ129のレコードとして追加する処理となる。こうして特徴情報データ129は継続的に更新されることとなる。
−−−取扱情報を拡張した場合の例−−−
業務システム50で管理される工程管理データ51の情報量が上述してきた形態の場合よりも多い状況が想定できる。その場合の工程及び操作履歴データ125の例を図10にて示す。図4の工程及び操作履歴データ125との相違点は、図10の例に示すように、工程属性1525のうち、ユーザのロール、対応中工程の進捗率、およびデータの進捗の各値である。このうちユーザのロールは、該当操作を行ったユーザの職位を示す値である。また、対応中工程の進捗率は、対応中工程に関する作業の進捗率を示す値である。また、データの進捗は、対象データに対する作業の進捗状況(例えば、edit:編集中、fix:完了)を示す値である。この場合、当然ながら特徴情報データ129のレコードにおけるデータ項目も、図11に示すように、ユーザのロール、対応中工程の進捗率、およびデータの進捗の各値に関して増えることになる。
上述のような工程及び操作履歴データ125、および特徴情報データ129を、業務システム監視装置100が保持する場合の業務システム監視方法の処理手順について説明する。図12は、本実施形態における業務システム監視方法の他の処理手順例を示すフロー図である。なお、図2の処理フローと共通する処理であるステップS1000〜S1030までの処理については説明を省略する。
この場合、業務システム監視装置100は、上述のステップS1030に引き続き、上述の検証レコードが示す工程属性1252の各値うち、少なくとも「対応中工程の進捗率」および「データの進捗率」の各値を、判定レベル選択基準130(厳格度基準情報)に照合して、業務工程の進捗状況に応じた厳格度別の危険性判定表131を特定する(S1031)。図13に判定レベル選択基準130の例を示す。
図13に例示する判定レベル選択基準130は、対応中工程、データの所属工程の各進捗状況と、更にはユーザのロールについても基準に加えている。例えば、対応中工程の進捗率が“20%未満”、データの進捗率が“20%未満”、である場合、ユーザのロールは問わず、選択する危険性判定表131としては、判定レベルが厳しいすなわち“判定レベル厳”のものを特定することとなる。このように判定レベル選択基準130は、業務工程における進捗状況に応じて危険性判定表131を選択する構成となっている。従って、この場合の業務システム監視装置100は、図14にて示すように、判定レベル選択基準130が規定する判定レベル別に危険性判定表131を保持している。
次に業務システム監視装置100は、上述のステップS1031において特定した判定レベルに応じた危険性判定表131に、上述のステップS1030にて特定してある、ユーザ操作に関する一致度に応じたレベルと、業務工程に関する一致度に応じた一致率との組み合わせを照合し、情報セキュリティ上の危険性を判定する(S1040)。危険性を判定した以降の処理については、図2のフローと同様である。
以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
こうした本実施形態によれば、工程など業務の各状況によって変化しうる正当な操作傾向に対し、これに反する操作とその状況における危険性を判別することが可能となるため、従来では不正行為を検出出来なかった状況にも監視範囲が拡大し、情報漏洩や改竄など情報セキュリティ上の危険性の判定精度が従来よりも向上する。
従って、業務システムでの正当な操作傾向が業務の状況によって変化しうることに対応して、情報セキュリティ上の危険性に関する判定精度を向上可能となる。
本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の業務システム監視装置において、前記記憶装置は、前記特徴情報における前記通常のユーザ操作に関する情報として、操作を行ったユーザの属性、操作内容、及び操作対象データを格納し、前記業務工程に関する情報として、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報を格納するものであり、前記演算装置は、前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行するものである、としてもよい。
これによれば、例えばユーザ操作に関して、職位や担当等のユーザ属性、操作内容、及び操作対象データ、業務工程に関して、ユーザ操作を行った業務工程及び操作対象データが通常取り扱われる業務工程、の各点について現在実行中のユーザ操作と過去における通常の操作との一致度を特定し、業務工程の情報に関する一致度も含めて、より高精度な一致度の特定と、それに伴う危険性判定の精度の向上が実現出来る。
また、本実施形態の業務システム監視装置において、前記記憶装置は、業務工程の進捗状況に応じた危険性判定の厳格度を定めた厳格度基準情報を更に格納するものであり、前記演算装置は、前記検証情報が示す業務工程の進捗状況の情報を前記厳格度基準情報に照合して、前記進捗状況に対応する厳格度を特定し、前記一致度の組み合わせと比較する前記所定基準を前記特定した厳格度に応じて高める処理を更に実行するものである、としてもよい。
これによれば、業務工程の進捗状況が、例えば、成果物の基本構想が決定されたばかりの初期段階において、関係する操作対象データ(例:その基本構想が記載されたファイル等)を外部に送信するユーザ操作は、情報セキュリティ上の危険性が非常に高い、などといった現実の状況に確実に対応して、上述の一致度を厳格な基準で特定し、ひいては、更に高精度な一致度の特定と、それに伴う危険性判定の精度の更なる向上が実現出来る。
また、本実施形態の業務システム監視装置において、前記記憶装置は、前記特徴情報における前記業務工程に関する情報として、操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況、の各情報のうち少なくともいずれかを更に格納するものであり、前記演算装置は、前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程と、前記操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況の各情報のうち少なくともいずれかとの各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行するものである、
としてもよい。
これによれば、業務工程に関して、ユーザ操作を行った業務工程及び操作対象データが通常取り扱われる業務工程に加えて、操作を行ったユーザの属性、業務工程の進捗状況、および操作対象データに関する作業進捗状況、の各情報のうち少なくともいずれかの各点についても、現在実行中のユーザ操作と過去における通常の操作との一致度を特定し、より高精度な一致度の特定と、それに伴う危険性判定の更なる精度の向上が実現出来る。
また、本実施形態の業務システム監視方法において、前記情報処理装置が、前記記憶装置において、前記特徴情報における前記通常のユーザ操作に関する情報として、操作を行ったユーザの属性、操作内容、及び操作対象データを格納し、前記業務工程に関する情報として、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報を格納して、前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、としてもよい。
また、本実施形態の業務システム監視方法において、前記情報処理装置が、前記記憶装置において、業務工程の進捗状況に応じた危険性判定の厳格度を定めた厳格度基準情報を更に格納して、前記検証情報が示す業務工程の進捗状況の情報を前記厳格度基準情報に照合して、前記進捗状況に対応する厳格度を特定し、前記一致度の組み合わせと比較する前記所定基準を前記特定した厳格度に応じて高める処理を更に実行する、としてもよい。
また、本実施形態の業務システム監視方法において、前記情報処理装置が、前記記憶装置において、前記特徴情報における前記業務工程に関する情報として、操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況、の各情報のうち少なくともいずれかを更に格納して、前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程と、前記操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況の各情報のうち少なくともいずれかとの各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、としてもよい。
10、15 ネットワーク
50 業務システム
51 工程管理データ
52 モニタリングプログラム
53 操作ログ
60 アクセス端末
100 業務システム監視装置
101 記憶装置
102 プログラム
103 メモリ
104 演算装置
105 入力装置
106 出力装置
107 通信インターフェイス(通信装置)
110 操作・工程整合プログラム
111 危険性判定プログラム
112 特徴抽出プログラム
125 工程及び操作履歴データ
126 ユーザID定義
127 危険性判定定義(所定基準)
128 緩和ルール定義
129 特徴情報データ(特徴情報)
130 判定レベル選択基準(厳格度基準情報)
131 危険性判定表(所定基準)

Claims (8)

  1. 監視対象である業務システムと通信する通信装置と、
    前記業務システムにおいて過去の所定期間に行われた通常のユーザ操作及び該当ユーザ操作がなされた業務工程に関する各情報を含む特徴情報を格納する記憶装置と、
    前記業務システムにおいて現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、前記業務システムから受信し、前記検証情報を前記特徴情報に照合して、前記ユーザ操作及び該当ユーザ操作がなされた前記業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する演算装置と、
    を備えることを特徴とする業務システム監視装置。
  2. 前記記憶装置は、
    前記特徴情報における前記通常のユーザ操作に関する情報として、操作を行ったユーザの属性、操作内容、及び操作対象データを格納し、前記業務工程に関する情報として、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報を格納するものであり、
    前記演算装置は、
    前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行するものである、
    ことを特徴とする請求項1に記載の業務システム監視装置。
  3. 前記記憶装置は、
    業務工程の進捗状況に応じた危険性判定の厳格度を定めた厳格度基準情報を更に格納するものであり、
    前記演算装置は、
    前記検証情報が示す業務工程の進捗状況の情報を前記厳格度基準情報に照合して、前記進捗状況に対応する厳格度を特定し、前記一致度の組み合わせと比較する前記所定基準を前記特定した厳格度に応じて高める処理を更に実行するものである、
    ことを特徴とする請求項1に記載の業務システム監視装置。
  4. 前記記憶装置は、
    前記特徴情報における前記業務工程に関する情報として、操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況、の各情報のうち少なくともいずれかを更に格納するものであり、
    前記演算装置は、
    前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程と、前記操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況の各情報のうち少なくともいずれかとの各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行するものである、
    ことを特徴とする請求項2に記載の業務システム監視装置。
  5. 監視対象である業務システムと通信する通信装置と、前記業務システムにおいて過去の所定期間に行われた通常のユーザ操作及び該当ユーザ操作がなされた業務工程に関する各情報を含む特徴情報を格納する記憶装置と、を備えた情報処理装置が、
    前記業務システムにおいて現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、前記業務システムから受信し、前記検証情報を前記特徴情報に照合して、前記ユーザ操作及び該当ユーザ操作がなされた前記業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、
    ことを特徴とする業務システム監視方法。
  6. 前記情報処理装置が、
    前記記憶装置において、前記特徴情報における前記通常のユーザ操作に関する情報として、操作を行ったユーザの属性、操作内容、及び操作対象データを格納し、前記業務工程に関する情報として、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報を格納して、
    前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、
    ことを特徴とする請求項5に記載の業務システム監視方法。
  7. 前記情報処理装置が、
    前記記憶装置において、業務工程の進捗状況に応じた危険性判定の厳格度を定めた厳格度基準情報を更に格納して、
    前記検証情報が示す業務工程の進捗状況の情報を前記厳格度基準情報に照合して、前記進捗状況に対応する厳格度を特定し、前記一致度の組み合わせと比較する前記所定基準を前記特定した厳格度に応じて高める処理を更に実行する、
    ことを特徴とする請求項5に記載の業務システム監視方法。
  8. 前記情報処理装置が、
    前記記憶装置において、前記特徴情報における前記業務工程に関する情報として、操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況、の各情報のうち少なくともいずれかを更に格納して、
    前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程と、前記操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況の各情報のうち少なくともいずれかとの各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、
    ことを特徴とする請求項6に記載の業務システム監視方法。
JP2016524990A 2014-06-05 2014-06-05 業務システム監視装置及び業務システム監視方法 Ceased JPWO2015186216A1 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/064916 WO2015186216A1 (ja) 2014-06-05 2014-06-05 業務システム監視装置及び業務システム監視方法

Publications (1)

Publication Number Publication Date
JPWO2015186216A1 true JPWO2015186216A1 (ja) 2017-04-20

Family

ID=54766312

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016524990A Ceased JPWO2015186216A1 (ja) 2014-06-05 2014-06-05 業務システム監視装置及び業務システム監視方法

Country Status (2)

Country Link
JP (1) JPWO2015186216A1 (ja)
WO (1) WO2015186216A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005048119A1 (ja) * 2003-11-17 2005-05-26 Intelligent Wave Inc, 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム
JP2007109182A (ja) * 2005-10-17 2007-04-26 Canon Inc ワークフローシステムおよびオブジェクト生成装置
JP2009157422A (ja) * 2007-12-25 2009-07-16 Fuji Xerox Co Ltd 操作制限情報管理システムおよびプログラム
JP2009223390A (ja) * 2008-03-13 2009-10-01 Fuji Xerox Co Ltd 画像処理監視システム及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005048119A1 (ja) * 2003-11-17 2005-05-26 Intelligent Wave Inc, 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム
JP2007109182A (ja) * 2005-10-17 2007-04-26 Canon Inc ワークフローシステムおよびオブジェクト生成装置
JP2009157422A (ja) * 2007-12-25 2009-07-16 Fuji Xerox Co Ltd 操作制限情報管理システムおよびプログラム
JP2009223390A (ja) * 2008-03-13 2009-10-01 Fuji Xerox Co Ltd 画像処理監視システム及びプログラム

Also Published As

Publication number Publication date
WO2015186216A1 (ja) 2015-12-10

Similar Documents

Publication Publication Date Title
US11893044B2 (en) Recognizing unknown data objects
US10237295B2 (en) Automated event ID field analysis on heterogeneous logs
US20220006828A1 (en) System and user context in enterprise threat detection
US20170154188A1 (en) Context-sensitive copy and paste block
WO2017065070A1 (ja) 不審行動検知システム、情報処理装置、方法およびプログラム
US10152497B2 (en) Bulk deduplication detection
EP3133507A1 (en) Context-based data classification
US11716349B2 (en) Machine learning detection of database injection attacks
US11916920B2 (en) Account access security using a distributed ledger and/or a distributed file system
US10901996B2 (en) Optimized subset processing for de-duplication
US9443082B2 (en) User evaluation
US20150213272A1 (en) Conjoint vulnerability identifiers
JP6282217B2 (ja) 不正プログラム対策システムおよび不正プログラム対策方法
EP3196798A1 (en) Context-sensitive copy and paste block
US10650028B2 (en) Relational database instruction validation
CN105825137A (zh) 一种确定敏感数据扩散行为的方法及装置
CN111190603A (zh) 一种隐私数据检测方法、装置和计算机可读存储介质
KR20200073824A (ko) 악성코드 프로파일링 방법 및 그 장치
US10545962B2 (en) Relational database instruction validation
WO2015186216A1 (ja) 業務システム監視装置及び業務システム監視方法
CN114969819A (zh) 数据资产风险发现方法和装置
US20220092086A1 (en) Order Independent Data Categorization, Indication, and Remediation Across Realtime Datasets of Live Service Environments
CN112699372A (zh) 漏洞处理方法、装置和计算机可读存储介质
TWI813326B (zh) 設備指紋推論系統及方法
JP2011170509A (ja) 機密度学習装置、機密度学習システム、機密度学習方法および機密度学習プログラム

Legal Events

Date Code Title Description
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170131

A045 Written measure of dismissal of application

Free format text: JAPANESE INTERMEDIATE CODE: A045

Effective date: 20170530