JPWO2018078675A1 - 行動監視装置、システム、方法、及びプログラム - Google Patents

行動監視装置、システム、方法、及びプログラム Download PDF

Info

Publication number
JPWO2018078675A1
JPWO2018078675A1 JP2018546937A JP2018546937A JPWO2018078675A1 JP WO2018078675 A1 JPWO2018078675 A1 JP WO2018078675A1 JP 2018546937 A JP2018546937 A JP 2018546937A JP 2018546937 A JP2018546937 A JP 2018546937A JP WO2018078675 A1 JPWO2018078675 A1 JP WO2018078675A1
Authority
JP
Japan
Prior art keywords
action
behavior
access
log
stage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018546937A
Other languages
English (en)
Other versions
JP6743899B2 (ja
Inventor
健太郎 園田
健太郎 園田
かや人 関谷
かや人 関谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2018078675A1 publication Critical patent/JPWO2018078675A1/ja
Application granted granted Critical
Publication of JP6743899B2 publication Critical patent/JP6743899B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B23/00Alarms responsive to unspecified undesired or abnormal conditions
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Alarm Systems (AREA)

Abstract

行動指示情報(12)は行動手順情報(13)を含む。行動手順情報(13)は、複数の行動段階を含む人の行動手順を定義する。ログ情報(15)は、監視対象を監視するセキュリティ装置から取得された、監視対象に対するアクセスについての情報である。行動追跡部(11)は、行動指示情報(12)とログ情報(15)とに基づいて、行動手順における行動段階の進行を追跡する。軌跡表示部(14)は、ログ情報(15)と、行動追跡部(11)で追跡された行動段階の進行とに基づいて、行動段階の進行とセキュリティ装置へのアクセスとを関連付けて表示装置(20)に表示する。

Description

本発明は、行動監視装置、システム、方法、及びプログラムに関し、更に詳しくは、作業者の行動を監視する行動監視装置、システム、方法、及びプログラムに関する。
近年、電気、ガス、及び水道などの社会インフラ事業、並びにそれらのシステムにおいて、セキュリティ犯罪が増加している。セキュリティ犯罪は、例えばメンテナンスを行う作業者などのインサイダーによって実施されることがある。例えば、作業者は、変電所などの施設にメンテナンスに行き、その施設内にある機材を盗み出し、それを売却して金銭を手に入れることがある。あるいは、作業者が、悪意のある第三者から依頼を受けて、施設内部で稼動するPC(Personal Computer)やサーバから情報を盗み出し、又はPCやサーバに無線通信機能を有するUSB(Universal Serial Bus)メモリなどを無断で接続することがある。
上記犯罪を予防するために、作業者の入退室管理や、PC又はサーバへのログインID(Identifier)の管理など運用する各種セキュリティシステムが用いられる。セキュリティシステムは、フィジカルセキュリティシステムとサイバーセキュリティシステムとに大別される。フィジカルセキュリティシステムは、入退室管理を実施するシステム、及び監視カメラによる監視を実施するシステムなどを含む。サイバーセキュリティシステムは、PCやサーバへのアクセス制御、又はそれらにおけるパケット解析などを用いた不正侵入検知システムなどを含む。社会インフラ事業者などは、それらの複数のセキュリティシステムを個別に管理し、運用(監視)している。
セキュリティシステムに関して、特許文献1は、フィジカルセキュリティシステムとサイバーセキュリティシステムの両面を鑑みたインサイダーによる犯行を検知する技術を開示する。ここで、インサイダーとは、特権を保有する社内人物を指す。悪意のあるインサイダーの犯罪は、サイバーセキュリティシステムのログだけを見ただけでは検知することができない。犯罪を検知するためには、フィジカルセキュリティシステムのログ、例えばPCなどに対するアクセスがあった場合におけるアクセスの場所も参照する必要がある。特許文献1に記載の技術は、機械学習を用いて、フィジカルセキュリティシステム及びサイバーセキュリティシステムの双方の怪しい行動、又は振る舞いを検知する。
また、特許文献2は、セキュリティシステムのイベントログと関連人物(作業者)とを自動的に紐付けする技術を開示する。特許文献2に記載の技術は、作業者のバッジとIDとを紐付け、全てのセキュリティシステムで発生し得るイベント及びアラーにそのIDを付与して管理する。また、特許文献2では、「本来入室不可のエリアに侵入した場合、PCなどへのアクセスを不可にする」、或いは「本来ログイン不可のPCにアクセスがあった場合、その周辺のエリアに出入りするドアを開錠不可(ロック)にし、監視カメラを作動させる」といった制御ルールが用意され、その制御ルールを用いて監視が実施される。
米国特許第8793790号明細書 米国特許第7380279号明細書
しかしながら、上記特許文献1及び2には、以下に述べるように正規IDを与えられた作業者の不審な行動を検知することができないという問題がある。ここで、作業者の不審な行動とは、例えば特定の部屋への入退室を繰り返しているなどのフィジカルセキュリティシステムを用いて検出可能な不審な行動と、例えば作業に不要なコマンドを実行しているなどのサイバーセキュリティシステムを用いて検出可能な不審の行動の何れか一方、又は双方を指す。
特許文献1に記載の技術では、機械学習を使用して作業者の突出した行動を検知することはできる。しかしながら、特許文献1では、フィジカルセキュリティシステムとサイバーセキュリティシステムとにまたがる作業者の一連の行動を追跡していない。このため、特許文献1に記載の技術において、作業者の行動が通常業務の範囲内であるか否かを管理者が正確に知ることは難しく、正規IDを与えられた作業者の不審な行動を検知することができない。
一方、特許文献2に記載の技術では、フィジカルセキュリティシステムにおける行動とサイバーセキュリティシステムにおける行動とが混在するアクセス制御ルールを登録することで、双方のシステムにまたがる監視を実現できる。しかしながら、特許文献2では、特定の行動を条件としてルール登録できるだけであり、それ以外の行動を検知できない可能性がある。従って、特許文献2に記載の技術においても、正規IDを与えられた作業者の不審な行動を検知することができない。
本発明は、上記事情に鑑み、作業者の不審な行動を検知可能な行動監視装置、システム、方法、及びプログラムを提供することを目的とする。
上記課題を解決するため、本発明は、複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報と、監視対象を監視するセキュリティ装置から取得された、前記監視対象に対するアクセスについてのログ情報とに基づいて、前記行動手順における行動段階の進行を追跡する行動追跡部と、前記ログ情報と、前記追跡された行動段階の進行とに基づいて、前記行動段階の進行と前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示する軌跡表示部とを備える行動監視装置を提供する。
本発明は、また、監視対象を監視するセキュリティ装置と、前記セキュリティ装置から前記監視対象に対するアクセスについてのログ情報を取得するログ取得部と、前記ログ情報と、複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報とに基づいて、前記行動手順における行動段階の進行を追跡する行動追跡部と、前記行動段階の進行と、前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示する軌跡表示部とを備える行動監視システムを提供する。
本発明は、更に、監視対象を監視するセキュリティ装置から前記監視対象に対するアクセスについてのログ情報を取得し、前記ログ情報と、複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報とに基づいて、前記行動手順における行動段階の進行を追跡し、及び、前記行動段階の進行と、前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示することを有する行動監視方法を提供する。
さらに、本発明は、監視対象を監視するセキュリティ装置から前記監視対象に対するアクセスについてのログ情報を取得するステップと、前記ログ情報と、複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報とに基づいて、前記行動手順における行動段階の進行を追跡するステップと、前記行動段階の進行と、前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示するステップとをコンピュータに実行させるためのプログラムを提供する。
本発明の行動監視装置、システム、方法、及びプログラムは、作業者の不審な行動を検知することができる。
本発明の行動監視装置を示すブロック図。 本発明の一実施形態に係る行動監視装置を含む行動監視システムを示すブロック図。 行動手順情報の具体例を示す図。 アクセス制御情報の具体例を示す図。 行動手順とアクセス制御との関係を示す図。 情報の生成及び編集の際に表示される編集画面の一例を示す図。 行動段階の進行に伴ってログ記憶部に記憶されるログを示す図。 作業者の行動監視における動作手順を示すフローチャート。 監視画面の一例を示す図。 監視画面における第1の画面表示例を示す図。 監視画面における第2の画面表示例を示す図。 監視画面における第3の画面表示例を示す図。
本発明の実施の形態の説明に先立って、本発明の概要を説明する。図1は、本発明の行動監視装置を示す。行動監視装置10は、行動追跡部11及び軌跡表示部14を有する。行動監視装置10は、例えばコンピュータ装置を用いて構成される。行動監視装置10は、典型的にはプロセッサ及びメモリを有している。行動追跡部11及び軌跡表示部14の機能は、プロセッサがメモリから読み出したプログラムに従って処理を実行することで実現できる。
行動追跡部11は、行動指示情報12とログ情報15とを参照する。行動指示情報12は行動手順情報13を含む。行動手順情報13は、複数の行動段階(行動フェーズ)を含む人の行動手順を定義する。ログ情報15は、監視対象を監視するセキュリティ装置から取得される。ログ情報15は、監視対象の装置やシステムに対するアクセスについてのログを含む。行動指示情報12及びログ情報15は、それぞれ例えばハードディスク装置などの補助記憶装置又はメモリに記憶される。行動追跡部11は、行動指示情報12とログ情報15とに基づいて、行動手順情報13で定義される行動手順における行動段階の進行を追跡する。
軌跡表示部14は、ログ情報15と行動追跡部11で追跡された行動段階の進行とに基づいて、行動段階の進行とセキュリティ装置へのアクセスとを関連付けて表示装置20に表示する。表示装置20に作業者の行動段階とセキュリティ装置へのアクセスが表示されることで、管理者は、行動手順情報13に定義された行動手順のなかで、作業者がどんな行動を実施したかを確認することが可能である。このため、管理者は、作業者の行動が通常業務の範囲内であるか否かを判断することができ、正規IDを持つ作業者の不審な行動を検知することが可能である。
以下、図面を参照しつつ、本発明の実施の形態を詳細に説明する。図2は、本発明の一実施形態に係る行動監視装置を含む行動監視システムを示す。行動監視システム100は、行動監視装置110、サイバーセキュリティ装置120、及びフィジカルセキュリティ装置130を有する。行動監視装置110は、図1の行動監視装置10に対応する。
サイバーセキュリティ装置120は、例えば、監視対象である電子計算機に対する不正な活動を防止するための措置を講じるように構成された装置(システム)である。サイバーセキュリティ装置120は、サイバーセキュリティに関する装置及びソフトウェアを含む。サイバーセキュリティ装置120は、例えば、ファイヤーウォール、不正侵入検知システム、及び不正侵入防御システムの少なくとも1つを含む。
フィジカルセキュリティ装置130は、監視対象である施設や情報への物理的アクセスや、損傷及び妨害を防ぐために構成された装置(システム)である。フィジカルセキュリティ装置130は、フィジカルセキュリティに関する装置及びソフトウェアを含む。フィジカルセキュリティ装置130は、例えば、ドア管理のためのシステム、及び監視カメラシステムの少なくとも1つを含む。より詳細には、フィジカルセキュリティ装置130は、例えば、部屋の出入り口に設けられたカードリーダと、認証結果に応じてドアの施錠及び開錠を制御するための機構とを含む。また、フィジカルセキュリティ装置130は、監視カメラと、監視カメラにより撮影された映像を記憶する映像サーバと、監視カメラの撮影方向を制御するための機構とを含む。
行動監視装置110は、行動追跡部114、軌跡表示部115、アクセス制御部116、ログ収集部117、及びログ記憶部118を有する。行動監視装置110は、例えばコンピュータ装置を用いて構成される。行動監視装置110は、典型的にはプロセッサ及びメモリを有している。行動監視装置110内の各部の機能は、プロセッサがメモリから読み出したプログラムに従って処理を実行することで実現できる。
行動指示情報111は、行動手順情報112とアクセス制御情報113とを含む。行動手順情報112は、作業を実施する人(作業者)の行動順序が記載された情報である。行動手順情報112は、複数の行動段階を含む作業者の行動手順を定義する。アクセス制御情報113は、サイバーセキュリティ装置120及びフィジカルセキュリティ装置130に対するアクセス制御が記載された情報である。行動指示情報111は、図示しない記憶装置に記憶される。行動手順情報112とアクセス制御情報113とは、同じファイルに記憶されていてもよいし、個別のファイルに記憶されてもよい。行動指示情報111及び行動手順情報112は、図1に示される行動指示情報12及び行動手順情報13にそれぞれ対応する。
ログ収集部117は、サイバーセキュリティ装置120及びフィジカルセキュリティ装置130から記監視対象に対するアクセスについてのログを取得する。ログ収集部117は、取得したログを、ログ情報としてログ記憶部118に記憶する。ログ記憶部118には、例えばハードディスク装置などの補助記憶装置として構成される。ログ記憶部118に記憶されるログ情報は、例えばアクセスが許可された旨を示すログと、アクセスが拒否された旨を示すとを含む。ログ記憶部118に記憶されるログ情報は、図1に示されるログ情報15に対応する。
ここで、ログ収集部117は、例えばサイバーセキュリティ装置120から、電子計算機においてデータがコピーされた旨を示すログ(イベントログ)を取得し、ログ記憶部118に記憶する。また、ログ収集部117は、例えばフィジカルセキュリティ装置130から、監視カメラに関して、侵入禁止エリアに人が入った旨を示すイベントログを取得し、ログ記憶部118に記憶する。本明細書においては、便宜上、イベントログのうち、所定動作が実施された旨を示すイベントログは、アクセスが許可された旨を示すログとみなされるものとする。また、例えば侵入禁止エリアへの人の侵入などの、異常事象の発生を示すイベントログは、アクセスが拒否された旨を示すログとみなされるものとする。
行動追跡部114は、ログ記憶部118に記憶されたログ情報と、行動指示情報111に含まれる行動手順情報112とに基づいて、行動手順情報112で定義される行動手順における行動段階の進行を追跡する。行動追跡部114は、例えば、ログ情報に、行動手順における一の行動段階から他の行動段階への遷移条件として定義された特定のアクセスを示すログが含まれる場合、行動段階を次の行動段階へ遷移させる。行動追跡部114は、図1に示される行動追跡部11に対応する。
軌跡表示部115は、ログ情報と、行動追跡部114で追跡された作業者の行動段階の進行とに基づいて、行動段階の進行とサイバーセキュリティ装置120及びフィジカルセキュリティ装置130へのアクセスとを関連付けて表示装置140に表示する。軌跡表示部115は、例えば、行動段階の進行とサイバーセキュリティ装置120及びフィジカルセキュリティ装置130へのアクセスとを時系列に並べて行動軌跡として表示する。軌跡表示部115は、図1に示される軌跡表示部14に対応する。
図3は、行動手順情報112の具体例を示す。行動手順情報112は、例えば作業開始時刻と作業終了時刻に関する情報を含む。図3の例では、作業者の行動手順は、6つの行動段階を含む。行動段階1は「部屋Aに入る」であり、行動段階2は「部屋B」に入るである。行動段階3は「機器Xへ管理用PCを接続する」であり、行動段階4は「機器Xからデータを収集する」である。行動段階5は「部屋Bを出る」であり、行動段階6は「部屋Aを出る」である。作業者は、このような一連の行動段階を含む行動手順に従って作業を実施する。
図4は、アクセス制御情報113の具体例を示す。アクセス制御情報113は、例えば人(作業者)の行動に対するアクセス制御A〜Dと、機器に対するアクセス制御E及びFとを含む。アクセス制御Aは、「0001」のIDが付与された作業者Aに対して部屋A及びBに対する入退場を許可するであり、アクセス制御Bは、作業者Aに対して機器Xのポート1をenableにするである。アクセス制御Cは、作業者Aに対して機器XにおいてコマンドYの実行を許可するであり、アクセス制御Dは、作業者Aに対して機器Xのポート1をdisableにするである。
また、アクセス制御Eは、部屋Bの入室時にカメラを機器Xに向けるであり、アクセス制御Fは、部屋Bの退室時にカメラを出入り口に向けるである。アクセス制御A、E、及びFは、フィジカルセキュリティ装置130に対するアクセス制御の内容を定義するものであり、アクセス制御B〜Dは、サイバーセキュリティ装置120に対するアクセス制御の内容を定義するものである。なお、作業者の行動に対するアクセス制御では、アクセス制御の内容が適用される作業者のIDとして、IDを1つだけ指定してもよいし、複数の作業者に対応した複数のIDを指定してもよい。さらには、アクセス制御において、アクセス制御の内容が適用される作業者のIDとしてAllを指定し、全ての作業者に対して当該アクセス制御が適用されるようにしてもよい。
図5は、行動手順情報112で定義される行動手順とアクセス制御情報113で定義されるアクセス制御との関係を示す。図5に示される行動段階151〜156は、図3に示される行動手順情報112の行動段階1〜6に対応する。また、図5に示されるアクセス制御161〜166は、図4に示されるアクセス制御情報113のアクセス制御A〜Fに対応する。
アクセス制御情報113は、アクセス制御の内容と、そのアクセス制御の内容が適用される行動段階とを対応付けた情報を含む。図5の例では、アクセス制御161は、行動段階151から行動段階156までの間に適用され、アクセス制御162は、行動段階152から行動段階154までの間に適用される。アクセス制御163及び165は、行動段階153及び行動段階154においてそれぞれ適用され、アクセス制御164は行動段階155において適用され、アクセス制御166は行動段階155及び行動段階156において適用される。
行動手順情報112及びアクセス制御情報113は、行動監視装置110内に設けられた図示しない情報生成部を用いて生成され、又は編集されてもよい。図6は、行動手順情報112及びアクセス制御情報113の生成及び編集の際に表示装置140に表示される画面(編集画面)の一例を示す。図6に示される編集画面200は、大きく分けて4つのエリア210、220、230、及び240を有する。
エリア210は、機器の配置などが表示されるエリアである。エリア210には、サイバーセキュリティ装置120及びフィジカルセキュリティ装置130の監視対象の機器などがマップ表示される。図6において、エリア210に描かれる部屋321は「部屋A」に対応しており、部屋322は「部屋B」に対応しているとする。部屋321には、2つの出入り口(ドア)があり、各ドアの内側及び外側にはそれぞれカードリーダ301及び302が配置されている。部屋322には、出入り口(ドア)が1つあり、そのドアの内側及び外側にはそれぞれカードリーダ303が配置されている。
また、図6において、部屋321には、3台の監視カメラ311〜313が配置されている。部屋322には、監視カメラ314及び機器315が配置されている。機器315は「機器X」に対応する機器である。機器315の情報セキュリティは、サイバーセキュリティ装置120を用いて保護される。
なお、カードリーダ301〜303、及び監視カメラ311〜314は、フィジカルセキュリティ装置130の一部を構成する。作業者は、部屋321への入室時及び退室時にカードリーダ301又は302に、自身が保有するIDカードなどを通す。フィジカルセキュリティ装置130は、カードリーダ301及び302からIDを取得して認証を行う。フィジカルセキュリティ装置130は、作業者に対して部屋321への入室及び部屋321からの退室の許可が与えられている場合はドアを開錠する。フィジカルセキュリティ装置130は、許可が与えられていない場合は、ドアを施錠した状態を維持する。フィジカルセキュリティ装置130は、カードリーダ301及び302が読み取ったID及び認証結果などをのログを、ログ収集部117(図2を参照)に出力する。
同様に、作業者は、部屋322への入室時及び退室時にカードリーダ303に、自身が保有するIDカードなどを通す。フィジカルセキュリティ装置130は、カードリーダ303からIDを取得して認証を行う。フィジカルセキュリティ装置130は、作業者に対して部屋322への入室及び部屋322からの退室の許可が与えられている場合はドアを開錠する。フィジカルセキュリティ装置130は、許可が与えられていない場合は、ドアを施錠した状態を維持する。フィジカルセキュリティ装置130は、カードリーダ303が読み取ったID及び認証結果などをのログを、ログ収集部117に出力する。
監視カメラ311〜314は、例えば天井などに配置されている。フィジカルセキュリティ装置130は、監視カメラ311〜314を制御し、映像の撮影の開始及び停止を制御する。監視カメラ311〜314のうちの少なくとも1つは、モータなどを用いて撮影方向の制御が可能に構成されていてもよい。その場合、フィジカルセキュリティ装置130は、撮影方向の制御を実施してもよい。監視カメラ311〜314を用いて撮影された映像は、図示しない映像サーバなどに設けられた記憶装置に記憶される。あるいは、撮影された映像は、ログ収集部117を通じてログ記憶部118に記憶されてもよい。
エリア220、230及び240は、行動手順情報112及びアクセス制御情報113の生成及び編集に関わるエリアである。エリア220は、作業の開始時刻及び終了時刻と、作業者名とを入力する部分を有している。また、エリア220は、行動手順情報112で定義される行動手順の行動段階を追加するボタン221と、アクセス制御情報113で定義されるアクセス制御を追加するボタン222とを有する。
エリア230は、作成中又は編集中の行動手順情報112及びアクセス制御情報113がグラフィカルに表示されるエリアである。管理者などがエリア220においてボタン221を選択すると、エリア230に新たな行動段階150が追加される。また、管理者などがボタン222を選択すると、エリア230に新たなアクセス制御160が追加される。行動段階150及びアクセス制御160の内容は、エリア240において指定することが可能である。管理者は、このような編集画面200を通じて、行動手順情報112及びアクセス制御情報113を含む行動指示情報111を生成することが可能である。
図7は、行動段階の進行に伴ってログ記憶部118に記憶されるログを示す。作業者が、例えばカードリーダ301(図6も参照)が配置されたドアから部屋Aに入室した場合、ログ収集部117(図2を参照)は、フィジカルセキュリティ装置130から出力された、作業者が部屋Aに入室した旨を示すログを取得し、ログ記憶部118に記憶する。次いで、作業者がカードリーダ303が配置されたドアから部屋Bに入室すると、ログ収集部117は、フィジカルセキュリティ装置130から出力されたその旨を示すログを取得し、ログ記憶部118に記憶する。
作業者は、部屋Bへの入室後、管理用PC316を機器(機器X)315に接続する。サイバーセキュリティ装置120は、アクセス制御162(図5を参照)に従ってenableにされたポート1に管理用PC316が接続された場合は、ポート1に管理用PCが接続され、かつその接続が許可された旨を示すログを出力する。ログ収集部117は、そのログを取得し、ログ記憶部118に記憶する。作業者がポート1以外のポートに管理用PC316又は別のPCを接続した場合、サイバーセキュリティ装置120は、ポート1以外のポートにPCが接続されたが、その接続は拒否された旨を示すログを出力する。その場合、ログ収集部117は、接続が拒否された旨を示すログを、ログ記憶部118に記憶する。
作業者は、管理用PC316を用いて、コマンドYを実行し、機器315からデータの収集を行う。このとき、サイバーセキュリティ装置120は、アクセス制御163に従ってコマンドYの実行を許可しており、コマンドYが実行された旨を示すログを出力する。ログ収集部117は、そのログを取得し、ログ記憶部118に記憶する。作業者が、コマンドY以外のコマンドを実行しようとした場合、サイバーセキュリティ装置120は、その実行を許可せず、コマンドの実行が拒否された旨を示すログを出力する。その場合、ログ収集部117は、コマンドの実行が拒否された旨を示すログを、ログ記憶部118に記憶する。
データ収集後、作業者がカードリーダ303が配置されたドアを通って部屋Bから退室すると、ログ収集部117は、フィジカルセキュリティ装置130から出力されたその旨を示すログを取得し、ログ記憶部118に記憶する。その後、作業者が、例えばカードリーダ301が配置されたドアを通って部屋Aから退室した場合、ログ収集部117は、フィジカルセキュリティ装置130から出力されたその旨を示すログを取得し、ログ記憶部118に記憶する。
続いて、動作手順を説明する。図8は、作業者の行動監視における動作手順を示す。管理者などは、作業者が作業する場所、及びその内容に従って、行動手順情報112を生成する(ステップS1)。また、管理者は、サイバーセキュリティ装置120及びフィジカルセキュリティ装置130に対するアクセス制御情報113を生成する(ステップS2)。管理者は、例えば、上記した編集画面200を通じて、行動手順情報112及びアクセス制御情報113を生成する。
作業開始時刻となり、作業者が作業を開始すると(ステップS3)、サイバーセキュリティ装置120及びフィジカルセキュリティ装置130は、作業者の行動に従ってログを出力する。なお、アクセス制御部1116は、作業開始予定時刻になると、図5に示されるアクセス制御161をフィジカルセキュリティ装置130に実施させるものとする。ログ収集部117は、サイバーセキュリティ装置120及びフィジカルセキュリティ装置130からログを収集し、ログ記憶部118に記憶する(ステップS4)。行動追跡部114は、行動手順情報112と、ログ記憶部118に記憶されたログ情報とに基づいて、作業者の行動段階を追跡する(ステップS5)。アクセス制御部116は、追跡された行動段階に従って、アクセス制御情報113で定義されるアクセス制御を実施する(ステップS6)。
行動追跡部114は、ステップS5では、ログ情報に基づいて、例えば図5に示される行動段階151〜156のうち、作業者がどの行動段階まで進んだかを追跡する。アクセス制御部116は、ステップS6では、例えば図5に示される行動段階とアクセス制御との関係に従って、現在の行動段階において適用されるアクセス制御を実施する。アクセス制御部116は、例えば行動段階の進行に合わせて、アクセス制御情報113に含まれるアクセス制御の内容を示すコマンドをサイバーセキュリティ装置120又はフィジカルセキュリティ装置130に発行することで、アクセス制御を実施させる。
軌跡表示部115は、ログ情報と、ステップS5で追跡された作業者の行動段階とに基づいて、行動段階とログとを関連付けて表示装置140に表示する(ステップS7)。軌跡表示部115は、ステップS7では、例えば、追跡された行動段階と、ログが発生した旨、つまりサイバーセキュリティ装置120又はフィジカルセキュリティ装置130にアクセスがあった旨を示すマークとをグラフィカルに表示する。その場合において、軌跡表示部115は、アクセス許可を示すログに対応するアクセスがあった旨を示すマークと、アクセス不許可を示すログに対応するアクセスがあった旨を示すマークとを、異なる表示態様で表示してもよい。
行動追跡部114は、作業者の作業が終了したか、つまり作業が一連の行動段階の最後まで到達したか否かを判断する(ステップS8)。ステップS8において作業が終了していないと判断された場合、処理はステップS4に戻り、ログの収集が継続される。作業が終了していると判断された場合は、処理終了となる。なお、ステップS5の行動の追跡及びステップS7の軌跡の表示を実施するタイミングは特に限定されない。ステップS5及びS7は、作業者の作業中にリアルタイムで実施されてもよいし、作業終了後に実施されてもよい。
例えば、作業開始時刻になると、図5に示されるアクセス制御161が実施され、作業者は部屋A及び部屋Bに入室可能になる。作業者がカードリーダ301又は302を用いた認証を通じて部屋Aに入室すると、フィジカルセキュリティ装置130は、対応するドアを開錠した旨のログを出力する。行動追跡部114は、ステップS5において、フィジカルセキュリティ装置130から取得された、ドアを開錠した旨を示すログに基づいて、行動段階を行動段階151に進行させる。
次いで、作業者が、カードリーダ303を用いた認証を通じて部屋Bに入出すると、フィジカルセキュリティ装置130は、対応するドアを開錠した旨のログを出力する。行動追跡部114は、部屋Bに通じるドアを開錠した旨を示すログに基づいて、行動段階を行動段階151から行動段階152に進行させる。
アクセス制御部116は、行動段階が行動段階152に進行すると、ステップS6において、「機器Xのポート1をenableにする」というアクセス制御162をサイバーセキュリティ装置120に実施させる。サイバーセキュリティ装置120は、アクセス制御162を実施して、機器Xのポート1をenableにする。作業者が作業用PCを機器Xのポート1に接続すると、サイバーセキュリティ装置120は、機器Xのポート1に管理用PCが接続された旨を示すログを出力する。軌跡表示部115は、ステップS7において、行動段階152の位置と関連付けて、サイバーセキュリティ装置120へのアクセスがあった旨を示すマークをグラフィカルに表示する。
行動追跡部114は、ステップS8において、作業が終了したか否かを判断する。現在の行動段階が行動段階152の場合は、作業が終了していないため処理はステップS4に戻り、ログが収集される。行動追跡部114は、ログ記憶部118に記憶された、機器Xのポート1に管理用PCが接続された旨を示すログに基づいて、行動段階を行動段階152から行動段階153へ進行させる。
アクセス制御部116は、行動段階が行動段階153に進行すると、ステップS6において、「コマンドYの実行を許可する」というアクセス制御163をサイバーセキュリティ装置120に実施させ、かつ「カメラを機器Xに向ける」というアクセス制御165をフィジカルセキュリティ装置130に実施させる。作業者がコマンドYを実行して機器Xからデータを収集すると、サイバーセキュリティ装置120は、その旨を示すログを出力する。軌跡表示部115は、ステップS7において、行動段階153の位置と関連付けて、サイバーセキュリティ装置120へのアクセスがあった旨を示すマークをグラフィカルに表示する。以下同様に、ログに基づく行動段階の追跡と、それに伴うアクセス制御と、ログの発生を示すマークの表示とが、作業終了まで繰り返し実施される。
図9は、行動追跡(監視)を実施している際に表示装置140に表示される画面(監視画面)の一例を示す。図9に示される監視画面400は、大きく分けて4つのエリア410、420、430、及び440を有する。エリア410は、図6に示される編集画面200のエリア210と同様に、機器の配置などが表示されるエリアである。管理者は、例えばマウスなどのポインティングデバイスを用いて、エリア410において監視カメラ314を選択することができる。その場合、エリア410には、監視カメラ314を用いて撮影された映像411が表示される。
エリア420は、作業に関連する情報が表示されるエリアである。管理者は、「詳細表示」のボタン421を選択することで、作業者の一連の行動段階と、各行動段階において適用されるアクセス制御とを、グラフィカルに表示させることができる。
エリア430は、行動段階の進行と、実施されるアクセス制御とをグラフィカルに表示するエリアである。エリア430には、例えば現在時刻までの行動段階の進行と、それに伴って適用されるアクセス制御の内容と、サイバーセキュリティ装置120及びフィジカルセキュリティ装置130に対してアクセスがあった旨を示すマーク170とが、時系列に沿って表示される。ユーザは、エリア430において、作業中の任意の時刻を選択するができる。ユーザが任意の時刻を選択すると、選択された時刻に撮影された監視カメラの映像411がエリア410に表示される。
エリア440は、ログの内容が表示されるエリアである。管理者は、マウスなどのポインティングデバイスを使用して、エリア430に表示されるマーク170を選択することが可能である。軌跡表示部115は、管理者がマーク170を選択すると、選択されたマークのログの内容を表示する。管理者は、エリア440に表示される内容を参照することで、サイバーセキュリティ装置120及びフィジカルセキュリティ装置130に対してどのようなアクセスが発生したかを確認することができる。
引き続き、作業者が不審な行動をした場合のエリア430の表示例を説明する。以下では、作業者は、本来であれば図5に示される行動手順に沿って行動するものとする。図10は、第1の画面表示例を示す。図10に示されるアクセスがあった旨を示すマーク170は、アクセスが許可された旨を示すマークであり、マーク180は、アクセスが拒否された旨を示すマークであるとする。図10に示される例では、行動段階151及び行動段階152ではマーク170が表示されており、この画面を見た管理者は、作業者が正規の行動手順で行動していると判断できる。
しかしながら、行動段階153において、管理用PCの接続後、本来であればアクセス制御163に従って許可されたコマンドYが実行されるところ、それとは異なるコマンドの実行が試みられた場合、サイバーセキュリティ装置120は、アクセス拒否を示すログを出力する。作業者がコマンドY以外のコマンドを実行する理由としては、単にコマンドを間違えたか、或いは、悪意を持って不正なコマンドを実行しようとしたかの2つの理由が考えられる。作業者が、コマンドの実行が許可されないことで、そのコマンドの実行を複数回試みた場合、その回数分だけ、アクセス拒否を示すログが出力される。行動段階153において、本来であればコマンドYが1回だけ実行され、従ってマーク170が1つだけ表示されるべきところ、別のコマンドの実行が試みられた場合はマーク180が複数個表示されることになる。
管理者は、行動段階153においてマーク180が連続して複数個表示された場合、作業者がコマンドY以外のコマンドを実行しようとしていると判断できる。特に、アクセスが拒否された旨を示すマーク180を、通常のマーク170とはマークの形状及び/又は表示色が異なるマークとすることで、管理者は、正規の作業が行われていないことを、容易に判断することができる。このような画面を参照することで、管理者は、行動段階153における作業者の不審な行動を検知することが可能である。
図11は、第2の画面表示例を示す。この例では、行動段階151ではマーク170が表示されており、この画面を見た管理者は、作業者が正規の行動手順で行動していると判断できる。
しかしながら、行動段階152において、部屋Bへの入室後、本来であればアクセス制御162に従ってenableにされたポート1に管理用PCが接続されるところ、それとは異なるポートにPCが接続された場合、サイバーセキュリティ装置120は、アクセス拒否を示すログを出力する。作業者がポート1とは異なるポートにPCを接続する理由としては、単に接続するポートを間違えたか、或いは、悪意を持って不正なポートにPCを接続しようとしたかの2つの理由が考えられる。作業者が、disableのポートへのPCの接続を複数回試みた場合、その回数分だけ、アクセス拒否を示すログが出力される。行動段階152において、本来であればポート1への管理用PCの接続が1回だけ実行され、従ってマーク170が1つだけ表示されるべきところ、別のポートにPCが接続された場合はマーク180が複数個表示されることになる。
管理者は、行動段階152においてマーク180が連続して複数個表示された場合、作業者が所定のポートとは異なるポートにPCを接続しようとしていると判断できる。つまり、管理者は、作業者が正規の行動手順で行動していないと判断できる。このように、図11に示される画面を参照することで、管理者は、行動段階152における作業者の不審な行動を検知することが可能である。
図12は、第3の画面表示例を示す。この例では、作業者は、アクセス制御161に従って許可される範囲で行動しているものの、行動段階が、行動手順情報112で定義された順序とは異なる順序で進行している。すなわち、作業者は、部屋Aから部屋Bに入室した後、部屋B及び部屋Aから退室し、再び部屋A及び部屋Bに入室している。この場合、図12に示されるように、行動段階151、行動段階152、行動段階155、行動段階156、行動段階151、及び行動段階152の順で行動段階が進行している旨が画面に表示される。管理者は、このような画面を参照することで、作業者が部屋Bにおいて本来の作業とは異なる行為をしていたのではないかという疑念を抱くことができ、作業者の不審な行動を検知することが可能である。
本実施形態では、管理者は、行動手順情報112とアクセス制御情報113とを含む行動指示情報を生成し、行動監視装置110に与える。作業者は、行動手順情報112に定義された行動手順に沿って、移動や作業を実施する。行動監視装置110は、サイバーセキュリティ装置120及びフィジカルセキュリティ装置130が出力するログを収集し、ログ記憶部118に記憶する。行動監視装置110は、ログ記憶部118に記憶されたログ情報と行動手順情報112及びアクセス制御情報113とを逐次照合し、その結果を、作業者の行動軌跡としてグラフィカルに表示する。
本実施形態では、行動監視装置110は、サイバーセキュリティ装置120とフィジカルセキュリティ装置130とにまたがる作業者の一連の行動を軌跡表示(可視化)する。このようにすることで、管理者(監視者)は、作業者のサイバーとフィジカルの双方にまたがる作業活動の一連の流れをグラフィカルな行動軌跡として参照することが可能である。特に、行動監視装置110は、作業者の行動段階の進行とセキュリティ装置へのアクセスとを、行動軌跡としてグラフィカルに表示する。管理者は、行動軌跡を参照し、行動段階の進行とセキュリティ装置へのアクセスとを確認することで、あらかじめ登録された作業者が本来実施すべき作業手順と実際の行動軌跡とを目視で比較することができる。このようにすることで、正規IDを持つ作業者について、行動手順やアクセス制御から逸脱する行為を、不審行動として発見することが可能である。
また、本実施形態では、行動監視装置110のアクセス制御部116は、行動段階の進行に合わせて、アクセス制御情報113で定義されたアクセス制御をサイバーセキュリティ装置120及びフィジカルセキュリティ装置130にそれぞれ実施させる。このようにすることで、作業者の作業中、又は作業開始/終了時刻に従って、逐次アクセス制御を実施することができる。
なお、上記実施形態では、行動監視システム100がサイバーセキュリティ装置120とフィジカルセキュリティ装置130の双方を含む例について説明したが、これには限定されない。行動監視システム100が、サイバーセキュリティ装置120とフィジカルセキュリティ装置130の何れか一方を含む構成を採用することもできる。また、サイバーセキュリティ装置120及びフィジカルセキュリティ装置130は、必ずしも本システムの一部を構成する必要はなく、これらセキュリティ装置が別システムとして運用され、その別システムからログが収集されることとしてもよい。
上記実施形態では、行動指示情報111が行動手順情報112とアクセス制御情報113を含む例について説明したが、行動指示情報111は、少なくとも行動手順情報112を含んでいればよく、アクセス制御情報113を含んでいなくてもよい。その場合、アクセス制御は、例えば他のシステムを用いて実施されることとしてもよい。
上記実施形態では、行動軌跡において、行動段階とセキュリティ装置へのアクセスとが時系列に並べられる例を説明したがこれには限定されない。行動段階とセキュリティ装置へのアクセスとが、何らかの因果関係に基づいて並べられていてもよいし、所定の順序列に基づいて並べられていてもよい。
上記実施形態では、軌跡表示部115が、管理者用の行動軌跡を表示する例を説明したが、軌跡表示部115は、作業者用の行動軌跡を表示してもよい。例えば、軌跡表示部115は、管理者用とは異なる画面構成の作業者用の行動軌跡を表示装置140に表示してもよい。例えば、作業者に対して、これまでの行動段階の履歴と、次の行動段階とを表示することで、作業者は、行動手順に沿った作業を円滑に実施することが可能である。
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。また、本発明は、それぞれの実施の形態を適宜組み合わせて実施されてもよい。
例えば、上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報と、監視対象を監視するセキュリティ装置から取得された、前記監視対象に対するアクセスについてのログ情報とに基づいて、前記行動手順における行動段階の進行を追跡する行動追跡部と、
前記ログ情報と、前記追跡された行動段階の進行とに基づいて、前記行動段階の進行と前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示する軌跡表示部とを備える行動監視装置。
[付記2]
前記軌跡表示部は、前記行動段階の進行と前記セキュリティ装置へのアクセスとを時系列に並べて表示する付記1に記載の行動監視装置。
[付記3]
前記行動追跡部は、前記ログ情報に、前記行動手順における一の行動段階から他の行動段階への遷移条件として定義された特定のアクセスを示すログが含まれる場合、前記行動段階を次の行動段階へ遷移させる付記1又は2に記載の行動監視装置。
[付記4]
前記軌跡表示部は、前記行動段階と、前記アクセスがあった旨を示すマークとを表示する付記1から3何れか1つに記載の行動監視装置。
[付記5]
前記軌跡表示部は、前記マークが選択されると、該選択されたマークに対応するログの内容を表示する付記4に記載の行動監視装置。
[付記6]
前記ログ情報は、アクセス許可を示すログと、アクセス不許可を示すログとを含み、前記軌跡表示部は、前記アクセス許可を示すログに対応するアクセスがあった旨を示すマークと、前記アクセス不許可を示すログに対応するアクセスがあった旨を示すマークとを、異なる表示態様で表示する付記4又は5に記載の行動監視装置。
[付記7]
監視対象を監視するセキュリティ装置と、
前記セキュリティ装置から前記監視対象に対するアクセスについてのログ情報を取得するログ取得部と、
前記ログ情報と、複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報とに基づいて、前記行動手順における行動段階の進行を追跡する行動追跡部と、
前記行動段階の進行と、前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示する軌跡表示部とを備える行動監視システム。
[付記8]
前記行動指示情報が、前記セキュリティ装置におけるアクセス制御を定義するアクセス制御情報を更に含んでおり、
前記行動段階の進行と前記アクセス制御情報とに基づいて前記アクセス制御を実施するアクセス制御部を更に備える付記7に記載の行動監視システム。
[付記9]
前記アクセス制御情報は、アクセス制御の内容と、該アクセス制御の内容が適用される行動段階とを対応付けた情報を含む付記8に記載の行動監視システム。
[付記10]
前記アクセス制御部は、前記行動段階の進行に合わせて、前記アクセス制御情報に含まれるアクセス制御の内容を示すコマンドを前記セキュリティ装置に発行する付記9に記載の行動監視システム。
[付記11]
前記セキュリティ装置は、サイバーセキュリティ装置及び物理セキュリティ装置の少なくとも一方を含む付記8から10何れか1つに記載の行動監視システム。
[付記12]
前記軌跡表示部は、前記行動段階の進行と前記セキュリティ装置へのアクセスとを時系列に並べて表示する付記8から11何れか1つに記載の行動監視システム。
[付記13]
前記行動追跡部は、前記ログ情報に、前記行動手順における一の行動段階から他の行動段階への遷移条件として定義された特定のアクセスを示すログが含まれる場合、前記行動段階を次の行動段階へ遷移させる付記8から12何れか1つに記載の行動監視システム。
[付記14]
前記軌跡表示部は、前記行動段階と、前記アクセスがあった旨を示すマークとを表示する付記8から13何れか1つに記載の行動監視システム。
[付記15]
前記軌跡表示部は、前記マークが選択されると、該選択されたマークに対応するログの内容を表示する付記14に記載の行動監視システム。
[付記16]
監視対象を監視するセキュリティ装置から前記監視対象に対するアクセスについてのログ情報を取得し、
前記ログ情報と、複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報とに基づいて、前記行動手順における行動段階の進行を追跡し、及び、
前記行動段階の進行と、前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示することを有する行動監視方法。
[付記17]
監視対象を監視するセキュリティ装置から前記監視対象に対するアクセスについてのログ情報を取得するステップと、
前記ログ情報と、複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報とに基づいて、前記行動手順における行動段階の進行を追跡するステップと、
前記行動段階の進行と、前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示するステップとをコンピュータに実行させるためのプログラム。
10:行動監視装置
11:行動追跡部
12:行動手順情報
13:行動手順情報
14:軌跡表示部
16:付記
17:付記
20:表示装置
100:行動監視システム
110:行動監視装置
111:行動指示情報
112:行動手順情報
113:アクセス制御情報
114:行動追跡部
115:軌跡表示部
116:アクセス制御部
117:ログ収集部
118:ログ記憶部
120:サイバーセキュリティ装置
130:フィジカルセキュリティ装置
140:表示装置
150〜156:行動段階
160〜166:アクセス制御
170、180:マーク
200:編集画面
210、220、230、240:エリア
221、222:ボタン
301〜303:カードリーダ
311〜314:監視カメラ
315:機器
316:管理用PC
321、322:部屋
400:監視画面
410、420、430、440:エリア
411:映像
421:ボタン

Claims (17)

  1. 複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報と、監視対象を監視するセキュリティ装置から取得された、前記監視対象に対するアクセスについてのログ情報とに基づいて、前記行動手順における行動段階の進行を追跡する行動追跡部と、
    前記ログ情報と、前記追跡された行動段階の進行とに基づいて、前記行動段階の進行と前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示する軌跡表示部とを備える行動監視装置。
  2. 前記軌跡表示部は、前記行動段階の進行と前記セキュリティ装置へのアクセスとを時系列に並べて表示する請求項1に記載の行動監視装置。
  3. 前記行動追跡部は、前記ログ情報に、前記行動手順における一の行動段階から他の行動段階への遷移条件として定義された特定のアクセスを示すログが含まれる場合、前記行動段階を次の行動段階へ遷移させる請求項1又は2に記載の行動監視装置。
  4. 前記軌跡表示部は、前記行動段階と、前記アクセスがあった旨を示すマークとを表示する請求項1から3何れか1項に記載の行動監視装置。
  5. 前記軌跡表示部は、前記マークが選択されると、該選択されたマークに対応するログの内容を表示する請求項4に記載の行動監視装置。
  6. 前記ログ情報は、アクセス許可を示すログと、アクセス不許可を示すログとを含み、前記軌跡表示部は、前記アクセス許可を示すログに対応するアクセスがあった旨を示すマークと、前記アクセス不許可を示すログに対応するアクセスがあった旨を示すマークとを、異なる表示態様で表示する請求項4又は5に記載の行動監視装置。
  7. 監視対象を監視するセキュリティ装置と、
    前記セキュリティ装置から前記監視対象に対するアクセスについてのログ情報を取得するログ取得部と、
    前記ログ情報と、複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報とに基づいて、前記行動手順における行動段階の進行を追跡する行動追跡部と、
    前記行動段階の進行と、前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示する軌跡表示部とを備える行動監視システム。
  8. 前記行動指示情報が、前記セキュリティ装置におけるアクセス制御を定義するアクセス制御情報を更に含んでおり、
    前記行動段階の進行と前記アクセス制御情報とに基づいて前記アクセス制御を実施するアクセス制御部を更に備える請求項7に記載の行動監視システム。
  9. 前記アクセス制御情報は、アクセス制御の内容と、該アクセス制御の内容が適用される行動段階とを対応付けた情報を含む請求項8に記載の行動監視システム。
  10. 前記アクセス制御部は、前記行動段階の進行に合わせて、前記アクセス制御情報に含まれるアクセス制御の内容を示すコマンドを前記セキュリティ装置に発行する請求項9に記載の行動監視システム。
  11. 前記セキュリティ装置は、サイバーセキュリティ装置及び物理セキュリティ装置の少なくとも一方を含む請求項7から10何れか1項に記載の行動監視システム。
  12. 前記軌跡表示部は、前記行動段階の進行と前記セキュリティ装置へのアクセスとを時系列に並べて表示する請求項7から11何れか1項に記載の行動監視システム。
  13. 前記行動追跡部は、前記ログ情報に、前記行動手順における一の行動段階から他の行動段階への遷移条件として定義された特定のアクセスを示すログが含まれる場合、前記行動段階を次の行動段階へ遷移させる請求項7から12何れか1項に記載の行動監視システム。
  14. 前記軌跡表示部は、前記行動段階と、前記アクセスがあった旨を示すマークとを表示する請求項7から13何れか1項に記載の行動監視システム。
  15. 前記軌跡表示部は、前記マークが選択されると、該選択されたマークに対応するログの内容を表示する請求項14に記載の行動監視システム。
  16. 監視対象を監視するセキュリティ装置から前記監視対象に対するアクセスについてのログ情報を取得し、
    前記ログ情報と、複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報とに基づいて、前記行動手順における行動段階の進行を追跡し、及び、
    前記行動段階の進行と、前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示することを有する行動監視方法。
  17. 監視対象を監視するセキュリティ装置から前記監視対象に対するアクセスについてのログ情報を取得するステップと、
    前記ログ情報と、複数の行動段階を含む人の行動手順を定義する行動手順情報を含む行動指示情報とに基づいて、前記行動手順における行動段階の進行を追跡するステップと、
    前記行動段階の進行と、前記セキュリティ装置へのアクセスとを関連付けて表示装置に表示するステップとをコンピュータに実行させるためのプログラム。
JP2018546937A 2016-10-31 2016-10-31 行動監視装置、システム、方法、及びプログラム Active JP6743899B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2016/004765 WO2018078675A1 (ja) 2016-10-31 2016-10-31 行動監視装置、システム、方法、及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2018078675A1 true JPWO2018078675A1 (ja) 2019-09-26
JP6743899B2 JP6743899B2 (ja) 2020-08-19

Family

ID=62024537

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018546937A Active JP6743899B2 (ja) 2016-10-31 2016-10-31 行動監視装置、システム、方法、及びプログラム

Country Status (3)

Country Link
US (4) US20190243967A1 (ja)
JP (1) JP6743899B2 (ja)
WO (1) WO2018078675A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7342606B2 (ja) * 2019-10-23 2023-09-12 日本電気株式会社 情報処理装置、アクセス制御方法及びアクセス制御プログラム
JP2023008828A (ja) * 2021-07-02 2023-01-19 キヤノン株式会社 撮像装置、撮像装置の制御方法、プログラム、及び情報処理装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011048547A (ja) * 2009-08-26 2011-03-10 Toshiba Corp 異常行動検知装置、監視システム及び異常行動検知方法
JP2015069523A (ja) * 2013-09-30 2015-04-13 株式会社東芝 認証処理システムおよび認証処理方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011048547A (ja) * 2009-08-26 2011-03-10 Toshiba Corp 異常行動検知装置、監視システム及び異常行動検知方法
JP2015069523A (ja) * 2013-09-30 2015-04-13 株式会社東芝 認証処理システムおよび認証処理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
森山令子、平井規郎、郡光則: "行動履歴追跡機能を備えた統合ログ管理システム", FIT2009 第8回情報科学技術フォーラム 講演論文集 第2分冊, JPN6020015228, 20 August 2009 (2009-08-20), pages 239 - 240, ISSN: 0004292731 *

Also Published As

Publication number Publication date
US20200050755A1 (en) 2020-02-13
US20200050756A1 (en) 2020-02-13
US20190243967A1 (en) 2019-08-08
US20200050757A1 (en) 2020-02-13
JP6743899B2 (ja) 2020-08-19
WO2018078675A1 (ja) 2018-05-03

Similar Documents

Publication Publication Date Title
JP4751442B2 (ja) 映像監視システム
JP6155857B2 (ja) 入退室管理装置および入退室管理システム
EP2779132A2 (en) System and method of anomaly detection with categorical attributes
JP4808139B2 (ja) 監視システム
CN110136313A (zh) 核电站门禁管控方法、装置、计算机设备及存储介质
KR101850682B1 (ko) 영상분석 기반의 통합형 출입제어 시스템
JP2016224863A (ja) 認証装置、認証方法および認証プログラム
JP6743899B2 (ja) 行動監視装置、システム、方法、及びプログラム
CN112381435A (zh) 水电站作业过程动态风险的网格化定向推送管理方法
CN110689694B (zh) 基于图像处理的智能监控系统及方法
JP2007026205A (ja) 入退室管理装置
JP2009087033A (ja) 人物追跡システム
CN106127903A (zh) 电子设备探测门禁管控装置及其方法
US20160378268A1 (en) System and method of smart incident analysis in control system using floor maps
CN116778621A (zh) 一种用于大型电力生产的门禁管理方法及装置
JP4994299B2 (ja) セキュリティシステムおよびそのプログラム
KR101053475B1 (ko) 출입통제시스템 및 방법
JP6380479B2 (ja) 情報処理装置、情報処理システム、制御方法、及びプログラム
JP5800758B2 (ja) プラント設備監視装置
JP7416315B1 (ja) 入退室管理システム、情報処理装置、入退室管理方法、及びコンピュータ読み取り可能な記録媒体
JP2005227956A (ja) 出入管理装置
JP2012141989A (ja) 異常行動検知装置、監視システム、異常行動検知方法及びプログラム
JP6241233B2 (ja) 情報処理装置、情報処理方法、プログラム
CN114926929B (zh) 一种重点区域进出处理方法、装置、电子设备及存储介质
JP2009009397A (ja) ユーザ認証システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190422

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190422

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200622

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200630

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200713

R150 Certificate of patent or registration of utility model

Ref document number: 6743899

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150