WO2012053041A1

WO2012053041A1 - セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム

Info

Publication number: WO2012053041A1
Application number: PCT/JP2010/006803
Authority: WO
Inventors: 小林恵美子; 菅内公徳
Original assignee: 株式会社日立製作所
Priority date: 2010-10-22
Filing date: 2010-11-19
Publication date: 2012-04-26
Also published as: JP2012093804A

Abstract

　管理サーバは、セキュリティポリシーの対象外である項目についても、その項目の発生を監視し、監視結果の変動を評価して、必要に応じて特定の出力を行う。セキュリティポリシーに基づく管理において特にセキュリティポリシーの対象外とした項目についても、その発生を監視して、監視結果を適切に管理者に通知し、管理者が脅威を認識して適切なタイミングで対策を取ることができるようにする。

Description

セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム

　本発明は、セキュリティポリシーに基づいて、情報システムのセキュリティ監視を行うセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラムに関するものであり、特に、セキュリティへの脅威とその原因の分析に好適なものである。

　近年、情報産業の発達によって、情報システムの果たす役割が重要になるに連れてセキュリティ管理の重要性が高まっている。このような情報システムに関するセキュリティ管理においては、脅威、脆弱性の発見、その発生の確率などに基づいてセキュリティリスクを分析し、セキュリティポリシーを策定して、必要な対策を実施している。セキュリティ対策の実施に関しては、運用中のシステムの状態として脆弱性の有無、脆弱性の発生頻度、資産価値を基にリスクを分析し、優先順位を付けて対策案候補を提示する方法が存在している（特許文献１参照）。また、その他にも情報の資産価値とファイルアクセス情報を基にリスク値を更新し、リスク値が指定された閾値を越えた場合にアクセス制限などの対策処理を行う方法が存在している（特許文献２参照）。

国際公開２００８－００４４９８号公報特開２００５－１９００６６号公報

　従来の情報システムにおいては、上述のように対策案候補を提示しようとする場合、実際に行う対策及び情報システムにおけるセキュリティポリシーを最終的に決定するのは管理者である。このような情報システムのセキュリティの脅威には、情報漏洩のようにユーザの行動の他、その使用状況を原因とする場合がある。管理者は、セキュリティポリシーを策定する際、原因となり得るユーザの行動に対する対策として、例えば、コンピュータなどの端末装置での操作を抑止する設定などを行う場合もある。しかしながら、従来の情報システムでは、利便性との兼ね合いで操作を抑止する設定を行わない場合や、例えば端末装置の持ち出しなどのように端末装置への設定ではユーザの行動自体を抑止することができない場合が存在する。

　また、従来のセキュリティ管理ツールにおいても、管理者が、セキュリティポリシーとしてある項目を設定した場合、該当項目について遵守されているか否かを監視し、評価を行うことは一般に行われている。しかしながら、セキュリティポリシー策定時に、上記のようにセキュリティポリシーとして設定しない項目については監視も行われないことになってしまう。

　本発明は以上の点を考慮してなされたもので、セキュリティポリシー策定時に対象外としたポリシーについて、その発生を監視し、監視結果を適切なタイミングで出力することで、管理者が脅威を認識し、対策を取ることができるセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラムを提案しようとするものである。

　かかる課題を解決するため、本発明においては、少なくとも１台の端末装置を管理するセキュリティ監視装置において、各前記端末装置にセキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとを備えることを特徴とする。

　また、本発明においては、少なくとも１台の端末装置を備えるシステムを管理するためのセキュリティ監視方法において、管理プログラムが、各前記端末装置にセキュリティポリシーを設定する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理ステップと、収集プログラムが、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集ステップと、対象外ポリシー監視プログラムが、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視ステップとを含むことを特徴とする。

　また、本発明においては、少なくとも１台の端末装置に各々セキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとをコンピュータにおいて実行させることを特徴とする。

　また、本発明においては、少なくとも１台の端末装置を備えるシステムにおけるセキュリティ監視方法において、監視モジュールが、セキュリティの脅威の原因となる可能性のある原因事象について、その発生を監視し、算出モジュールが、その発生確率を算出するとともに、前記原因事象の発生確率に基づいて影響される脅威の発生確率を算出し、評価モジュールが、前記算出した値の時間経過に伴う変化を評価し、その変化が基準値以上の場合に特定の出力を行うことを特徴とする。

　本発明によれば、管理者が認識していないセキュリティポリシーの対象外の潜在的な脅威についても、顕在化の可能性が高まっている脅威とその原因、それに対する対策について情報を提供することで、管理者が脅威を認識し、適切なタイミングで対策を取ることができる。

第１の実施の形態におけるシステムのハードウェア及び論理構成を示す図である。管理サーバにおいて実行されるプログラムとテーブルの関係を示すモジュール構成図である。セキュリティポリシー管理プログラムの機能モジュール構成を示すブロック図である。対象外ポリシー監視プログラムの機能モジュール構成を示すブロック図である。セキュリティポリシー管理プログラムが実行する手順の一例を示すフローチャートである。ポリシー管理テーブルのテーブル構成を示す図である。監視項目管理テーブルのテーブル構成を示す図である。伝搬ルール管理テーブルのテーブル構成を示す図である。伝搬ルールの脅威とその原因事象の組み合わせの仕組みを示すツリーの例を示す図である。対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。第１の実施の形態の変形例における対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。第１の実施の形態の変形例における対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。第２の実施の形態における対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。

　以下、図面について、本発明の一実施の形態について詳述する。

　（１）本実施の形態の概念
　本実施の形態では、少なくとも１台の端末装置を備えるシステムにおいて、各端末装置にセキュリティポリシーを設定する際に、セキュリティポリシーとして設定した項目と設定していない項目に分けてセキュリティポリシーを管理している。通常のセキュリティポリシーの管理においては、設定した項目（以下「設定項目」と呼ぶ）のみについて監視対象となり、設定していない項目（以下、「非設定項目」と呼ぶ）に関しては監視対象とはならない。

　しかしながら、本実施の形態においては、このような非設定項目についても次のような事情により監視対象としている。即ち、例えば管理者による設定とは云え、非設定項目だからといって、全く監視しないのでは潜在的な脅威に対してあまりにも無防備ではないかとの考えに基づき、こうした非設定項目（後述する監視項目に相当）についても、念のため、監視対象としておき、必要に応じて、特定の出力として、今後潜在的なセキュリティリスクが生じ得るかもしれない旨を、管理者に対して通知するためである。

　本実施の形態では、端末装置の一例として、ユーザ端末を挙げるが、その他の電子機器、例えばコンピュータであっても良い。以下、本実施の形態について具体的に説明する。なお、後述する説明においては、伝搬ルールという用語を用いるが、この伝搬ルールとは、ある脅威が発生する原因となる可能性のある事象（後述する原因事象に相当）の組み合わせをいう。また、監視項目は、後述するように原因事象毎に定義される。なお、同一の原因事象が、異なる脅威の伝搬ルールに含まれることもある。

　（２）第１の実施の形態
　（２－１）ハードウェア及び論理構成
　（２－１－１）システム全体
　図１は、第１の実施の形態におけるシステム１００のハードウェア及び論理構成を示す。本システム１００は、管理サーバ１０１、少なくとも１台のユーザ端末１０２及びネットワーク１１０８を備えている。管理サーバ１０１は、セキュリティリスク可視化装置の一例である。ユーザ端末１０２は、例えば複数台存在し、ユーザが直接操作、使用するとともに、セキュリティポリシーに従って管理対象となる端末装置である。

　管理サーバ１０１及びユーザ端末１０２は、いずれも、１つ以上の中央処理装置（以下「ＣＰＵ」という）１０３、メモリ１０４、ハードディスクドライブなどの二次記憶装置１０５、入出力インタフェース１０６、ネットワークインタフェース１０７を備えている。このうち入出力インタフェース１０６は、キーボード、マウスからの入力情報とディスプレイへの出力情報とを制御する機能を有する。また、ネットワークインタフェース１０７は、ネットワーク１０８に接続するためのインタフェースである。

　管理サーバ１０１のメモリ１０４上には、セキュリティポリシー管理プログラム１０９、対象外ポリシー監視プログラム１１０及び収集プログラム１１１がロードされる。これらセキュリティポリシー管理プログラム１０９、対象外ポリシー監視プログラム１１０及び収集プログラム１１１などのプログラムは、ＣＰＵ１０３により実行される。また、ディスク装置１０５には、ポリシー管理テーブル１１２及び伝搬ルール管理テーブル１１３の情報が保存されている。

　各ユーザ端末１０２は、ＣＰＵ１２２、メモリ１２１、ディスク装置１２３、ネットワークインタフェース（以下「Ｉ／Ｆ」と略す）１２５及び入出力インタフェース１２４を備えている。このうちメモリ１２１には、エージェントプログラム１１４がロードされ、ＣＰＵ１２２により実行される。このエージェントプログラム１１４は、後述するようにユーザ端末１０２のユーザによる操作ログや構成情報を取得する通常の機能を有する。

　（２－１－２）管理サーバにおけるプログラムとテーブルとの関係
　図２は、管理サーバ１０１における各プログラムとテーブルとの関係を示す。セキュリティポリシー管理プログラム１０９は、管理プログラムの一例に相当し、ユーザからの入出力、ポリシー管理テーブル１１２への登録、読み出し等を行い、さらにエージェントプログラム１１４に対し、セキュリティポリシーを送信する。対象外ポリシー監視プログラム１１０は、監視プログラムの一例に相当し、ポリシー管理テーブル１１２、伝搬ルール管理テーブル１１３の参照とユーザへの出力を行う。また、セキュリティポリシー管理プログラム１０９及び対象外ポリシー監視プログラム１１０は、それぞれ、収集プログラム１１１が収集した情報を利用して、上述した非設定項目について脅威の発生確率の時間経過に伴う変化を評価する。この収集プログラム１１１は、ユーザ端末１０２のエージェントプログラム１１４から情報を収集する。

　（２－１－３）セキュリティポリシーの定義
　ここで、セキュリティポリシー（以下「ポリシー」とも略す）とは、管理サーバ１０１やネットワーク機器、ユーザ端末１０２といったシステム１００全体のセキュリティ方針を示すものであるが、ここでは、一例として、ユーザ端末１０２での操作及び設定の少なくとも一方に関する方針を示している。このようなポリシーとしては、例えば、必須ソフトウェアや禁止ソフトウェアといったソフトウェアインストールに関する項目、スクリーンセーバ有効やファイアウォール有効などＯＳの設定に関する項目、外部記憶媒体の接続抑止やアプリケーションの起動抑止など端末装置での制御に関する項目、社外アドレス宛メールの送信禁止、端末装置の持ち出し禁止といったユーザの行動を規定する項目が存在している。

　（２－１－４）対象外ポリシー監視プログラムの機能モジュール構成
　図３は、セキュリティポリシー管理プログラム１０９の機能モジュール構成を示す。セキュリティポリシー管理プログラム１０９は、入力受付モジュール３０１、ポリシー作成モジュール３０２、ポリシー設定モジュール３０３及びポリシー遵守状況評価モジュール３０４を有する。

　入力受付モジュール３０１は、ユーザからのポリシー設定に関する入力を受け付ける。ポリシー作成モジュール３０２は、ユーザ端末１０２など及びシステムの少なくとも一方に適用するポリシーを作成する。ポリシー設定モジュール３０３は、管理対象のユーザ端末１０２へのポリシーの配布及び設定を行う。作成したポリシーは、ポリシー管理テーブル１１２に登録され管理される。ポリシー遵守状況評価モジュール３０４は、設定したポリシーについて、各ユーザ端末１０２において遵守されているか否かを監視して評価する。ポリシー遵守状況評価モジュール３０４は、ポリシー管理テーブル１１２の内容を読み出し、その内容に基づいて上述した評価を行う。

　また、管理サーバ１０１の収集プログラム１１１は、操作ログ収集部３０５及び構成情報取得モジュール３０６を有する。操作ログ収集部３０５は、ユーザ端末１０２のエージェントプログラム１１４から、ユーザ端末１０２での操作ログを収集する。一方、構成情報収集モジュール３０６は、ユーザ端末１０２の構成情報を収集する。

　（２－１－５）対象外ポリシー監視プログラムの機能モジュール構成
　図４は、対象外ポリシー監視プログラム１１０の機能モジュール構成を示す。対象外ポリシー監視プログラム１１０は、原因事象抽出モジュール４０４、発生確率算出モジュール４０３、履歴データベース４０５（図示の確率履歴ＤＢ）、確率変動評価モジュール４０２及び出力処理モジュール４０１を備えている。

　原因事象抽出モジュール４０４は、各エージェントプログラム１１４から収集したユーザの操作ログ及び構成情報に基づいて原因事象がないかどうかを抽出する。発生確率算出モジュール４０３は、伝搬ルール管理テーブル１１３から伝搬ルールを読み出し、原因事象の発生確率を基に伝搬ルールに基づいて脅威発生の確率を算出する。履歴データベース４０５は、算出した確率を保持するためのデータベースである。確率変動評価モジュール４０２は、確率の履歴を評価する機能を有する。出力処理モジュール４０１は、評価結果を出力する機能を有する。

　（２－２）セキュリティ監視方法
　第１の実施の形態におけるシステムは以上のような構成であり、次に、その動作例の一部であるセキュリティ監視方法の一例について説明する。

　（２－２－１）セキュリティポリシー管理プログラムの処理
　図５は、管理サーバ１０１のセキュリティポリシー管理プログラム１０９のフローチャートを示す。なお、この管理サーバ１０１では、ＣＰＵ１０３がセキュリティポリシー管理プログラム１０９の各命令を実行し、このセキュリティポリシー管理プログラム１０９がＣＰＵ３１１の制御によって次のような各ステップを実行するが、以下の説明においては、そのセキュリティポリシー管理プログラム１０９が各ステップを実行すると簡素化して表現する。

　管理サーバ１０１では、ポリシーとして設定できる項目を表示する。これに対し、ユーザは、入力インタフェース（図示せず）を用いて選択し（Ｓ５０１）、入力を行う。セキュリティポリシー管理プログラム１０９は、上述したユーザからの入力を受け付け（Ｓ５０２）、設定するポリシーを決定し、ポリシー管理テーブル１１２に登録する（Ｓ５０３）。さらにセキュリティポリシー管理プログラム１０９は、このように設定されたポリシーを、管理サーバ１０１のエージェントプログラム１１４に配布する（Ｓ５０４）。なお、ユーザからの入力は、上述のような選択形式でなく、記述方法を定義した記述形式であってもよい。

　また、対象外ポリシー監視プログラム１１０が使用する伝搬ルール管理テーブル１１３では、伝搬ルールに対応する監視項目を保持している。セキュリティポリシー管理プログラム１０９は、決定されたポリシーにおける監視項目と、伝搬ルールにおける監視項目とを比較し（Ｓ５０５）、一致する項目については、ポリシーが遵守されているか否かの状況を評価すること（以下「ポリシー遵守状況評価）」と呼ぶ）を行うため、対象外ポリシー監視プログラム１１０の対象項目としないものと判断する（Ｓ５０６）。セキュリティポリシー管理プログラム１０９は、このような判断を、設定する全ポリシーの監視項目について適用する（Ｓ５０７）。

　ここで、管理者がポリシーを決定する別の方法としては、セキュリティポリシー管理プログラム１０９が、伝搬ルールに含まれる監視項目に対応するポリシーをポリシー管理テーブル１１２から検索し、選択できるポリシーとして出力することにより、管理者に提示してもよい。セキュリティポリシー管理プログラム１０９は、このように出力したポリシーのうちから、管理者によって選択されたポリシーを適用し、それ以外のポリシーを除外ポリシーとして管理してもよい。この除外ポリシーに対応する監視項目は、対象外ポリシー監視プログラム１１０の対象項目となる。

　セキュリティポリシー管理プログラム１０９は、設定したポリシーについては遵守状況を監視し、評価する。セキュリティポリシー管理プログラム１０９は、遵守状況は、ユーザ端末１０２から収集した操作ログと構成情報から項目に従った情報を抽出し（Ｓ５０８）、対象の全端末の情報を集計することで評価する。セキュリティポリシー管理プログラム１０９は、定期的に又はユーザからの要求があった時に評価し、評価結果を出力する（Ｓ５０９）。

　ユーザ端末１０２内のエージェントプログラム１１４は、管理サーバ１０１からポリシーを受信し、この受信したポリシーに従って設定が必要な項目については、ＯＳ及びレジストリに設定を行う。このエージェントプログラム１１４は、監視対象として、ポリシー設定項目だけでなく、全ての監視項目について監視する。これとともに、このエージェントプログラム１１４は、ユーザの操作を記録する。また、エージェントプログラム１１４は、監視情報を定期的に、又は、管理サーバ１０１からの要求に従って管理サーバ１０１に送信する。

　（２－２－２）セキュリティポリシー管理テーブルのテーブル構成
　図６は、管理サーバ１０１が管理するセキュリティポリシー管理テーブル１１２のテーブル構成を示す。セキュリティポリシー管理テーブル１１２は、ポリシーを管理するためのテーブルであり、ポリシーＩＤフィールド６０１、内容フィールド６０２、対象フィールド６０３及び監視項目フィールド６０４を有する。

　ポリシーＩＤフィールド６０１は、ポリシーを識別するための識別子である。内容フィールド６０２は、ポリシーＩＤフィールド６０１に対応するポリシーの内容が記述される。対象フィールド６０３は、ポリシーとして適用するかどうかを示す。監視項目フィールド６０４は、ポリシーに対応する監視項目の内容が記述される。

　ポリシーには、１つ以上の監視項目が定義されており、その監視項目が監視されることで、遵守状況が評価される。なお、１つのポリシーに対して２つ以上の監視項目があってもよく、１つの監視項目が別々のポリシーの監視項目となってもよい。

　（２－２－３）監視項目テーブルのテーブル構成
　図７は、監視項目を管理する監視項目テーブル１０８の構成例を示す。この監視項目テーブル１０８は、監視項目ＩＤ７０１に対して、監視内容７０２、それがポリシーとして監視対象となっているかを管理する対象フィールド７０３を有する。ポリシー対象の項目（設定項目に相当）の監視結果は、ポリシー遵守状況評価の対象となり、ポリシー対象外の項目（非設定項目に相当）は、後述する対象外ポリシー監視プログラム１１０による対象となる。

　（２－２－４）伝搬ルール管理テーブル１１３のテーブル構成
　図８は、管理サーバ１０１が管理する伝搬ルール管理テーブル１１３の構成を示す。伝搬テーブル管理テーブル１１３は、ルールＩＤフィールド８０１、脅威フィールド８０２、伝搬ルールフィールド８０３及び監視項目フィールド８０４を有する。

　ルールＩＤフィールド８０１は、各伝搬ルールを識別するためのフィールドである。脅威フィールド８０２は、複数の脅威を互いに識別するためのフィールドである。伝搬ルールフィールド８０３は、伝搬ルールの計算式を示すフィールドである。監視項目フィールド８０４は、伝搬ルールに対応する監視項目を示すフィールドである。

　ここで、伝搬ルールは、原因事象の組み合わせで表され、監視項目は、原因事象毎に定義される。なお、同一の原因事象が、異なる脅威の伝搬ルールに含まれることもある。また、監視項目については、図７に示した監視項目テーブル１０８に示した監視項目ＩＤによって管理される。

　（２－３）原因事象の組み合わせ
　図９は、伝搬ルールとして脅威とその原因事象の組み合わせの仕組みを示すツリーの例を示す。本実施の形態では、セキュリティ上の脅威である事象に対してその原因事象を定義し、さらに原因事象の組み合わせから発生までの伝搬を定義する。なお、この例では、脅威に対する原因事象の全てを示すものではなく、一部を取り出して示している。

・脅威事象１［ユーザがユーザ端末を持ち出して盗難に遭い、情報が漏洩する]（９０１）
・原因事象Ａ［ユーザ端末は可搬型である]（９０２）
・原因事象Ｂ［ユーザ端末にファイルを保存]（９０３）
・原因事象Ｃ［ユーザはユーザ端末を持ち出す]（９０４）
・原因事象Ｄ［ユーザ端末にＨＤＤパスワードが設定されていない]（９０５）
・原因事象Ｅ［ユーザ端末にＨＤＤパスワードが設定されていない]（９０６）
・原因事象Ｆ［ユーザ端末のＨＤＤが暗号化されていない]（９０７）

　なお、原因事象と脅威事象以外の事象９０８～９１０は、状態を示すが、伝搬ルールには関係ないため、説明を省略する。また、ＨＤＤ（Hard Disk Drive）は、上述したディスク装置１２３の一例である。

　この場合、伝搬ルールは、脅威事象＝［原因事象Ａ］＊［原因事象Ｂ］＊［原因事象Ｃ］＊{（［原因事象Ｄ］＋［原因事象Ｅ］）＋［原因事象Ｆ］｝と表される。ここで、「＊」は論理積（図示のＡＮＤに相当）を示し、「＋」は論理和（図示のＯＲに相当）を示す。本実施の形態では、対象外ポリシー監視プログラム１１０は、１つ以上の原因事象の発生確率の論理積又は論理和の組み合わせを用いて脅威の発生確率を算出する。即ち、対象外ポリシー監視プログラム１１０は、各原因事象の発生確率を求め、伝搬ルールに当て嵌めることで、脅威事象の発生確率を算出する。

　（２－４）対象外ポリシー監視プログラムの処理
　図１０は、管理サーバ１０１の対象外ポリシー監視プログラム１１０のフローチャートを示す。なお、この管理サーバ１０１では、ＣＰＵ１０３が対象外ポリシー監視プログラム１１０の各命令を実行し、この対象外ポリシー監視プログラム１１０がＣＰＵ３１１の制御によって次のような各ステップを実行するが、以下の説明においては、その対象外ポリシー監視プログラム１１０が各ステップを実行すると簡素化して表現する。また、収集プログラム１１１に関しても同様に簡素化して表現する。

　対象外ポリシー監視プログラム１１０は、収集プログラム１１１がユーザ端末１０２から収集した操作ログ及び構成情報から監視対象項目である原因事象の監視で必要な項目を抽出する（Ｓ１００１）。対象外ポリシー監視プログラム１１０は、例えば、原因事象Ｂについては、操作ログから「ファイルを保存」した記録を抽出する。

　対象外ポリシー監視プログラム１１０は、このような抽出処理を、全てのエージェントプログラム１１４（図示のエージェントに対応）からの収集情報に対して行い（Ｓ１００２）、監視項目毎に抽出結果を集計する（Ｓ１００３）。さらに、対象外ポリシー監視プログラム１１０は、監視項目に対応する原因事象の発生確率を算出する（Ｓ１００４）。対象外ポリシー監視プログラム１１０は、例えば１０００台のユーザ端末１０２からの構成情報に基づいてＨＤＤパスワードを監視している場合、ＨＤＤパスワードが設定されていないユーザ端末１０２が１０台であれば、原因事象Ｄの発生確率は、１０／１０００＝０．０１と算出する。

　対象外ポリシー監視プログラム１１０は、当該算出した値を履歴データベース４０５に保存しておく。これにより、この履歴データベース４０５には、監視項目とその発生確率、脅威事象とその発生確率が、それぞれ、算出時刻とともに保存される。この対象外ポリシー監視プログラム１１０は、このような処理を、全監視項目について行う（Ｓ１００５）。

　次に対象外ポリシー監視プログラム１１０は、伝搬ルール毎にそれぞれの原因事象の発生確率を検索し、算出原因事象の発生確率値を当て嵌めて、脅威の発生確率を算出する（Ｓ１００６）。ここで、伝搬ルールの原因事象に関連する監視項目がポリシー設定対象になっている場合もある。この場合、対象外ポリシー監視プログラム１１０は、セキュリティポリシー管理プログラム１０９が監視している結果を読み出し、脅威の発生確率として使用する。対象外ポリシー監視プログラム１１０は、算出した脅威の発生確率を履歴データベース４０５に保存する。

　さらに、対象外ポリシー監視プログラム１１０は、その確率履歴データベース４０５に基づいて、当該伝搬ルールに関する発生確率の履歴を評価し、その評価結果に基づいてユーザに対して特定の出力を行う必要があるか否かを出力基準にあてはまるかで判断する（Ｓ１００７）。出力基準は例えば、予め定義された閾値とし、発生確率が閾値以上である場合に特定の出力を行う。

　また別の例として、対象外ポリシー監視プログラム１１０は、上述のように前記算出した値の時間経過に伴う変化の差分、即ち、前回との差分を判断し、当該差分が特定値以上に大きい場合、又は、算出した高い値が一定期間続いている場合に特定の出力を行う。さらに別の例として、対象外ポリシー監視プログラム１１０は、予測履歴グラフを作成しておき、当該予測履歴グラフと一致する傾向にない場合なども特定の出力を行う基準としてもよい。こうした出力基準は、予めプログラムでいずれの基準を使用するかとその基準値を設定しておく。また閾値と、差分といった複数の出力基準を同時に使用するように設定してもよい。　

　対象外ポリシー監視プログラム１１０は、判断の結果、基準にあった場合に特定の出力を実行する（Ｓ１００８）。この対象外ポリシー監視プログラム１１０は、特定の出力として、例えば、原因となる可能性のある事象のうち発生確率の変化が大きい特定の原因事象と、この特定の原因事象について発生確率を減少するための対策とを出力する。具体的には、この対象外ポリシー監視プログラム１１０は、出力情報として、脅威事象とその確率、さらに脅威事象の発生確率を変動させた原因である原因事象についての情報を表示する。なお、発生確率の数値については、図示のように数値そのまま表示するか、例えば数段階に定義したレベルなどで表示してもよい。

　また、対象外ポリシー監視プログラム１１０は、該当する原因事象に対する対策として、監視項目に対応するポリシーをポリシー管理テーブル１０９から検索し、併せて出力してもよい。一方、対象外ポリシー監視プログラム１１０は、ユーザ端末１０２において対策が取れない脅威とその原因については、対策先の候補（例えばサーバやネットワーク機器など）を伝搬ルールテーブル（図示せず）で管理し、併せて特定の出力を行ってもよい。

　ここで、管理サーバ１０１は、上述のように出力された対策を、原因事象が発生する可能性のあるユーザ端末１０２に対して実施する対策実施モジュール（図示しない）を備えていても良い。なお、この場合、この対策実施モジュールは、上記対策を、前記ユーザ端末１０２以外の別の装置、例えば図示しないメールサーバ又はファイルサーバにおいて実施するようにしてもよい。

　対象外ポリシー監視プログラム１１０は、全ての伝搬ルールについて計算したか否かを判断し、計算していない伝搬ルールが存在する場合には、上述したステップＳ１００６に計算済の場合には処理を終了する（Ｓ１００９）。

　以上により、ポリシーとして設定している項目以外の項目（上記非設定項目に相当）でも、脅威の原因となり得る事象（上記原因事象に相当）について、管理を行うことで、管理者に脅威の発生の確率が高くなっていることなどを適切なタイミングで通知することができる。従って、管理者が認識していないセキュリティポリシーの対象外の潜在的な脅威についても、顕在化の可能性が高まっている脅威とその原因、それに対する対策について情報を提供することで、管理者が脅威を認識し、適切なタイミングで対策を取ることができるようになる。

　（２－５）第１の実施の形態の変形例
　（２－５－１）第１の変形例
　次に、監視項目の変動について評価することで、脅威の発生の原因を適切に管理者に知らせるための方法を示す。ここでは、対象外ポリシー監視プログラム１１０は、監視項目毎に変動を評価し、監視項目の発生確率に変動があった場合に、脅威事象の発生確率を算出する方法を説明する。

　図１１は、対象外ポリシー監視プログラム１１０のフローチャートを示す。当該フローチャートにおける処理は、図１０において説明したフローチャートと、原因事象の発生確率を算出する処理（ステップＳ１００１～Ｓ１００４に相当）までは同じ処理である。

　対象外ポリシー監視プログラム１１０は、算出した結果を履歴として保存するとともに、結果の履歴を評価する。履歴が出力基準に当て嵌まるかを判断する（Ｓ１１０１）。ここでの出力基準は、最新の算出値を前回算出値と比較して差分が一定値以上である場合や、閾値以上が一定期間続いている場合など、予め定義した基準を用いる。全項目同一の基準、又は、監視項目毎の基準であってもよい。

　出力基準に当て嵌まる場合、対象外ポリシー監視プログラム１１０は、該当監視項目の結果について出力してもよい（Ｓ１１０２）。また、対象外ポリシー監視プログラム１１０は、該当監視項目が含まれる脅威事象について、発生確率を算出し、図１０の説明において前述した方法と同様に評価した結果に従って出力してもよい。この方法により、原因事象の確率が変動しない脅威については、計算を行わず、処理を簡単にできる。

　また、第１の変形例では、監視項目の発生確率の変動を評価しているところを、変動の評価に使用する値を発生確率でなく、集計結果の抽出数で評価してもよい。この場合、抽出数に対する出力基準を予め定義しておき、出力基準にあてはまるか否かを判断する。

　（２－５－２）第２の変形例
　第１の実施の形態において示した原因事象の監視の結果、原因事象の発生確率が「０」になる場合もある（例えば、ＨＤＤパスワードは、特定時点では全てのユーザ端末１０２に設定されているなど）。ここでは、ある原因事象の発生確率が「０」の場合でも、その他の原因事象の変動が脅威の発生確率に影響するかを評価する方法を示す。

　図１２は、対象外ポリシー監視プログラム１１０の処理の一部のフローチャートを示す。当該フローチャートでは、図１０に示したフローチャートの監視項目毎の発生確率の算出（Ｓ１００１～Ｓ１００５）までは、同じ処理を行う。第１の実施の形態において説明した方法では、監視項目の１つに「０」があってもそのまま伝搬ルールに「０」を当て嵌める。これは、図１２に示すフローチャートのＳ１２０１～Ｓ１２０３でも同様である。ここでは、履歴データベース４０５を２つ保持し、第１の履歴データベース４０５にはそのままの算出値を保存する。例えばＨＤＤパスワードが全てに設定されていれば、論理積の組み合わせで算出される脅威の発生確率は「０」であり、第１の履歴データベース４０５に保存する。

　原因事象の発生確率が「０」では、他の原因事象の確率が変動しても脅威の発生確率は「０」で変動しないことになる。そのため、対象外ポリシー監視プログラム１１０は、発生確率が「０」の原因事象があるかを確認し（Ｓ１２０４）、他の原因の変動の影響を確認できるように、次に「０」の項目を「０」より大きく「１」以下の特定の値（例えば０．０１など）に変更する。対象外ポリシー監視プログラム１１０は、当該特定の値を用いて脅威の発生確率を算出し、第２の履歴データベース４０５に保存する（Ｓ１２０５）。また、該当原因事象の確率は、特定の値であることをテーブル（図示しない）で管理しておく。そして、対象外ポリシー監視プログラム１１０は、出力基準に照らし合わせ（Ｓ１２０６）、出力する際には特定値を使用した原因事象を除いて、変動のあった原因事象と脅威の発生確率について情報を出力する（Ｓ１２０７）。

　このような第２の変形例によれば、特定の時点で、複数ある原因のいずれかが発生の可能性がなくても（発生確率が「０」であっても）、他の原因事象が脅威の発生確率の変動に影響するかを判断することができる。

　（３）第２の実施の形態
　次に、本発明の第２の実施の形態として、脅威事象の発生確率が高まっている時に、自動的にポリシーを変更する方法について説明する。第２の実施の形態では、第１の実施の形態とほぼ同様であるため、以下では異なる点を中心として説明する。

　（３－１）対象外ポリシー監視プログラムの処理
　図１３は、第２の実施の形態における対象外ポリシー監視プログラム１１０のフローチャートを示す。第２の実施の形態では、脅威事象の発生確率を評価するまでの処理（ステップＳ１００１～Ｓ１００８に相当）は、上述した第１の実施の形態と同様であるため、同様の内容については説明を省略する。

　対象外ポリシー監視プログラム１１０は、上記評価の結果、基準に当て嵌まる場合、原因事象の発生確率のうち、脅威事象の発生確率の変動の原因となっている項目について判断する。このような判断しては、例えば、原因事象の発生確率そのものが変動し、前回との差分が大きい、又は、閾値を越えているなどを挙げることができる。具体的には、ステップＳ１００８の実行後、対象外ポリシー監視プログラム１１０は、例えば、時間の経過に伴って、非設定項目のうち原因事象の発生確率の変動が規定値よりも大きい項目について、ポリシー管理テーブル１１２を参照し、例えば特定の対策に応じてポリシーの設定を自動的に変更する（Ｓ１３０１）。なお、この自動設定のための命令は、上述した図２における対象外ポリシー監視プログラム１１０からセキュリティポリシー管理プログラム１０９への矢印によって表されている。

　対象外ポリシー監視プログラム１１０によるポリシーの設定変更は、セキュリティポリシー管理プログラム１０９に通知され、セキュリティポリシー管理プログラム１０９は、変更されたポリシーをエージェントプログラム１１４に配布する。さらに、対象外ポリシー監視プログラム１１０は、ポリシーを自動的に変更する場合、管理者に通知するために出力を行う。以上のようにすると、管理者が認識していないポリシー対象外の潜在的な脅威について潜在的な可能性が高まっている場合に、その管理者が意識しなくても、恒常的にセキュリティリスクを抑制することができるようになる。

　ここで、対象外ポリシー監視プログラム１１０は、上述した評価の結果に従ってポリシーを自動的に変更する前に、変更の可否を選択するインタフェースを出力するようにしても良い。このようにすると、管理者は、ポリシーを本当に変更して良いかどうかについて判断する機会を付与することができ、ポリシーの変更というセキュリティへの大きな影響のある行為に関して安全性を確保することができる。対象外ポリシー監視プログラム１１０は、管理者からの入力に従って、「変更可」が選択された場合にはポリシーを変更し、「否」が選択された場合にはポリシーを変更しない。

　（３－２）別の方法について
　この方法の別の案としては、脅威事象の発生確率が少ない場合の基準値を満たす（閾値より低い）場合、設定しているポリシーを除外する方法もある。これにより、最小限のポリシー設定で運用を開始した場合にも、運用状況を監視し、脅威発生の確率が高まっている場合に必要な操作抑止などのポリシー設定をすることで、運用状況に応じたポリシーの設定が可能となる。

　上述した実施の形態によれば、セキュリティポリシーの対象外の項目についても、監視により発生を検知し、出力条件を満たした場合に、情報が出力される。セキュリティポリシーの対象外である項目は、管理者が管理不要としている可能性もあり、その発生を検知する度に管理者に通知されるのでは、管理者の負担が増大する可能性があり、本発明のように発生頻度の増加や、脅威顕在化の確率が高くなっている場合に出力することで、管理者の負担を減らすことができる。

　また可搬型ＰＣが軽量になり、持ち出すユーザが増加するなど、管理者がポリシー策定時点では不要と判断した項目についても、ユーザ使用状況が変化することで、発生が増加することもある。本実施の形態では、こうした変化を監視し、出力することで、管理者がポリシーの対象とすべきかを判断することができる。

　（４）その他の実施形態
　上記実施形態は、本発明を説明するための例示であり、本発明をこれらの実施形態にのみ限定する趣旨ではない。本発明は、その趣旨を逸脱しない限り、様々な形態で実施することができる。例えば、上記実施形態では、各種プログラムの処理をシーケンシャルに説明したが、特にこれにこだわるものではない。従って、処理結果に矛盾が生じない限り、処理の順序を入れ替え又は並行動作するように構成しても良い。

　１００……システム、１０１……管理サーバ、１０２……ユーザ端末、１０８……監視項目テーブル、１０９……セキュリティポリシー管理プログラム、１１０……対象外ポリシー監視プログラム、１１１……収集プログラム、１１２……ポリシー管理テーブル、１１３……伝搬ルール管理テーブル、１１４……エージェントプログラム

Claims

　少なくとも１台の端末装置を管理するセキュリティ監視装置において、
　各前記端末装置にセキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、
　各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、
　前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとを備える
　ことを特徴とするセキュリティ監視装置。
　前記収集プログラムは、
　各前記端末装置からユーザによる操作に応じた操作ログと、各前記端末装置の構成に関する構成情報とを取得する
　ことを特徴とする請求項１に記載のセキュリティ監視装置。
　前記対象外ポリシー監視プログラムは、前記原因事象の変化が基準以上か否かの評価として、前記非設定項目に関する前記原因事象の発生確率を算出し、前記非設定項目に関する前記原因事象の発生確率に基づいて算出される脅威の発生確率を算出し、
　前記算出した値の時間経過に伴う変化の差分が特定値以上に大きい場合、又は、前記算出した値が予め規定された閾値以上である場合に前記特定の出力を行う
　ことを特徴とする請求項２に記載のセキュリティ監視装置。
　前記対象外ポリシー監視プログラムは、
　１つ以上の原因事象の発生確率の論理積又は論理和の組み合わせを用いて前記脅威の発生確率を算出する
　ことを特徴とする請求項３に記載のセキュリティ監視装置。
　前記対象外ポリシー監視プログラムは、
　前記原因となる可能性のある事象のうち発生確率の変化が大きい特定の原因事象と、
　前記特定の原因事象について発生確率を減少するための対策と、を前記特定の出力として出力する
　ことを特徴とする請求項４に記載のセキュリティ監視装置。
　前記対象外ポリシー監視プログラムは、
　前記非設定項目のうち前記原因事象の発生確率の変動が規定値よりも大きい項目について、前記セキュリティポリシーを自動的に変更する
　ことを特徴とする請求項５に記載のセキュリティ監視装置。
　前記出力された対策を、前記原因事象が発生する可能性のある前記端末装置に対して実施する対策実施モジュールを備える
　ことを特徴とする請求項６に記載のセキュリティ監視装置。
　前記対策実施モジュールは、
　前記対策を、前記端末装置以外の別の装置で実行する
　ことを特徴とする請求項７に記載のセキュリティ監視装置。
　少なくとも１台の端末装置を備えるシステムを管理するためのセキュリティ監視方法において、
　管理プログラムが、各前記端末装置にセキュリティポリシーを設定する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理ステップと、
　収集プログラムが、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集ステップと、
　対象外ポリシー監視プログラムが、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視ステップとを含む
　ことを特徴とするセキュリティ監視方法。
　前記収集プログラムが、
　各前記端末装置からユーザによる操作に応じた操作ログと、各前記端末装置の構成に関する構成情報とを取得する
　ことを特徴とする請求項９に記載のセキュリティ監視方法。
　前記対象外ポリシー監視プログラムが、
　前記原因事象の変化が基準以上か否かの評価として、前記非設定項目に関する前記原因事象の発生確率を算出し、前記非設定項目に関する前記原因事象の発生確率に基づいて算出される脅威の発生確率を算出し、
　前記算出した値の時間経過に伴う変化の差分が特定値以上に大きい場合、又は、前記算出した値が予め規定された閾値以上である場合に前記特定の出力を行う
　ことを特徴とする請求項１０に記載のセキュリティ監視方法。
　前記対象外ポリシー監視プログラムが、
　１つ以上の原因事象の発生確率の論理積又は論理和の組み合わせを用いて前記脅威の発生確率を算出する
　ことを特徴とする請求項１１に記載のセキュリティ監視方法。
　前記対象外ポリシー監視プログラムが、
　前記原因となる可能性のある事象のうち発生確率の変化が大きい特定の原因事象と、
　前記特定の原因事象について発生確率を減少するための対策と、を前記特定の出力として出力する
　ことを特徴とする請求項１２に記載のセキュリティ監視方法。
　前記対象外ポリシー監視プログラムは、
　前記非設定項目のうち前記原因事象の発生確率の変動が規定値よりも大きい項目について、前記セキュリティポリシーを自動的に変更する
　ことを特徴とする請求項１３に記載のセキュリティ監視装置。
　対策実施モジュールが、前記出力された対策を、前記原因事象が発生する可能性のある前記端末装置に対して実施する
　ことを特徴とする請求項１５に記載のセキュリティ監視方法。
　前記対策実施モジュールが、
　前記対策を、前記端末装置以外の別の装置で実行する
　ことを特徴とする請求項１５に記載のセキュリティ監視方法。
　少なくとも１台の端末装置に各々セキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、
　各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、
　前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとをコンピュータにおいて実行させる
　ことを特徴とするセキュリティ監視プログラム。
　少なくとも１台の端末装置を備えるシステムにおけるセキュリティ監視方法において、
　監視モジュールが、セキュリティの脅威の原因となる可能性のある原因事象について、その発生を監視し、
　算出モジュールが、その発生確率を算出するとともに、前記原因事象の発生確率に基づいて影響される脅威の発生確率を算出し、
　評価モジュールが、前記算出した値の時間経過に伴う変化を評価し、その変化が基準値以上の場合に特定の出力を行う
　ことを特徴とするセキュリティ監視方法。