WO2015121923A1 - ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 - Google Patents
ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 Download PDFInfo
- Publication number
- WO2015121923A1 WO2015121923A1 PCT/JP2014/053179 JP2014053179W WO2015121923A1 WO 2015121923 A1 WO2015121923 A1 WO 2015121923A1 JP 2014053179 W JP2014053179 W JP 2014053179W WO 2015121923 A1 WO2015121923 A1 WO 2015121923A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- access
- log
- application
- record
- destination server
- Prior art date
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 61
- 238000012550 audit Methods 0.000 claims description 31
- 238000000034 method Methods 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 24
- 238000012545 processing Methods 0.000 description 19
- 238000004891 communication Methods 0.000 description 18
- 230000008859 change Effects 0.000 description 13
- 230000015654 memory Effects 0.000 description 12
- 238000007726 management method Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 7
- 238000007689 inspection Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000001934 delay Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000005429 filling process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Definitions
- the present invention relates to a technique for analyzing and auditing an access log to a business server in an information system.
- the main method is to check the access log and the user's authority, and check whether there is any access or operation to the resource that exceeds the authority of the person.
- the operation is within the authority of the principal, it was possible to perform the operation at an inappropriate timing (eg, change the module without updating the correction module). Therefore, there is a problem that it is difficult to detect a malicious crime or an erroneous operation at the time of inspection.
- Patent Document 1 discloses a mechanism for performing log analysis and audit using a use application workflow and an access log.
- An object of the present invention is to provide an apparatus that appropriately detects unauthorized access to a business server.
- the log analyzer of the present invention Collect the application log from an application log holding device that holds an application log in which a plurality of application records for applying for access to the access destination server device are recorded, Holding the plurality of application records notified from the application log holding device, receiving a login to access the access destination server device from an access device, determining whether the application record corresponding to the login exists, and applying the application
- the access device relays the access from the access device to the access destination server device, and records the access state of the access device to the access destination server device as an operation record in the operation log from the operation relay device.
- Collect logs A log collection unit that collects the access log from the access destination server device that records the accessed access state in the access log as an access record; A determination unit that determines whether the access state recorded as the access record is regular access based on the application log collected by the log collection unit, the operation log, and the access log; It is characterized by.
- This invention can provide a device that appropriately detects unauthorized access to a business server.
- FIG. 2 is a diagram of the unauthorized access audit system 1001 according to the first embodiment.
- FIG. FIG. 3 is a diagram of the first embodiment and is a configuration diagram of the WF server 200 and the like.
- FIG. 9 is a flowchart of the change operation for the business server 600 of the operator Y in the diagram of the first embodiment.
- the figure of Embodiment 1 is a figure which shows the content of the application information 401.
- FIG. The figure of Embodiment 1 is a figure which shows the specific example of the application information 401.
- FIG. The figure of Embodiment 1 is a figure which shows the content of the application log 211.
- FIG. The figure of Embodiment 1 is a figure which shows the specific example of the application log 211.
- FIG. FIG. 3 is a diagram of the first embodiment and shows the contents of an operation log 511.
- FIG. 4 is a diagram of the first embodiment and shows a specific example of the operation log 511.
- the figure of Embodiment 1 is a figure which shows the content of the access log 611.
- FIG. The figure of Embodiment 1 is a figure which shows the specific example of the access log 611.
- FIG. The figure of Embodiment 1, The figure which shows the flow of inspection work.
- FIG. 14 is a first half diagram in which FIG. 13 is sequenced. The latter half figure which sequenced FIG.
- the figure of Embodiment 1 is a figure which shows a response
- FIG. 6 is a diagram of the unauthorized access audit system 1002 according to the second embodiment.
- FIG. 5 is a sequence diagram corresponding to FIG. 4 in the second embodiment.
- the figure of Embodiment 2 is a figure which shows a response
- FIG. 9 is a diagram of the third embodiment, and shows a determination method at the time of automatic extension.
- FIG. 14 is a diagram of the fourth embodiment, and illustrates an example of the appearance of the log analysis server 100.
- FIG. 10 is a diagram illustrating the hardware configuration of the log analysis server 100 in the fourth embodiment.
- Embodiment 1 FIG.
- the unauthorized access audit system 1001 according to the first embodiment will be described with reference to FIGS.
- FIG. 1 shows the configuration of an unauthorized access audit system 1001 that audits inappropriate access using privilege IDs.
- the unauthorized access audit system 1001 includes a log analysis server 100 (log analysis device), a work application workflow server 200 (application log holding device), an administrator terminal device 300, an operator terminal device 400 (access device), and an ID usage control unit 500. (Access relay device), business server device 600 (access destination server device), and user terminal device 700.
- the ID usage control unit 500 may be incorporated in the work application workflow server 200.
- the work application workflow server 200 is referred to as a WF server 200
- the administrator terminal device 300 is referred to as an administrator terminal 300
- the operator terminal device 400 is referred to as an operator terminal 400
- the ID use control unit 500 is referred to as an ID control unit.
- the business server device 600 is referred to as a business server 600
- the user terminal device 700 is referred to as a user terminal 700.
- the log analysis server 100, the WF server 200, the administrator terminal 300, the operator terminal 400, and the ID control unit 500 are connected to the business network 800.
- the business server 600 is connected to the ID control unit 500 via the management network 810.
- the user terminal 700 is connected to the business server 600 via the service network 820.
- the user transmits a request from the user terminal 700 to the business application of the business server 600 via the service network 820.
- the log analysis server 100 includes a log collection unit 110, a log information management unit 120, and a log analysis unit 130 (determination unit).
- the log collection unit 110 collects a use application log 211 (hereinafter referred to as an application log 211), an operation log 511, and an access log 611 from each of the WF server 200, the ID control unit 500, and the business server 600.
- the log information management unit 120 stores log information such as the application log 211 collected by the log collection unit 110.
- the log analysis unit 130 receives the log information stored by the log information management unit 120 as input, and analyzes the correspondence between records (described later) recorded in each log. Based on this analysis, the log analysis unit 130 determines whether the access to the business server 600 is inappropriate access and outputs the determination result.
- the WF server 200 or the like includes a storage unit, a communication unit that performs communication, and a processing unit that performs information processing.
- FIG. 3 is a flowchart showing the flow of change operation for the business server 600 of the operator Y.
- FIG. 4 is a sequence diagram of FIG.
- the operator Y logs in to the business server 600 with a privilege ID (ID having Administrator authority) when a correction module of the business server 600 is released from a vendor or when there is a request from a customer who uses the business server 600. Then, change operations such as module update and setting change are performed. In such a case, it is assumed that the operator Y makes a use application to the WF server 200 in order to prevent an inappropriate timing access (an erroneous operation such as an unnecessary change operation in the business server 600).
- a privilege ID ID having Administrator authority
- the operator Y transmits application information 401, which is a use application for using the business server 600, from the operator terminal 400 (communication unit 420) to the WF server 200 (S101). Transmission of the application information 401 is as follows.
- Operator terminal 400 (communication unit 420) calls work application workflow 201 (hereinafter referred to as application WF 201) from WF server 200 through communication with WF server 200 (communication unit 220).
- the processing unit 430 of the operator terminal 400 displays the application WF 201 on the screen of the operator terminal 400.
- the operator Y fills in the application information 401 in the application WF 201 displayed on the screen (the processing unit 430 performs the filling process).
- the communication unit 420 transmits the application WF 201 filled with the application information 401 to the WF server 200.
- FIG. 5 is a diagram showing the contents of the application information 401.
- FIG. 6 shows a specific example of the application information 401.
- the application information 401 includes the following information (1) to (5).
- Privilege ID 11 The privilege ID 11 is an account for logging in to the business server 600.
- the password information is preferably managed by the ID control unit 500, and the password information is preferably given when relaying (the ID, password, and privilege ID of the login by the ID control unit 500, which will be described later in S105). Possession), the privilege ID 11 may be included in the application information 401.
- (2) User information 12 The user information 12 is information for identifying the operator Y, and is, for example, an identifier (ID) of the operator Y.
- ID an identifier
- the business server identifier 13 is an identifier such as the host name of the business server 600 that logs in.
- Usage period 14 (scheduled access period information) is a period that indicates when the operation according to the application content of the application information 401 is to be executed according to the schedule.
- Command / protocol 15 to be used The command / protocol 15 to be used is a command or protocol indicating what protocol is used to access the business server 600 and what operation (command) is to be executed.
- the WF server 200 receives the application information 401.
- the processing unit 230 issues the application information 401, and the communication unit 220 notifies the administrator terminal 300 of the administrator X of an approval request for the application information 401 by e-mail or the like (S102).
- the administrator X displays the application WF 201 on the screen of the administrator terminal 300 through communication with the WF server 200 by the administrator terminal 300 (communication unit 320).
- the processing unit 330 displays the application WF201.
- the administrator X confirms the contents of the application information 401 with the application WF 201 and approves if there is no problem (S103).
- the approval status is described in the application WF 201 by the processing unit 330 and transmitted from the administrator terminal 300 (communication unit 320) to the WF server 200.
- the processing unit 230 of the WF server 200 records in the application log 211 that the application information 401 has been approved.
- the communication unit 220 notifies the application information 401 to the ID control unit 500 (S104).
- FIG. 7 is a diagram showing the contents of information included in the application log 211.
- the application log 211 records a plurality of application records for applying for access to the business server 600.
- One application is one application record (one record).
- the application information 401 (S101) in FIG. 4 is one application record recorded in the application log 211.
- the application log 211 in FIG. 7 shows one application record.
- One application record is associated with a privilege ID 11 and includes a usage period 14 (access period schedule information).
- One application record has a command / protocol 15 (scheduled command information) scheduled to be used.
- Privilege ID 11 to scheduled use command / protocol 15 in FIG. 7 are privilege ID 11 to scheduled use command / protocol 15 in FIG.
- the approval status 16 is an approval result by the administrator terminal 300.
- the operator Y uses the Telnet or remote desktop protocol (RDP) to change the ID control unit 500.
- Login operation is performed (S105).
- the login process at the operator terminal 400 is performed by the processing unit 430.
- an ID and a password are used, and a set of ID and password that is registered in advance in the ID control unit 500 to identify the operator Y is used.
- the ID is the ID of the operator Y in the user information 12 of FIG. 5, and the password is a password given to the operator Y for using the in-house system.
- the ID control unit 500 a set of these IDs and passwords is registered.
- the ID control unit 500 confirms that the corresponding application information 401 exists from the ID and protocol used by the operator Y, and confirms that the access is within the requested usage period. Is determined (S106).
- the ID control unit 500 has received the application information 401 in S104. Accordingly, the ID control unit 500 compares the ID and the protocol to be used in the login in S105 with the user information 12 and the scheduled use command / protocol 15 in the application information 401 (FIG. 5), and applies for the login corresponding to S105. It can be confirmed whether the information 401 exists. When the application information 401 exists, the ID control unit 500 determines whether the login in S105 is within the usage period 14 of the application information 401.
- the ID control unit 500 discards the request from the operator Y (operator terminal 400). If it is available (application information 401 exists and within the usage period), the ID control unit 500 relays the contents of the change operation by the operator terminal 400 (processing unit 430) to the business server 600. (S107). At the time of this relay, the ID control unit 500 logs in to the business server 600 with the privilege ID described in the notified application information 401 and relays the contents of the change operation. Further, the ID control unit 500 records the contents of the change operation to be relayed in the operation log 511 (S108). As described in the description of the privilege ID 11 item in FIG. 5, when the privilege ID 11 is not described in the application information 401, the privilege ID associated with the ID and password pair used in the login in S105. May be configured to be held in advance by the ID control unit 500.
- FIG. 9 shows the contents (access status) of the operation log 511 recorded by the ID control unit 500.
- FIG. 10 shows a specific example of the operation log 511.
- the privilege ID 11-5, user information 12-5, and use period 14-5 (access period information) in FIG. 9 correspond to the privilege ID 11, user information 12, and use period 14 in FIG.
- the operation content 17-5 corresponds to the scheduled use command / protocol 15 in the application information 401 of FIG.
- a plurality of operation records are recorded.
- One operation to relay becomes one operation record.
- 9 and 10 show one operation record.
- the privilege ID 11-5 is an ID used for login in S107.
- One operation record is associated with a privilege ID 11-5.
- the user information 12-5 is the user information 12 described in the application information 401 whose existence has been confirmed.
- the use period 14-5 (access period information) is a relay period.
- the operation content 17-5 (relay command information) is a command or protocol to be used in the relayed change operation.
- the business server 600 (the processing unit 630) records the contents of the change operation relayed by the ID control unit 500 in the access log 611 by a function such as a security log of the OS.
- FIG. 11 shows the contents (access status) of the access log 611 recorded by the business server 600.
- FIG. 12 shows a specific example of the access log 611.
- a user ID 11-6 is a privilege ID, which corresponds to the privilege ID 11-5 in FIG. 9 and is the ID used in the login (FIG. 4) in S107.
- a privilege ID is associated with one access record.
- the operation content 17-6 corresponds to the operation content 17-5 in FIG. 9 and is information on operations and commands for the business server 600.
- the usage period 14-6 (access period information) corresponds to the usage period 14-5 and is a period during which a change operation is executed on the business server 600 from another device.
- FIG. 13 shows the flow of inspection work.
- 14 and 15 are diagrams obtained by sequencing FIG. 13, and “A” in FIG. 14 is the same as “A” in FIG. 15.
- FIG. 14 shows a log collection sequence
- FIG. 15 shows an unauthorized access audit sequence after log collection.
- An inspector for example, administrator X uses the administrator terminal 300 (when the inspector is an administrator), so that the application log 211 and the operation log 511 from the WF server 200, the ID control unit 500, and the business server 600, respectively.
- Application for use is made by registering in advance in the application WF 201 a schedule for collecting the access log 611 (for example, every day at night) (S201).
- the schedule registration operation is performed in order for the log analysis server 100 to collect the access log 611 of the business server 600 via the relay of the ID control unit 500 (S203 described later).
- the processing unit 330 of the administrator terminal 300 causes the application WF 201 to enter the log collection schedule together with an “ID, password” used for login in S203-1 (FIG.
- the privilege ID used for login is registered.
- Information of the application WF 201 in which these are described is transmitted to the log analysis server 100 by the communication unit 320 of the administrator terminal 300 (auditor's terminal).
- the schedule and the like are registered in the application WF 201. However, the schedule and ID may be directly set in the log analysis server 100 from the terminal.
- the log collection unit 110 When the scheduled time is reached, the log collection unit 110 is activated using an OS schedule function or the like. After being activated, the log collection unit 110 collects the application log 211 and the operation log 511 using a protocol such as FTP and stores them in the log information management unit 120 (S202).
- the log collection unit 110 connects to the business server 600 using a function such as a remote desktop via the ID control unit 500, and performs a login operation (S203).
- the login operation is automated by controlling a remote desktop protocol (RDP) or using a key operation reproduction function for the remote desktop function.
- RDP remote desktop protocol
- the set of “ID, password” registered in S201 is used for the log analysis server 100 to log in to the ID control unit 500 (S203-1 in FIG. 14).
- the privilege ID registered in S201 is used for login to the business server 600 by the ID control unit 500 (S203-2 in FIG. 14).
- the processing unit 630 of the business server 600 outputs the access log 611 for the audit target period (S204).
- the log collection unit 110 collects the file (access log 611) output by the processing unit 630 via the ID control unit 500 by using a file copy or other protocol, and stores it in the log information management unit 120. (S205).
- the log analysis unit 130 extracts one access record with the earliest (oldest) period from the access log 611 corresponding to the audit period from the log information management unit 120 (S206).
- the access log 611 has the contents shown in FIG. 11, but one access record of the access log 611 is based on one operation to the business server 600 as described above. That is, one access record is one operation.
- the log analysis unit 130 obtains the operation date / time (operation date / time 14-6), the operator (user ID (privilege ID) 11-6)), and the operation content (operation content 17-6) from the extracted access record. Extract (S207).
- the correspondence with the privilege ID may not be recorded in one access record. That is, a plurality of operations may be recorded corresponding to one privilege ID. In such a case, the log analysis unit 130 searches back to the record of the login operation and determines the used privilege ID.
- S208 is a comparison between the access record and the application log 211.
- the log analysis unit 130 matches the privilege ID 11-6 and privilege ID 11 of the access record, and the operation date and time 14-6 (access period information) of the access record is the usage period 14 (scheduled access period). It is searched for an application record included in (information) (S208). If there is no corresponding application record, the log analysis unit 130 determines that there has been inappropriate access (operation not yet applied) and records it as an attribute of the access record (S213).
- (S209) S209 is a comparison between the application record and the operation log 511.
- the log analysis unit 130 uses the privilege ID 11 (or user ID) and the usage period 14 included in the application record as keys, and the operation record of the operation log 511 corresponding to the application record. Is searched for (S209). Search conditions are as follows. As described above, the privileged ID (or user ID) matches the hit application record, and the start date / time and end date / time of the information described in the operation log 511 are in the usage period 14 of the application record. It is included.
- the log analysis unit 130 determines that there is an inappropriate access (access via an inappropriate route), and as an attribute of the access record corresponding to the hit application record Recording is performed (S213).
- S210 is a comparison between the application record hit in S208 and the operation record hit in S209.
- the log analysis unit 130 determines that the use command included in the operation content 17-5 (relay command information) of the hit operation record is the scheduled use command / It is checked whether or not it matches the protocol 15 (S210).
- the log analysis unit 130 confirms that the use command of the operation record operation content 17-5 that has been hit is a command described in the application record, or that the command is in the white list or out of the black list.
- a command check is performed by defining a command to be permitted and a command to be prohibited by a regular expression character string, and determining by matching with a regular expression.
- the log analysis unit 130 determines that there is inappropriate access (unauthorized command execution) if the operation record use command is out of the application record range, and records it as a record attribute (S213).
- the log analysis unit 130 repeatedly executes the processing from S206 to S212 up to the last access record (newest access record) of the access log 611 in the audit target period (S212).
- the log analysis unit 130 can determine that an access record that satisfies the following conditions (1) to (3) is appropriate access, and an access record that does not satisfy the condition is inappropriate access.
- a related application log 211, operation log 511, and access log 611 are provided. In other words, there are all related application records, operation records, and access records. This is a case where S208 is YES and S209 is YES.
- the operation record recorded in the operation log 511 is within the usage period of the application record recorded in the application log 211. This is the case when S209 is YES.
- the command of the access record recorded in the access log 611 is within the range of the application record. This is a case where S210 is YES.
- FIG. 16 is a diagram showing the correspondence between access types and logs. “ ⁇ ” indicates that there is a description (record) in the log, and “ ⁇ ” indicates that there is no description (record) in the log. For example, “appropriate” is a case where information (records) corresponding to all of the application log 211, operation log 511, and access log 611 is described, and “inappropriate (unapplied)” is the application log 211, operation log. This is a case where no information is described in any of the access log 611 and the access log 611. “*” In “ ⁇ ” in FIG. 16 has the following meaning. Since the operation of the external criminal may accidentally enter the usage application period (may be ⁇ ), it is possible to determine whether the access is legitimate by comparing the application log 211 and the operation log 511.
- FIG. The unauthorized access audit system 1002 according to the second embodiment will be described with reference to FIGS.
- the second embodiment is a system for checking the presence or absence of unauthorized access as described below when there is a calling relationship using a privilege ID between business servers.
- FIG. 17 is a configuration diagram of the unauthorized access audit system 1002 when there is a call between business servers.
- the unauthorized access audit system 1002 is different from the unauthorized access audit system 1001 in that a business server 600 as a provider and a business server 900 (access device) as a requester are connected to the management network 810.
- the business server 600 to be called (provider) and the business server 900 to be called (requester) exist in the business server.
- it may also serve as a provider and a requester.
- the network setting (and business application setting) is performed such that a call from the business server 900 (requester) is connected to the business server 600 (provider) via the ID control unit 500 connected to the management network 810.
- FIG. 18 is a diagram corresponding to FIG. In FIG. 18, the operator terminal 400 is the person in charge of the business server. In FIG. 4, the operator terminal 400 logs in to the ID control unit 500 (S105), whereas in FIG. The business server 600 is accessed. Information recorded in the application log 211, the operation log 511, and the access log 611 is the same as in the case of FIG. Information recorded in the operation log 511 and the access log 611 is access contents by the business server 900.
- FIG. 19 is a diagram showing the correspondence between access types and logs, and is the same diagram as FIG. 16 of the first embodiment.
- the content of FIG. 19 is the same as FIG.
- access between business servers can be correctly inspected, so that exception handling at the time of audit is not required, and the efficiency and automation of auditing work are possible.
- Embodiment 3 An unauthorized access audit system 1003 (not shown) according to the third embodiment will be described with reference to FIG.
- the configuration of the unauthorized access audit system 1003 is the same as the configuration of the unauthorized access audit system 1001 (FIG. 1) or the unauthorized access audit system 1002 (FIG. 17).
- the third embodiment has a configuration in which permission for the usage period is automatically extended (or permitted by setting) in consideration of a case where work in the ID control unit 500 is delayed. If the corresponding session continues even after the applied usage period, the extension process will be performed.
- FIG. 20 is a diagram illustrating a determination method at the time of automatic extension by the log analysis unit 130. As shown in FIG. 20, the log analysis unit 130 (1) There is a record (access log record) whose work time has passed the usage period. (2) Automatic extension is permitted. If both conditions are satisfied, the determination is made by checking only the start time. Other processes are the same as those in the first embodiment.
- the application record includes extension information indicating whether or not the scheduled access period to the business server 600 can be extended.
- the log analysis unit 130 determines whether or not the application record corresponding to the access record is recorded in the application log 211 with reference to the availability of the extension information (S208), and the operation record corresponding to the application record is the operation log. 511 is executed (S209). As a result, even if a regular session continues even after the requested usage period has been exceeded due to work delays in the ID control unit 500, it can be treated as a regular access.
- Embodiments 1 to 3 have been described above, two or more of these embodiments may be implemented in combination. Alternatively, one of these embodiments may be partially implemented. Alternatively, two or more of these embodiments may be partially combined. In addition, this invention is not limited to these embodiment, A various deformation
- Embodiment 4 FIG.
- the fourth embodiment will be described with reference to FIGS.
- a hardware configuration of the log analysis server 100 which is a computer will be described.
- the WF server 200, the administrator terminal 300, the operator terminal 400, the ID control unit 500, the business server 600, the user terminal 700, and the business server 900 are the same computers as the log analysis server 100. Therefore, the following description of the log analysis server 100 also applies to the WF server 200 and the like.
- FIG. 21 is a diagram illustrating an example of the appearance of the log analysis server 100 that is a computer.
- FIG. 22 is a diagram illustrating an example of hardware resources of the log analysis server 100.
- the log analysis server 100 includes a system unit 970, a display device 953 having a CRT (Cathode Ray Tube) or LCD (liquid crystal) display screen, a keyboard 954 (Key Board: K / B), a mouse. 955, a compact disk device 957 (CDD: Compact Disk Drive) and other hardware resources are provided, and these are connected by cables and signal lines.
- the system unit 970 is connected to the business networks 800, 810, and 820.
- the log analysis server 100 includes a CPU 950 (Central Processing Unit) for executing a program.
- the CPU 950 is connected to a ROM (Read Only Memory) 951, a RAM (Random Access Memory) 952, a display device 953, a keyboard 954, a mouse 955, a communication board 956, a CDD 957, and a magnetic disk device 960 via a bus 958.
- Control hardware devices instead of the magnetic disk device 960, a storage device such as an optical disk device or a flash memory may be used.
- the RAM 952 is an example of a volatile memory.
- Recording media such as the ROM 951, the CDD 957, and the magnetic disk device 960 are examples of nonvolatile memories. These are examples of a storage device or a storage unit, a storage unit, and a buffer.
- the communication board 956, the keyboard 954, and the like are examples of an input unit and an input device.
- the communication board 956, the display device 953, and the like are examples of an output unit and an output device.
- the communication board 956 is connected to the network.
- the magnetic disk device 960 stores an operating system 961 (OS), a program group 962, and a file group 963.
- OS operating system
- program group 962 program group 962
- file group 963 file group 963.
- the programs in the program group 962 are executed by the CPU 950 and the operating system 961.
- the program group 962 stores programs for executing the functions described as “unit” in the description of the above embodiment.
- the program is read and executed by the CPU 950.
- data and signal values are stored in the memory of the RAM 952, the compact disk of the CDD 957, the magnetic disk of the magnetic disk device 960, other optical disks, mini disks, DVDs (Digital Versatile Disk), and the like. Recorded on a recording medium. Data and signals are transmitted online via a bus 958, signal lines, cables, or other transmission media.
- to part may be “to means”, and “to step”, “to procedure”, and “to process”. May be. That is, what has been described as “ ⁇ unit” may be implemented by software alone, a combination of software and hardware, or a combination of firmware.
- Firmware and software are stored as programs in a recording medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, and a DVD.
- the program is read by the CPU 950 and executed by the CPU 950.
- the program causes the computer to function as the “ ⁇ unit” described above.
- it causes a computer to execute the procedures and methods of “to part” described above.
- the log analysis server 100 has been described. However, it is obvious from the above description that the operation of the log analysis server 100 can be grasped as a program. Further, it is apparent from the above description that the operation of each “ ⁇ unit” of the log analysis server 100 can be grasped as a log analysis method.
Abstract
Description
アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置から前記申請ログを収集し、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置から前記操作ログを収集し、
アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録する前記アクセス先サーバ装置から前記アクセスログを収集するログ収集部と、
前記ログ収集部が収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定する判定部と
を備えたことを特徴とする。
図1~図16を参照して、実施の形態1の不正アクセス監査システム1001を説明する。
図1は、特権IDを用いた不適切なアクセスを監査する、不正アクセス監査システム1001の構成を示す。
ログ分析サーバ100は、ログ収集部110、ログ情報管理部120、ログ解析部130(判定部)を備える。
(1)ログ収集部110は、WFサーバ200、ID制御部500、業務サーバ600のそれぞれから、利用申請ログ211(以下、申請ログ211と記す)、操作ログ511、アクセスログ611を収集する。
(2)ログ情報管理部120は、ログ収集部110によって収集された申請ログ211等のログ情報を保管する。
(3)ログ解析部130は、ログ情報管理部120によって保管されているログ情報を入力とし、各ログに記録されているレコード(後述する)の対応関係を解析する。ログ解析部130はこの解析によって、業務サーバ600へのアクセスが、不適切なアクセスかどうかを判定し、判定結果を出力する。
図3は、運用者Yの業務サーバ600に対する変更操作の流れを示すフローチャートである。
図4は、図3をシーケンス化した図である。
運用者Yは、業務サーバ600を利用するための利用申請である申請情報401を、運用者端末400(通信部420)からWFサーバ200に送信する(S101)。申請情報401の送信は、以下の様である。運用者端末400(通信部420)はWFサーバ200(通信部220)との通信により、WFサーバ200から作業申請ワークフロー201(以下、申請WF201と記す)を呼び出す。運用者端末400の処理部430は、運用者端末400の画面に申請WF201を表示する。運用者Yは画面に表示された申請WF201に申請情報401を記入(処理部430が記入処理を実施)する。
通信部420は申請情報401が記入された申請WF201をWFサーバ200に送信する。
図6は、申請情報401の具体例を示す。図5のように、申請情報401は、以下の(1)~(5)の情報を含む。
(1)特権ID11
特権ID11は、業務サーバ600に対してログインするアカウントである。パスワード情報は、ID制御部500にて管理しておき、中継する際にパスワード情報を付与する形態が望ましいが(後述のS105で説明する、ID制御部500によるログインのID、パスワード及び特権IDの保有)、特権ID11は申請情報401の中に含めても良い。
(2)利用者情報12
利用者情報12は、運用者Yを識別するための情報であり、例えば運用者Yの識別子(ID)である。
(3)業務サーバ識別子13
業務サーバ識別子13は、ログインする業務サーバ600のホスト名などの識別子である。
(4)利用期間14
利用期間14(アクセス予定期間情報)は、申請情報401の申請内容に従った操作を、いつからいつまでの予定で実施するかを示す期間である。
(5)利用予定のコマンド/プロトコル15
利用予定のコマンド/プロトコル15は、業務サーバ600に対して、どのようなプロトコルでアクセスするか、また、どのような作業(コマンド)を実行するかを示すコマンドあるいはプロトコルである。
WFサーバ200(通信部220)は申請情報401を受信する。処理部230が申請情報401の起票を行うとともに、通信部220が管理者Xの管理者端末300に電子メール等で、申請情報401に対する承認依頼の通知を行う(S102)。
管理者Xは管理者端末300(通信部320)によるWFサーバ200との通信により申請WF201を管理者端末300の画面に表示する。申請WF201の表示は処理部330が行う。管理者Xは、申請WF201で申請情報401の内容を確認し、問題がなければ承認する(S103)。承認状況は処理部330によって申請WF201に記載され、管理者端末300(通信部320)からWFサーバ200に送信される。
WFサーバ200の処理部230は、申請情報401が承認済みであることを申請ログ211に記録する。また、通信部220は申請情報401をID制御部500に通知する(S104)。
一つの申請レコードは、特権ID11が対応付けられており、また利用期間14(アクセス期間予定情報)を含む。また一つの申請レコードは、利用予定のコマンド/プロトコル15(予定コマンド情報)を持つ。図7の特権ID11~利用予定コマンド/プロトコル15は、図5の特権ID11~利用予定コマンド/プロトコル15である。承認状況16は管理者端末300による承認結果である。
図8は申請ログ211の具体例である。図8における利用予定コマンド/プロトコル15の項目の内容に関しては、例えばTelnetのコマンドについては、ホワイトリスト、ブラックリストなどグループ化して、どのホワイトリスト(またはブラックリスト以外)を指定するかといった情報を記録しても良い。
運用者Yは、運用者端末400により、(申請WF201に登録された)予定の日時になった場合、Telnetやリモートデスクトッププロトコル(RDP)を用いて、ID制御部500に対して変更操作のためのログイン操作を行う(S105)。運用者端末400におけるログイン処理は、処理部430が行う。このログインにはIDとパスワードとを用いるが、IDおよびパスワードの組は、運用者Yを識別するために予めID制御部500に登録されているものを用いる。例えば、IDは図5の利用者情報12の運用者YのID、パスワードは社内システムの利用のために運用者Yに与えられているパスワードである。ID制御部500には、これらのIDとパスワードの組が登録されている。
ID制御部500は、運用者Yの利用しているIDおよびプロトコルから、対応する申請情報401が存在すること、また、申請された利用期間内のアクセスであることを確認して、利用の可否を判断する(S106)。ID制御部500は、S104で申請情報401を受信済みである。よって、ID制御部500は、S105のログインにおけるID及び使用するプロトコルと、申請情報401(図5)における利用者情報12及び利用予定コマンド/プロトコル15との比較により、S105のログインに対応する申請情報401が存在するか確認できる。申請情報401が存在する場合、ID制御部500は、S105のログインが申請情報401の利用期間14内であるか判断する。
申請情報401が存在しないまたは利用期間内ではない場合は利用不可である。この場合は、ID制御部500が運用者Y(運用者端末400)からのリクエストを破棄する。利用可(申請情報401が存在し、かつ、利用期間内)である場合は、ID制御部500は、運用者端末400(処理部430)による変更操作の内容を、業務サーバ600に対して中継する(S107)。この中継に際しては、ID制御部500は、通知された申請情報401に記載された特権IDで業務サーバ600にログインし、変更操作の内容を中継する。また、中継する変更操作の内容を、ID制御部500は操作ログ511に記録する(S108)。なお、図5の特権ID11の項目の説明で述べたように、申請情報401に特権ID11が記載されていない場合は、S105のログインで使用されるID及びパスワードの組と対応付けられた特権IDを、ID制御部500が予め保有する構成でも構わない。
図10は、操作ログ511の具体例を示す。図9における特権ID11-5、利用者情報12-5、利用期間14-5(アクセス期間情報)は、図5の特権ID11、利用者情報12、利用期間14に対応する。また、操作内容17-5は、図5の申請情報401における利用予定コマンド/プロトコル15に対応する。操作ログ511は、複数の操作レコードが記録されている。中継する一つの操作が、一つの操作レコードとなる。図9、図10は一つの操作レコードを示している。特権ID11-5は、S107のログインに使用したIDである。一つの操作レコードは特権ID11-5が対応付けられている。利用者情報12-5は、存在が確認された申請情報401に記載の利用者情報12である。利用期間14-5(アクセス期間情報)は、中継期間である。操作内容17-5(中継コマンド情報)は、中継した変更操作における利用予定コマンドやプロトコルである。
業務サーバ600(処理部630)は、OSのセキュリティログなどの機能によって、ID制御部500によって中継された変更操作の内容をアクセスログ611に記録する。
図12は、アクセスログ611の具体例を示す。アクセスログ611は、複数のアクセスレコードが記録されている。業務サーバ600への一つの操作(1アクセス)が、一のアクセスレコードとなる。図11、図12は一つのアクセスレコードを示している。図11において、利用者ID11-6は特権IDであり、図9の特権ID11-5に対応し、S107のログイン(図4)で使用されたIDである。一つのアクセスレコードには特権IDが対応付けられている。操作内容17-6は、図9の操作内容17-5に対応し、業務サーバ600に対する操作やコマンドの情報である。利用期間14-6(アクセス期間情報)は、利用期間14-5に対応し、他の装置から業務サーバ600に対して変更操作が実行された期間である。
図13は、点検作業のフローを示す。
図14、図15は図13をシーケンス化した図であり、図14の「A」は図15の「A」と同一である。図14はログ収集のシーケンスであり、図15はログ収集後の、不正アクセスの監査のシーケンスである。
監査者(例えば管理者X)は管理者端末300(監査者が管理者の場合)を用いることにより、WFサーバ200、ID制御部500及び業務サーバ600のそれぞれから、申請ログ211、操作ログ511、アクセスログ611を収集するスケジュール(例えば、毎日夜間に実施)を、予め申請WF201に登録することで利用申請する(S201)。スケジュールの登録作業は、ログ分析サーバ100が、ID制御部500の中継を介して(後述のS203)業務サーバ600のアクセスログ611を収集するために実施する。また、管理者端末300の処理部330によって、申請WF201には、ログ収集のスケジュールと共に、後述のS203-1(図14)のログインで用いる「ID、パスワード」、及びS203-2(図14)のログインで用いる特権IDが登録される。これらが記載された申請WF201の情報は、管理者端末300(監査者の端末)の通信部320によって、ログ分析サーバ100に送信される。なお、S201では申請WF201にスケジュール等を登録したが、スケジュールやID等は、ログ分析サーバ100に、端末から直接設定しても構わない。
予定時刻になった場合、ログ収集部110は、OSのスケジュール機能などを利用して起動される。起動された後、ログ収集部110は、FTPなどのプロトコルで、申請ログ211、操作ログ511を収集し、ログ情報管理部120に格納する(S202)。
また、ログ収集部110は、ID制御部500を経由し、リモートデスクトップ等の機能を用いて業務サーバ600に接続し、ログイン操作を実施する(S203)。ログイン操作の自動化は、リモートデスクトッププロトコル(RDP)の制御によって実施するか、リモートデスクトップ機能に対するキー操作の再生機能などを用いて実現する。ログ分析サーバ100によるID制御部500へのログイン(図14のS203-1)には、S201で登録された「ID、パスワード」の組が使用される。ID制御部500による業務サーバ600へのログイン(図14のS203-2)には、S201で登録された特権IDが使用される。
業務サーバ600の処理部630は、監査対象期間のアクセスログ611を出力する(S204)。ログ収集部110は、処理部630が出力したファイル(アクセスログ611)を、ファイルコピーや、その他のプロトコルを用いることにより、ID制御部500を介して収集し、ログ情報管理部120に格納する(S205)。
次に、図15を参照して説明する。ログ収集後の監査時には、ログ解析部130が、ログ情報管理部120から、監査期間に該当するアクセスログ611から、期間の最も早い(古い)一つのアクセスレコードを抽出する(S206)。アクセスログ611は図11の内容を有するが、アクセスログ611の一つのアクセスレコードは、上記のように、業務サーバ600への1操作を単位とする。つまり一つのアクセスレコードは1操作である。ログ解析部130は、抽出したアクセスレコードから、操作日時(操作日時14-6)、操作の実施者(利用者ID(特権ID)11-6))、操作内容(操作内容17-6)を抽出する(S207)。なお、アクセスレコードの内容によっては、特権IDとの対応が一つのアクセスレコードに記録されていない場合がある。つまり、一つの特権IDに複数の操作が対応して記録される場合がある。このような場合、ログ解析部130は、ログイン操作のレコードまで遡って検索し、利用した特権IDを判別する。
S208はアクセスレコードと申請ログ211との比較である。ログ解析部130は、申請ログ211の中に、アクセスレコードの特権ID11-6と特権ID11が一致し、かつ、アクセスレコードの操作日時14-6(アクセス期間情報)が利用期間14(アクセス予定期間情報)に含まれる申請レコードがないか検索する(S208)。対応する申請レコードがない場合には、ログ解析部130は不適切なアクセス(未申請での操作)があったと判定し、アクセスレコードの属性として記録する(S213)。
S209は申請レコードと操作ログ511との比較である。対応する申請レコードがS208でヒットした場合、ログ解析部130は、この申請レコードに含まれる特権ID11(または利用者ID)及び利用期間14をキーとして、申請レコードに対応する操作ログ511の操作レコードが存在するか検索する(S209)。検索条件は以下である。上記したように、ヒットした申請レコードに対して、特権ID(または利用者ID)が一致し、かつ、操作ログ511に記載された情報の開始日時、終了日時が、申請レコードの利用期間14に含まれることである。ヒットした申請レコードに対応する操作レコードがない場合には、ログ解析部130は不適切なアクセス(不適切な経路によるアクセス)があったと判定し、ヒットした申請レコードに対応するアクセスレコードの属性として記録する(S213)。
S210は、S208でヒットした申請レコードと、S209でヒットした操作レコードとの比較である。ログ解析部130は、操作レコードがS209でヒットした場合には、ヒットした操作レコードの操作内容17-5(中継コマンド情報)に含まれる利用コマンドが、S208でヒットした申請レコードの利用予定コマンド/プロトコル15と合致するかをチェックする(S210)。この場合、ログ解析部130は、ヒットした操作レコード操作内容17-5の利用コマンドが、申請レコードに記載されたコマンドであること、またはホワイトリストの範囲内、ブラックリストの範囲外であることを確認する。コマンドのチェックは、許可するコマンド、禁止するコマンドを、正規表現の文字列で定義し、正規表現とのマッチングによる判定などによって実施する。
なお、利用するプロトコルによっては、コマンドレベルの情報をID制御部500でログに出力することが困難な場合があるため、この場合は操作レコードの有無のみで判定してもよい。
ログ解析部130は、利用コマンドが申請レコードの範囲内(承認されたコマンド)であれば、アクセスレコードの属性として適切なアクセスであったこと(不適切なアクセスがなかったこと)を記録する(S211)。
ログ解析部130は、S206からS212までの処理を、監査対象期間のアクセスログ611の最後のアクセスレコード(もっとも新しいアクセスレコード)まで繰り返し実行する(S212)。
(1)関連する申請ログ211、操作ログ511、アクセスログ611が揃っている。
つまり関連する申請レコード、操作レコード及びアクセスレコードがそろっていることである。これは、S208でYES、S209でYESの場合である。
(2)操作ログ511に記録された操作レコードが、申請ログ211に記録された申請レコードの利用期間内にある。これは、S209でYESの場合である。
(3)アクセスログ611に記録されたアクセスレコードのコマンドが申請レコードの範囲内にある。
これは、S210でYESの場合である。
図17~図19を参照して、実施の形態2の不正アクセス監査システム1002を説明する。実施の形態2は、業務サーバ間で特権IDを用いた呼び出し関係がある場合に、以下のように、不正アクセスの有無を点検するシステムである。
図20を参照して実施の形態3の不正アクセス監査システム1003(図示せず)を説明する。不正アクセス監査システム1003の構成は、不正アクセス監査システム1001(図1)あるいは不正アクセス監査システム1002(図17)の構成と同じである。実施の形態3は、ID制御部500での作業が遅延した場合を考慮して、利用期間に関する許可を自動延長する(または設定により許可する)構成である。該当するセッションが、申請された利用期間を超えても継続している場合などに、延長処理を行う。
図20は、ログ解析部130による自動延長時の判定方法を示す図である。
図20に示すように、ログ解析部130は、
(1)作業時刻が利用期間を過ぎたレコード(アクセスログのレコード)がある。
(2)自動延長が許可となっている。
の両方の条件を満たす場合には、開始時刻のみのチェックで判定を行う。
その他の処理については実施の形態1と同様である。
図21、図22を参照して実施の形態4を説明する。実施の形態4は、コンピュータであるログ分析サーバ100のハードウェア構成を説明する。なお、WFサーバ200、管理者端末300、運用者端末400、ID制御部500、業務サーバ600、利用者端末700及び業務サーバ900もログ分析サーバ100と同様のコンピュータである。よって以下のログ分析サーバ100の説明は、WFサーバ200等にも当てはまる。
図22は、ログ分析サーバ100のハードウェア資源の一例を示す図である。
Claims (10)
- アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置から前記申請ログを収集し、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置から前記操作ログを収集し、
アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録する前記アクセス先サーバ装置から前記アクセスログを収集するログ収集部と、
前記ログ収集部が収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定する判定部と
を備えたことを特徴とするログ分析装置。 - 前記ログ収集部は、
前記アクセス中継装置にログインし、ログインした前記アクセス中継装置を介して、前記アクセス先サーバ装置から、前記アクセスログを収集することを特徴とする請求項1記載のログ分析装置。 - 前記アクセス装置は、
前記ログ分析装置が使用される不正アクセス監査システムにおいて前記ログ分析装置と共に使用される、前記不正アクセス監査システムの運用者の端末装置と前記アクセス先サーバ装置をプロバイダとしてアクセスするリクエスタであるリクエスタサーバ装置との、いずれかであることを特徴とする請求項1または2に記載のログ分析装置。 - 前記判定部は、
前記アクセスログと前記申請ログとを比較することにより前記アクセスログに記録された前記アクセスレコードに対応する前記申請レコードが前記申請ログに記録されているかを判定し、前記申請レコードが前記申請ログに記録されている場合には前記申請レコードに対応する前記操作レコードが前記操作ログに記録されているかを判定することにより、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定することを特徴とする請求項1~3のいずれか1項に記載のログ分析装置。 - 前記申請レコードと、前記操作レコードと、前記アクセスレコードとは、
前記アクセス先サーバ装置にログインする権限が認められた特権IDが対応付けられており、
前記申請レコードは、
前記アクセス先サーバ装置へのアクセス予定期間情報を含み、
前記操作レコードは、
前記アクセス装置による前記アクセス先サーバ装置へのアクセス期間情報を含み、
前記アクセスレコードは、
アクセスされたアクセス期間情報を含み、
前記判定部は、
前記アクセスレコードに対応する前記特権ID及び前記アクセスレコードに含まれる前記アクセス期間情報と、前記申請レコードに対応する前記特権ID及び前記申請レコードに含まれる前記アクセス予定期間情報とに基づいて、前記アクセスレコードに対応する前記申請レコードが前記申請ログに記録されているかを判定し、
前記申請レコードに対応する前記特権ID及び前記申請レコードに含まれる前記アクセス予定期間情報と、前記操作レコードに対応する前記特権ID及び前記操作レコードに含まれる前記アクセス期間情報とに基づいて、前記申請レコードに対応する前記操作レコードが前記操作ログに記録されているかを判定することを特徴とする請求項4記載のログ分析装置。 - 前記申請レコードは、
前記アクセス先サーバ装置へのアクセスに用いる予定の予定コマンドを含み、
前記操作レコードは、
中継されたアクセスに用いられた中継コマンドを含み、
前記判定部は、
前記申請レコードに対応する前記操作レコードが前記操作ログに記録されていると判定した場合に、前記申請レコードに含まれる前記予定コマンドと、前記操作レコードに含まれる前記中継コマンドとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定することを特徴とする請求項5記載のログ分析装置。 - 前記申請レコードは、
前記アクセス先サーバ装置へのアクセス予定期間の延長の可否を示す延長情報を含み、
前記判定部は、
前記延長情報の示す可否を参照して、前記アクセスレコードに対応する前記申請レコードが前記申請ログに記録されているかどうかの判定と、前記申請レコードに対応する前記操作レコードが前記操作ログに記録されているかの判定とを実行することを特徴とする請求項5または6のいずれかに記載のログ分析装置。 - アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録するアクセス先サーバ装置と、
前記アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置と、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置と、
前記アクセス先サーバ装置、前記申請ログ保有装置、前記アクセス中継装置から、それぞれ、前記アクセスログ、前記申請ログ、前記操作ログを収集するログ収集部と、前記ログ収集部が収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定する判定部とを有するログ分析装置と
を備えたことを特徴とする不正アクセス監査システム。 - コンピュータに、
アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置から前記申請ログを収集する処理、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置から前記操作ログを収集する処理、
アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録する前記アクセス先サーバ装置から前記アクセスログを収集する処理、
収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定する処理、
を実行させるためのログ分析プログラム。 - ログ収集部と、判定部とを備えたログ分析装置が行うログ分析方法であって、
前記ログ収集部が、
アクセス先サーバ装置へのアクセスを申請する複数の申請レコードが記録された申請ログを保有する申請ログ保有装置から前記申請ログを収集し、
前記申請ログ保有装置から通知された前記複数の申請レコードを保有し、前記アクセス先サーバ装置へアクセスするログインをアクセス装置から受け付け、前記ログインに対応する前記申請レコードが存在するか判定し、前記申請レコードが存在する場合には前記アクセス装置から前記アクセス先サーバ装置へアクセスを中継すると共に前記アクセス装置による前記アクセス先サーバ装置へのアクセス状態を操作レコードとして操作ログに記録するアクセス中継装置から前記操作ログを収集し、
アクセスされたアクセス状態をアクセスレコードとしてアクセスログに記録する前記アクセス先サーバ装置から前記アクセスログを収集し、
前記判定部が、
前記ログ収集部が収集した前記申請ログと、前記操作ログと、前記アクセスログとに基づいて、前記アクセスレコードとして記録されたアクセス状態が正規のアクセスかどうかを判定することを特徴とするログ分析方法。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/116,074 US9965624B2 (en) | 2014-02-12 | 2014-02-12 | Log analysis device, unauthorized access auditing system, computer readable medium storing log analysis program, and log analysis method |
PCT/JP2014/053179 WO2015121923A1 (ja) | 2014-02-12 | 2014-02-12 | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 |
EP14882551.6A EP3107025A4 (en) | 2014-02-12 | 2014-02-12 | Log analysis device, unauthorized access auditing system, log analysis program, and log analysis method |
SG11201606323QA SG11201606323QA (en) | 2014-02-12 | 2014-02-12 | Log analysis device, unauthorized access auditing system, log analysis program, and log analysis method |
JP2015562585A JP5936798B2 (ja) | 2014-02-12 | 2014-02-12 | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2014/053179 WO2015121923A1 (ja) | 2014-02-12 | 2014-02-12 | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2015121923A1 true WO2015121923A1 (ja) | 2015-08-20 |
Family
ID=53799693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2014/053179 WO2015121923A1 (ja) | 2014-02-12 | 2014-02-12 | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9965624B2 (ja) |
EP (1) | EP3107025A4 (ja) |
JP (1) | JP5936798B2 (ja) |
SG (1) | SG11201606323QA (ja) |
WO (1) | WO2015121923A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110851340A (zh) * | 2019-11-06 | 2020-02-28 | 香港乐蜜有限公司 | 操作日志的收集方法、装置及服务器 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6799404B2 (ja) * | 2016-07-13 | 2020-12-16 | 株式会社デンソーテン | 情報処理装置および情報処理方法 |
CN106326085A (zh) * | 2016-08-16 | 2017-01-11 | 成都菜鸟网络技术有限公司 | 电力信息日志审计方法 |
CN111224807B (zh) * | 2018-11-27 | 2023-08-01 | 中国移动通信集团江西有限公司 | 分布式日志处理方法、装置、设备及计算机存储介质 |
CN109783318A (zh) * | 2019-01-07 | 2019-05-21 | 中国工商银行股份有限公司 | 智能终端金融外设安全监控方法、装置、服务器及系统 |
CN112214418B (zh) * | 2020-12-04 | 2021-03-02 | 支付宝(杭州)信息技术有限公司 | 一种应用程序的合规检测方法、装置和电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004206564A (ja) * | 2002-12-26 | 2004-07-22 | Hitachi Information & Control Systems Inc | 不正アクセス検証装置及び方法 |
JP2009175868A (ja) * | 2008-01-22 | 2009-08-06 | Csk Holdings Corp | ログ監査装置及びログ監査プログラム |
US20090287744A1 (en) * | 2008-05-15 | 2009-11-19 | International Business Machines Corporation | Apparatus, system and method for healthcheck of information technology infrastructure based on log data |
JP2012133407A (ja) * | 2010-12-17 | 2012-07-12 | Ntt Comware Corp | 不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラム |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050021975A1 (en) | 2003-06-16 | 2005-01-27 | Gouping Liu | Proxy based adaptive two factor authentication having automated enrollment |
JP2005234729A (ja) | 2004-02-18 | 2005-09-02 | Hitachi Omron Terminal Solutions Corp | 不正アクセス防御システム及びその方法 |
JP2006067279A (ja) * | 2004-08-27 | 2006-03-09 | Matsushita Electric Ind Co Ltd | 侵入検知システム及び通信装置 |
WO2007106902A2 (en) * | 2006-03-15 | 2007-09-20 | Daniel Chien | Identifying unauthorized access to a network resource |
JP4933218B2 (ja) | 2006-10-31 | 2012-05-16 | 株式会社野村総合研究所 | リモートアクセス制御装置 |
JP4843546B2 (ja) | 2007-03-30 | 2011-12-21 | ヤフー株式会社 | 情報漏洩監視システムおよび情報漏洩監視方法 |
JP2009075940A (ja) | 2007-09-21 | 2009-04-09 | Lac Co Ltd | ログ分析装置およびプログラム |
JP2009259214A (ja) | 2008-03-19 | 2009-11-05 | Nec Corp | 監査システム、外部監査装置、外部監査方法および外部監査プログラム |
JP2010123014A (ja) | 2008-11-21 | 2010-06-03 | Nomura Research Institute Ltd | サーバ不正操作監視システム |
JP5226636B2 (ja) | 2009-09-25 | 2013-07-03 | 株式会社野村総合研究所 | セキュリティ維持支援システムおよび情報端末 |
JP5789390B2 (ja) * | 2011-03-25 | 2015-10-07 | 株式会社野村総合研究所 | 業務情報防護装置および業務情報防護方法、並びにプログラム |
JP5730735B2 (ja) | 2011-09-30 | 2015-06-10 | 株式会社日立ソリューションズ | セキュリティ管理システム及び方法並びにプログラム |
US8826403B2 (en) * | 2012-02-01 | 2014-09-02 | International Business Machines Corporation | Service compliance enforcement using user activity monitoring and work request verification |
US9712536B2 (en) * | 2013-01-09 | 2017-07-18 | Nomura Research Institute, Ltd. | Access control device, access control method, and program |
-
2014
- 2014-02-12 EP EP14882551.6A patent/EP3107025A4/en not_active Withdrawn
- 2014-02-12 US US15/116,074 patent/US9965624B2/en not_active Expired - Fee Related
- 2014-02-12 JP JP2015562585A patent/JP5936798B2/ja not_active Expired - Fee Related
- 2014-02-12 SG SG11201606323QA patent/SG11201606323QA/en unknown
- 2014-02-12 WO PCT/JP2014/053179 patent/WO2015121923A1/ja active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004206564A (ja) * | 2002-12-26 | 2004-07-22 | Hitachi Information & Control Systems Inc | 不正アクセス検証装置及び方法 |
JP2009175868A (ja) * | 2008-01-22 | 2009-08-06 | Csk Holdings Corp | ログ監査装置及びログ監査プログラム |
US20090287744A1 (en) * | 2008-05-15 | 2009-11-19 | International Business Machines Corporation | Apparatus, system and method for healthcheck of information technology infrastructure based on log data |
JP2012133407A (ja) * | 2010-12-17 | 2012-07-12 | Ntt Comware Corp | 不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラム |
Non-Patent Citations (1)
Title |
---|
See also references of EP3107025A4 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110851340A (zh) * | 2019-11-06 | 2020-02-28 | 香港乐蜜有限公司 | 操作日志的收集方法、装置及服务器 |
Also Published As
Publication number | Publication date |
---|---|
EP3107025A4 (en) | 2017-03-29 |
JPWO2015121923A1 (ja) | 2017-03-30 |
US20170177861A1 (en) | 2017-06-22 |
EP3107025A1 (en) | 2016-12-21 |
JP5936798B2 (ja) | 2016-06-22 |
SG11201606323QA (en) | 2016-09-29 |
US9965624B2 (en) | 2018-05-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6680840B2 (ja) | 不正デジタル証明書の自動検出 | |
US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
US20200153852A1 (en) | Locally Detecting Phishing Weakness | |
JP5936798B2 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
CN111416811B (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
US20190073483A1 (en) | Identifying sensitive data writes to data stores | |
JP5852676B2 (ja) | 権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するための方法、コンピュータ・プログラム、およびシステム | |
JP2015508549A (ja) | モバイル環境用のトロイの木馬化されたアプリケーションの特定 | |
US11481478B2 (en) | Anomalous user session detector | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
JP2008117316A (ja) | 業務情報防護装置 | |
US20140096258A1 (en) | Correcting workflow security vulnerabilities via static analysis and virtual patching | |
JP2008117317A (ja) | 業務情報防護装置 | |
JP2015195042A (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
JP6636605B1 (ja) | 履歴監視方法、監視処理装置および監視処理プログラム | |
US11784996B2 (en) | Runtime credential requirement identification for incident response | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
JP6690674B2 (ja) | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム | |
CN111324872A (zh) | 一种登录记录及操作记录的重定向集中审计方法、系统 | |
JP2015138331A (ja) | 情報端末、実行形式監視方法、プログラム | |
US20230101198A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
US20230094066A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
JP6369249B2 (ja) | 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム | |
US20220353288A1 (en) | Parallelizing colaborative filtering in recommendation intrusion detection systems | |
US20230132611A1 (en) | Abnormal classic authorization detection systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 14882551 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2015562585 Country of ref document: JP Kind code of ref document: A |
|
WWE | Wipo information: entry into national phase |
Ref document number: 15116074 Country of ref document: US |
|
REEP | Request for entry into the european phase |
Ref document number: 2014882551 Country of ref document: EP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2014882551 Country of ref document: EP |
|
NENP | Non-entry into the national phase |
Ref country code: DE |