WO2015186216A1

WO2015186216A1 - 業務システム監視装置及び業務システム監視方法

Info

Publication number: WO2015186216A1
Application number: PCT/JP2014/064916
Authority: WO
Inventors: 結渡邊; 吉田　功
Original assignee: 株式会社日立製作所
Priority date: 2014-06-05
Filing date: 2014-06-05
Publication date: 2015-12-10
Also published as: JPWO2015186216A1

Abstract

【課題】業務システムでの正当な操作傾向が業務の状況によって変化しうることに対応して、情報セキュリティ上の危険性に関する判定精度を向上可能とする。【解決手段】業務システム監視装置１００において、業務システム５０において現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、業務システム５０から受信し、検証情報１２５を特徴情報１２９に照合して、ユーザ操作及び該当ユーザ操作がなされた業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと所定基準１２７とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置１０６または通信装置１０７に出力する処理を実行する演算装置１０４を備える構成とする。

Description

業務システム監視装置及び業務システム監視方法

　本発明は、業務システム監視装置及び業務システム監視方法に関し、具体的には、コンピュータシステムの利用者による情報の盗難や改竄を防止するためのセキュリティ管理技術に関する。

　業務上の機密情報を含む各種情報を取り扱う業務システムにおいては、当該業務システムでの情報漏洩や改竄を防止する必要がある。そこで、業務システムにおいて行われる操作のうち不正操作である可能性が高い既知の操作パターンと、現在実行中の操作とを照合して、現在実行中の操作が不正操作である可能性を判定する方法が提案されている。また他にも、過去の操作履歴から操作のパターンを分析し、現在の操作を過去の操作履歴上の操作のパターンと比較して不正操作である可能性を判定する方法なども提案されている。

　例えば上述の操作履歴を用いた判定技術として、以下の技術が提案されている。すなわち、コンピュータ等を不正に操作しているユーザを検知するために、グループに属する一のユーザが行った操作が、同一のグループに属するユーザの一般的な操作の傾向に比較して特異な操作に当たらないかを判定する技術（特許文献１参照）などが提案されている。

特開２００８－１９２０９１号公報

　従来技術によれば、企業や部署などのグループ内において相対的に怪しい操作を行っているユーザを検出することが可能になる。しかしながら、グループ内では一般的な操作であって問題とみなされない操作であっても、操作を行う状況によっては情報セキュリティ上の問題となる場合もありうる。

　例えば、製品の設計業務において、回路設計を担当するユーザが、回路設計工程で完成した回路図ファイルを、次工程で部品設計を行う外注先に送信する事は、業務上の当然の操作であって問題無い。一方、このユーザが同様の操作を部品設計工程完了後に実施する、或いは未完成の回路図ファイルを外部に送信する、といった操作は業務上では不自然であり、情報漏洩を意図して行われている可能性が多分にある。

　ところが従来技術においては、過去に正しいとされた操作内容、或いはグループ内の操作傾向と同様でありさえすれば、業務上は不自然な工程で操作が行われる事態を正常と判定してしまう。従って、悪意のユーザが業務システムにおいてごく一般的な操作を用いて情報漏洩や改竄等の不正行為を行う状況に対し、確実な対処が出来ないこととなっていた。

　そこで本発明の目的は、業務システムでの正当な操作傾向が業務の状況によって変化しうることに対応して、情報セキュリティ上の危険性に関する判定精度を向上可能とする技術を提供することにある。

　上記課題を解決する本発明の業務システム監視装置は、監視対象である業務システムと通信する通信装置と、前記業務システムにおいて過去の所定期間に行われた通常のユーザ操作及び該当ユーザ操作がなされた業務工程に関する各情報を含む特徴情報を格納する記憶装置と、前記業務システムにおいて現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、前記業務システムから受信し、前記検証情報を前記特徴情報に照合して、前記ユーザ操作及び該当ユーザ操作がなされた前記業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する演算装置と、を備えることを特徴とする。

　また、本発明の業務システム監視方法は、監視対象である業務システムと通信する通信装置と、前記業務システムにおいて過去の所定期間に行われた通常のユーザ操作及び該当ユーザ操作がなされた業務工程に関する各情報を含む特徴情報を格納する記憶装置と、を備えた情報処理装置が、前記業務システムにおいて現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、前記業務システムから受信し、前記検証情報を前記特徴情報に照合して、前記ユーザ操作及び該当ユーザ操作がなされた前記業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、ことを特徴とする。

　本発明によれば、業務システムでの正当な操作傾向が業務の状況によって変化しうることに対応して、情報セキュリティ上の危険性に関する判定精度を向上可能となる。

本実施形態における業務システム監視装置の構成例を示す図である。本実施形態における業務システム監視方法の処理手順例を示すフロー図である。本実施形態における業務システムが保持する操作ログ例を示す図である。本実施形態における業務システムが保持する工程管理データ例を示す図である。本実施形態における工程及び操作履歴データの例を示す図である。本実施形態におけるユーザＩＤ定義の例を示す図である。本実施形態における特徴情報データの例を示す図である。本実施形態における緩和ルール定義の例を示す図である。本実施形態における危険性判定表の例を示す図である。本実施形態における工程及び操作履歴データの他の例を示す図である。本実施形態における特徴情報データの他の例を示す図である。本実施形態における業務システム監視方法の他の処理手順例を示すフロー図である。本実施形態における危険性判定定義が含む判定レベル選択基準の例を示す図である。本実施形態における危険性判定表の他の例を示す図である。

－－－システム構成の例－－－
　以下に本発明の実施形態について図面を用いて詳細に説明する。図１は本実施形態の業務システム監視装置１００を含むネットワーク構成例を示す図である。図１に示す業務システム監視装置１００は、業務システム５０での正当な操作傾向が業務の状況によって変化しうることに対応して、業務システム５０からの情報漏洩等、情報セキュリティ上の危険性に関する判定精度を向上可能とするためのコンピュータシステムである。

　こうした業務システム監視装置１００は、監視対象である業務システム５０とネットワーク１５を介して通信可能に結ばれている。また、業務システム５０は、社内ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）などの所定のネットワーク１０を介して、当該業務システム５０にアクセスして業務工程の作業を実行するアクセス端末６０と通信可能に結ばれている。

　また、業務システム監視装置１００のハードウェア構成は以下の如くとなる。業務システム監視装置１００は、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）やハードディスクドライブなど適宜な不揮発性記憶素子で構成される記憶装置１０１、ＲＡＭなど揮発性記憶素子で構成されるメモリ１０３、メモリ１０３に保持されるプログラム１１０～１１２を実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうＣＰＵ１０４（演算装置）、管理者等の指示を受け付けるキーボードやマウス等の入力装置１０５、処理結果を出力するディスプレイ等の出力装置１０６、および、ネットワーク１５と接続し業務システム５０との通信処理を担う通信インターフェイス１０７（通信装置）を備える。

　なお、メモリ１０３内には、本実施形態の業務システム監視装置１００として必要な機能を実装する為のプログラム１１０～１１２が記憶されている。また、記憶装置１０１内には、各種処理に必要なデータ類１２５～１３１が記憶されている。これらデータ類１２５～１３１の詳細については後述する。
－－－機能の例－－－
　続いて、本実施形態の業務システム監視装置１００が備える機能について説明する。上述したように、以下に説明する機能は、例えば業務システム監視装置１００がメモリ１０３で備えるプログラム１１０～１１２をそれぞれ実行することで実装される機能と言える。なお、記憶装置１０１のデータ類のうち、危険性判定定義１２７（所定基準）は、ユーザ操作及び当該ユーザ操作がなされた業務工程に関する各一致度と、この各一致度の低さに応じて高くなる情報セキュリティ上の危険性の値との対応関係を定めたテーブルである。また、特徴情報データ１２９（特徴情報）は、業務システム５０において過去の所定期間に行われた通常のユーザ操作及び該当ユーザ操作がなされた業務工程に関する各情報を含むものであり、また判定レベル選択基準１３０（厳格度基準情報）は、業務工程の進捗状況に応じた危険性判定の厳格度を定めたテーブルである。

　こうした業務システム監視装置１００は、業務システム５０において現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、ネットワーク１５および通信インターフェイス１０７を介して業務システム５０から受信し、ここで受信した検証情報を上述の特徴情報データ１２９のフォーマットに整形し、工程及び操作履歴データ１２５におけるレコードを生成する機能を備えている。この機能は、上述の操作・工程整合プログラム１１０を実行することで業務システム監視装置１００に実装される機能である。

　また、業務システム監視装置１００は、上述の整形後の検証情報、すなわち工程及び操作履歴データ１２５の所定レコードを、特徴情報データ１２９中に格納されているレコードに照合して、ユーザ操作及び該当ユーザ操作がなされた業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと危険性判定定義１２７とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置１０６または通信インターフェイス１０７に出力する機能を備えている。この機能は、上述の危険判定プログラム１１１を実行することで業務システム監視装置１００に実装される機能である。

　また、業務システム監視装置１００は、上述の検証情報すなわち工程及び操作履歴データ１２５の所定レコードを、特徴情報データ１２９中のレコードに照合して、上述のユーザ操作の情報である、ユーザの属性、操作内容、及び操作対象データに関する一致度と、上述の業務工程の情報である、ユーザが該当ユーザ操作を行った業務工程及び操作対象データが通常取り扱われる業務工程の各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと危険性判定義１２７とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置１０６または通信インターフェイス１０７に出力する機能を備えている。

　また、業務システム監視装置１００は、上述の検証情報たる工程及び操作履歴データ１２５の所定レコードが示す業務工程の進捗状況の情報を、上述の判定レベル選択基準１３０に照合して、該当進捗状況に対応する厳格度を特定し、この厳格度に応じた危険性判定表１３１（上述の一致度に応じた情報セキュリティ上の危険度の値を定めた表）を選択し、この危険性判定表１３１において、上述の一致度と対応する危険度の値を特定する機能を備えている。

　また、業務システム監視装置１００は、上述の検証情報たる工程及び操作履歴データ１２５の所定レコードを、特徴情報データ１２９中のレコードに照合して、上述のユーザ操作の情報である、ユーザの属性、操作内容、及び操作対象データに関する一致度と、上述の業務工程の情報である、該当ユーザがユーザ操作を行った業務工程及び操作対象データが通常取り扱われる業務工程と、操作を行ったユーザの属性、業務工程の進捗状況、および操作対象データに関する作業進捗状況の各情報のうち少なくともいずれかとの各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと、上述の危険性判定定義１２７とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置１０６または通信インターフェイス１０７に出力する機能を備えている。
－－－処理フローの例－－－
　以下、本実施形態における業務システム監視方法の実際手順について図に基づき説明する。以下で説明する業務システム監視方法に対応する各種動作は、業務システム監視装置１００がメモリ１０２における各プログラム１１０～１１２を実行することで実現される。そして、これらのプログラム１１０～１１２は、以下に説明される各種の動作を行うためのコードから構成されている。

　図２は、本実施形態における業務システム監視方法の処理手順例を示すフロー図である。ここでまず、業務システム監視装置１００は、業務システム５０において現在実行中または直近のユーザ操作の情報である操作ログ２００１と、業務工程の進捗状況に関する情報である工程管理データ２０１１とを、業務システム５０からネットワーク１５を介して取得する（Ｓ１０００）。

　上述の操作ログ２００１は、ユーザのアクセス端末６０が業務システム５０にログインした時点から開始されるセッション毎に生成されたレコードの集合体となっている。各レコードは、図３に例示するように、ログＩＤ（図中では“Ｌｉｄ”）をキーとして、ユーザ操作を行ったユーザのＩＤ、アクセス端末６０のＩＰアドレスである接続元ＩＰ、およびアクセス端末６０による業務システム５０へのログイン時刻といった値が対応付けされている。

　また上述の操作ログ２００１は入れ子構造となっており、各レコードには、該当セッションを構成する一連のユーザ操作の内容が記載されたサブテーブル２００２が一体に紐付いている。このサブテーブル２００２は、当該サブテーブル２００２におけるレコード番号（図中では“＃”）および対応するログＩＤをキーとして、“ＬＯＧＩＮ”、“Ｏｐｅｎ”、“Ｍｏｖｅ”、“Ｓａｖｅ”といった操作、この操作の対象データ（該当ファイルの格納先の情報含む）、および実施時刻といった値が対応付けされたレコードの集合体となっている。

　また、上述の工程管理データ２０１１は、図４にて例示するように、当該工程管理データ２０１１におけるレコード番号（図中では“＃”）および業務プロジェクトのＩＤ（図中では“ＰＪｉｄ”）をキーとして、該当業務プロジェクトの担当ユーザ、この担当ユーザが扱っている操作対象データ（図中では“所属データ”）、該当担当ユーザらが現在対応中の業務工程（図中では“対応中工程”）、その進捗状況（図中では“進捗率”）、および、該当プロジェクトに関する参考情報（図中では“ＰＪ履歴”）といった値が対応付けされたレコードの集合体となっている。

　次に業務システム監視装置１００は、上述のステップＳ１０００で得た操作ログ２００１および工程管理データ２０１１をマージして、工程及び操作履歴データ１２５を生成する（Ｓ１０１０）。

　この場合、業務システム監視装置１００は、操作ログ２００１のサブテーブル２００２のレコードを時刻の順に抽出し、該当レコードのログＩＤ、ユーザＩＤ（操作ログ２００１の対応レコードに付与されている値）、操作、対象データ、および時刻の各値を読み出して、工程及び操作履歴データ１２５にレコードを生成し、操作履歴欄１２５１に対応する値を格納する。こうして値を格納したレコードの具体例としては、図５の工程及び操作履歴データ１２５で示すように、レコード番号“１”、ログＩＤ“０”、ユーザＩＤ“Ａ”、操作“Ｏｐｅｎ”、対象データ“．．￥ｃｒｒ￥ｆｏ１．ｄｗｇ”、および時刻“２０１３／０４／０５　１０：２８：２６”の各値が設定されたレコードとなる。

　また、業務システム監視装置１００は、上述のように生成したレコードにおけるユーザＩＤを、ユーザＩＤ定義１２６に照合してユーザ名を特定する。ユーザＩＤ定義１２６は、図６にて例示するように、当該ユーザＩＤ定義１２６におけるレコード番号（図中では“＃”）およびユーザＩＤ（図中では“操作ユーザＩＤ”）と、該当ユーザのユーザ名（図中では“担当ユーザ”）とを対応付けたレコードの集合体となっている。例えば、ユーザＩＤ“Ａ”を、図６に例示するユーザＩＤ定義１２６に照合した場合、ユーザ名“ＵｓｅｒＡ”を特定できる。

　こうしてユーザ名を特定した業務システム監視装置１００は、ユーザ名をキーにして上述の工程管理データ２０１１を検索し、該当ユーザが現在対応中の業務工程すなわち対応中工程を特定する。例えば、ユーザ名“ＵｓｅｒＡ”をキーに、図４に例示した工程管理データ２０１１を検索すると、レコード番号“０”、ＰＪｉｄ“０”、のレコードにおいて、対応中工程“要求定義”の値を特定出来る。業務システム監視装置１００は、こうして特定した対応中工程の値を、工程及び操作履歴データ１２５の該当レコードにおける工程属性欄１２５２での該当欄に格納する。このように対応中工程の値が格納されたレコードとしては、例えば、工程及び履歴データ１２５で示すように、レコード番号“１”、ログＩＤ“０”、ユーザＩＤ“Ａ”、操作“Ｏｐｅｎ”、対象データ“．．￥ｃｒｒ￥ｆｏ１．ｄｗｇ”、および時刻“２０１３／０４／０５　１０：２８：２６”の各値が設定されたレコードにおいて、工程属性欄１２５２の対応中工程欄に、“要求定義”の値が設定されたものとなる。

　また、業務システム監視装置１００は、上述のように工程及び操作履歴データ１２５のレコードに格納した対象データの値をキーに、工程管理データ２０１１を検索し、該当対象データの値が“所属データ”欄に含まれるレコードを特定し、このレコードにおける対応中工程の値を取得する。例えば、対象データの値“．．￥ｃｒｒ￥ｆｏ１．ｄｗｇ”をキーに、図４に例示した工程管理データ２０１１の各レコードにおける所属データ欄を検索すると、レコード番号“０”、ＰＪｉｄ“０”、のレコードを特定し、このレコードにおける対応中工程“要求定義”の値を特定出来る。業務システム監視装置１００は、こうして特定した対応中工程の値を、工程及び操作履歴データ１２５の該当レコードにおける工程属性欄１２５２でのデータの所属工程欄に格納する。このようにデータの所属工程欄に対応中工程の値が格納されたレコードとしては、例えば、工程及び履歴データ１２５で示すように、レコード番号“１”、ログＩＤ“０”、ユーザＩＤ“Ａ”、操作“Ｏｐｅｎ”、対象データ“．．￥ｃｒｒ￥ｆｏ１．ｄｗｇ”、時刻“２０１３／０４／０５　１０：２８：２６”、対応中工程“要求定義”の各値が設定されたレコードにおいて、データの所属工程欄に、“要求定義”の値が設定されたものとなる。

　以上のように工程及び操作履歴データ１２５を生成した業務システム監視装置１００は、上述の工程及び操作履歴データ１２５の所定レコード（以後、検証レコード）が示す、ユーザＩＤ、操作、及び対象データの各値（ユーザ操作の情報）、及び、対応中工程およびデータの所属工程の各値（業務工程の情報）について、上述の特徴情報データ１２９の各レコードに照合する（Ｓ１０２０）。例えば、図５の工程及び操作履歴データ１２５のレコードのうち、レコード番号“１”、ログＩＤ“０”のレコードにおける、ユーザＩＤ“Ａ”、操作“Ｏｐｅｎ”、対象データ“．．￥ｃｒｒ￥ｆｏ１．ｄｗｇ”の各値（以上、ユーザ操作の情報）と、対応中工程“要求定義”およびデータの所属工程“要求定義”の各値（以上、業務工程の情報）を、図７の特徴情報データ１２９の各レコードの該当欄の値と照合する。

　また、業務システム監視装置１００は、上述の照合処理（Ｓ１０２０）の結果、各照合対象の値に関する検証レコードと特徴情報データ１２９のレコードとの一致度を特定する（Ｓ１０３０）。

　なお、業務システム監視装置１００は、ユーザＩＤ、操作、対象データの各値に関して、レベル０：「ユーザＩＤ及び操作が完全一致し、対象データも完全一致」、レベル１：「ユーザＩＤ及び操作が完全一致し、対象データの格納場所とデータ種別（拡張子）が一致」、レベル２：「ユーザＩＤ及び操作グループが一致し、対象データの格納場所とデータ種別（拡張子）が一致」・・・、といった一致度の基準を定めた緩和ルール定義１２８（図８）を記憶装置１０１に保持している。上述の操作グループとは、操作対象のデータに変更が生じる操作（例：削除や編集）のグループと、変更が生じない操作（例：ファイル開やファイル閉）のグループ、或いはアプリケーション別にグルーピングされた操作、ＷＥＢ画面上の所定の操作メニュー毎のグループ、といったものを想定する。

　そこで業務システム監視装置１００は、上述のステップＳ１０２１において、上述のユーザ操作の情報、すなわちユーザＩＤ、操作、対象データの各値に関する照合の結果を、上述の緩和ルール定義１２８に適用して、ユーザ操作（ユーザＩＤ、操作、対象データ）に関する一致度に関する該当レベルを特定する。

　また同様に、業務システム監視装置１００は、業務工程の一致度に関する緩和ルール定義１２８として、対応中工程およびデータの所属工程の各値に関して、一致率“１００”：「対応中工程およびデータの所属工程が一致」、一致率“７５”：「対応中工程は一致し、データの所属工程は類似」、一致率“５０”：「対応中工程は一致し、データの所属工程は不一致」、一致率“０”：「対応中工程が不一致の全ての場合」、・・・、といった一致度に関する該当一致率の基準を定めた定義を記憶装置１０１に保持している。

　そこで業務システム監視装置１００は、上述のステップＳ１０２１において、上述の業務工程の情報、すなわち対応中工程およびデータの所属工程の各値に関する照合の結果を、上述の緩和ルール定義１２８に適用して、業務工程（対応中工程およびデータの所属工程）に関する一致度に関する該当一致率を特定する。

　次に業務システム監視装置１００は、上述のように特定した、ユーザ操作に関する一致度に応じたレベルと、業務工程に関する一致度に応じた一致率との組み合わせを、危険性判定表１３１に照合し、情報セキュリティ上の危険性を判定する（Ｓ１０４０）。

　図９は本実施形態における危険性判定表１３１の例を示す図である。危険性判定表１３１は、ユーザ操作に関する一致度と業務工程に関する一致度との組み合わせに対し、情報セキュリティ上の危険性を定めたマトリクスである。ユーザ操作に関する一致度が低いほど、すなわち図９の危険性判定表１３１におけるレベルの値が大きいほど、また、業務工程に関する一致度が低いほど、すなわち図９の危険性判定表１３１における一致率の値が小さいほど、イレギュラーなユーザ操作がなされており、情報漏洩等の情報セキュリティ上の危険性が高いと認定するデータ構成となっている。

　業務システム監視装置１００は、こうした危険性判定表１３１に対し、“レベル０”、“一致率７５”といった値の組みあわせを適用して、対応する危険性の値を、“１５”などと特定する。

　また業務システム監視装置１００は、上述のステップＳ１０４０で判定した判定結果、すなわち危険性の値を、出力装置１０６または通信装置１０７に出力し（Ｓ１０５０）、その後、業務システム５０において該当ユーザのログアウト操作が行われるまで、（Ｓ１０６０：ｎｏ→Ｓ１０００）、上述のステップＳ１０００以降の処理を繰り返し実行する。他方、業務システム５０において該当ユーザのログアウト操作が行われたならば（Ｓ１０６０：ｙｅｓ）、特徴情報データ１２９の更新処理を行い（Ｓ１０７０）、業務システム監視装置１００は、本フローを終了する。

　なお、上述した特徴情報データ１２９の更新処理（Ｓ１０７０）は、ステップＳ１０００～Ｓ１０６０で処理対象とした工程及び操作履歴データ１２５のレコードのうち、システム管理者等が通常操作に関するものであると入力装置１０５にて指定したものについて、業務システム監視装置１００が、特徴情報データ１２９のレコードとして追加する処理となる。こうして特徴情報データ１２９は継続的に更新されることとなる。
－－－取扱情報を拡張した場合の例－－－
　業務システム５０で管理される工程管理データ５１の情報量が上述してきた形態の場合よりも多い状況が想定できる。その場合の工程及び操作履歴データ１２５の例を図１０にて示す。図４の工程及び操作履歴データ１２５との相違点は、図１０の例に示すように、工程属性１５２５のうち、ユーザのロール、対応中工程の進捗率、およびデータの進捗の各値である。このうちユーザのロールは、該当操作を行ったユーザの職位を示す値である。また、対応中工程の進捗率は、対応中工程に関する作業の進捗率を示す値である。また、データの進捗は、対象データに対する作業の進捗状況（例えば、edit：編集中、fix：完了）を示す値である。この場合、当然ながら特徴情報データ１２９のレコードにおけるデータ項目も、図１１に示すように、ユーザのロール、対応中工程の進捗率、およびデータの進捗の各値に関して増えることになる。

　上述のような工程及び操作履歴データ１２５、および特徴情報データ１２９を、業務システム監視装置１００が保持する場合の業務システム監視方法の処理手順について説明する。図１２は、本実施形態における業務システム監視方法の他の処理手順例を示すフロー図である。なお、図２の処理フローと共通する処理であるステップＳ１０００～Ｓ１０３０までの処理については説明を省略する。

　この場合、業務システム監視装置１００は、上述のステップＳ１０３０に引き続き、上述の検証レコードが示す工程属性１２５２の各値うち、少なくとも「対応中工程の進捗率」および「データの進捗率」の各値を、判定レベル選択基準１３０（厳格度基準情報）に照合して、業務工程の進捗状況に応じた厳格度別の危険性判定表１３１を特定する（Ｓ１０３１）。図１３に判定レベル選択基準１３０の例を示す。

　図１３に例示する判定レベル選択基準１３０は、対応中工程、データの所属工程の各進捗状況と、更にはユーザのロールについても基準に加えている。例えば、対応中工程の進捗率が“２０％未満”、データの進捗率が“２０％未満”、である場合、ユーザのロールは問わず、選択する危険性判定表１３１としては、判定レベルが厳しいすなわち“判定レベル厳”のものを特定することとなる。このように判定レベル選択基準１３０は、業務工程における進捗状況に応じて危険性判定表１３１を選択する構成となっている。従って、この場合の業務システム監視装置１００は、図１４にて示すように、判定レベル選択基準１３０が規定する判定レベル別に危険性判定表１３１を保持している。

　次に業務システム監視装置１００は、上述のステップＳ１０３１において特定した判定レベルに応じた危険性判定表１３１に、上述のステップＳ１０３０にて特定してある、ユーザ操作に関する一致度に応じたレベルと、業務工程に関する一致度に応じた一致率との組み合わせを照合し、情報セキュリティ上の危険性を判定する（Ｓ１０４０）。危険性を判定した以降の処理については、図２のフローと同様である。

　以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。

　こうした本実施形態によれば、工程など業務の各状況によって変化しうる正当な操作傾向に対し、これに反する操作とその状況における危険性を判別することが可能となるため、従来では不正行為を検出出来なかった状況にも監視範囲が拡大し、情報漏洩や改竄など情報セキュリティ上の危険性の判定精度が従来よりも向上する。

　従って、業務システムでの正当な操作傾向が業務の状況によって変化しうることに対応して、情報セキュリティ上の危険性に関する判定精度を向上可能となる。

　本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の業務システム監視装置において、前記記憶装置は、前記特徴情報における前記通常のユーザ操作に関する情報として、操作を行ったユーザの属性、操作内容、及び操作対象データを格納し、前記業務工程に関する情報として、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報を格納するものであり、前記演算装置は、前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行するものである、としてもよい。

　これによれば、例えばユーザ操作に関して、職位や担当等のユーザ属性、操作内容、及び操作対象データ、業務工程に関して、ユーザ操作を行った業務工程及び操作対象データが通常取り扱われる業務工程、の各点について現在実行中のユーザ操作と過去における通常の操作との一致度を特定し、業務工程の情報に関する一致度も含めて、より高精度な一致度の特定と、それに伴う危険性判定の精度の向上が実現出来る。

　また、本実施形態の業務システム監視装置において、前記記憶装置は、業務工程の進捗状況に応じた危険性判定の厳格度を定めた厳格度基準情報を更に格納するものであり、前記演算装置は、前記検証情報が示す業務工程の進捗状況の情報を前記厳格度基準情報に照合して、前記進捗状況に対応する厳格度を特定し、前記一致度の組み合わせと比較する前記所定基準を前記特定した厳格度に応じて高める処理を更に実行するものである、としてもよい。

　これによれば、業務工程の進捗状況が、例えば、成果物の基本構想が決定されたばかりの初期段階において、関係する操作対象データ（例：その基本構想が記載されたファイル等）を外部に送信するユーザ操作は、情報セキュリティ上の危険性が非常に高い、などといった現実の状況に確実に対応して、上述の一致度を厳格な基準で特定し、ひいては、更に高精度な一致度の特定と、それに伴う危険性判定の精度の更なる向上が実現出来る。

　また、本実施形態の業務システム監視装置において、前記記憶装置は、前記特徴情報における前記業務工程に関する情報として、操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況、の各情報のうち少なくともいずれかを更に格納するものであり、前記演算装置は、前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程と、前記操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況の各情報のうち少なくともいずれかとの各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行するものである、
としてもよい。

　これによれば、業務工程に関して、ユーザ操作を行った業務工程及び操作対象データが通常取り扱われる業務工程に加えて、操作を行ったユーザの属性、業務工程の進捗状況、および操作対象データに関する作業進捗状況、の各情報のうち少なくともいずれかの各点についても、現在実行中のユーザ操作と過去における通常の操作との一致度を特定し、より高精度な一致度の特定と、それに伴う危険性判定の更なる精度の向上が実現出来る。

　また、本実施形態の業務システム監視方法において、前記情報処理装置が、前記記憶装置において、前記特徴情報における前記通常のユーザ操作に関する情報として、操作を行ったユーザの属性、操作内容、及び操作対象データを格納し、前記業務工程に関する情報として、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報を格納して、前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、としてもよい。

　また、本実施形態の業務システム監視方法において、前記情報処理装置が、前記記憶装置において、業務工程の進捗状況に応じた危険性判定の厳格度を定めた厳格度基準情報を更に格納して、前記検証情報が示す業務工程の進捗状況の情報を前記厳格度基準情報に照合して、前記進捗状況に対応する厳格度を特定し、前記一致度の組み合わせと比較する前記所定基準を前記特定した厳格度に応じて高める処理を更に実行する、としてもよい。

　また、本実施形態の業務システム監視方法において、前記情報処理装置が、前記記憶装置において、前記特徴情報における前記業務工程に関する情報として、操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況、の各情報のうち少なくともいずれかを更に格納して、前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程と、前記操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況の各情報のうち少なくともいずれかとの各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、としてもよい。

１０、１５　ネットワーク
５０　業務システム
５１　工程管理データ
５２　モニタリングプログラム
５３　操作ログ
６０　アクセス端末
１００　業務システム監視装置
１０１　記憶装置
１０２　プログラム
１０３　メモリ
１０４　演算装置
１０５　入力装置
１０６　出力装置
１０７　通信インターフェイス（通信装置）
１１０　操作・工程整合プログラム
１１１　危険性判定プログラム
１１２　特徴抽出プログラム
１２５　工程及び操作履歴データ
１２６　ユーザＩＤ定義
１２７　危険性判定定義（所定基準）
１２８　緩和ルール定義
１２９　特徴情報データ（特徴情報）
１３０　判定レベル選択基準（厳格度基準情報）
１３１　危険性判定表（所定基準）

Claims

　監視対象である業務システムと通信する通信装置と、
　前記業務システムにおいて過去の所定期間に行われた通常のユーザ操作及び該当ユーザ操作がなされた業務工程に関する各情報を含む特徴情報を格納する記憶装置と、
　前記業務システムにおいて現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、前記業務システムから受信し、前記検証情報を前記特徴情報に照合して、前記ユーザ操作及び該当ユーザ操作がなされた前記業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する演算装置と、
　を備えることを特徴とする業務システム監視装置。
　前記記憶装置は、
　前記特徴情報における前記通常のユーザ操作に関する情報として、操作を行ったユーザの属性、操作内容、及び操作対象データを格納し、前記業務工程に関する情報として、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報を格納するものであり、
　前記演算装置は、
　前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行するものである、
　ことを特徴とする請求項１に記載の業務システム監視装置。
　前記記憶装置は、
　業務工程の進捗状況に応じた危険性判定の厳格度を定めた厳格度基準情報を更に格納するものであり、
　前記演算装置は、
　前記検証情報が示す業務工程の進捗状況の情報を前記厳格度基準情報に照合して、前記進捗状況に対応する厳格度を特定し、前記一致度の組み合わせと比較する前記所定基準を前記特定した厳格度に応じて高める処理を更に実行するものである、
　ことを特徴とする請求項１に記載の業務システム監視装置。
　前記記憶装置は、
　前記特徴情報における前記業務工程に関する情報として、操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況、の各情報のうち少なくともいずれかを更に格納するものであり、
　前記演算装置は、
　前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程と、前記操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況の各情報のうち少なくともいずれかとの各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行するものである、
　ことを特徴とする請求項２に記載の業務システム監視装置。
　監視対象である業務システムと通信する通信装置と、前記業務システムにおいて過去の所定期間に行われた通常のユーザ操作及び該当ユーザ操作がなされた業務工程に関する各情報を含む特徴情報を格納する記憶装置と、を備えた情報処理装置が、
　前記業務システムにおいて現在実行中または直近のユーザ操作及び業務工程の進捗状況の各情報を含む検証情報を、前記業務システムから受信し、前記検証情報を前記特徴情報に照合して、前記ユーザ操作及び該当ユーザ操作がなされた前記業務工程のそれぞれについて一致度を特定し、当該特定した一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、
　ことを特徴とする業務システム監視方法。
　前記情報処理装置が、
　前記記憶装置において、前記特徴情報における前記通常のユーザ操作に関する情報として、操作を行ったユーザの属性、操作内容、及び操作対象データを格納し、前記業務工程に関する情報として、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報を格納して、
　前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程の各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、
　ことを特徴とする請求項５に記載の業務システム監視方法。
　前記情報処理装置が、
　前記記憶装置において、業務工程の進捗状況に応じた危険性判定の厳格度を定めた厳格度基準情報を更に格納して、
　前記検証情報が示す業務工程の進捗状況の情報を前記厳格度基準情報に照合して、前記進捗状況に対応する厳格度を特定し、前記一致度の組み合わせと比較する前記所定基準を前記特定した厳格度に応じて高める処理を更に実行する、
　ことを特徴とする請求項５に記載の業務システム監視方法。
　前記情報処理装置が、
　前記記憶装置において、前記特徴情報における前記業務工程に関する情報として、操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況、の各情報のうち少なくともいずれかを更に格納して、
　前記検証情報を前記特徴情報に照合して、前記ユーザ操作の情報である、前記ユーザの属性、操作内容、及び操作対象データに関する一致度と、前記業務工程の情報である、前記ユーザが前記ユーザ操作を行った業務工程及び前記操作対象データが通常取り扱われる業務工程と、前記操作を行ったユーザの属性、前記業務工程の進捗状況、および操作対象データに関する作業進捗状況の各情報のうち少なくともいずれかとの各情報に関する一致度とを特定し、当該特定した各一致度の組み合わせと所定基準とを比較して、一致度の低さに応じて高まる情報セキュリティ上の危険性を判定し、当該判定結果を出力装置または通信装置に出力する処理を実行する、
　ことを特徴とする請求項６に記載の業務システム監視方法。