WO2017217349A1

WO2017217349A1 - 情報処理システム、分析装置、制御装置、方法および記憶媒体

Info

Publication number: WO2017217349A1
Application number: PCT/JP2017/021561
Authority: WO
Inventors: 靖伸千葉
Original assignee: 日本電気株式会社
Priority date: 2016-06-13
Filing date: 2017-06-12
Publication date: 2017-12-21
Also published as: JPWO2017217349A1; JP6930535B2; US11243865B2; US20200319990A1

Abstract

本発明は、分析対象として入力される情報の量や内容を予測することが困難な用途において、分析の実行をより確実に継続する技術を提供する。　分析装置１０において、分析実行部１０１は、分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する。分析規則記憶部１０２は、分析規則を記憶する。分析規則管理部１０４は、分析規則を管理する。分析状態記憶部１０３は、分析の実行時に生成または参照される分析状態情報を記憶する。制御装置１１において、分析状態監視部１１１は、分析状態記憶部の使用状況を監視する。評価結果管理部１１３は、分析結果に対する評価結果を取得し管理する。評価結果記憶部１１２は、評価結果を記憶する。分析規則制御部１１４は、分析状態記憶部１０３の使用状況および評価結果に基づいて、分析規則管理部１０４を介して分析規則を制御する。

Description

情報処理システム、分析装置、制御装置、方法および記憶媒体

　本発明は、情報を収集し分析する技術に関する。

　情報を収集し分析する技術がある。

　例えば、特許文献１には、多様なセンサからセキュリティイベントを受信し、受信したセキュリティイベントを分析して脅威を検出する技術が開示されている。同文献によると、この関連技術は、ソフトウェアエージェントから、宛先アドレス、イベントシグネチャを含むセキュリティイベントを受信する。受信したイベントシグネチャは、セキュリティイベントが利用する脆弱性の組を特定することに利用される。また、宛先アドレスは、標的となったネットワーク内の資産を特定することに利用される。そして、この関連技術は、資産のモデル（ＩＰ（Internet Protocol）アドレス、ホスト名、脆弱性等を含む情報）を参照することにより、標的となった資産が持つ脆弱性の組を取り出す。そして、この関連技術は、セキュリティイベントが利用する脆弱性の組と、標的となった資産が持つ脆弱性の組とを比較することにより、脅威を検出する。

　また、特許文献２には、多種多様なネットワーク装置からセキュリティイベントを収集し、収集したセキュリティイベントを分析してメタイベントを生成する技術が開示されている。この関連技術は、収集したセキュリティイベントを共通の形式に正規化し、正規化されたセキュリティイベントに対し規則群を適用することによりメタイベントを生成する。同文献において、規則群を適用するルールエンジンは、規則群を適用するために、設定された一定時間、イベント情報を記憶する。

　また、特許文献３には、サーバの分散ネットワークにおいて、クライアントからのオブジェクト・リソースの需要に応じて、オブジェクト・リソースの容量を調整する技術が開示されている。同文献によると、この関連技術は、オブジェクト・リソースのサーバ上の容量を、予測される必要な容量に合わせるために、過去の需要、入力される地域、コスト要件等に基づいて動的に需要を予測し、それに応じて容量調整を行う。

　また、特許文献４には、データの分析結果に基づいて、新たな分析処理を生成する技術が記載されている。同文献によると、この関連技術は、分析結果の特徴量を算出し、特徴量が所定条件を満たす分析結果に推論ルールを適用することにより、新たな分析処理を生成する。

　また、特許文献５には、文書の内容の妥当性をチェックするルールを修正する技術が記載されている。この関連技術は、対象文書を所定のルールでチェックし、チェック結果の評価結果に基づいて、ルールを修正する。

　また、非特許文献１には、一般化された、拡張可能かつ耐障害性の高いデータ処理システムが開示されている。

米国特許第７２６０８４４号明細書米国特許第７３７６９６９号明細書特許第３６２７００５号公報特開２０１２－２３８２０７号公報特開２００７－１７２２６０号公報

ＮａｔｈａｎＭａｒｚおよびＪａｍｅｓＷａｒｒｅｎ著、「Ｂｉｇ　Ｄａｔａ：　Ｐｒｉｎｃｉｐｌｅｓ　ａｎｄ　ｂｅｓｔ　ｐｒａｃｔｉｃｅｓ　ｏｆ　ｓｃａｌａｂｌｅ　ｒｅａｌｔｉｍｅ　ｄａｔａ　ｓｙｓｔｅｍｓ」、（米国）、１ｓｔ　Ｅｄｉｔｉｏｎ、Ｍａｎｎｉｎｇ　Ｐｕｂｌｉｃａｔｉｏｎｓ、２０１５年５月１０日

　特許文献１および２に示されているように、情報通信システムにおけるセキュリティ脅威または侵害を検出するために、多種多様な情報処理装置や通信機器等から情報を収集し、収集した情報を事前に定義された手続きに基づき分析したいというニーズが存在する。また、非特許文献１に示されているように、セキュリティ用途に限らず、多種多様な装置から大量の情報を収集し、実時間分析を実行したいというニーズが存在する。特許文献２に示されているように、分析を実行する際には、情報処理システム内において、分析に関わる状態を表す情報を、主記憶装置や二次記憶装置等を利用して保存する必要がある。しかし、分析対象となる情報（システムに対する入力）の量や内容が変化した場合に、主記憶装置や二次記憶装置の制限により、分析に関わる状態を表す情報を保存できなくなることがある。この場合、所望の分析の実行を継続できなくなるという問題が生じる。この問題は、特に、分析対象となる情報の量や内容を予め見積もることが困難な用途では顕著である。

　また、特許文献３には、将来の需要（システムに対する入力）を予測することにより、需要を充足するようにシステムを制御することが示されているものの、需要の予測が可能であることが前提である。特許文献３には、需要の予測が困難な状況において上述の問題に対処する技術は、示唆されていない。

　また、特許文献４および５には、分析結果やその評価結果に基づいて、新たな分析を行うことが示されているものの、分析対象となる情報の量や内容を予測できない状況で、上述の問題に対処する技術は、示唆されていない。

　本発明は、上述の課題を解決するためになされたものである。すなわち、本発明は、分析対象として入力される情報の量や内容を予測することが困難な用途において、分析の実行をより確実に継続する技術を提供することを目的とする。

　上記目的を達成するために、本発明の情報処理システムは、分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する分析実行手段と、前記分析規則を記憶する分析規則記憶手段と、前記分析規則を管理する分析規則管理手段と、前記分析実行手段によって生成または参照される前記分析の状態を表す分析状態情報を記憶する分析状態記憶手段と、を有する分析装置と、前記分析状態記憶手段の使用状況を監視する分析状態監視手段と、前記分析結果に対する評価結果を取得し管理する評価結果管理手段と、前記評価結果を記憶する評価結果記憶手段と、前記分析状態記憶手段の使用状況および前記評価結果に基づいて、前記分析規則管理手段を介して前記分析規則を制御する分析規則制御手段と、を有する制御装置と、を備える。

　また、本発明の分析装置は、上述の情報処理システムにおける分析装置として構成される。

　また、本発明の制御装置は、上述の情報処理システムにおける制御装置として構成される。

　また、本発明の方法は、分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する分析実行手段と、前記分析規則を記憶する分析規則記憶手段と、前記分析規則を管理する分析規則管理手段と、前記分析実行手段によって生成または参照される前記分析の状態を表す分析状態情報を記憶する分析状態記憶手段と、を有する分析装置に対して、コンピュータ装置が、前記分析状態記憶手段の使用状況を監視し、前記分析結果に対する評価結果を取得して管理し、前記分析状態記憶手段の使用状況および前記評価結果に基づいて、前記分析規則管理手段を介して前記分析規則を制御する。

　また、本発明の記憶媒体は、分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する分析実行手段と、前記分析規則を記憶する分析規則記憶手段と、前記分析規則を管理する分析規則管理手段と、前記分析実行手段によって生成または参照される前記分析の状態を表す分析状態情報を記憶する分析状態記憶手段と、を有する分析装置に対して、前記分析状態記憶手段の使用状況を監視する分析状態監視ステップと、前記分析結果に対する評価結果を取得し管理する評価結果管理ステップと、前記評価結果を記憶する評価結果記憶ステップと、前記分析状態記憶手段の使用状況および前記評価結果に基づいて、前記分析規則管理手段を介して前記分析規則を制御する分析規則制御ステップと、をコンピュータ装置に実行させるプログラムを記憶している。

　本発明は、分析対象として入力される情報の量や内容を予測することが困難な用途において、分析の実行をより確実に継続する技術を提供することができる。

本発明の第１の実施の形態としての情報処理システムの構成を示すブロック図である。本発明の第１の実施の形態としての情報処理システムのハードウェア構成の一例を示す図である。本発明の第１の実施の形態において分析規則記憶部に記憶される情報の一例を示す図である。本発明の第１の実施の形態において分析状態記憶部に記憶される情報の一例を示す図である。本発明の第１の実施の形態において評価結果記憶部に記憶される情報の一例を示す図である。本発明の第１の実施の形態としての情報処理システムの定常時における動作を説明するシーケンス図である。本発明の第１の実施の形態としての情報処理システムの資源枯渇状態における動作を説明するシーケンス図である。本発明の第１の実施の形態としての情報処理システムの資源余剰状態における動作を説明するシーケンス図である。本発明の第１の実施の形態における制御装置が評価結果を取得し保存する動作を説明するフローチャートである。本発明の第１の実施の形態における制御装置が分析状態記憶部を監視する動作を説明するフローチャートである。本発明の第１の実施の形態における分析装置が分析規則に基づく分析を実行する動作を説明するフローチャートである。本発明の第１の実施の形態における分析装置が制御装置の指示の下に実行する動作を説明するフローチャートである。本発明の第２の実施の形態としての情報処理システムの構成を示すブロック図である。本発明の第２の実施の形態において分析規則記憶部に記憶される情報の一例を示す図である。本発明の第２の実施の形態においてログ保存部に記憶される情報の一例を示す図である。本発明の第２の実施の形態において評価結果記憶部に記憶される情報の一例を示す図である。本発明の第２の実施の形態としての情報処理システムの定常時における動作を説明するシーケンス図である。本発明の第２の実施の形態としての情報処理システムの資源枯渇状態における動作を説明するシーケンス図である。本発明の第２の実施の形態としての情報処理システムの資源余剰状態における動作を説明するシーケンス図である。本発明の第２の実施の形態における制御装置が分析状態記憶部を監視する動作を説明するフローチャートである。本発明の第２の実施の形態における他の分析装置が分析規則に基づく分析を実行する動作を説明するフローチャートである。本発明の第２の実施の形態における他の分析装置が制御装置の指示の下に実行する動作を説明するフローチャートである。本発明の第３の実施の形態としての情報処理システムの構成を示すブロック図である。本発明の第３の実施の形態における分析装置が分析規則に基づく分析を実行する動作を説明するフローチャートである。本発明の第３の実施の形態における制御装置が分析状態記憶部を監視する動作を説明するフローチャートである。本発明の第３の実施の形態における分析装置が制御装置の指示の下に実行する動作を説明するフローチャートである。

　以下、本発明の実施の形態を説明する。各実施の形態は例示であり、本発明は、各実施の形態に限定されるものではない。

　［第１の実施の形態］
　本発明の第１の実施の形態について図面を参照して詳細に説明する。図１は、本発明の第１の実施の形態の情報処理システム１の構成を示す機能ブロック図である。図１を参照すると、情報処理システム１は、分析装置１０および制御装置１１を含む。分析装置１０および制御装置１１は、通信可能に接続されている。また、分析装置１０は、センサ５および評価装置７と通信可能に接続される。また、制御装置１１は、評価装置７と通信可能に接続される。また、評価装置７は、通知先装置９と通信可能に接続される。なお、図１において、分析装置１０および制御装置１１を１つずつ示したが、情報処理システム１に含まれる各装置の数は、限定されない。また、図１において、３つのセンサ５と、１つずつの評価装置７および通知先装置９とを示したが、情報処理システム１に接続される各装置の数は、限定されない。

　分析装置１０は、分析実行部１０１と、分析規則記憶部１０２と、分析状態記憶部１０３と、分析規則管理部１０４とを有する。また、制御装置１１は、分析状態監視部１１１と、評価結果記憶部１１２と、評価結果管理部１１３と、分析規則制御部１１４とを有する。

　ここで、情報処理システム１を構成する各装置は、図２に示すようなハードウェア要素によって構成可能である。図２において、分析装置１０は、ＣＰＵ（Central Processing Unit）１００１、メモリ１００２、および、ネットワークインタフェース１００５を含む。また、制御装置１１は、ＣＰＵ１１０１、メモリ１１０２、および、ネットワークインタフェース１１０５を含む。メモリ１００２および１１０２は、それぞれ、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、補助記憶装置（ハードディスク等）等によって構成される。ネットワークインタフェース１００５および１１０５は、それぞれ、ネットワークに接続するインタフェースである。

　この場合、分析装置１０の分析実行部１０１および分析規則管理部１０４は、ネットワークインタフェース１００５と、メモリ１００２に格納されるコンピュータ・プログラムを読み込んで実行するＣＰＵ１００１とによって構成される。また、分析規則記憶部１０２および分析状態記憶部１０３は、メモリ１００２によって構成される。また、制御装置１１の分析状態監視部１１１、評価結果管理部１１３および分析規則制御部１１４は、ネットワークインタフェース１１０５と、メモリ１１０２に格納されるコンピュータ・プログラムを読み込んで実行するＣＰＵ１１０１とによって構成される。また、評価結果記憶部１１２は、メモリ１１０２によって構成される。なお、情報処理システム１を構成する各装置およびその各機能ブロックのハードウェア構成は、上述の構成に限定されない。

　次に、分析装置１０の各機能ブロックの詳細について説明する。

　分析実行部１０１は、分析対象として入力されるデータに対して、分析規則記憶部１０２に記憶された分析規則に基づく分析を実行し分析結果を出力する。ここで、分析規則に基づく分析とは、入力されるデータを用いて分析規則が満たされるか否かを判断し、満たした場合にその旨を表す情報を分析結果として出力する処理である。入力されるデータとは、例えば、センサ５から受信される情報であってもよい。

　また、分析実行部１０１は、分析規則に基づく分析の際に、分析状態記憶部１０３に保存された分析状態情報を参照して分析を行う。ただし、分析規則によっては、分析状態情報の参照が不要な分析となる場合もある。また、分析実行部１０１は、分析規則に基づく分析の際に、実行中の分析もしくは他の分析において参照され得る情報を検出すると、その情報を分析状態情報として、分析状態記憶部１０３に保存する。分析状態情報の詳細については後述する。

　また、分析実行部１０１は、分析規則に基づく分析において、必要に応じて分析結果を出力する。出力先は、評価装置７である。例えば、分析実行部１０１は、分析規則を満足する事象が検出された場合に、分析結果として、分析規則を満足する事象が検出されたことに関連する情報を、その分析規則を一意に特定する情報と共に出力してもよい。分析結果は、後述の評価装置７によってその分析結果の評価の際に用いられる情報を含んでいる。

　また、例えば、分析実行部１０１は、分析規則にその有効性を表す情報が含まれる場合、その有効性を表す情報にしたがって、分析を実行してもよい。以降、有効であることを表す情報を含む分析規則を、有効な分析規則、とも記載する。また、有効でない（すなわち無効である）ことを表す情報を含む分析規則を、無効な分析規則、とも記載する。この場合、具体的には、分析実行部１０１は、有効な分析規則については、当該分析規則に基づく分析を実行し、無効な分析規則については当該分析規則に基づく分析を実行しない。

　分析規則記憶部１０２は、分析規則を記憶する。分析規則は、入力されるデータを用いて判断可能な規則を表す。例えば、分析規則は、定められた期間中に所定の条件に合致するデータが指定回数以上入力されたことを検出した場合に、検出したことを分析結果として出力することを定めた情報であってもよい。なお、分析規則は、直近の入力データに対する条件を含んでいてもよいし、それまでに入力されたデータやそれらの統計処理結果に対する条件を含んでいてもよい。

　また、例えば、前述のように、分析規則は、有効性を表す情報を含んでいていてもよい。有効性とは、その分析規則に基づく分析が分析実行部１０１によって実行される対象となる否かを表す。以降、分析が実行される対象となる否かを、分析の実行可否とも記載する。この場合、分析規則記憶部１０２に記憶される情報の一例を、図３に示す。図３には、分析規則を示す各エントリを格納するテーブルが示されている。各エントリは、分析規則を一意に特定するＩＤと、分析規則と、分析規則の有効性（有効または無効）とをそれぞれ表す情報を含む。以降、ＩＤが１のエントリの分析規則を、分析規則ＩＤ（１）とも記載する。例えば、図３の一番上のエントリは、次の条件が満たされた場合に、分析結果を出力する分析規則ＩＤ（１）を定義している。その条件とは、顧客ＩＤが１であり（Ｃｕｓｔｏｍｅｒ　ＩＤ＝１）、かつ、シグネチャＩＤが３２である（Ｓｉｇｎａｔｕｒｅ　ＩＤ＝３２）データが１０分間（１０　Ｍｉｎｕｔｅｓ）の間に５回以上（Ｃｏｕｎｔ＞＝５）観測されるという条件である。また、当該エントリは、分析規則ＩＤ（１）が分析実行部１０１によって実行される対象となる（有効である）ことを示している。このように、分析規則記憶部１０２は、分析実行部１０１による実行の対象となる分析規則を含む一つ以上のエントリを記憶することができる。

　分析状態記憶部１０３は、分析状態情報を記憶する。分析状態情報とは、分析実行部１０１によって生成または参照される分析の状態を表す情報である。換言すると、生成される分析状態情報は、実行中の分析、もしくは、他の分析の実行において利用され得る、現在実行中の分析の状態を表す情報である。なお、他の分析とは、現在実行中の分析で適用される分析規則に基づき将来実行される分析であってもよい。あるいは、他の分析とは、現在実行中の分析で適用される分析規則とは異なる分析規則に基づき将来実行される分析であってもよい。

　例えば、分析状態情報とは、分析規則を充足するか否かの判断のために、現在実行中の分析または他の分析において参照され得るデータであってもよい。また、現在実行中の分析または他の分析において参照され得るデータとは、現在実行中の分析または過去の分析で対象となったデータそのもの、または、そのようなデータが加工された情報であってもよい。

　この場合、分析状態記憶部１０３に記憶される情報の一例を図４に示す。図４には、分析状態情報を示す各エントリを格納するテーブルが示されている。この例では、各エントリは、分析規則ＩＤと、分析状態情報とをそれぞれ表す情報を含む。分析規則ＩＤは、分析規則を一意に特定する情報であり、図３に示す分析規則記憶部１０２のＩＤに対応する。例えば、図４の一番上のエントリは、分析規則ＩＤ（１）に基づく分析の実行において利用される分析状態情報を表す。すなわち、そのような分析状態情報として、時刻（Ｄｅｔｅｃｔｅｄ　Ａｔ）が１４５３４４８５８６．９２３００２６３８、１４５３４４８６２８．８８５６６７１８５、１４５３４４８６３９．８５７５８００２１、１４５３４４８６５３．５９２５０６５００、の各々において、分析規則ＩＤ（１）の条件の一部である、顧客ＩＤが１であり（Ｃｕｓｔｏｍｅｒ　ＩＤ＝１）、かつ、シグネチャＩＤが３２である（Ｓｉｇｎａｔｕｒｅ　ＩＤ＝３２）、を充足するデータが１回ずつ検出（Ｃｏｕｎｔ＝１）されたことを表す情報が記憶されている。

　また、図４において分析規則ＩＤ（１）に関連付けられた分析状態情報は、分析規則ＩＤ（１）に基づく分析が実行される際に、分析実行部１０１によって参照される。つまり、この分析状態情報は、分析規則ＩＤ（１）の全条件を充足するか否かの判断において参照される。分析規則ＩＤ（１）に関連付けられた分析状態情報が、分析規則ＩＤ（１）の全条件を充足する場合、分析実行部１０１により分析結果が出力される。

　分析規則管理部１０４は、分析規則記憶部１０２に記憶されている分析規則を管理する。具体的には、分析規則管理部１０４は、制御装置１１と接続され、制御装置１１による制御に基づき、分析規則の追加、削除、変更を実行する。例えば、分析規則記憶部１０２に図３に示した情報が記憶されているとする。この場合、分析規則管理部１０４は、制御装置１１によって指定されたエントリの分析規則の有効性（実行可否）を表す情報を、有効から無効に、または、無効から有効に変更する。以降、分析規則の有効性を表す情報を有効から無効に変更することを、分析規則を無効化する、とも記載する。また、分析規則の有効性を表す情報を無効から有効に変更することを、分析規則を有効化する、とも記載する。

　次に、制御装置１１の各機能ブロックについて述べる。

　分析状態監視部１１１は、分析装置１０の分析状態記憶部１０３と接続され、分析状態記憶部１０３の使用状況を監視する。使用状況とは、例えば、分析状態記憶部１０３に記憶される分析状態情報の容量や数、空き記憶容量、分析状態情報の内容等であってもよい。監視結果は、後述の分析規則制御部１１４に通知される。例えば、分析状態記憶部１０３に、図４に示す情報が記憶されているとする。この場合、分析状態監視部１１１は、使用状況として、テーブルのエントリ数、利用記憶容量、空き記憶容量や、各エントリの内容を、分析規則制御部１１４の指示に基づき取得し、取得した値を分析規則制御部１１４に通知してもよい。

　評価結果記憶部１１２は、分析装置１０の分析実行部１０１から出力された分析結果に対する評価結果を記憶する。分析結果に対する評価結果とは、分析結果の確からしさを表す情報であってもよい。なお、評価結果は、評価装置７によって生成された情報であってもよいし、評価装置７に対して入力された情報であってもよい。

　図５は、評価結果記憶部１１２に記憶される情報の一例を示す図である。図５には、評価結果を示す各エントリを格納するテーブルが示されている。図５の例では、各エントリは、評価完了時刻と、分析規則ＩＤと、評価結果とをそれぞれ表す情報を含む。評価完了時刻は、該当する分析結果に対する評価結果が生成または取得された時刻を表す。また、分析規則ＩＤは、該当する分析結果が出力される際に適用された分析規則のＩＤを示す。また、評価結果は、該当する分析結果に対する評価結果を表す。例えば、図５の一番上のエントリは、分析規則ＩＤ（３）に基づく分析により出力された分析結果について、偽陽性であるという評価結果が、時刻２０１６／０１／２２　１７：００．００に生成または取得されたことを示している。なお、この例では、「偽陽性」とは、「分析結果は誤って出力されたものである」という評価を表す。また、「真陽性」とは、「分析結果は正しく出力されたものである」という評価を表す。このように、評価結果記憶部１１２は、分析装置１０の分析実行部１０１から出力された分析結果の評価結果を含むエントリを一つ以上記憶する。

　評価結果管理部１１３は、分析装置１０の分析実行部１０１から出力された分析結果の評価結果を、評価装置７から取得し、評価結果記憶部１１２に保存する。また、評価結果管理部１１３は、分析規則制御部１１４の制御に基づき、評価結果記憶部１１２のテーブルに含まれるエントリを取得し、取得内容を分析規則制御部１１４に通知する。

　分析規則制御部１１４は、分析状態監視部１１１を介して、分析装置１０の分析状態記憶部１０３の使用状況を参照する。また、分析規則制御部１１４は、評価結果管理部１１３を介して、評価結果記憶部１１２に記憶された情報を参照する。そして、分析規則制御部１１４は、両者の情報に基づいて、分析装置１０の分析規則記憶部１０２に記憶された分析規則を制御する。分析規則の制御は、分析規則管理部１０４を介して行われる。詳細には、分析規則制御部１１４は、分析状態記憶部１０３の使用状況が所定の条件を満たしたときに、評価結果に基づき選択した分析規則の有効性を表す情報を制御する。この制御により、分析規則制御部１１４は、該分析規則に基づく分析を、分析装置１０の分析実行部１０１に実行させるか否かを制御する。

　例えば、分析規則記憶部１０２に、図３に示した情報が記憶されているとする。この場合、分析規則制御部１１４は、分析状態記憶部１０３の使用状況である空き記憶容量が予め定義された閾値を下回った場合に、評価結果の低さに基づいて、分析規則ＩＤを特定する。評価結果の低さとは、偽陽性の発生率の高さであってもよい。

　具体的には、分析状態記憶部１０３は、偽陽性の発生率が閾値以上の分析規則ＩＤ（例えばＩＤ＝３）を特定してもよい。そして、分析規則制御部１１４は、特定した分析規則ＩＤの分析規則を無効化するよう、分析装置１０の分析規則管理部１０４に指示する。これにより、分析規則管理部１０４は、分析規則記憶部１０２において、指示された分析規則ＩＤ（例えばＩＤ＝３）のエントリを検索し、該当するエントリの有効性を表す情報を有効から無効に変更する。無効化された分析規則ＩＤに基づく分析の実行は、停止されることになる。その結果、偽陽性の発生率が高い（分析によって得られる効果が低い）分析規則のために、分析状態情報が新たに保存されることがなくなり、分析状態記憶部１０３の容量を圧迫する分析状態情報の保存が抑制される。その結果、分析実行部１０１は、無効化された分析規則と比較して、相対的に真陽性率が高い（分析によって得られる効果が高い）分析規則の実行を継続できる。もしも、このような分析規則の制御が実行されない場合、分析状態記憶部１０３の容量超過が発生し、新たな分析状態情報の保存が不可能となり、全ての分析の実行が停止する。分析規則制御部１１４は、このような全ての分析の実行が停止することを回避する。

　また、分析規則管理部１０４は、分析規則を無効化する際に、無効化する分析規則ＩＤに関連付けて分析状態記憶部１０３に記憶されているエントリを消去してもよい。このようなエントリの消去は、分析規則管理部１０４からの指示の下に、分析実行部１０１により行われてもよい。これにより、分析状態記憶部１０３において、分析に利用されない分析状態情報の記憶がさらに抑制され、空き記憶容量が拡大する。その結果、分析実行部１０１による分析の実行の継続性は、さらに向上する。

　また、分析規則制御部１１４は、分析状態記憶部１０３の使用状況である空き記憶容量が予め定義された閾値を上回った場合に、分析規則記憶部１０２において無効化されている分析規則のうち、評価結果の高さに基づいて、分析規則ＩＤを特定する。評価結果の高さとは、偽陽性の発生率の低さであってもよい。

　具体的には、分析状態記憶部１０３は、分析規則記憶部１０２において無効化されている分析規則のうち、偽陽性の発生率が閾値未満の分析規則ＩＤを特定してもよい。そして、分析規則制御部１１４は、特定した分析規則ＩＤを有効化するよう、分析装置１０の分析規則管理部１０４に指示する。これにより、分析規則管理部１０４は、分析規則記憶部１０２において、指示された分析規則ＩＤのエントリを検索し、該当するエントリの有効性を表す情報を無効から有効に変更する。有効化された分析規則ＩＤに基づく分析の実行は、開始されることになる。その結果、偽陽性の発生率が低い（分析によって得られる効果が高い）分析規則に基づく分析の実行が継続可能となる。

　次に、情報処理システム１に接続される各装置について説明する。

　センサ５は、分析装置１０の分析実行部１０１に接続される。また、センサ５は、分析実行部１０１において実行される分析が対象とするデータを生成する。なお、前述したように、情報処理システム１には、１つまたは複数のセンサ５が接続される。例えば、情報処理システム１が、ネットワーク装置からセキュリティイベントを収集し、ネットワーク、もしくは、情報システムのセキュリティ脅威を検出するための分析を実行するシステムであるとする。この場合、センサ５としては、ネットワーク装置（ファイアウォール装置やＩｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍと呼ばれる脅威検知システムなど）が適用可能である。

　評価装置７は、分析装置１０の分析実行部１０１と、制御装置１１の評価結果管理部１１３とに接続される。また、評価装置７は、分析装置１０の分析実行部１０１から出力される分析結果について、その評価結果を生成または取得する。前述のように、評価結果は、分析結果の確からしさを表す情報であってもよい。例えば、評価装置７は、分析実行部１０１から出力される分析結果に基づいて評価結果を生成する処理を実行してもよい。あるいは、評価装置７は、分析実行部１０１から出力される分析結果を出力装置に出力し、出力に応じて入力装置等から入力される情報を、評価結果として取得してもよい。また、評価装置７は、生成または取得した評価結果を、制御装置１１の評価結果管理部１１３に出力する。加えて、評価装置７は、分析結果を、通知先装置９に出力する。

　通知先装置９は、評価装置７に接続される。通知先装置９は、分析装置１０の分析実行部１０１から出力される分析結果を利用する装置である。通知先装置９は、分析結果を利用した処理を行ってもよい。あるいは、通知先装置９は、出力装置等に分析結果を出力してもよい。出力装置等に出力された分析結果は、センサ５の運用者または情報処理システム１の運用者等によって利用可能である。

　なお、図１において、分析装置１０および制御装置１１を、異なる装置として例示した。これに限らず、分析装置１０および制御装置１１は、一体とした装置として構成されてもよい。また、分析装置１０、制御装置１１、もしくは、分析装置１０と制御装置１１を一体とした装置は、評価装置７を含んでいてもよい。

　続いて、本実施の形態の動作について図面を参照して詳細に説明する。

　まず、本発明の第１の実施の形態の定常時の動作を、図６のシーケンス図に示す。なお、以下の動作の説明では、分析対象となるデータを、ログとも記載する。

　図６において、ステップＡ１０１～Ａ１０６のステップは、分析状態の参照が不要な分析規則に基づく分析が行われる際の各装置の動作の一例を示している。

　まず、分析装置１０の分析実行部１０１は、センサ５の群からログを受信すると、分析状態の参照が不要な分析規則に基づく分析を実行する（ステップＡ１０１）。

　次に、分析実行部１０１は、分析結果を評価装置７に送信する（ステップＡ１０２）。

　次に、評価装置７は、受信した当該分析結果について、その評価結果を生成または取得する（ステップＡ１０３）。

　次に、評価装置７は、当該分析結果の出力において適用された分析規則を一意に特定する分析規則ＩＤと、当該分析結果についての評価結果とを関連付けて、制御装置１１に送信する（ステップＡ１０４）。

　次に、制御装置１１の評価結果管理部１１３は、受信した評価結果および分析規則ＩＤを関連付けて、評価結果記憶部１１２に保存する（ステップＡ１０５）。

　次に、評価装置７は、分析結果を通知先装置９に通知する（ステップＡ１０６）。なお、ステップＡ１０６の動作は、ステップＡ１０２の後に実行されればよく、必ずしもステップＡ１０３およびステップＡ１０４の後に実行されなくてもよい。

　また、図６において、ステップＡ２０１～Ａ２０３は、分析状態の参照が必要な分析規則に基づく分析が行われるが分析結果が出力されない場合の各装置の動作の一例を示している。

　この場合、まず、分析装置１０の分析実行部１０１は、センサ５の群からログを受信すると、分析状態の参照が必要な分析の実行にあたり、分析状態情報を読み込む（ステップＡ２０１）。

　次に、分析実行部１０１は、分析を実行する（ステップＡ２０２）。

　次に、分析実行部１０１は、実行中の分析、もしくは、他の分析に利用され得るデータを検出した場合、そのデータに関する情報を、分析状態情報として分析状態記憶部１０３に記憶する（ステップＡ２０３）。

　なお、ここでは、今回検出された分析状態情報と、読み込んだ分析状態情報とに基づいて、分析規則が満たされないと判断されたとする。したがって、分析実行部１０１は、分析結果を出力しない。

　また、図６において、ステップＡ３０１～Ａ３０３のステップは、分析状態記憶部１０３の使用状況を監視する動作を表す。この動作は、所定のタイミング毎に実行される。

　ステップＡ３０１では、制御装置１１の分析状態監視部１１１は、分析装置１０の分析状態記憶部１０３の使用状況を確認する情報を、分析装置１０に送信する（ステップＡ３０１）。

　次に、分析装置１０は、分析状態記憶部１０３の使用状況を表す情報を送信する（ステップＡ３０２）。

　次に、制御装置１１の分析規則制御部１１４は、使用状況が所定の枯渇条件を満たすか否かを判断する（ステップＡ３０３）。例えば、所定の枯渇条件とは、使用状況としての空き記憶容量が予め定義した閾値を下回ることであってもよい。ここでは、使用状況が所定の枯渇条件を満たさなかったものとする。この場合、分析規則制御部１１４は、分析規則の制御を実行しない。

　また、図６において、ステップＡ４０１～Ａ４０８のステップは、分析状態の参照が必要な分析規則が行われ分析結果が出力される場合の各装置の動作の一例を示している。

　この場合、まず、分析装置１０の分析実行部１０１は、センサ５の群からログを受信すると、分析状態の参照が必要な分析の実行にあたり、分析状態情報を読み込む（ステップＡ４０１）。

　次に、分析実行部１０１は、分析を実行する（ステップＡ４０２）。

　次に、分析実行部１０１は、実行中の分析、もしくは、他の分析に利用され得るデータを検出した場合、そのデータに関する情報と、読み込んだ分析状態情報とに基づいて、分析規則の全条件を充足すると判断したとする。この場合、分析実行部１０１は、分析結果を、評価装置７に出力する（ステップＡ４０３）。

　例えば、分析結果は、分析規則ＩＤと、評価装置７によってこの分析結果が真陽性であるか偽陽性であるかが判断される際に用いられる情報を含んでいてもよい。判断される際に用いられる情報とは、例えば、ステップＡ２０２、Ａ４０２での分析の実行時に入力されたログであってもよい。

　なお、このとき、分析実行部１０１は、分析状態記憶部１０３において、将来利用される見込みがない分析状態情報を廃棄してもよい（ステップＡ４０４）。なお、ステップＡ４０４の動作は、ステップＡ４０２の後に実行されればよく、必ずしもステップＡ４０３の後に実行されなくてもよい。

　次に、制御装置１１および評価装置７は、ステップＡ４０５～Ａ４０８を実行する。ステップＡ４０５～Ａ４０８の動作は、前述のステップＡ１０３～Ａ１０６と同様であるため、説明を省略する。これにより、ステップＡ４０３で出力された分析結果に対する評価結果が、評価結果記憶部１１２に保存される。

　なお、図６において、ステップＡ１０１～Ａ１０６は上述した順に実行され、ステップＡ２０１～Ａ２０３は上述した順に実行され、ステップＡ３０１～Ａ３０３は上述した順に実行され、ステップＡ４０１～Ａ４０８は上述した順に実行される。ただし、図６に示したステップ間における上記以外の実行順序は、図示した順に限定されない。

　次に、本発明の第１の実施の形態の資源枯渇状態における動作を、図７のシーケンス図に示す。ここで、資源枯渇状態とは、分析装置１０の分析状態記憶部１０３において資源が枯渇しつつある状態をいうものとする。

　図７において、ステップＢ１０１～Ｂ１０７は、分析状態記憶部１０３の使用状況が所定の枯渇条件を満たす際に分析規則を制御する動作を表す。

　この場合、まず、制御装置１１および評価装置７は、ステップＢ１０１～Ｂ１０３を実行する。ステップＢ１０１～Ｂ１０３の動作は、図６を参照して説明した定常時のステップＡ３０１～Ａ３０３と同様であるため、説明を省略する。これにより、制御装置１１の分析規則制御部１１４は、分析装置１０の分析状態記憶部１０３の使用状況が所定の枯渇条件を満たすか否かの判定結果を得る。ここでは、使用状況が所定の枯渇条件を満たしたものとする。

　そこで、分析規則制御部１１４は、評価結果記憶部１１２に記憶された評価結果の低さに基づいて、無効化の対象とする分析規則を決定する（ステップＢ１０４）。

　次に、分析規則制御部１１４は、分析装置１０に対して、無効化の指示を表す情報と、無効化の対象となる分析規則を一意に特定する分析規則ＩＤとを組みとして送信する（ステップＢ１０５）。

　次に、分析装置１０の分析規則管理部１０４は、無効化の指示を表す情報および分析規則ＩＤを受信すると、分析規則記憶部１０２において、受信した分析規則ＩＤの分析規則を無効化する（ステップＢ１０６）。

　そして、分析実行部１０１は、分析状態記憶部１０３において、受信した分析規則ＩＤに関連付けられた分析状態情報を廃棄する（ステップＢ１０７）。

　ステップＢ１０６～Ｂ１０７の実行により、以降、分析実行部１０１によって、無効化された分析規則ＩＤに基づく分析が実行されない。その結果、分析状態記憶部１０３には、無効化された分析規則ＩＤに基づく分析により新たに分析状態情報が記憶されることがない。すなわち、分析装置１０は、分析状態記憶部１０３の使用状況が原因で分析が継続不能になることを回避できる。具体的には、分析装置１０は、分析状態記憶部１０３の空き記憶容量の枯渇を免れることができる。

　これにより、例えば、続いて、図７に示すように、分析状態の参照が必要な分析を実行し分析結果を出力しないステップＡ２０１～Ａ２０３の動作が継続可能となる。ステップＡ２０１～Ａ２０３の動作は図６と同様であるため、説明を省略する。

　なお、このとき、既にステップＢ１０６～Ｂ１０７の実行により、分析状態記憶部１０３の使用状況は、新たな分析状態情報を記憶可能となっている。このため、ステップＡ２０３において、分析装置１０の分析状態記憶部１０３には、新たに分析状態情報が記憶され、分析が継続される。

　続いて、図７に示すように、分析状態記憶部１０３の使用状況を監視するステップＡ３０１～Ａ３０３の動作が、所定のタイミングとなり行われたとする。ステップＡ３０１～Ａ３０３の動作は、図６と同様であるため、説明を省略する。ここでは、ステップＢ１０７において分析状態情報が廃棄されたことにより、使用状況は、所定の枯渇条件を満たさなかったものとする。したがって、分析規則制御部１１４は、分析規則の制御を実行しない。

　また、引き続き、図７に示すように、分析状態の参照が必要な分析を実行し分析結果を出力するステップＡ４０１～Ａ４０８の動作が継続可能である。ステップＡ４０１～Ａ４０８の動作は、図６と同様であるため、説明を省略する。

　なお、図７において、ステップＢ１０１～Ｂ１０７は上述した順に実行され、ステップＡ２０１～Ａ２０３は上述した順に実行され、ステップＡ３０１～Ａ３０３は上述した順に実行され、ステップＡ４０１～Ａ４０８は上述した順に実行される。ただし、図７に示したステップ間における上記以外の実行順序は、図示した順に限定されない。

　次に、本発明の第１の実施の形態の資源余剰状態における動作を、図８のシーケンス図に示す。ここで、資源余剰状態とは、分析装置１０の分析状態記憶部１０３において資源が余剰している状態をいうものとする。

　図８において、ステップＣ１０１～Ｃ１０６は、分析状態記憶部１０３の使用状況が所定の余剰条件を満たす際に分析規則を制御する動作を表す。

　この場合、まず、制御装置１１および評価装置７は、ステップＣ１０１～Ｃ１０２を実行する。ステップＣ１０１～Ｃ１０２の動作は、図６を参照して説明した定常時のステップＡ３０１～Ａ３０２と同様であるため、説明を省略する。これにより、制御装置１１の分析規則制御部１１４は、分析装置１０の分析状態記憶部１０３の使用状況を得る。

　次に、制御装置１１の分析状態監視部１１１は、分析状態記憶部１０３の使用状況が所定の余剰条件を満たすか否かの判定を行う（ステップＣ１０３）。例えば、所定の余剰条件とは、使用状況としての空き記憶容量が、余剰条件として定められた閾値を上回ることであってもよい。なお、分析状態記憶部１０３の使用状況が所定の余剰条件を満たすか否かの判定は、分析状態記憶部１０３の使用状況が前述した所定の枯渇条件を満たさないと判定された後に行われてもよい。ここでは、分析状態記憶部１０３の使用状況が余剰条件を満たしたものとする。

　そこで、分析規則制御部１１４は、評価結果記憶部１１２に記憶された評価結果の高さに基づいて、分析規則記憶部１０２において無効化されている分析規則の集合から、有効化の対象とする分析規則を決定する（ステップＣ１０４）。

　次に、分析規則制御部１１４は、分析装置１０に対して、有効化の指示を表す情報と、有効化の対象となる分析規則を一意に特定する分析規則ＩＤとを組みとして送信する（ステップＣ１０５）。

　次に、分析装置１０の分析規則管理部１０４は、有効化の指示を表す情報および分析規則ＩＤを受信すると、分析規則記憶部１０２において、受信した分析規則ＩＤの分析規則を有効化する（ステップＣ１０６）。

　ステップＣ１０６の実行により、以降、分析実行部１０１によって、有効化された分析規則ＩＤの分析規則に基づく分析が開始される。

　例えば、有効化された分析規則ＩＤの分析規則に基づく分析として、続いて、分析状態の参照が必要な分析を実行し分析結果を出力しないステップＡ２０１～Ａ２０３の動作が行われたとする。ステップＡ２０１～Ａ２０３の動作は、図６と同様であるため、説明を省略する。

　続いて、図８に示すように、分析状態記憶部１０３の使用状況を監視するステップＡ３０１～Ａ３０３が、所定のタイミングとなり行われたとする。ステップＡ３０１～Ａ３０３の動作は、図６と同様であるため、説明を省略する。ここでは、使用状況が所定の枯渇条件を満たさなかったものとする。したがって、分析規則制御部１１４は、分析規則の制御を実行しない。

　また、引き続き、図８に示すように、分析状態の参照が必要な分析を実行し分析結果を出力するステップＡ４０１～Ａ４０８の動作が継続可能である。ステップＡ４０１～Ａ４０８の動作は、図６と同様であるため、説明を省略する。

　なお、図８において、ステップＣ１０１～Ｃ１０６は上述した順に実行され、ステップＡ２０１～Ａ２０３は上述した順に実行され、ステップＡ３０１～Ａ３０３は上述した順に実行され、ステップＡ４０１～Ａ４０８はこの順に実行される。ただし、図８に示したステップ間における上記以外の実行順序は、図示した順に限定されない。

　次に、制御装置１１が評価結果を取得する動作の詳細を、図９のフローチャートに示す。

　図９では、まず、評価結果管理部１１３は、評価結果を、評価装置７から取得する（ステップＳ１１）。

　次に、評価結果管理部１１３は、取得した評価結果を、評価結果記憶部１１２に保存する（ステップＳ１２）。

　以上で、制御装置１１は、評価結果を取得する動作を終了する。

　次に、制御装置１１が、分析状態記憶部１０３の使用状況を監視し分析規則を制御する動作の詳細を、図１０のフローチャートに示す。

　図１０では、まず、分析状態監視部１１１は、分析装置１０に対して、分析状態記憶部１０３の使用状況を確認する情報を送信する（ステップＳ２１）。

　次に、分析状態監視部１１１は、分析装置１０から、分析状態記憶部１０３の使用状況を表す情報を受信する（ステップＳ２２）。

　次に、分析規則制御部１１４は、分析状態記憶部１０３の使用状況が、所定の枯渇条件を満たすか否かを判定する（ステップＳ２３）。前述のように、所定の枯渇条件とは、使用状況としての空き容量があらかじめ定められた閾値を下回ることであってもよい。

　ここで、分析状態記憶部１０３の使用状況が所定の枯渇条件を満たすと判定された場合について説明する（ステップＳ２３でＹｅｓ）。この場合、分析規則制御部１１４は、評価結果記憶部１１２に記憶された評価結果の低さに基づいて、無効化の対象とする分析規則を選択する（ステップＳ２４）。

　そして、分析規則制御部１１４は、無効化を指示する情報と、無効化の対象となる分析規則を一意に特定する分析規則ＩＤとを組として、分析装置１０に対して送信する（ステップＳ２５）。そして、制御装置１１は、処理を終了する。

　一方、分析状態記憶部１０３の使用状況が所定の枯渇条件を満たさないと判定された場合について説明する（ステップＳ２３でＮｏ）。この場合、分析規則制御部１１４は、分析状態記憶部１０３の使用状況が所定の余剰条件を満たすか否かを判定する（ステップＳ２６）。例えば、前述のように、所定の余剰条件とは、使用状況としての空き記憶容量が、余剰条件として定められた閾値を上回ることであってもよい。なお、余剰条件として定められる閾値は、枯渇条件として定められた閾値と同一であってもよい。この場合、ステップＳ２６の実行は省略可能である。あるいは、余剰条件として定められる閾値は、枯渇条件として定められた閾値を上回る異なる閾値であってもよい。

　ここで、分析状態記憶部１０３の使用状況が余剰条件を満たすと判定された場合について説明する（ステップＳ２６でＹｅｓ）。この場合、分析規則制御部１１４は、評価結果記憶部１１２に記憶された評価結果の高さに基づいて、分析規則記憶部１０２において無効化されている分析規則の中から、有効化の対象とする分析規則を選択する（ステップＳ２７）。

　そして、分析規則制御部１１４は、有効化を指示する情報と、有効化の対象となる分析規則を一意に特定する分析規則ＩＤとを組として、分析装置１０に対して送信する（ステップＳ２８）。そして、制御装置１１は、処理を終了する。

　一方、分析状態記憶部１０３の使用状況が所定の余剰条件を満たさないと判定された場合（ステップＳ２６でＮｏ）、制御装置１１は、処理を終了する。

　なお、図１０に示した動作は、図６、図７、図８におけるステップＡ３０１～Ａ３０３、Ｂ１０１～Ｂ１０５、Ｂ３０３、Ｃ１０１～Ｃ１０５およびＣ３０３のそれぞれに相当する。また、図１０に示した動作は、図６、図７、図８を参照して説明したように、所定のタイミング毎に実行される。所定のタイミング毎の実行とは、定期的な実行であってもよいし、何らかの規則やスケジュールに基づく反復的な実行であってもよい。

　次に、分析装置１０が分析を実行する動作の詳細を、図１１のフローチャートに示す。

　図１１では、まず、分析実行部１０１は、センサ５の群からログを受信する（ステップＳ３１）。

　次に、分析実行部１０１は、分析規則記憶部１０２から、分析規則を１つ読み込む（ステップＳ３２）。

　次に、分析実行部１０１は、この分析規則が有効であるか否かを判定する（ステップＳ３３）。

　ここで、分析規則が有効であると判定された場合（ステップＳ３３でＹｅｓ）、分析実行部１０１は、分析の実行に必要となる分析状態情報を、分析状態記憶部１０３から読み込む（ステップＳ３４）。ここでは、該当する分析規則ＩＤに関連付けられた分析状態情報が読み込まれる。

　次に、分析実行部１０１は、分析を実行する（ステップＳ３５）。

　次に、分析実行部１０１は、分析の実行において、実行中の分析、もしくは、他の分析に利用されるログを検出した場合、そのログに関する情報を、分析状態情報として、分析状態記憶部１０３に保存する（ステップＳ３６）。

　次に、分析実行部１０１は、この分析規則ＩＤの分析規則が満たされるか否かを判定する（ステップＳ３７）。この判定処理において、ステップＳ３４で読み込んだ分析状態情報や、ステップＳ３６で保存した分析状態情報が参照される。

　ここで、分析規則が満たされると判定された場合（ステップＳ３７でＹｅｓ）、分析実行部１０１は、分析結果を、評価装置７に対して出力する（ステップＳ３８）。

　一方、ステップＳ３３において分析規則が有効ではないと判定された場合（ステップＳ３３でＮｏ）、分析実行部１０１は、受信したログに対して実行すべき未実行の分析規則が存在するか否かの判定を実行する（ステップＳ３９）。

　また、ステップＳ３７において、分析規則が満たされないと判定された場合も（ステップＳ３７でＮｏ）、分析実行部１０１は、ステップＳ３９を実行する。

　また、ステップＳ３８において、分析結果を出力した後、分析実行部１０１は、ステップＳ３９を実行する。

　ステップＳ３９において、受信したログに対して実行すべき未実行の分析規則が存在すると判定された場合（ステップＳ３９でＹｅｓ）、分析実行部１０１は、ステップＳ３２からステップＳ３９までを繰り返し実行する。分析装置１０は、ステップＳ３２の実行の度に、未実行の異なる分析規則を読み込む。

　受信したログに対して未実行の分析規則が存在しない場合（ステップＳ３９でＮｏ）、分析装置１０は、処理を終了する。

　次に、分析装置１０が制御装置１１の指示に基づいて実行する動作の詳細を、図１２のフローチャートに示す。

　図１２では、まず、分析装置１０が、分析状態記憶部１０３の使用状況を確認する情報を受信した場合について説明する（ステップＳ４１で「使用状況を確認する情報」）。この場合、分析装置１０は、分析状態記憶部１０３の使用状況を表す情報を取得する（ステップＳ４２）。

　次に、分析装置１０は、使用状況を表す情報を、制御装置１１に対して送信し（ステップＳ４３）、処理を終了する。

　また、分析装置１０が、分析規則の無効化を指示する情報を受信した場合について説明する（ステップＳ４１で「無効化を指示する情報」）。この場合、分析規則管理部１０４は、無効化を指示する情報と共に受信した分析規則ＩＤを、分析規則記憶部１０２から検索する（ステップＳ５２）。

　次に、分析規則管理部１０４は、検索した分析規則ＩＤの分析規則を無効化する（ステップＳ５３）。

　次に、分析規則管理部１０４は、分析状態記憶部１０３において、無効化した分析規則ＩＤに関連付けられた分析状態情報が記憶されているか否かを判定する（ステップＳ５４）。

　ここで、無効化した分析規則ＩＤに関連付けられた分析状態情報が記憶されていると判定された場合（ステップＳ５４でＹｅｓ）、分析規則管理部１０４は、当該分析状態を廃棄し（ステップＳ５５）、処理を終了する。

　一方、無効化した分析規則ＩＤに関連付けられた分析状態情報が記憶されていないと判定された場合（ステップＳ５４でＮｏ）、分析装置１０は、処理を終了する。

　また、分析装置１０が、分析規則の有効化を指示する情報を受信した場合について説明する（ステップＳ４１で「有効化を指示する情報」）。この場合、分析規則管理部１０４は、有効化を指示する情報と共に受信した分析規則ＩＤを、分析規則記憶部１０２から検索する（ステップＳ６２）。

　次に、分析規則管理部１０４は、検索した分析規則ＩＤの分析規則を有効化する（ステップＳ６３）。

　以上で、分析装置１０が、制御装置１１の指示の下に行う動作の説明を終了する。

　次に、本発明の第１の実施の形態の効果について述べる。

　本発明の第１の実施の形態としての情報処理システムは、分析対象として入力される情報の量や内容を予測することが困難な用途において、分析の実行をより確実に継続することができる。

　その理由について説明する。本実施の形態では、分析装置において、分析実行部が、分析規則に基づいて分析規則を実行し分析結果を出力する。また、分析規則記憶部が、分析規則に有効性を表す情報を含めて記憶している。また、分析規則管理部が、分析規則記憶部の分析規則を管理する。また、分析状態記憶部が、分析実行部による分析の実行時に生成または参照される分析状態情報を記憶している。また、制御装置において、分析状態監視部が、分析状態記憶部の使用状況を監視する。また、評価結果管理部が、分析結果の評価結果を取得し、評価結果記憶部に保存して管理する。そして、分析規則制御部が、分析装置の分析状態記憶部の使用状況が所定の枯渇条件を満たしたときに、評価結果の低さに基づいて分析規則を選択する。そして、分析規則制御部が、選択した分析規則を無効化するよう、分析装置の分析規則管理部を介して分析規則を制御することにより、該分析規則に基づく分析の実行が停止されるよう制御するからである。また、分析規則制御部が、分析状態記憶部の使用状況が所定の余剰条件を満たしたときに、実行が停止されている分析に関わる分析規則のうち、評価結果の高さに基づいて分析規則を選択する。そして、分析規則制御部が、選択した分析規則を有効化するよう、分析装置の分析規則管理部を介して制御することにより、該分析規則に基づく分析の実行が開始されるよう制御するからである。

　このように、本実施の形態は、分析によって得られる効果が低い（偽陽性発生率が高い）分析規則のための分析状態情報の記憶を抑制し、ひいては、分析状態情報を記憶する分析状態記憶部の容量を超過するような分析状態情報の保存を抑制する。これにより、本実施の形態は、分析対象となる情報の量や内容が変化した場合に、分析状態情報を記憶する分析状態記憶部の制限により分析に必要な分析状態情報を記憶できなくなる状況を回避できる。その結果、本実施の形態は、所望の分析、特に分析によって得られる効果が高い分析の実行を確実に継続することができる。

　以上、本発明の第１の実施の形態の構成及び動作について説明したが、第１の実施の形態は変形を加えることができる。以下、変形を加えた本発明の第２の実施の形態について説明する。

　［第２の実施の形態］
　第１の実施の形態では、分析によって得られる効果が低い分析規則に基づく分析を停止することにより、所望の分析、特に分析によって得られる効果が高い分析の実行継続を図る例について説明した。本実施の形態では、分析によって得られる効果が低い分析規則に基づく分析も停止することなく、所望の分析の実行継続を図る例について説明する。なお、本実施の形態の説明において参照する各図面において、本発明の第１の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。

　本発明の第２の実施の形態について図面を参照して詳細に説明する。図１３は、本発明の第２の実施の形態の情報処理システム２の構成を示す機能ブロック図である。図１３を参照すると、情報処理システム２は、分析装置１０、分析装置２０および制御装置２１を含む。また、分析装置１０および分析装置２０は、それぞれ、制御装置２１に接続されている。また、分析装置１０および分析装置２０は、それぞれ、センサ６および評価装置８と通信可能に接続される。また、制御装置２１は、評価装置８と通信可能に接続される。また、評価装置８は、通知先装置９と通信可能に接続される。なお、図１３において、分析装置１０、分析装置２０および制御装置２１を１つずつ示したが、情報処理システム２に含まれる各装置の数は、限定されない。また、図１３において、３つのセンサ６と、１つずつの評価装置８および通知先装置９とを示したが、情報処理システム２に接続される各装置の数は、限定されない。以下、第１の実施の形態との相違点を中心に説明する。

　まず、分析装置１０について説明する。

　分析装置１０の構成および動作は、本発明の第１の実施の形態において説明した通りである。なお、分析装置１０は、例えば、後述の分析装置２０と比較して、分析遅延が小さいが、分析に対する資源利用効率が低い分析装置（例えば、リアルタイム処理型の分析装置）を適用することができる。

　次に、分析装置２０およびその各機能ブロックについて説明する。

　分析装置２０は、分析装置１０に対して、分析実行部１０１に替えて分析実行部２０１と、分析規則記憶部１０２に替えて分析規則記憶部２０２とを有する点が異なる。また、分析装置２０は、分析装置１０に対して、分析状態記憶部１０３の代わりに、ログ保存部２０５を有する点も異なる。また、分析装置２０は、例えば、分析装置１０と比較して、分析遅延が大きいが、分析に対する資源利用効率が高い分析装置（例えば、バッチ処理型の分析装置）を適用することができる。なお、分析装置２０は、本発明における他の分析装置の一実施形態に相当する。

　なお、分析装置２０は、図２を参照して説明した本発明の第１の実施の形態における分析装置１０と同様のハードウェア要素によって構成可能である。この場合、ログ保存部２０５は、メモリ１００２によって構成される。ただし、分析装置２０およびその各機能ブロックのハードウェア構成は、上述の構成に限定されない。

　分析実行部２０１は、本発明の第１の実施の形態で説明した分析実行部１０１と略同様に構成されるが、次の点が異なる。すなわち、分析実行部１０１は、分析対象のデータを受信する度に、分析規則に基づく分析を行う。これに対して、分析実行部２０１は、分析対象のデータを受信するとログ保存部２０５に保存し、その後、保存したデータに対して分析を実行する。なお、分析実行部２０１がセンサ６から受信するデータは、分析装置１０の分析実行部１０１がセンサ６から受信するデータと同一である。つまり、センサ６は、分析装置１０および分析装置２０に対して、同一のログをそれぞれ送信する。

　分析規則記憶部２０２は、本発明の第１の実施の形態で説明した分析装置１０の分析規則記憶部１０２と略同様に構成される。ただし、分析規則記憶部２０２は、分析規則記憶部１０２において有効な分析規則と同一の分析規則を、初期状態では無効な分析規則として記憶する点が異なる。図１４は、分析規則記憶部２０２に記憶される情報の一例を示す図である。図３に示した分析規則記憶部１０２に記憶される情報の例との相違点は、テーブルの各エントリについて、無効であることを表す情報が含まれている点である。分析規則記憶部２０２において無効な分析規則は、分析実行部２０１による実行の対象でないことを表している。

　ログ保存部２０５は、分析実行部２０１によって受信されたデータを保存する。ログ保存部２０５に保存されたデータは、分析実行部２０１による分析実行時に参照される。図１５は、ログ保存部２０５に記憶される情報の一例を示す図である。図１５には、受信されたデータを表すエントリを格納するテーブルが示されている。各エントリは、受信時刻、顧客ＩＤ（ＣｕｓｔｏｍｅｒＩＤ）、シグネチャＩＤ（ＳｉｇｎａｔｕｒｅＩＤ）、送信元ＩＰアドレス（ＳｏｕｒｃｅＩＰＡｄｄｒｅｓｓ）および宛先ＩＰアドレス（ＤｅｓｔｉｎａｔｉｏｎＩＰＡｄｄｒｅｓｓ）をそれぞれ表す情報からなる。例えば、図１５の一番上のエントリは、時刻１４５３４４８５８６．９２３００２６１９に、顧客ＩＤが２であるセンサ６から、シグネチャＩＤが９６、送信元ＩＰアドレスが１０．０．１．１、宛先ＩＰアドレスが１０．０．１．２のデータが受信されたことを表す。分析実行部２０１は、分析規則に基づく分析を実行する際に、本テーブルに含まれるエントリを参照することにより、当該分析規則の全条件を充足するか否かの判断を行うことが可能となる。

　次に、制御装置２１およびその各機能ブロックについて説明する。

　制御装置２１は、本発明の第１の実施の形態における制御装置１１に対して、評価結果記憶部１１２に替えて評価結果記憶部２１２と、分析規則制御部１１４に替えて分析規則制御部２１４とを有する点が異なる。

　なお、制御装置２１およびその各機能ブロックは、図２を参照して説明した本発明の第１の実施の形態における制御装置１１と同様のハードウェア要素によって構成可能である。ただし、制御装置２１およびその各機能ブロックのハードウェア構成は、上述の構成に限定されない。

　評価結果記憶部２１２は、分析装置１０の分析実行部１０１および分析装置２０の分析実行部２０１から出力された分析結果に対する評価結果を記憶する。図１６は、評価結果記憶部２１２に記憶される情報の一例を示す図である。図１６の例では、評価完了時刻と、分析装置ＩＤと、分析規則ＩＤと、評価結果とをそれぞれ表す情報からなるエントリを格納するテーブルが示されている。評価完了時刻は、評価装置８によって評価結果が生成または取得された時刻を表す。また、分析装置ＩＤは、評価対象の分析結果の出力元である分析装置を一意に特定するＩＤである。この例では、分析装置１０のＩＤが“Ａ”であり、分析装置２０のＩＤが“Ｂ”であるとする。また、分析規則ＩＤは、評価対象の分析結果が出力される際に適用された分析規則を一意に特定するＩＤである。評価結果は、評価装置８によって生成または取得された情報であり、例えば、分析結果に対する確からしさを表す。

　例えば、図１６の一番上のエントリは、分析規則ＩＤ（３）の適用により分析装置１０（ＩＤ＝Ａ）から出力された分析結果について、偽陽性であるという評価結果が、時刻２０１６／０１／２２　１７：００．００に取得または生成されたことを表している。このように、評価結果記憶部２１２は、分析装置１０の分析実行部１０１または分析装置２０の分析実行部２０１から出力された分析結果に対する評価結果を含むエントリを、一つ以上記憶できる。

　分析規則制御部２１４は、本発明の第１の実施の形態で説明した分析規則制御部１１４と略同様に構成されるが、次の点が異なる。すなわち、分析規則制御部２１４は、分析装置１０の分析規則記憶部１０２に記憶された分析規則を制御することに加えて、分析装置２０の分析規則記憶部２０２に記憶された分析規則を制御する。分析規則記憶部２０２に記憶された分析規則の制御は、分析規則管理部１０４を介して行われる。詳細には、分析規則制御部２１４は、ある分析規則に基づく分析を分析装置１０に実行させないよう制御する場合、当該分析規則に基づく分析を分析装置２０に実行させるよう、分析装置２０の分析規則記憶部２０２に記憶された分析規則を制御する。

　例えば、分析規則記憶部１０２に、図３に示した情報が記憶され、分析規則記憶部２０２に、図１４に示した情報が記憶されているとする。このとき、分析状態記憶部１０３の使用状況である空き記憶容量が予め定義された閾値を下回ったとする。この場合に、分析規則制御部２１４が分析装置１０に対して行う制御は、本発明の第１の実施の形態における分析規則制御部１１４と同様である。すなわち、この場合、分析規則制御部２１４は、評価結果として偽陽性発生率が閾値を超える分析規則（例えばＩＤ＝３）を特定し、特定した分析規則を無効化する制御を行う。これにより、分析装置１０において、分析状態記憶部１０３の容量を超過する分析状態情報の保存が抑制され、無効化された分析規則と比較して相対的に真陽性率が高い（分析によって得られる効果が高い）分析規則の実行が継続可能となる点も同様である。

　本実施の形態では、さらに、分析規則制御部２１４は、分析装置２０に対して、次のような制御を行う。具体的には、分析規則制御部２１４は、分析装置２０の分析規則管理部１０４に対して、分析装置１０において無効化した分析規則（例えば、ＩＤ＝３）に相当する分析規則を有効化するよう指示する。これにより、分析規則制御部２１４は、当該分析規則に基づく分析を、分析実行部２０１に実行させるよう制御することになる。この制御の基、分析装置２０の分析規則管理部１０４は、分析規則記憶部２０２において分析規則ＩＤ（３）のエントリを検索し、該当するエントリの有効性を表す情報を、無効から有効に変更する。これにより、分析装置１０において無効化された、偽陽性発生率が閾値を超える（分析によって得られる効果が低い）分析規則についても、分析装置２０においてその分析が継続される。

　次に、情報処理システム２に接続される各装置について説明する。

　センサ６は、本発明の第１の実施の形態におけるセンサ５と略同様に構成される。ただし、センサ６は、センサ５に対して、分析装置１０の分析実行部１０１に接続されることに加えて、分析装置２０の分析実行部２０１に接続される点が異なる。また、センサ６は、生成したデータを、分析装置１０の分析実行部１０１に送信することに加えて、分析装置２０の分析実行部２０１にもさらに送信する点が異なる。

　評価装置８は、本発明の第１の実施の形態における評価装置７と略同様に構成される。ただし、評価装置８は、評価装置７に対して、分析装置１０の分析実行部１０１から出力される分析結果に加えて、分析装置２０の分析実行部２０１から出力される分析結果についても、その評価結果を生成または取得する点が異なる。

　なお、図１３において、分析装置１０と、分析装置２０と、制御装置２１とを、異なる装置として例示した。これに限らず、これらの装置の一部もしくは全ては、一体とした装置として構成されてもよい。また、これらの装置の一部もしくは全てを一体とした装置は、評価装置８を含んでいてもよい。

　まず、本発明の第２の実施の形態の定常時の動作を、図１７のシーケンス図に示す。なお、以下の動作の説明では、分析対象となるデータを、ログとも記載する。

　図１７において、まず、センサ６の群は、分析装置１０および分析装置２０に対して、ログを送信する。

　ここで、ログを受信した分析装置１０の動作、および、それに続く評価装置８、制御装置２１の動作は、図６を参照して説明した第１の実施の形態と同様であるため、説明を省略する。

　次に、ログを受信した分析装置２０では、分析実行部２０１は、受信したログを、ログ保存部２０５に保存する。また、分析実行部２０１は、保存したログに対して、実行すべき分析が存在するか否かの判定を実行する（ステップＡ５０１）。判定処理の詳細については後述する。ここでは、実行すべき分析が存在しなかったものとする。したがって、分析実行部２０１は、分析を実行せずに処理を終了する。なお、ステップＡ５０２、Ａ５０３の動作は、ステップＡ５０１と同様であるため、説明を省略する。

　次に、本発明の第２の実施の形態の資源枯渇状態における動作を、図１８のシーケンス図に示す。

　図１８において、ステップＢ５０１～Ｂ５０９は、分析状態記憶部１０３の使用状況が所定の枯渇条件を満たす際に分析規則を制御する動作を表す。

　ここでは、まず、制御装置２１および分析装置１０は、ステップＢ５０１～Ｂ５０３を実行する。ステップＢ５０１～Ｂ５０３の動作は、図７を参照して説明した本発明の第１の実施の形態におけるステップＢ３０１～Ｂ３０３と同様であるため、説明を省略する。これにより、制御装置２１の分析規則制御部２１４は、分析装置１０の分析状態記憶部１０３の使用状況が所定の枯渇条件を満たすか否かの判定結果を得る。ここでは、使用状況が所定の枯渇条件を満たしたものとする。

　そこで、分析規則制御部２１４は、評価結果記憶部２１２に記憶された評価結果の低さに基づいて、制御の対象とする分析規則を決定する（ステップＢ５０４）。制御の対象とする分析規則は、分析装置１０において無効化の対象となるとともに、分析装置２０において有効化の対象となる。

　次に、分析規則制御部２１４は、分析装置１０に対して、無効化の指示を表す情報と、制御の対象となる分析規則を一意に特定する分析規則ＩＤとを組みとして送信する（ステップＢ５０５）。

　さらに、分析規則制御部２１４は、分析装置２０に対して、有効化の指示を表す情報と、制御の対象となる分析規則を一意に特定する分析規則ＩＤとを組みとして送信する（ステップＢ５０６）。

　ここで、無効化の指示を表す情報を受信した分析装置１０は、ステップＢ５０７～Ｂ５０８を実行する。ステップＢ５０７～Ｂ５０８の動作は、図７を参照して説明した本発明の第１の実施の形態のステップＢ１０６～Ｂ１０７と同様であるため、説明を省略する。これにより、分析装置１０は、分析状態記憶部１０３の空き記憶容量の枯渇を免れることができ、分析の実行を継続できる。

　次に、分析装置２０の分析規則管理部１０４は、有効化の指示を表す情報および分析規則ＩＤを受信すると、分析規則記憶部２０２において、受信した分析規則ＩＤの分析規則を有効化する（ステップＢ５０９）。

　続いて、図１８に示すように、センサ６の群から、分析装置１０および分析装置２０に対して、ログが送信されたとする。

　このとき、ログを受信した分析装置１０は、ステップＢ５０７で無効化されていない分析規則があれば、その分析規則に基づく分析を実行する。ここでは、分析装置１０は、分析状態の参照が必要な分析を実行し分析結果を出力しないステップＡ２０１～Ａ２０３の動作を実行したとする。ステップＡ２０１～Ａ２０３の動作は、図６と同様であるため、説明を省略する。

　また、ログを受信した分析装置２０は、受信したデータをログ保存部２０５に保存する（ステップＢ６０１）。

　そして、分析装置２０は、実行するべき分析規則が存在するか否かの判断を行う。ここでは、実行するべき分析規則として、ステップＢ５０９で有効化された分析規則が少なくとも存在する。

　そこで、分析実行部２０１は、保存済みのログを読み込み（ステップＢ６０２）、分析を実行する（ステップＢ６０３）。

　ここでは、ログ保存部２０５から読み込んだデータが、分析規則を充足しないとする。そこで、分析実行部２０１は、分析結果を出力せずに、処理を終了する。

　さらにその後、図１８に示すように、センサ６の群から、分析装置１０および分析装置２０に対して、ログが送信されたとする。

　ここでは、分析装置１０は、受信したログに対して、分析状態の参照が必要な分析を実行し分析結果を出力しないステップＡ２０１～Ａ２０３の動作を実行したとする。ステップＡ２０１～Ａ２０３の動作については、図６と同様であるため、説明を省略する。

　また、分析装置２０は、受信したログに対して、分析状態の参照が必要な分析を実行し分析結果を出力する動作を実行したとする。

　ここでは、まず、分析装置２０の分析実行部２０１は、センサ６の群からログを受信すると、ステップＢ７０１～Ｂ７０３を実行する。ステップＢ７０１～Ｂ７０３の動作は、上述したステップＢ６０１～Ｂ６０３と同様であるため、説明を省略する。これにより、受信したデータがログ保存部２０５に保存されるとともに、保存済みのログに基づいて、分析が実行される。

　そして、ここでは、ログ保存部２０５から読み込まれたデータが、分析規則を充足するものとする。そこで、分析実行部２０１は、分析結果を、評価装置８に通知する（ステップＢ７０４）。

　そして、制御装置２１および評価装置８は、ステップＢ７０５～Ｂ７０８を実行する。ステップＢ７０５～Ｂ７０８の動作は、図６を参照して説明した本発明の第１の実施の形態の動作におけるステップＡ４０５～Ａ４０８と同様であるため、説明を省略する。これにより、ステップＢ７０４で出力された分析結果に対する評価結果が、評価結果記憶部２１２に記憶される。

　次に、本発明の第２の実施の形態の資源余剰状態における動作を、図１９のシーケンス図に示す。

　図１９において、ステップＣ５０１～Ｃ５０８は、分析状態記憶部１０３の使用状況が所定の余剰条件を満たす際に分析規則を制御する動作を表す。

　ここでは、まず、制御装置２１および分析装置１０は、ステップＣ５０１～Ｃ５０３を実行する。ステップＣ５０１～Ｃ５０３の動作は、図８を参照して説明したステップＣ１０１～Ｃ１０３と同様であるため、説明を省略する。これにより、制御装置２１の分析規則制御部２１４は、分析装置１０の分析状態記憶部１０３の使用状況が所定の余剰条件を満たすか否かの判定結果を得る。ここでは、使用状況が所定の余剰条件を満たしたものとする。

　そこで、分析規則制御部２１４は、評価結果記憶部２１２に記憶された評価結果の高さに基づいて、制御の対象とする分析規則を決定する（ステップＣ５０４）。制御の対象とする分析規則は、分析装置１０において有効化の対象となるとともに、分析装置２０において無効化の対象となる。

　次に、分析規則制御部２１４は、分析装置１０に対して、有効化の指示を表す情報と、制御の対象となる分析規則を一意に特定する分析規則ＩＤとを組みとして送信する（ステップＣ５０５）。

　さらに、分析規則制御部２１４は、分析装置２０に対して、無効化の指示を表す情報と、制御の対象となる分析規則を一意に特定する分析規則ＩＤとを組みとして送信する（ステップＣ５０６）。

　ここで、有効化の指示を表す情報を受信した分析装置１０は、ステップＣ５０７を実行する。ステップＣ５０７の動作は、図８を参照して説明した本発明の第１の実施の形態のステップＣ１０６と同様であるため、説明を省略する。これにより、以降、分析実行部１０１によって、有効化された分析規則ＩＤの分析規則に基づく分析が開始される。

　次に、分析装置２０の分析規則管理部１０４は、無効化の指示を表す情報および分析規則ＩＤを受信すると、分析規則記憶部２０２において、受信した分析規則ＩＤの分析規則を無効化する（ステップＣ５０８）。これにより、分析装置２０において、分析実行部１０１の代わりに分析実行部２０１によって実行されていた分析規則に基づく分析が、停止される。

　続いて、図１９に示すように、センサ６の群から、分析装置１０および分析装置２０に対して、ログが送信されたとする。

　ここでは、分析装置２０の分析規則記憶部２０２には、ステップＣ５０８での無効化の動作により、有効な分析規則が記憶されていないものとする。

　したがって、これ以降ログが受信された際に、分析装置２０は、ステップＡ５０２やステップＡ５０３を実行してログを保存する。ステップＡ５０２やＡ５０３の動作は、図１７を参照して説明した分析装置２０の動作と同様であるため、説明を省略する。

　また、これ以降ログが受信された際の分析装置２０、評価装置８および制御装置２１の動作は、図６を参照して説明した本発明の第１の実施の形態における定常時の動作と同様であるため、説明を省略する。

　次に、制御装置２１が評価結果を取得する動作について説明する。制御装置２１が評価結果を取得する動作は、図９を参照して説明した本発明の第１の実施の形態と同様であるため、図示および説明を省略する。

　次に、制御装置２１が分析状態記憶部１０３の使用状況を監視し分析規則を制御する動作の詳細を、図２０のフローチャートに示す。

　図２０では、まず、制御装置２１の分析状態監視部１１１は、ステップＳ２１～Ｓ２３まで、本発明の第１の実施の形態と同様に動作して、分析状態記憶部１０３の使用状況が、所定の枯渇条件を満たすか否かを判定する。

　ここで、分析状態記憶部１０３の使用状況が枯渇条件を満たすと判定された場合について説明する（ステップＳ２３でＹｅｓ）。この場合、分析規則制御部２１４は、評価結果記憶部２１２に記憶された評価結果の低さに基づいて、制御の対象とする分析規則を選択する（ステップＳ７１）。

　次に、分析規則制御部２１４は、分析装置１０に対して、無効化を指示する情報および制御の対象となる分析規則を一意に特定する分析規則ＩＤを送信する（ステップＳ７２）。

　さらに、分析規則制御部２１４は、分析装置２０に対して、有効化を指示する情報および制御の対象となる分析規則を一意に特定する分析規則ＩＤを送信する（ステップＳ７３）。

　一方、分析状態記憶部１０３の使用状況が枯渇条件を満たさないと判定された場合について説明する（ステップＳ２３でＮｏ）。この場合、分析規則制御部２１４は、分析状態記憶部１０３の使用状況が余剰条件を満たすか否かを判定する（ステップＳ７４）。なお、本発明の第１の実施の形態で説明したように、余剰条件として定められる閾値が、枯渇条件として定められた閾値と同一である場合には、ステップＳ７４の実行は省略可能である。

　ここで、分析状態記憶部１０３の使用状況が所定の余剰条件を満たすと判定された場合について説明する（ステップＳ７４でＹｅｓ）。この場合、分析規則制御部２１４は、評価結果記憶部２１２に記憶された評価結果の高さに基づいて、分析規則記憶部１０２において無効化されている分析規則の中から、制御の対象とする分析規則を選択する（ステップＳ７５）。

　次に、分析規則制御部２１４は、分析装置１０に対して、有効化を指示する情報および制御の対象として選択した分析規則を一意に特定する分析規則ＩＤを送信する（ステップＳ７６）。

　さらに、分析規則制御部２１４は、分析装置２０に対して、無効化を指示する情報および制御の対象として選択した分析規則を一意に特定する分析規則ＩＤを送信する（ステップＳ７７）。

　一方、分析状態記憶部１０３の使用状況が所定の余剰条件を満たさないと判定された場合について説明する（ステップＳ７４でＮｏ）。この場合、制御装置２１は、処理を終了する。

　なお、図２０に示した動作は、図１７、図１８、図１９におけるステップＡ３０１～Ａ３０３、Ｂ５０１～Ｂ５０６、Ｃ５０１～Ｃ５０６のそれぞれに相当する。また、図２０に示した動作は、図１７、図１８、図１９を参照して説明したように、所定のタイミング毎に実行される。所定のタイミング毎の実行とは、定期的な実行であってもよいし、何らかの規則やスケジュールに基づく反復的な実行であってもよい。

　次に、分析装置１０が分析を行う動作について説明する。分析装置１０が分析を行う動作は、図１１を参照して説明した本発明の第１の実施の形態と同様である。したがって図示および詳細な説明を省略する。

　次に、分析装置２０が分析を実行する動作の詳細を、図２１に示す。

　図２１に示すように、分析装置２０が分析を実行する動作は、図１１を参照して説明した分析装置１０が分析を実行する動作に対して、次の点が異なる。

　相違点の１つは、ステップＳ３１でセンサ６の群からログを受信した後、ステップＳ３２で分析規則を読み込む前に、受信したログをログ保存部２０５に保存するステップＳ８１が実行される点である。

　また、他の相違点は、ステップＳ３２で読み込んだ分析規則がステップＳ３３で有効であると判定された場合に、分析状態情報を読み込むステップＳ３４の代わりに、ログ保存部２０５から保存済みのログを読み込むステップＳ８２が実行される点である。

　また、さらに他の相違点は、ステップＳ３５で分析規則に基づく分析を実行後、分析状態情報を保存するステップＳ３６が実行されない点である。

　これらの相違点以外は、分析装置２０が分析を実行する動作は、分析装置１０が分析を実行する動作と同様である。

　次に、分析装置１０が制御装置２１の指示に基づいて実行する動作について説明する。分析装置１０が制御装置２１の指示に基づいて実行する動作は、図１２を参照して説明した本発明の第１の実施の形態と同様である。したがって図示および詳細な説明を省略する。

　次に、分析装置２０が制御装置２１の指示に基づいて実行する動作の詳細を、図２２のフローチャートに示す。

　図２２に示すように、分析装置２０が制御装置２１の指示に基づいて実行する動作は、図１２を参照して説明した分析装置１０が制御装置２１の指示に基づいて実行する動作に対して、分析状態記憶部１０３の使用状況を確認する情報を受信しない点が異なる。

　また、無効化を指示する情報を受信した場合に（ステップＳ４１で「無効化を指示する情報」）、制御の対象となる分析規則ＩＤの分析規則を無効化した後、関連する分析状態情報を廃棄するステップＳ５４～Ｓ５５を実行しない点が異なる。

　なお、有効化を指示する情報を受信した場合（ステップＳ４１で「有効化を指示する情報」）の動作は、分析装置１０が有効化を指示する情報を受信した場合の動作と同様である。

　以上で、分析装置２０が、制御装置２１の指示の下に行う動作の説明を終了する。

　次に、本発明の第２の実施の形態の効果について述べる。

　本発明の第２の実施の形態としての情報処理システムは、分析対象として入力される情報の量や内容を予測することが困難な用途において、一部の分析の実行を停止することなく、分析を確実に継続することができる。

　その理由について説明する。本実施の形態では、情報処理システムが、本発明の第１の実施の形態と同様の構成に加えて、分析実行部、分析規則記憶部、分析規則管理部を少なくとも含む他の分析装置を有している。

　そして、他の分析装置の分析規則記憶部は、分析装置の分析規則記憶部と同一の分析規則に、初期状態では無効であることを関連付けて保存している。そして、制御装置の分析規則制御部が、分析規則に基づく分析を、分析状態情報を有する分析装置に実行させないよう制御する場合、該分析規則に基づく分析を、他の分析装置に実行させるよう制御するからである。具体的には、分析規則制御部は、分析装置の分析状態記憶部が所定の枯渇条件を満たした場合、評価結果の低さに基づいて選択した分析規則の有効性を、分析装置において無効化し、他の分析装置において有効化する。また、分析規則制御部は、分析装置の分析状態記憶部が所定の余剰条件を満たした場合、分析装置の分析規則記憶部において無効化されている分析規則のうち、評価結果の高さに基づいて制御対象の分析規則を選択する。そして、分析規則制御部は、分析状態記憶部を有する分析装置において、選択した制御対象の分析規則の有効性を有効化し、他の分析装置において無効化するからである。

　このように、本実施の形態は、評価結果の低い分析規則に関わる分析の実行を停止させることなく、分析状態記憶部の使用状況を枯渇させずに、分析の実行を継続させることができる。これにより、本実施の形態は、分析対象となる情報の量や内容が変化した場合に、分析状態情報を記憶する分析状態記憶部の制限により、必要とする分析状態情報を記憶できなくなり、所望の分析の実行を継続できなくなるという問題を回避することができる。

　［第３の実施の形態］
　第３の実施の形態では、本発明の最小構成の実施の形態について説明する。まず、図２３に、本発明の第３の実施の形態としての情報処理システム３の構成を示す。図２３において、本発明の最小構成である情報処理システム３は、分析装置３０と、制御装置３１とを含む。分析装置３０および制御装置３１は、通信可能に接続される。

　分析装置３０は、分析実行部３０１と、分析規則記憶部３０２と、分析状態記憶部３０３と、分析規則管理部３０４とを含む。

　また、制御装置３１は、分析状態監視部３１１と、評価結果記憶部３１２と、評価結果管理部３１３と、分析規則制御部３１４とを含む。

　ここで、分析装置３０および制御装置３１の各機能ブロックは、図２に示した本発明の第１の実施の形態と同様のハードウェア要素によって構成可能である。ただし、分析装置３０、制御装置３１およびその各機能ブロックのハードウェア構成は、上述の構成に限定されない。

　分析実行部３０１は、分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する。

　分析規則記憶部３０２は、分析規則を記憶する。

　分析状態記憶部３０３は、分析実行部３０１によって分析の実行時に生成または参照される分析の状態を表す分析状態情報を記憶する。

　分析規則管理部３０４は、分析規則を管理する。

　分析状態監視部３１１は、分析状態記憶部３０３の使用状況を監視する。

　評価結果管理部３１３は、分析結果に対する評価結果を取得し管理する。

　評価結果記憶部３１２は、評価結果を記憶する。

　分析規則制御部３１４は、分析状態記憶部３０３の使用状況および評価結果に基づいて、分析規則管理部３０４を介して分析規則を制御する。ここで、分析規則の制御とは、例えば、分析実行部３０１による分析において新たに生成される分析状態情報の量や内容が調整されるように分析規則の内容を変更することであってもよい。

　なお、図２３において、分析装置３０と、制御装置３１とを、異なる装置として例示した。これに限らず、これらの装置は、一体とした装置として構成されてもよい。

　以上のように構成された情報処理システム３の動作について、図面を参照して説明する。

　まず、分析装置３０が分析を実行する動作を、図２４に示す。

　図２４では、まず、分析実行部３０１は、分析対象のデータを取得する（ステップＳ１００１）。

　次に、分析実行部３０１は、分析規則記憶部３０２から、分析規則を１つ読み込む（ステップＳ１００２）。

　次に、分析実行部３０１は、分析の実行に必要となる分析状態情報を、分析状態記憶部３０３から読み込む（ステップＳ１００３）。

　次に、分析実行部３０１は、この分析規則に基づく分析を、読み込んだ分析状態情報を参照しながら実行する（ステップＳ１００４）。

　次に、分析実行部３０１は、分析の実行において、実行中の分析もしくは他の分析に利用され得る分析状態情報を検出した場合、その分析状態情報を分析状態記憶部３０３に保存する（ステップＳ１００５）。

　次に、分析実行部３０１は、この分析規則に基づいて、分析結果を必要に応じて出力する（ステップＳ１００６）。分析規則に基づき分析結果の出力が必要でなければ、ステップＳ１００６の動作は省略される。

　また、もし、ステップＳ１００２で読み込んだ分析規則に基づき分析の実行が不要と判断される場合、ステップＳ１００３～Ｓ１００６の動作は省略される。

　次に、分析実行部３０１は、分析対象のデータに対して未実行の分析規則があるか否かを判定する（ステップＳ１００７）。

　ここで、分析対象のデータに対して未実行の分析規則があれば（ステップＳ１００７でＹｅｓ）、分析実行部３０１は、ステップＳ１００２からＳ１００７までを繰り返し実行する。

　一方、分析対象のデータに対して未実行の分析規則がなければ（ステップＳ１００７でＮｏ）、分析装置３０は、処理を終了する。

　次に、制御装置３１が評価結果を取得する動作について説明する。制御装置３１が評価結果を取得する動作は、図９を参照して説明した本発明の第１の実施の形態と同様であるため、図示および説明を省略する。

　次に、制御装置３１が、分析状態記憶部３０３の使用状況を監視し分析規則を制御する動作の詳細を、図２５のフローチャートに示す。

　図２５では、まず、分析状態監視部３１１は、分析装置３０に対して、分析状態記憶部３０３の使用状況を確認する情報を送信する（ステップＳ３００１）。

　次に、分析状態監視部３１１は、分析状態記憶部３０３の使用状況を表す情報を受信する（ステップＳ３００２）。

　次に、分析規則制御部３１４は、分析状態記憶部３０３の使用状況に基づいて、分析規則の制御が必要であるか否かを判断する（ステップＳ３００３）。

　ここで、分析規則の制御が必要である場合、分析規則制御部３１４は、分析状態記憶部３０３の使用状況および評価結果記憶部３１２の評価結果に基づいて、分析規則を制御する情報を、分析装置３０に対して送信する（ステップＳ３００４）。例えば、分析規則を制御する情報は、分析実行部３０１による分析において新たに生成される分析状態情報の量や内容が調整されるように分析規則を変更することを指示する内容であってもよい。そして、制御装置３１は、処理を終了する。

　また、ステップＳ３００３において、分析規則の制御が必要でないと判断された場合も、制御装置３１は、処理を終了する。

　なお、図２５に示した動作は、所定のタイミング毎に実行される。所定のタイミング毎の実行とは、定期的な実行であってもよいし、何らかの規則やスケジュールに基づく反復的な実行であってもよい。

　次に、分析装置３０が制御装置３１の指示に基づいて実行する動作の詳細を、図２６のフローチャートに示す。

　図２６では、まず、分析装置３０が、分析状態記憶部３０３の使用状況を確認する情報を受信した場合について説明する（ステップＳ４００１で「使用状況を確認する情報」）。この場合、分析装置３０は、分析状態記憶部３０３の使用状況を表す情報を取得する（ステップＳ４００２）。

　次に、分析装置３０は、使用状況を表す情報を、制御装置３１に対して送信し（ステップＳ４００３）、処理を終了する。

　また、分析装置３０が、分析規則を制御する情報を受信した場合について説明する（ステップＳ４００１で「分析規則を制御する情報」）。ここでは、分析規則を制御する情報には、制御の対象となる分析規則を特定する情報および制御の内容が含まれているとする。この場合、分析規則管理部３０４は、分析規則記憶部３０２において、制御の対象の分析規則を、制御の内容にしたがって変更する（ステップＳ４００４）。

　以上で、分析装置３０が、制御装置３１の指示の下に行う動作の説明を終了する。

　次に、本発明の第３の実施の形態の効果について述べる。

　本発明の第３の実施の形態としての情報処理システムは、分析対象として入力される情報の量や内容を予測することが困難な用途において、分析の実行をより確実に継続することができる。

　その理由について説明する。本実施の形態では、分析装置において、分析実行部が、分析規則に基づいて分析規則を実行し分析結果を出力する。また、分析規則記憶部が、分析規則を記憶している。また、分析規則管理部が、分析規則記憶部の分析規則を管理する。また、分析状態記憶部が、分析実行部による分析の実行時に生成または参照される分析状態情報を記憶している。また、制御装置において、分析状態監視部が、分析状態記憶部の使用状況を監視する。また、評価結果管理部が、分析結果に対する評価結果を取得し、評価結果記憶部に保存して管理する。そして、分析規則制御部が、分析状態記憶部の使用状況および評価結果記憶部の評価結果に基づいて、分析規則管理部を介して分析規則を制御するからである。分析規則の制御により、例えば、分析規則は、分析実行部による分析において新たに生成される分析状態情報の量や内容が調整されるような内容に変更される。

　このように、本実施の形態は、分析実行装置における分析状態記憶部の使用状況および分析結果に対する評価結果に基づいて、必要に応じて分析規則を制御する。これにより、本実施の形態は、分析実行装置において新たに生成されて分析状態記憶部に記憶される分析状態情報の量や内容を調節する。その結果、本実施の形態は、分析対象となる情報の量や内容が変化した場合に、分析状態情報を記憶する分析状態記憶部の制限により分析に必要な分析状態情報を記憶できなくなる状況を回避できる。そして、本実施の形態は、分析の実行を確実に継続することができる。

　以上、本発明の各実施の形態を説明したが、本発明は、上記した実施の形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。

　例えば、各図面に示したシステム構成、各装置の構成、シーケンス、フローチャートは、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。

　また、上述した本発明の各実施の形態において、分析装置の機能ブロックは、複数の装置に分散されて実現されてもよい。また、制御装置の機能ブロックは、複数の装置に分散されて実現されてもよい。

　また、上述した本発明の第１および第２の実施の形態では、分析装置が、センサ群から分析対象のログを受信する例について説明した。ただし、本発明において分析対象となるデータは、センサ群から出力されたログに限定されない。分析対象となるデータとしては、リアルタイム、非リアルタイム、オンラインまたはオフラインに収集された任意のデータを適用可能である。例えば、本発明の情報処理システムは、分析の開始に先立って、予め、通信回線、もしくは、他の媒体を利用して収集または蓄積されたデータを、分析対象としてもよい。

　また、上述した本発明の第１および第２の実施の形態において、制御装置の分析状態監視部が、分析状態記憶部の使用状況として可用資源量（空き記憶容量）を取得する例について説明した。これに限らず、分析状態監視部は、使用状況として、分析状態記憶部の使用状況に関わる他の情報またはこれらの組み合わせを取得してもよい。

　また、上述した本発明の第１および第２の実施の形態では、制御装置の分析規則制御部が、所定の枯渇条件（または余剰条件）として、空き記憶容量が閾値を下回る（または上回る）ことを適用する例について説明した。これに限らず、分析規則制御部は、所定の枯渇条件（または余剰条件）として、分析状態記憶部の使用状況に関わる他の条件を適用してもよい。

　また、上述した本発明の第１および第２の実施の形態において、制御装置の評価結果記憶部が、分析結果の評価結果として、真陽性もしくは偽陽性を表す情報を記憶する例について説明した。また、制御装置の分析規則制御部が、無効化（または有効化）する分析規則として、偽陽性発生率が閾値を超える（または超えない）分析規則を特定する例について説明した。これに限らず、分析規則制御部は、無効化（または有効化）の対象となる分析規則の特定を、他の基準に基づいて行ってもよい。例えば、評価結果記憶部が、分析結果の評価結果として、分析結果の確からしさを示す数値を分析規則ＩＤ毎に記憶していてもよい。この場合、分析規則制御部は、分析規則ＩＤ毎の確からしさを示す数値の合計値に基づいて、無効化（または有効化）の対象となる分析規則を特定してもよい。さらに、評価結果記憶部が、分析結果に対する評価結果として、分析結果の出力に寄与したログの送信元のセンサの重要度に基づく値を記憶していてもよい。そのようなセンサの重要度は、あらかじめ定められていてもよい。そして、この場合、分析規則制御部は、分析規則ＩＤ毎にセンサの重要度に基づく数値の合計値に基づいて、無効化（または有効化）の対象となる分析規則を特定してもよい。

　また、上述した本発明の各実施の形態において、分析装置および制御装置の各機能ブロックが、メモリに記憶されたコンピュータ・プログラムを実行するＣＰＵによって実現される例を中心に説明した。これに限らず、各機能ブロックの一部、全部、または、それらの組み合わせが専用のハードウェアにより実現されていてもよい。

　また、上述した本発明の各実施の形態において、各フローチャートを参照して説明した分析装置および制御装置の動作を、本発明のコンピュータ・プログラムとしてコンピュータ装置の記憶装置（記憶媒体）に格納しておく。そして、係るコンピュータ・プログラムを当該ＣＰＵが読み出して実行するようにしてもよい。そして、このような場合において、本発明は、係るコンピュータ・プログラムのコードあるいは記憶媒体によって構成される。

　また、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施の形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素（各請求項の各要素、各実施の形態の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。

　また、上述した各実施の形態は、適宜組み合わせて実施されることが可能である。

　また、本発明は、上述した各実施の形態に限定されず、様々な態様で実施されることが可能である。

　また、上述した各実施の形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
（付記１）
　分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する分析実行部と、
　前記分析規則を記憶する分析規則記憶部と、
　前記分析規則を管理する分析規則管理部と、
　前記分析実行部によって生成または参照される前記分析の状態を表す分析状態情報を記憶する分析状態記憶部と、を有する分析装置と、
　前記分析状態記憶部の使用状況を監視する分析状態監視部と、
　前記分析結果に対する評価結果を取得し管理する評価結果管理部と、
　前記評価結果を記憶する評価結果記憶部と、
　前記分析状態記憶部の使用状況および前記評価結果に基づいて、前記分析規則管理部を介して前記分析規則を制御する分析規則制御部と、を有する制御装置と、
　を備える情報処理システム。
（付記２）
　前記分析実行部は、前記分析規則毎に該分析規則に基づく分析を実行し、
　前記評価結果記憶部は、前記評価結果を前記分析規則毎に記憶し、
　前記分析規則制御部は、前記分析状態記憶部の使用状況が所定条件を満たしたときに、前記評価結果に基づき選択した分析規則を制御することにより、該分析規則に基づく分析を前記分析実行部に実行させるか否かを制御することを特徴とする付記１に記載の情報処理システム。
（付記３）
　前記分析状態監視部は、前記分析状態記憶部の使用状況として可用資源量を取得し、
　前記分析規則制御部は、前記可用資源量が所定の枯渇条件を満たしたときに、前記評価結果の低さに基づいて選択した前記分析規則を制御することにより、該分析規則に基づく分析の前記分析実行部による実行が停止されるよう制御することを特徴とする付記２に記載の情報処理システム。
（付記４）
　前記分析規則制御部は、前記実行が停止されるよう制御される分析の分析規則に関わる分析状態情報を、前記分析状態記憶部から削除することを特徴とする付記３に記載の情報処理システム。
（付記５）
　前記分析規則制御部は、前記可用資源量が所定の余剰条件を満たしたときに、実行が停止されている前記分析の分析規則のうち、前記評価結果の高さに基づいて選択した前記分析規則を制御することにより、該分析規則に基づく分析の前記分析実行部による実行が開始されるよう制御することを特徴とする付記３または付記４に記載の情報処理システム。
（付記６）
　前記分析実行部と、前記分析規則記憶部と、前記分析規則管理部と、を少なくとも含む他の分析装置をさらに備えることを特徴とする付記１から付記５のいずれか１つに記載の情報処理システム。
（付記７）
　前記分析規則制御部は、前記分析規則に基づく分析を、前記分析装置の前記分析実行部に実行させないよう制御する場合、該分析規則に基づく分析を前記他の分析装置の前記分析実行部に実行させるよう、前記他の分析装置の前記分析規則記憶部に記憶された前記分析規則を、前記他の分析装置の前記分析規則管理部を介して制御することを特徴とする付記６に記載の情報処理システム。
（付記８）
　付記１から付記７のいずれか１つに記載の情報処理システムにおける分析装置。
（付記９）
　付記１から付記７のいずれか１つに記載の情報処理システムにおける制御装置。
（付記１０）
　分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する分析実行部と、前記分析規則を記憶する分析規則記憶部と、前記分析規則を管理する分析規則管理部と、前記分析実行部によって生成または参照される前記分析の状態を表す分析状態情報を記憶する分析状態記憶部と、を有する分析装置に対して、
　コンピュータ装置が、
　前記分析状態記憶部の使用状況を監視し、
　前記分析結果に対する評価結果を取得して管理し、
　前記分析状態記憶部の使用状況および前記評価結果に基づいて、前記分析規則管理部を介して前記分析規則を制御する方法。
（付記１１）
　分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する分析実行部と、前記分析規則を記憶する分析規則記憶部と、前記分析規則を管理する分析規則管理部と、前記分析実行部によって生成または参照される前記分析の状態を表す分析状態情報を記憶する分析状態記憶部と、を有する分析装置に対して、
　前記分析状態記憶部の使用状況を監視する分析状態監視ステップと、
　前記分析結果に対する評価結果を取得し管理する評価結果管理ステップと、
　前記評価結果を記憶する評価結果記憶ステップと、
　前記分析状態記憶部の使用状況および前記評価結果に基づいて、前記分析規則管理部を介して前記分析規則を制御する分析規則制御ステップと、
　をコンピュータ装置に実行させるプログラム。

　以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。

　この出願は、２０１６年６月１３日に出願された日本出願特願２０１６－１１７１４５を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１、２、３　　情報処理システム
　１０、２０、３０　　分析装置
　１１、２１、３１　　制御装置
　１０１、２０１、３０１　　分析実行部
　１０２、２０２、３０２　分析規則記憶部
　１０３、３０３　　分析状態記憶部
　１０４、３０４　　分析規則管理部
　１１１、３１１　　分析状態監視部
　１１２、２１２、３１２　　評価結果記憶部
　１１３、３１３　　評価結果管理部
　１１４、２１４、３１４　　分析規則制御部
　２０５　　ログ保存部
　１００１、１１０１　　ＣＰＵ
　１００２、１１０２　　メモリ
　１００５、１１０５　　ネットワークインタフェース
　５、６　　センサ
　７、８　　評価装置
　９　　通知先装置

Claims

　分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する分析実行手段と、
　前記分析規則を記憶する分析規則記憶手段と、
　前記分析規則を管理する分析規則管理手段と、
　前記分析実行手段によって生成または参照される前記分析の状態を表す分析状態情報を記憶する分析状態記憶手段と、を有する分析装置と、
　前記分析状態記憶手段の使用状況を監視する分析状態監視手段と、
　前記分析結果に対する評価結果を取得し管理する評価結果管理手段と、
　前記評価結果を記憶する評価結果記憶手段と、
　前記分析状態記憶手段の使用状況および前記評価結果に基づいて、前記分析規則管理手段を介して前記分析規則を制御する分析規則制御手段と、を有する制御装置と、
　を備える情報処理システム。
　前記分析実行手段は、前記分析規則毎に該分析規則に基づく分析を実行し、
　前記評価結果記憶手段は、前記評価結果を前記分析規則毎に記憶し、
　前記分析規則制御手段は、前記分析状態記憶手段の使用状況が所定条件を満たしたときに、前記評価結果に基づき選択した分析規則を制御することにより、該分析規則に基づく分析を前記分析実行手段に実行させるか否かを制御することを特徴とする請求項１に記載の情報処理システム。
　前記分析状態監視手段は、前記分析状態記憶手段の使用状況として可用資源量を取得し、
　前記分析規則制御手段は、前記可用資源量が所定の枯渇条件を満たしたときに、前記評価結果の低さに基づいて選択した前記分析規則を制御することにより、該分析規則に基づく分析の前記分析実行手段による実行が停止されるよう制御することを特徴とする請求項２に記載の情報処理システム。
　前記分析規則制御手段は、前記実行が停止されるよう制御される分析の分析規則に関わる分析状態情報を、前記分析状態記憶手段から削除することを特徴とする請求項３に記載の情報処理システム。
　前記分析規則制御手段は、前記可用資源量が所定の余剰条件を満たしたときに、実行が停止されている前記分析の分析規則のうち、前記評価結果の高さに基づいて選択した前記分析規則を制御することにより、該分析規則に基づく分析の前記分析実行手段による実行が開始されるよう制御することを特徴とする請求項３または請求項４に記載の情報処理システム。
　前記分析実行手段と、前記分析規則記憶手段と、前記分析規則管理手段と、を少なくとも含む他の分析装置をさらに備えることを特徴とする請求項１から請求項５のいずれか１項に記載の情報処理システム。
　前記分析規則制御手段は、前記分析規則に基づく分析を、前記分析装置の前記分析実行手段に実行させないよう制御する場合、該分析規則に基づく分析を前記他の分析装置の前記分析実行手段に実行させるよう、前記他の分析装置の前記分析規則記憶手段に記憶された前記分析規則を、前記他の分析装置の前記分析規則管理手段を介して制御することを特徴とする請求項６に記載の情報処理システム。
　請求項１から請求項７のいずれか１項に記載の情報処理システムにおける分析装置。
　請求項１から請求項７のいずれか１項に記載の情報処理システムにおける制御装置。
　分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する分析実行手段と、前記分析規則を記憶する分析規則記憶手段と、前記分析規則を管理する分析規則管理手段と、前記分析実行手段によって生成または参照される前記分析の状態を表す分析状態情報を記憶する分析状態記憶手段と、を有する分析装置に対して、
　コンピュータ装置が、
　前記分析状態記憶手段の使用状況を監視し、
　前記分析結果に対する評価結果を取得して管理し、
　前記分析状態記憶手段の使用状況および前記評価結果に基づいて、前記分析規則管理手段を介して前記分析規則を制御する方法。
　分析対象として入力されるデータに対して分析規則に基づき分析を実行し分析結果を出力する分析実行手段と、前記分析規則を記憶する分析規則記憶手段と、前記分析規則を管理する分析規則管理手段と、前記分析実行手段によって生成または参照される前記分析の状態を表す分析状態情報を記憶する分析状態記憶手段と、を有する分析装置に対して、
　前記分析状態記憶手段の使用状況を監視する分析状態監視ステップと、
　前記分析結果に対する評価結果を取得し管理する評価結果管理ステップと、
　前記評価結果を記憶する評価結果記憶ステップと、
　前記分析状態記憶手段の使用状況および前記評価結果に基づいて、前記分析規則管理手段を介して前記分析規則を制御する分析規則制御ステップと、
　をコンピュータ装置に実行させるプログラムを記憶した記憶媒体。