WO2022137403A1

WO2022137403A1 - 情報収集制御装置、情報収集システム、情報収集制御方法、及び情報収集制御プログラム

Info

Publication number: WO2022137403A1
Application number: PCT/JP2020/048267
Authority: WO
Inventors: 光輝冨田; 則夫山垣; 啓文植田
Original assignee: 日本電気株式会社
Priority date: 2020-12-23
Filing date: 2020-12-23
Publication date: 2022-06-30
Also published as: JPWO2022137403A1; US20240045949A1

Abstract

【課題】セキュリティリスクを分析する際に、処理負荷を削減する。【解決手段】情報収集制御装置１Ａが、端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行う履歴情報収集部１１０Ａと、サーバへの前記履歴情報の送信タイミングを制御する送信制御部１５０Ａと、を備える。

Description

情報収集制御装置、情報収集システム、情報収集制御方法、及び情報収集制御プログラム

　本発明は、情報収集制御装置、情報収集システム、情報収集制御方法、及び情報収集制御プログラムに関する。

　近年、ネットワークに接続されるシステムに対するサイバー攻撃の増加により、システムのセキュリティ強化が望まれている。システムの安全性を担保するためには、システムへのサイバー攻撃が実行された後ではなく、サイバー攻撃に対して前もって対策を立てておく必要がある。システムに含まれる機器に対するサイバー攻撃の予兆やセキュリティリスクの有無を把握するためには、機器の動作に関する情報を監視する必要がある。

　機器の動作に関する情報を監視して、セキュリティリスクを分析する技術として、例えば、特許文献１には、分析対象システム内のデバイスで実行されるＯＳのシステムコール実行情報に基づいてデバイスの動作の正当性を判定する技術が提案されている。システムコールとは、ＯＳが管理している資源をプログラムが利用するための仕組みであり、特許文献１のシステムコール実行情報には、システムコール名及び引数等が含まれている。特許文献１では、不正パターンに合致したシステムコール実行履歴に対応するデバイスにセキュリティ上の問題があると判定する。

特開２０１９－０２８６７０号公報

　上記特許文献１に開示されている技術では、ＯＳによって呼び出されたシステムコール実行情報に基づいてデバイスの動作の正当性が判定される。しかしながら、特許文献１では、短時間であっても膨大な数のシステムコールが呼び出されるため、サイバー攻撃の予兆やセキュリティリスクの有無を把握するための処理負荷が増大し、ひいては、サイバー攻撃の予兆やセキュリティリスクの有無を把握するための処理に必要なコストや時間が増大するという課題がある。

　本発明の目的は、上記課題を解決するためになされたものであり、セキュリティリスクを分析する際に、処理負荷を削減することを目的とする。

　本発明の情報収集制御装置は、端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行う履歴情報収集部と、サーバへの前記履歴情報の送信タイミングを制御する送信制御部と、を備える。

　本発明の情報収集システムは、端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行う履歴情報収集部と、サーバへの前記履歴情報の送信タイミングを制御する送信制御部と、を備える情報収集制御装置を備える。

　本発明の情報収集制御方法は、端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行うことと、サーバへの前記履歴情報の送信タイミングを制御することと、を備える。

　本発明の情報収集制御プログラムは、端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行うことと、サーバへの前記履歴情報の送信タイミングを制御することと、をプロセッサに実行させる。

　本発明によれば、セキュリティリスクを分析する際に、処理負荷を削減することができる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。

第１の実施形態に係る情報収集システムの運用形態を示す図である。第１の実施形態に係る情報処理装置のハードウェア構成を示す図である。第１の実施形態に係るデバイスの機能構成を示す機能ブロック図である。第１の実施形態に係る情報収集システムにおける処理の流れを示すシーケンス図である。第１の実施形態に係る履歴情報データテーブルの構成を示す図である。第１の実施形態に係る危険度設定条件に記述されている情報の一例を示す図である。第１の実施形態に係る危険度設定処理の流れの一例を示すフローチャートである。第１の実施形態に係る危険度設定条件に記述されている情報の他の例を示す図である。第１の実施形態に係る危険度設定処理の流れの他の例を示すフローチャートである。第１の実施形態に係る危険度情報の構成を示す図である。第１の実施形態に係る送信判定処理の流れを示すフローチャートである。第１の実施形態の変形例に係るデバイスの機能構成を示す機能ブロック図である。第１の実施形態の変形例に係る情報収集システムにおける処理の流れを示すシーケンス図である。第２の実施形態に係るデバイスの機能構成を示す機能ブロック図である。第２の実施形態に係る危険度設定条件に記述されている情報の一例を示す図である。第２の実施形態に係る収集対象最適化処理の流れを示すフローチャートである。第２の実施形態の変形例に係るデバイスの機能構成を示す機能ブロック図である。第３の実施形態に係るサーバの機能構成を示す機能ブロック図である。第３の実施形態に係る収集対象最適化処理の流れを示すフローチャートである。第３の実施形態の変形例に係る情報収集システムの運用形態を示す図である。第４の実施形態に係る情報収集システムの運用形態を示す図である。第４の実施形態に係る情報収集制御装置の機能構成を示す図である。

　以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の又は対応する符号を付することにより重複した説明が省略され得る。

　以下に説明される各実施形態は、本発明を実現可能な構成の一例に過ぎない。以下の各実施形態は、本発明が適用される装置の構成や各種の条件に応じて適宜に修正又は変更することが可能である。以下の各実施形態に含まれる要素の組合せの全てが本発明を実現するに必須であるとは限られず、要素の一部を適宜に省略することが可能である。したがって、本発明の範囲は、以下の各実施形態に記載される構成によって限定されるものではない。相互に矛盾のない限りにおいて、実施形態内に記載された複数の構成を組み合わせた構成も採用可能である。

　説明は、以下の順序で行われる。
　１．本発明の実施形態の概要
　２．第１の実施形態
　　２．１．情報収集システム１０００の運用形態
　　２．２．デバイス１の構成
　　　２．２．１．デバイス１等の情報処理装置のハードウェア構成
　　　２．２．２．デバイス１の機能構成
　　２．３．情報収集システム１０００における処理の概要
　　　２．３．１．情報収集システム１０００における処理の流れ
　　　２．３．２．デバイス１における危険度設定処理の概要
　　　　２．３．２．１．パラメータが記述された危険度設定条件に基づく危険度設定処理の流れ
　　　　２．３．２．２．攻撃パターンが記述された危険度設定条件に基づく危険度設定処理の流れ
　　２．３．３．デバイス１における送信判定処理の流れ
　３．第１の実施形態の変形例
　　３．１．デバイス１の機能構成
　　３．２．情報収集システム１０００における処理の流れ
　４．第２の実施形態
　　４．１．デバイス１の機能構成
　　４．２．デバイス１における収集対象最適化処理の流れ
　５．第２の実施形態の変形例
　　５．１．デバイス１の機能構成
　６．第３の実施形態
　　６．１．サーバ２の機能構成
　　６．２．サーバ２における収集対象最適化処理の流れ
　７．第３の実施形態の変形例
　８．第４の実施形態
　９．その他の実施形態

＜１．本発明の実施形態の概要＞
　まず、本発明の実施形態の概要を説明する。

（１）技術的課題
　近年、ネットワークに接続されるシステムに対するサイバー攻撃の増加により、システムのセキュリティ強化が望まれている。システムの安全性を担保するためには、システムへのサイバー攻撃が実行された後ではなく、サイバー攻撃に対して前もって対策を立てておく必要がある。システムに含まれる機器に対するサイバー攻撃の予兆やセキュリティリスクの有無を把握するためには、機器の動作に関する情報を監視する必要がある。

　機器の動作に関する情報を監視して、セキュリティリスクを分析する技術として、例えば、分析対象システム内のデバイスで実行されるＯＳのシステムコール実行情報に基づいてデバイスの動作の正当性を判定する技術が提案されている。システムコールとは、ＯＳが管理している資源をプログラムが利用するための仕組みであり、特許文献１のシステムコール実行情報には、システムコール名及び引数等が含まれている。特許文献１では、不正パターンに合致したシステムコール実行履歴に対応するデバイスにセキュリティ上の問題があると判定する。

　この技術では、ＯＳによって呼び出されたシステムコール実行情報に基づいてデバイスの動作の正当性が判定される。しかしながら、特許文献１では、短時間であっても膨大な数のシステムコールが呼び出されるため、サイバー攻撃の予兆やセキュリティリスクの有無を把握するための処理負荷が増大し、ひいては、サイバー攻撃の予兆やセキュリティリスクの有無を把握するための処理に必要なコストや時間が増大するという課題がある。

　以上の事情に鑑み、本発明では、セキュリティリスクを分析する際に、処理負荷を削減することを目的とする。

（２）技術的特徴
　本発明の実施形態では、情報収集制御装置が、端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行う履歴情報収集部と、サーバへの前記履歴情報の送信タイミングを制御する送信制御部と、を備える。

　これにより、セキュリティリスクを分析する際に、処理負荷を削減することが可能となる。なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。

＜２．第１の実施形態＞
　以下、図１から図１１を参照して、本発明の第１の実施形態について説明する。本実施形態においては、デバイス１及びサーバ２を含み、デバイス１において収集された情報をサーバ２に送信する情報収集システム１０００について説明する。

＜２．１．情報収集システム１０００の運用形態＞
　まず、第１の実施形態に係る情報収集システム１０００の運用形態について説明する。図１は、第１の実施形態に係る情報収集システム１０００の運用形態を例示した図である。図１に示すように、情報収集システム１０００は、デバイス１、及びサーバ２がネットワーク３を介して接続されて構成されている。

　デバイス１は、例えば、無線通信システムの基地局装置の無線子局として用いられるＲＵ（Ｒａｄｉｏ　Ｕｎｉｔ）等の端末である。ＲＵは、デジタル信号を無線周波数に変換し、送信電力の増幅やアンテナ素子での送受信を行う。また、デバイス１には、デバイス１で動作するプログラム（例えば、デバイス１のＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ））の動作履歴に関する履歴情報を収集するためのプログラムがインストールされている。なお、ＲＵ以外の情報処理端末をデバイス１としてもよい。

　サーバ２は、情報収集システム１０００において収集された情報の保管、分析、出力等を行う情報処理装置である。本実施形態において、サーバ２は、デバイス１から送信された履歴情報を受信し、受信した履歴情報に基づいてデバイス１におけるセキュリティリスクを分析することができる。

　ネットワーク３は、デバイス１とサーバ２とを通信可能に接続する通信回線であり、無線又は有線のどちらを用いてもよい。なお、デバイス１及びサーバ２は、常時接続されている必要はない。少なくとも、デバイス１から履歴情報を送信するタイミングでデバイス１とサーバ２とが接続されていればよい。

　ところで、本実施形態におけるデバイス１の履歴情報とは、デバイス１のＯＳ等のプログラムが動作することにより実現されるファイル操作、ディレクトリ操作、レジストリ操作、スレッド操作、プロセス操作等、デバイス１で動作するプログラムの動作履歴に関する情報に相当する。このような動作履歴は、デバイス１において動作するプログラムが、デバイス１のハードウェア資源を用いるときに呼び出されるシステムコールの実行履歴を取得することによって得ることができる。また、デバイス１において動作するプログラムは、ライブラリ関数を呼び出すことにより、デバイス１のハードウェア資源への入出力やファイル処理を行う。ライブラリ関数には、システムコールを間接的に利用してデバイス１のハードウェア資源への入出力やファイル処理を行うものもある。つまり、上述したようなデバイス１の動作履歴は、デバイス１において動作するプログラムによって呼び出されたライブラリ関数の履歴を取得することによって得ることもできる。以後、デバイス１で動作するプログラムによって呼び出されたシステムコールの履歴やライブラリ関数の履歴のことを「履歴情報」と称する。

　システムコールやライブラリ関数によって、デバイス１に実装されているプログラムは、デバイス１を構成するハードウェア資源からの入出力処理を実行するため、プログラムが動作する限り、デバイス１においては短時間であっても膨大な数のシステムコールが呼び出されることとなる。したがって、デバイス１の履歴情報に基づいてデバイス１のセキュリティリスク分析を行うサーバ２の処理負荷が膨大なものとなってしまい、結果として、サイバー攻撃の予兆やセキュリティリスクの有無を把握するための処理に必要なコストや時間が増大するという課題がある。このような課題に対して、本実施形態では、サーバ２の処理負荷を低減するために、履歴情報の送信タイミングをデバイス１において制御する。

＜２．２．デバイス１の構成＞
　次に、本実施形態に係るデバイス１の構成について説明する。ここでは、まず、デバイス１やサーバ２等の情報処理装置のハードウェア構成を説明した後、デバイス１の機能構成について説明する。

＜２．２．１．デバイス１等の情報処理装置のハードウェア構成＞
　図２を参照して、本実施形態に係るデバイス１及びサーバ２等の情報処理装置のハードウェア構成について説明する。図２は、情報処理装置のハードウェア構成を示すブロック図である。

　情報処理装置は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１１、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１２、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１３、記憶媒体１４、及びインタフェース（Ｉ／Ｆ）１５がバス１６を介して相互に接続されている。また、Ｉ／Ｆ１５には、入力部１７、表示部１８及びネットワーク３が接続されている。

　ＣＰＵ１１は、演算手段であり、情報処理装置全体の動作を制御する。ＲＡＭ１３は、情報の高速な読み書きが可能な揮発性の記憶媒体であり、ＣＰＵ１１が情報を処理する際の作業領域として用いられる。ＲＯＭ１２は、読み出し専用の不揮発性記憶媒体であり、ファームウェア等のプログラムが格納されている。記憶媒体１４は、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）等の情報の読み書きが可能な不揮発性の記憶媒体であり、ＯＳや各種の制御プログラム、アプリケーション・プログラム等が格納されている。

　Ｉ／Ｆ１５は、バス１６と各種のハードウェアやネットワーク等とを接続し制御する。入力部１７は、ユーザが情報処理装置に情報を入力するためのキーボードやマウス等の入力装置である。表示部１８は、ユーザが情報処理装置の状態を確認するためのＬＣＤ（Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙ）等の表示装置である。なお、入力部１７や表示部１８は省略可能である。

　このようなハードウェア構成において、ＲＯＭ１２に格納されたプログラムや、記憶媒体１４からＲＡＭ１３にロードされたプログラムに従ってＣＰＵ１１が演算を行うことにより、情報処理装置のソフトウェア制御部が構成される。そして、以上のようにして構成されたソフトウェア制御部と、ハードウェアとの組み合わせによって、本実施形態に係るデバイス１のコントローラ１００（図３参照）や通常領域１０２、及び保護領域１０３（図１２参照）、サーバ２のコントローラ２００（図１８参照）等の情報処理装置の機能を実現する機能ブロックが構成される。

＜２．２．２．デバイス１の機能構成＞
　次に、図３を参照して、デバイス１の機能構成について説明する。図３は、デバイス１の機能構成を示す機能ブロック図である。図３に示すように、デバイス１は、コントローラ１００及びネットワークＩ／Ｆ１０１を含む。

　コントローラ１００は、デバイス１において動作するプログラムの履歴情報の取得や、デバイス１のセキュリティリスクの程度に関する危険度の設定、サーバ２への履歴情報の送信制御等を実行する。コントローラ１００は、専用のソフトウェア・プログラムがデバイス１にインストールされることによって構成される。このソフトウェア・プログラムが本実施形態の情報収集制御プログラムに相当する。コントローラ１００は、履歴情報収集部１１０、履歴情報ＤＢ（Ｄａｔａ　Ｂａｓｅ）１３０、危険度設定部１４０、送信制御部１５０、及び危険度設定ＤＢ（Ｄａｔａ　Ｂａｓｅ）１６０を含む。

　履歴情報収集部１１０は、デバイス１において動作するプログラムの動作履歴に関する履歴情報１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄを収集する収集処理を実行する。以後、履歴情報１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄを区別する必要のないときは、「履歴情報１２０」と称して説明を続ける。

　履歴情報ＤＢ１３０は、履歴情報収集部１１０が収集した履歴情報１２０を記憶する記憶領域である。履歴情報ＤＢ１３０に記憶される情報の構成については後述する。

　危険度設定部１４０は、履歴情報収集部１１０が収集した履歴情報１２０に対して、デバイス１におけるセキュリティリスクの程度に関する危険度を設定する危険度設定処理を実行する。セキュリティリスクの程度に関する危険度とは、セキュリティ上の脆弱性評価等に基づいて定められたデバイス１等の端末におけるセキュリティリスクの度合いを示すリスク指標に相当する。

　危険度設定部１４０は、セキュリティ上の脆弱性評価や過去のサイバー攻撃の履歴等に基づいて定められた危険度設定条件１６１、１６２（図６、図８参照）に基づいて、履歴情報１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄにそれぞれ危険度を設定する。危険度設定部１４０により設定された危険度に関する危険度情報は、危険度設定ＤＢ１６０に記憶される。危険度設定部１４０が行う危険度設定処理の詳細については、図６から図１０を参照して後述する。

　送信制御部１５０は、サーバ２への履歴情報の送信タイミングを制御する送信判定処理を実行する。送信制御部１５０が行う送信判定処理の詳細については、図１０及び図１１を参照して後述する。

　以上説明した構成により、デバイス１は、デバイス１において動作するプログラムの動作履歴に関する履歴情報１２０を取得し、取得した履歴情報１２０をサーバ２に送信する送信タイミングの制御を行う。

＜２．３．情報収集システム１０００における処理の概要＞
　次に、図４から図１１を参照して、本実施形態の情報収集システム１０００における処理の概要について説明する。図４は、情報収集システム１０００における処理の流れを示すシーケンス図である。図５は、履歴情報データテーブル１３１の構成を示す図である。図６は、危険度設定条件１６１に記述されている情報の一例を示す図である。図７は、デバイス１における危険度設定処理の流れの一例を示すフローチャートである。図８は、危険度設定条件１６２に記述されている情報の一例を示す図である。図９は、デバイス１における危険度設定処理の流れの他の例を示すフローチャートである。図１０は、危険度設定処理において設定される危険度情報の構成を示す図である。図１１は、デバイス１における送信判定処理の流れを示すフローチャートである。

＜２．３．１．情報収集システム１０００における処理の流れ＞
　まず、図４を参照して、情報収集システム１０００における処理の流れについて説明する。図４において、デバイス１（履歴情報収集部１１０）は、ステップＳ１０１において、履歴情報１２０を収集する収集処理を実行する。本実施例において、例えば、デバイス１が起動している間に亘って、履歴情報収集部１１０による収集処理が継続して行われるようにしてもよい。また、収集処理において収集対象とする履歴情報１２０を予め設定しておき、収集対象として設定された履歴情報１２０を収集するようにしてもよい。さらに、履歴情報収集部１１０が収集処理を行うタイミングを予め設定しておいてもよい。

　デバイス１（履歴情報収集部１１０）は、ステップＳ１０２において、収集処理（ステップＳ１０１）において収集した履歴情報１２０を履歴情報ＤＢ１３０に送信する。

　履歴情報収集部１１０は、収集処理において、デバイス１において動作するプログラムによって呼び出されたシステムコールやライブラリ関数の名称に関する情報を履歴情報１２０として収集する。このような情報以外に、履歴情報収集部１１０は、収集処理において、例えば、システムコールやライブラリ関数の実行時間に関する情報、デバイス１において動作するプログラムのユーザに関する情報、デバイス１において動作するプログラムがアクセスしたファイルに関する情報等のうち、少なくとも一つを履歴情報１２０として収集する。

　本実施形態において、履歴情報収集部１１０は、履歴情報１２０Ａとして、“実行時間：２０２０.１１.２４.ＸＸ.ＹＹ”、“実行ユーザ名：ｕｓｅｒ　Ａ”、“履歴情報：ｗｒｉｔｅ（Ｘ.ＸＸ.ＸＸ.Ｘ.ｊｐｇ）,ｒｅａｄ（Ｘ.Ｙ.ＺＺ.Ｚ.ｃｏｎｆｉｇ）,…”を含む情報を収集すると仮定する。

　また、本実施形態において、履歴情報収集部１１０は、履歴情報１２０Ｂとして、“実行時間：２０２０.１１.２４.ＸＸ.ＦＦ”、“実行ユーザ名：ｕｓｅｒ　Ｂ”、“履歴情報：ｅｘｅｃｕｔｅ（ＺＸ.ｅｘｅ）,…”を含む情報を収集すると仮定する。

　また、本実施形態において、履歴情報収集部１１０は、履歴情報１２０Ｃとして、“実行時間：２０２０.１１.２４.ＺＺ.ＸＦ”、“実行ユーザ名：ｕｓｅｒ　Ａ”、“履歴情報：…，ｒｅｃｖｆｒｏｍ（ｒｓ：ｍａｉｎ，ｉｎ：ｘｘ），ｓｅｎｄ（ｉｎｔ　ｓｏｃｋｆｄ，…），…”を含む情報を収集すると仮定する。

　さらに、本実施形態において、履歴情報収集部１１０は、履歴情報１２０Ｄとして、“実行時間：２０２０.１１.２４.ＦＸ.ＷＺ”、“実行ユーザ名：ｕｓｅｒ　Ｃ”、“履歴情報：ｒｅａｄ（Ｚ.ＺＺ.ＺＺ.Ｚ.ｔｍｐ）,…”を含む情報を収集すると仮定する。

　次に、デバイス１では、ステップＳ１０３において、履歴情報収集部１１０がステップＳ１０２で送信した履歴情報１２０が履歴情報ＤＢ１３０に記憶される。

　ここで、図５を参照して、履歴情報ＤＢ１３０に記憶される情報の構造について説明する。図５に示すように、本実施形態では、履歴情報収集部１１０が収集処理によって収集した履歴情報１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄと、履歴情報１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄを識別するための履歴情報識別子とを関連付けて履歴情報ＤＢ１３０に記憶する。

　図５では、履歴情報データテーブル１５１のＮｏ．１の行に、「“実行時間：２０２０.１１.２４.ＸＸ.ＹＹ”、“実行ユーザ名：ｕｓｅｒ　Ａ”、“履歴情報：ｗｒｉｔｅ（Ｘ.ＸＸ.ＸＸ.Ｘ.ｊｐｇ）,ｒｅａｄ（Ｘ.Ｙ.ＺＺ.Ｚ.ｃｏｎｆｉｇ）,…”、“履歴情報識別子：ＷｋＹＩ８ＫＳＨ”」を示す情報が記憶されている。つまり、履歴情報収集部１１０が収集した履歴情報１２０Ａは、履歴情報１２０Ａを識別する“履歴情報識別子：ＷｋＹＩ８ＫＳＨ”に関連付けられて履歴情報ＤＢ１３０に記憶される。

　また、履歴情報データテーブル１５１のＮｏ．２の行に、「“実行時間：２０２０.１１.２４.ＸＸ.ＦＦ”、“実行ユーザ名：ｕｓｅｒ　Ｂ”、“履歴情報：ｅｘｅｃｕｔｅ（ＺＸ.ｅｘｅ）,…”、“履歴情報識別子：ＭＧａｎ７Ｍｒ２”」を示す情報が記憶されている。つまり、履歴情報収集部１１０が収集した履歴情報１２０Ｂは、履歴情報１２０Ｂを識別する“履歴情報識別子：ＭＧａｎ７Ｍｒ２”に関連付けられて履歴情報ＤＢ１３０に記憶される。

　また、履歴情報データテーブル１５１のＮｏ．７の行に、「“実行時間：２０２０.１１.２４.ＺＺ.ＸＦ”、“実行ユーザ名：ｕｓｅｒ　Ａ”、“履歴情報：…，ｒｅｃｖｆｒｏｍ（ｒｓ：ｍａｉｎ，ｉｎ：ｘｘ），ｓｅｎｄ（ｉｎｔ　ｓｏｃｋｆｄ，…），…”、“履歴情報識別子：Ｐ８ｈＶＰｏｉｗ”」を示す情報が記憶されている。つまり、履歴情報収集部１１０が収集した履歴情報１２０Ｃは、履歴情報１２０Ｃを識別する“履歴情報識別子：Ｐ８ｈＶＰｏｉｗ”に関連付けられて履歴情報ＤＢ１３０に記憶される。

　また、履歴情報データテーブル１５１のＮｏ．８の行に、「実行時間：２０２０.１１.２４.ＦＸ.ＷＺ”、“実行ユーザ名：ｕｓｅｒ　Ｃ”、“履歴情報：ｒｅａｄ（Ｚ.ＺＺ.ＺＺ.Ｚ.ｔｍｐ）,…”、“履歴情報識別子：Ｅ８ｆｕｅｆｒｓ”」を示す情報が記憶されている。つまり、履歴情報収集部１１０が収集した履歴情報１２０Ｄは、履歴情報１２０Ｄを識別する“履歴情報識別子：Ｅ８ｆｕｅｆｒｓ”に関連付けられて履歴情報ＤＢ１３０に記憶される。

　危険度設定部１４０は、ステップＳ１０４において、履歴情報ＤＢ１３０から履歴情報１２０を取得する。履歴情報１２０を取得すると、危険度設定部１４０は、ステップＳ１０５において、危険度設定処理を実行する。危険度設定処理の詳細については、図６から図１０を参照して後述する。

　危険度設定部１４０によって履歴情報１２０に危険度が設定されると、送信制御部１５０は、ステップＳ１０６において、送信判定処理を実行する。送信判定処理では、デバイス１の履歴情報をサーバ２に送信するタイミングであるかを判定する処理、デバイス１の履歴情報をサーバ２に送信するか否かを判定する処理等が行われる。送信判定処理の詳細については、図１０及び図１１を参照して後述する。

　送信制御部１５０は、ステップＳ１０７において、ステップＳ１０６の送信判定処理の結果、サーバ２に送信すると判定した履歴情報１２０を履歴情報ＤＢ１３０から取得する。そして、送信制御部１５０は、ステップＳ１０８において、ステップＳ１０７で取得した履歴情報１２０を、ネットワークＩ／Ｆ１０１を介してサーバ２に送信する。

　このようにして、デバイス１においては、デバイス１において動作するプログラムの履歴情報１２０を収集し、収集した履歴情報１２０のサーバ２への送信タイミングを制御する処理が行われる。

＜２．３．２．デバイス１における危険度設定処理の概要＞
　次に、図６から図１０を参照して、デバイス１において、ステップＳ１０５で行われる危険度設定処理の詳細について説明する。履歴情報１２０には、システムコールやライブラリ関数の履歴として、実行日時、実行ユーザ名等の各種のパラメータが含まれている。ゆえに、履歴情報１２０に含まれるパラメータの値に基づいてデバイス１に対するサイバー攻撃の予兆や、脆弱性等、セキュリティリスクの程度を判別することができる。

　また、デバイス１に対するサイバー攻撃においては、複数のシステムコールやライブラリ関数が呼び出されてデバイス１の情報資源が利用される。ゆえに、攻撃パターンに含まれるシステムコールとシステムコールの実行順番が分かっていれば、デバイス１に対するサイバー攻撃の予兆や、脆弱性等、セキュリティリスクの程度を判別することができる。ライブラリ関数についても、システムコールと同様に、攻撃パターンに含まれるライブラリ関数とライブラリ関数の実行順番が分かっていれば、デバイス１におけるセキュリティリスクの程度を判別することが可能である。なお、システムコールとライブラリ関数とが組み合わされたサイバー攻撃に対しては、攻撃パターンに含まれるシステムコール及びライブラリ関数と、システムコール及びライブラリ関数の実行順番が分かっていれば、デバイス１におけるセキュリティリスクの程度を判別可能である。

　本実施形態では、上述したようなシステムコールの特性を利用して、履歴情報収集部１１０が収集した履歴情報１２０に対して危険度を設定する危険度設定処理を行う。ここでは、まず、パラメータが記述された危険度設定条件１６１に基づく危険度設定処理の詳細について説明を行った後、攻撃パターンが記述された危険度設定条件１６２に基づく危険度設定処理の詳細について説明する。以後、説明のために、パラメータが記述された危険度設定条件１６１に基づく危険度設定処理を第１処理と称することがあり、攻撃パターンが記述された危険度設定条件１６２に基づく危険度設定処理を第２処理と称することがある。

＜２．３．２．１．パラメータが記述された危険度設定条件に基づく危険度設定処理の流れ＞
　上述したように、システムコールやライブラリ関数の履歴には、実行日時、実行ユーザ名等の各種のパラメータが含まれている。危険度設定部１４０は、これらのパラメータに関して正常値及び異常値を定めた情報が記述された危険度設定条件１６１（図６参照）に基づいて、第１処理（図７参照）を実行する。

　第１処理では、まず、履歴情報１２０に基づいて、システムコールやライブラリ関数を実行したプログラムのユーザや実行時間等に基づいてデバイス１におけるセキュリティリスクの程度が判断される。次に、判断結果に基づいて履歴情報１２０に対して危険度が設定される。第１処理は、特定のシステムコール（又はライブラリ関数）のパラメータに関して、正常値ではないパラメータが履歴情報１２０に含まれているか否かによって、危険度を設定する処理に相当する。

　図６に示す危険度設定条件１６１には、“システムコール名：ｅｘｅｃｖｅ”に関して１番目のパラメータ“ユーザ名”、２番目のパラメータ“実行時間”、…を示す情報が含まれている。

　危険度設定条件１６１の１番目のパラメータ“ユーザ名”には、履歴情報１２０に含まれるシステムコールｅｘｅｃｖｅの実行ユーザ名の情報が、“ユーザ名：ｕｓｅｒ　Ａ”に相当する情報であれば“危険度：０”、“ユーザ名：ｕｓｅｒ　Ａ以外”に相当する情報であれば“危険度：１０”を設定する情報が記述されている。換言すると、危険度設定条件１６１の１番目のパラメータ“ユーザ名”に関して、履歴情報１２０に含まれるシステムコールｅｘｅｃｖｅの実行ユーザ名の情報が、正常値である“ユーザ名：ｕｓｅｒ　Ａ”に相当する情報である場合には、“危険度：０”を設定し、異常値である“ユーザ名：ｕｓｅｒ　Ａ以外”に相当する情報である場合には、危険度として、デバイス１に対するセキュリティリスクがあることを示す値“危険度：１０”を設定する情報が記述されている。

　危険度設定条件１６１の２番目のパラメータ“実行時間”には、履歴情報１２０に含まれるシステムコールｅｘｅｃｖｅの実行時間の情報が、“実行時間：１４：００から１８：００の間”に相当する情報であれば“危険度：０”、“実行時間：１４：００から１８：００以外の時間帯”に相当する情報であれば、“危険度：２０”を設定する情報が記述されている。換言すると、危険度設定条件１６１の２番目のパラメータ“実行時間”に関して、履歴情報１２０に含まれるシステムコールｅｘｅｃｖｅの実行時間の情報が、正常値である“実行時間：１４：００から１８：００の間”に相当する情報である場合には、“危険度０”を設定し、異常値である“実行時間：１４：００から１８：００以外の時間帯”に相当する情報である場合には、危険度として、デバイス１に対するセキュリティリスクがあることを示す値“危険度：２０”を設定する情報が記述されている。

　履歴情報１２０を取得する（ステップＳ１０４、図４参照）と、危険度設定部１４０は、ステップＳ１１において、危険度設定条件１６１を参照する。危険度設定条件１６１は、危険度設定部１４０の内部に記憶されている設定値であり、例えば、情報収集システム１０００のオペレータがサーバ２を操作することにより、サーバ２から送信された情報に基づいて設定することができる。また、危険度設定条件１６１は、デバイス１の製品出荷時に危険度設定部１４０の内部に記憶される設定値としてもよい。

　ステップＳ１２において、危険度設定部１４０は、ステップＳ１１で参照した危険度設定条件１６１からｎ番目のパラメータに注目する。危険度設定部１４０は、危険度設定条件１６１に含まれるｎ個のパラメータのうち、１番目のパラメータから順番に注目する。ここでは、ｎ＝２、つまり危険度設定条件１６１の２番目のパラメータに注目するとして、説明を続ける。

　ステップＳ１３において、危険度設定部１４０は、履歴情報１２０Ａ～１２０Ｄと危険度設定条件１６１の２番目のパラメータとをそれぞれ比較して、履歴情報１２０Ａ～１２０Ｄにおける危険度設定条件１６１の２番目のパラメータに相当する値が正常値であるか否かを判定する。履歴情報１２０Ａ、１２０Ｃ、１２０Ｄには、“システムコール：ｅｘｅｃｖｅ”が含まれていない。以後の第１処理の説明では、履歴情報１２０Ｂを例に説明を行う。

　履歴情報１２０Ｂにおいて、“システムコール：ｅｘｅｃｖｅ”が実行された時間は、“２０２０.１１.２４.ＸＸ.ＦＦ”であることが記述されている。危険度設定部１４０は、履歴情報１２０Ｂにおいて、“システムコール：ｅｘｅｃｖｅ”の実行時間“ＸＸ．ＦＦ”が“１４：００から１８：００の間”であれば、履歴情報１２０Ｂに“危険度：０”を設定し、ステップＳ１５に進む。一方で、危険度設定部１４０は、履歴情報１２０Ｂにおいて、“システムコール：ｅｘｅｃｖｅ”の実行時間“ＸＸ．ＦＦ”が“１４：００から１８：００以外の時間帯”であれば、ステップＳ１４において、履歴情報１２０Ｂに“危険度：１０”を加算して、ステップＳ１５に進む。なお、履歴情報１２０Ａ、１２０Ｃ、１２０Ｄには、“システムコール：ｅｘｅｃｖｅ”が含まれていないため、危険度設定部１４０は、履歴情報１２０Ａ、１２０Ｃ、１２０Ｄに“危険度：０”を設定する。

　なお、Ｓ１２において、危険度設定条件１６１の１番目のパラメータに注目した場合、履歴情報１２０Ｂにおいて、“システムコール：ｅｘｅｃｖｅ”を実行したユーザは、“ｕｓｅｒ　Ｂ”である。この場合、履歴情報１２０Ｂに対して、危険度設定条件１６１の１番目のパラメータ“ユーザ名”に関して、デバイス１に対するセキュリティリスクがあることを示す“危険度：１０”が設定される。

　ステップＳ１５において、危険度設定部１４０は、履歴情報１２０Ｂに、危険度設定条件１６１に含まれるパラメータに関して危険度を設定していないパラメータがあるか否か判定する。履歴情報１２０Ｂに危険度を設定していないパラメータがある場合（ステップＳ１５／Ｎ）、危険度設定部１４０は、ステップＳ１６において、（ｎ＋１）番目のパラメータに注目して、ステップＳ１３からの処理を再び実行する。

　履歴情報１２０Ｂに対して、危険度設定条件１６１に含まれるパラメータ全てに関して危険度を設定する（ステップＳ１５／Ｙ）と、危険度設定部１４０は、ステップＳ１７において、履歴情報１２０Ｂに含まれるパラメータに関して設定された危険度を合計して、履歴情報１２０Ｂに危険度を設定する。つまり、履歴情報１２０Ｂにおいて、“システムコール：ｅｘｅｃｖｅ”の実行時間“ＸＸ．ＦＦ”が、“１４：００から１８：００の間”であれば、ステップＳ１７の結果、履歴情報１２０Ｂの危険度は、“１０”に設定される。一方で、履歴情報１２０Ｂにおいて、“システムコール：ｅｘｅｃｖｅ”の実行時間“ＸＸ．ＦＦ”が、“１４：００から１８：００以外の時間帯”であれば、履歴情報１２０Ｂの危険度は、“３０”に設定される。

　危険度設定部１４０によって設定された危険度は、図１０のＮｏ．２の行に示すように、履歴情報１２０Ｂを識別する履歴情報識別子“ＭＧａｎ７Ｍｒ２”と、“危険度：１０又は３０”を関連付けて、危険度設定ＤＢ１６０中の危険度情報データテーブル１６３に記憶される。

　このように、第１処理では、システムコールを実行したユーザや実行時間等に基づいてデバイス１におけるセキュリティリスクの程度を判断し、判断結果に基づいて履歴情報１２０に対して危険度が設定される。第１処理は、特定のシステムコールの動作履歴のパラメータに関して正常値ではないパラメータが履歴情報１２０に含まれているか否かによって、危険度を設定する処理に相当する。

＜２．３．２．２．攻撃パターンが記述された危険度設定条件に基づく危険度設定処理の流れ＞
　上述したように、デバイス１において動作するプログラムによって、複数のシステムコールが呼び出される。危険度設定部１４０は、既知の攻撃パターンや、デバイス１に関する脆弱性評価等の指標等により予め設定された攻撃パターンが記述された危険度設定条件１６２（図８参照）に基づいて、第２処理（図９参照）を実行する。

　第２処理では、まず、履歴情報１２０に基づいて、攻撃パターンに特有のシステムコールやライブラリ関数、及びシステムコールやライブラリ関数の実行順番等に基づいてデバイス１におけるセキュリティリスクの程度が判断される。次に、判断結果に基づいて履歴情報１２０に対して危険度が設定される。第２処理は、攻撃パターンに特有のシステムコールやライブラリ関数、及びシステムコールやライブラリ関数の実行順番に相当する情報が、履歴情報１２０に含まれているか否かによって、危険度を設定する処理に相当する。攻撃パターンに特有のシステムコールやライブラリ関数、及びシステムコールやライブラリ関数の実行順番に相当する情報が、攻撃パターンに関連する攻撃関連情報に相当する。

　図８に示す危険度設定条件１６２には、“システムコールＳＣ１（正常）；危険度：０”、“ｒｅｃｖｆｒｏｍ（ｒｓ：ｍａｉｎ,ｉｎ：ｘｘ）（正常）；危険度：０”、“ｓｅｎｄ（ｉｎｔ　ｓｏｃｋｆｄ,…）（正常）；危険度：１００”を示す情報が含まれている。

　危険度設定条件１６２には、複数のシステムコールやライブラリ関数、及びシステムコールやライブラリ関数の実行順番が記述されている。このうち、システムコール“ｓｅｎｄ（ｉｎｔ　ｓｏｃｋｆｄ,…）（正常）”の実行履歴に対して“危険度：１００”を設定する情報が記述されている。このようにすることにより、既知の攻撃パターンや、デバイス１に関する脆弱性評価等の指標に基づいて予め設定された攻撃パターンを含む動作がデバイス１において行われたときに、危険度設定部１４０によって危険度が設定される。

　履歴情報１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄを取得する（ステップＳ１０４、図４参照）と、危険度設定部１４０は、ステップＳ２１において、危険度設定条件１６２を参照する。危険度設定条件１６２は、危険度設定部１４０の内部に記憶されている設定値であり、例えば、情報収集システム１０００のオペレータがサーバ２を操作することにより、サーバ２から送信された情報に基づいて設定することができる。また、危険度設定条件１６２は、デバイス１の製品出荷時に危険度設定部１４０の内部に記憶される設定値としてもよい。

　ステップＳ２２において、危険度設定部１４０は、ステップＳ１０４で取得した履歴情報１２０に、ステップＳ２１で参照した危険度設定条件１６２に記述されている情報に該当する履歴情報１２０が有るか否かを判定する。履歴情報１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄのうち、履歴情報１２０Ｃは、“履歴情報：…，ｒｅｃｖｆｒｏｍ（ｒｓ：ｍａｉｎ，ｉｎ：ｘｘ），ｓｅｎｄ（ｉｎｔ　ｓｏｃｋｆｄ，…），…”を含む情報であるため、危険度設定条件１６２に記述されている“システムコールＳＣ１”、“ｒｅｃｖｆｒｏｍ（ｒｓ：ｍａｉｎ,ｉｎ：ｘｘ）”、“ｓｅｎｄ（ｉｎｔ　ｓｏｃｋｆｄ,…）”に該当する情報であると判定される（ステップＳ２２／Ｙ）。危険度設定部１４０は、ステップＳ２３において、履歴情報１２０Ｃに対して、“危険度：１００”を加算し、ステップＳ２４に進む。

　一方、ステップＳ２２において、履歴情報１２０Ａ、１２０Ｂ、１２０Ｄは、危険度設定条件１６２に記述されている情報に該当する履歴情報ではないと判定される（ステップＳ２２／Ｎ）。この場合、危険度設定部１４０は、ステップＳ２４に進む。

　ステップＳ２４において、危険度設定部１４０は、履歴情報１２０Ａに“危険度：０”、履歴情報１２０Ｂに“危険度：０”、履歴情報１２０Ｃに“危険度：１００”、履歴情報１２０Ｄに“危険度：０”を設定する。

　危険度設定部１４０によって履歴情報１２０Ｃに対して設定された危険度は、図１０のＮｏ．７の行に示すように、履歴情報１２０Ｃを識別する履歴情報識別子“Ｐ８ｈＶＰｏｉｗ”と、“危険度：１００”を関連付けて、危険度設定ＤＢ１６０中の危険度情報データテーブル１６３に記憶される。なお、図１０のＮｏ．２の行には、第１処理において履歴情報１２０Ｂに設定された危険度を示している。

　このように、第２処理では、攻撃パターンに特有のシステムコールやライブラリ関数、及びシステムコールやライブラリ関数の実行順番に基づいてデバイス１におけるセキュリティリスクの程度を判断し、判断結果に基づいて履歴情報１２０に対して危険度が設定される。第２処理は、攻撃パターンに特有のシステムコールやライブラリ関数、及びシステムコールやライブラリ関数の実行順番に相当する情報が履歴情報１２０に含まれているか否かによって、危険度を設定する処理に相当する。

＜２．３．３．デバイス１における送信判定処理の流れ＞
　次に、図１０及び図１１を参照してデバイス１における送信判定処理の詳細について説明する。危険度設定部１４０による危険度設定処理の結果、履歴情報１２０Ｂには、“危険度：１０又は３０”が設定され、履歴情報１２０Ｃには“危険度：１００”が設定されていると仮定する（図１０参照）。

　送信制御部１５０は、ステップＳ３１において、危険度情報データテーブル１６３に記憶された危険度情報として、履歴情報１２０Ｂには、“危険度：１０又は３０”が設定されていることを示す情報と、履歴情報１２０Ｃには“危険度：１００”が設定されていることを示す情報とを取得する。

　送信制御部１５０は、ステップＳ３２において、危険度として第１値以上が設定されている履歴情報１２０をサーバ２に送信する。例えば、第１値として“危険度：１０”が設定されている場合、送信制御部１５０は、危険度情報データテーブル１６３から“危険度：１０”以上となった情報を取得する。第１処理及び第２処理の結果、図１０に示す危険度情報データテーブル１６３において、“危険度：１０”以上となった情報はＮｏ．２及びＮｏ．７に記憶されている。送信制御部１５０は、Ｎｏ．２及びＮｏ．７の行における履歴情報識別子“ＭＧａｎ７Ｍｒ２”、“Ｐ８ｈＶＰｏｉｗ”を取得する。次に、送信制御部１５０は、履歴情報データテーブル１５１において、履歴情報識別子“ＭＧａｎ７Ｍｒ２”、“Ｐ８ｈＶＰｏｉｗ”に基づいて識別される履歴情報１２０Ｂ及び履歴情報１２０Ｃを、ネットワークＩ／Ｆ１０１を介してサーバ２に送信する。

　送信制御部１５０は、ステップＳ３３において、履歴情報１２０全体の危険度の合計が第２値以上となった場合に、履歴情報１２０をサーバ２に送信する。例えば、第２値として“危険度：４０”が設定されている場合、第１処理及び第２処理の結果、履歴情報１２０全体の危険度の合計は、“危険度：１００＋１０（又は＋３０）”となる。この場合、送信制御部１５０は、ネットワークＩ／Ｆ１０１を介して履歴情報１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄをサーバ２に送信する。

　送信制御部１５０は、ステップＳ３４において、特定のシステムコールが含まれる履歴情報１２０をサーバ２に送信する。特定のシステムコールとは、例えば、セキュリティの観点から好ましくない動作が行われたときにデバイス１において呼び出されたシステムコールに相当する。セキュリティの観点から好ましくない動作とは、例えば、システムフォルダ等、デバイス１の重要なファイルシステムに対するアクセス、プログラムの自動実行等に関係するレジストリへのアクセス等に相当する。

　送信制御部１５０は、ステップＳ３５において、デバイス１において所定の時間内に実行された動作履歴に関する履歴情報１２０をサーバ２に送信する。デバイス１の稼働時間が５：００から２３：００に設定されていると仮定した場合、送信制御部１５０は、２３：００から５：００の間にデバイス１で観測された動作に関する履歴情報１２０を、サーバ２に送信するようにしてもよい。

　送信制御部１５０は、ステップＳ３６において、履歴情報収集部１１０によって収集された履歴情報１２０の量が所定量以上となった場合に、履歴情報１２０をサーバ２に送信する。ここで、履歴情報１２０の量が所定量以上となる状態とは、例えば、履歴情報１２０が所定のバイト（Ｂｙｔｅ）数以上となった場合、履歴情報ＤＢ１３０に記憶される履歴情報１２０の行数が所定の行数以上となった場合等に相当する。

　送信制御部１５０は、ステップＳ３７において、前回、サーバ２に対して履歴情報を送信してから所定時間経過したときに、サーバ２に対して履歴情報１２０を送信する。例えば、前回サーバ２に対して履歴情報を送信してから１２時間が経過した場合に、送信制御部１５０は、前回の履歴情報の送信後にデバイス１において収集された履歴情報１２０をサーバ２に送信する。

　なお、ステップＳ３２からステップＳ３７のうち、いずれか１つの処理を送信制御部１５０が行うようにしてもよい。

　このように、本実施形態では、送信する履歴情報１２０を選別する処理や、履歴情報１２０の送信タイミングを制御する処理がデバイス１において行われる。これにより、サーバ２では、デバイス１の履歴情報に基づいてデバイス１のセキュリティリスク分析を行う際に、処理負荷を低減することが可能となる。

＜３．第１の実施形態の変形例＞
　次に、第１の実施形態の変形例として、機器の動作に関する情報の信頼性を向上させるために、デバイス１のＯＳ実行環境と、デバイス１の履歴情報１２０の送信制御を行う環境とを隔離させた構成について説明する。

　本変形例において、第１の実施形態と同じ構成には同じ符号を付し、重複する説明を省略する。また、特に注釈のない限り、本変形例におけるデバイス１の動作は、第１の実施形態と同じであるため、図１３において、第１の実施形態と同等の処理を行う工程には、第１の実施形態と同じ符号を付し、重複する説明を省略する。

＜３．１．デバイス１の機能構成＞
　まず、図１２を参照して、本変形例に係るデバイス１の機能構成について説明する。図１２は、第１の実施形態の変形例に係るデバイス１の機能構成を示す機能ブロック図である。デバイス１は、履歴情報収集部１１０を含む通常領域１０２と、履歴情報ＤＢ１３０、危険度設定部１４０、送信制御部１５０、危険度設定ＤＢ１６０及び履歴情報受信部１７０を含む保護領域１０３とを含む。

　デバイス１の通常領域１０２とは、デバイス１のメモリ（ＲＯＭ１２やＲＡＭ１３）空間上に構築され、デバイス１のＯＳ等が実行される通常実行環境のことを指す。

　また、デバイス１の保護領域１０３とは、Ａｒｍ社のＴｒｕｓｔＺｏｎｅ（登録商標）やＲＩＳＣ－Ｖ財団のＫｅｙＳｔｏｎｅ等の技術によって、デバイス１のメモリ（ＲＯＭ１２やＲＡＭ１３）空間上において通常領域１０２とは隔離して構築された、通常領域１０２よりもセキュアな空間（Ｓｅｃｕｒｅ　Ｗｏｒｌｄ）を指す。デバイス１に構築された保護領域１０３に機密情報を配置したり、セキュリティ処理を実装したりすることにより、機密情報の流出やデバイス１で行われる各種の処理の改ざんを防止することができる。

　また、非セキュア空間である通常領域１０２からは、セキュア空間である保護領域１０３に直接アクセスすることはできない。そこで、本変形例では、保護領域１０３に、通常領域１０２において収集された履歴情報１２０を保護領域１０３において受信する要素としての履歴情報受信部１７０を設けている。

＜３．２．情報収集システム１０００における処理の流れ＞
　次に、図１３を参照して、第１の実施形態の変形例に係る情報収集システム１０００における処理の流れについて説明する。本変形例では、履歴情報受信部１７０により保護領域１０３への履歴情報１２０の送信要求を行う処理を含む点が、第１の実施形態と異なる。

　履歴情報受信部１７０は、ステップＳ１１１において、保護領域１０３への履歴情報１２０の送信を要求する履歴情報送信要求を履歴情報収集部１１０に対して実行する。履歴情報収集部１１０は、履歴情報送信要求を受信すると、ステップＳ１０２において、履歴情報受信部１７０に履歴情報１２０を送信する。

　履歴情報収集部１１０から履歴情報１２０が送信されると、ステップＳ１１２において、履歴情報受信部１７０は、履歴情報収集部１１０から送信されてきた履歴情報１２０を履歴情報ＤＢ１３０に転送する。第１の実施形態と同様に、履歴情報収集部１１０が収集処理によって収集した履歴情報１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄと、履歴情報１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄを識別するための履歴情報識別子とが関連付けられて履歴情報ＤＢ１３０に記憶される。ステップＳ１１２以降の処理は、第１の実施形態と同じである。

　このように、本変形例では、デバイス１のＯＳが実行される通常領域１０２よりもよりセキュアな保護領域１０３において、通常領域１０２からは隔離された状態で、送信する履歴情報１２０を選別する処理や、履歴情報１２０の送信タイミングを制御する処理が行われる。以上の構成によれば、収集した履歴情報１２０の改ざんやデータの破損等を抑制することができるため、機器の動作に関する情報の信頼性をより向上させて、サーバ２に対してデバイス１の履歴情報を送信することができる。

＜４．第２の実施形態＞
　第２の実施形態は、履歴情報収集部１１０が収集処理において収集対象とするデバイス１の動作履歴の最適化を行う点で第１の実施形態と異なる。

　本実施形態において、第１の実施形態と同じ構成には同じ符号を付し、重複する説明を省略する。また、特に注釈のない限り、本実施形態におけるデバイス１の動作は、第１の実施形態と同じであるため、重複する説明を省略する。

＜４．１．デバイス１の機能構成＞
　まず、図１４を参照して、第２の実施形態に係るデバイス１の機能構成について説明する。図１４は、第２の実施形態に係るデバイス１の機能構成を示す機能ブロック図である。デバイス１は、履歴情報収集部１１０、履歴情報ＤＢ１３０、危険度設定部１４０、送信制御部１５０、危険度設定ＤＢ１６０及び履歴情報収集制御部１８０を含む。

　履歴情報収集制御部１８０は、履歴情報収集部１１０が収集処理において収集対象とするデバイス１で動作するプログラムの動作履歴を最適化する収集対象最適化処理を実行する。

＜４．２．デバイス１における収集対象最適化処理の流れ＞
　次に、図１５及び図１６を参照して収集対象最適化処理の流れについて説明する。図１５は、危険度設定条件１６４に記述されている情報の一例を示す図である。図１６は、デバイス１における収集対象最適化処理の流れを示すフローチャートである。

　デバイス１に対するサイバー攻撃においては、複数のシステムコールが呼び出されてデバイス１の情報資源が利用される。本実施形態では、攻撃パターンに含まれるシステムコール、システムコールの順番及びシステムコールの実行履歴に基づいて、デバイス１に対するサイバー攻撃の予兆等、セキュリティリスクが有ると予測される履歴情報を収集対象とする。

　図１５に示す危険度設定条件１６４には、“システムコールＳＡ１（正常）；１０ｍｓｅｃ：危険度：０”、“システムコールＳＡ２（正常）；１０ｍｓｅｃ：危険度：０”、“システムコールＳＡ３（正常）；５ｍｓｅｃ；危険度：１００”を示す情報が含まれている。図１５の危険度設定条件１６４は、システムコールＳＡ１、システムコールＳＡ２、システムコールＳＡ３を順番に実行する攻撃パターンを含む動作が記述されている。つまり、危険度設定条件１６４は、デバイス１にセキュリティリスクが有ることを示す動作履歴を含む情報に相当する。

　また、危険度設定条件１６４には、システムコールＳＡ１が１０ｍ秒以内に正常に実行され、システムコールＳＡ２が１０ｍ秒以内に正常に実行され、システムコールＳＡ３が５ｍ秒以内に正常に実行されたデバイス１の動作履歴に対して“危険度：１００”を設定する情報が記述されている。

　次に、図１６を参照して、デバイス１において実行される収集対象最適化処理の流れについて説明する。図１６の説明において、履歴情報収集部１１０が収集処理において収集対象とするデバイス１の動作履歴を「収集対象動作履歴」と称して説明を行う。

　ステップＳ４１において、履歴情報収集制御部１８０は、履歴情報収集部１１０によって収集された履歴情報１２０及び危険度設定条件１６４を取得する。次に、ステップＳ４２において、履歴情報収集制御部１８０は、ステップＳ４１にて取得した履歴情報１２０に危険度設定条件１６４に該当する動作履歴が含まれているか否か判定する。

　履歴情報収集部１１０によって収集された履歴情報１２０に、危険度設定条件１６４に該当するデバイス１の動作履歴が含まれている場合（ステップＳ４２／Ｙ）、履歴情報収集制御部１８０は、ステップＳ４３において、収集対象動作履歴に関連するデバイス１の動作履歴を収集対象に追加する。

　ここでは、収集対象動作履歴としてシステムコールＳＡ１が設定されたデバイス１において、システムコールＳＡ１が１０ｍ秒以内に実行されたと仮定する。この場合、履歴情報収集制御部１８０は、収集対象動作履歴としてのシステムコールＳＡ１に関連する関連動作履歴として危険度設定条件１６４に記述されているシステムコールＳＡ２、ＳＡ３を、ステップＳ４３において収集対象に追加する。そして、履歴情報収集部１１０は、システムコールＳＡ１、ＳＡ２、ＳＡ３を収集対象として収集処理を実行する。換言すると、この場合、デバイス１にセキュリティリスクがあることを示す動作履歴が収集対象動作履歴に追加される。

　履歴情報収集部１１０によって収集された履歴情報１２０に、危険度設定条件１６４に該当するデバイス１の動作履歴が含まれていない場合（ステップＳ４２／Ｎ）、履歴情報収集制御部１８０は、ステップＳ４４において、収集対象動作履歴に関連するデバイス１の動作履歴を収集対象から除外する。

　ここでは、収集対象動作履歴として、システムコールＳＡ１が１０ｍ秒以内に正常に実行され、システムコールＳＡ２が１０ｍ秒以内に正常に実行され、システムコールＳＡ３が５ｍ秒以内に正常に実行されたときの動作履歴が設定されているデバイス１を例に説明を行う。この場合、デバイス１に対して設定されている収集対象動作履歴は、危険度設定条件１６４に記述されている情報に該当するものである。つまり、ここで、デバイス１に対して設定されている収集対象動作履歴には、デバイス１にセキュリティリスクがあることを示す動作履歴が含まれている。

　このような場合において、システムコールＳＡ１、ＳＡ２、ＳＡ３が順番に実行され、システムコールＳＡ２の実行に１０ｍ秒以上かかったことを示す履歴情報１２０が収集されたと仮定する。この場合、履歴情報収集制御部１８０は、システムコールＳＡ１、ＳＡ２、ＳＡ３が順番に実行された動作履歴に対して、収集対象動作履歴とは関連しないものであると判断し、ステップＳ４４において収集対象動作履歴からシステムコールＳＡ２及びシステムコールＳＡ３を除外する。履歴情報収集部１１０は、収集対象からシステムコールＳＡ２、ＳＡ３を除外して収集処理を実行する。

　以上説明したように、本実施形態においては、履歴情報収集部１１０が収集した履歴情報に基づいて収集対象最適化処理が行われる。以上の構成によれば、デバイス１で動作するプログラムに動作に応じてデバイス１において収集する履歴情報が最適化されるため、サーバ２に送信される履歴情報も最適化される。

　また、収集対象最適化処理において、デバイス１の攻撃パターンに関連する動作履歴は収集対象に追加し、デバイス１の攻撃パターンに関連しなくなった動作履歴は収集対象から除外する。以上の構成によれば、デバイス１にセキュリティリスクがあると予測される履歴情報を選択的にサーバ２に送信することが可能になるため、サーバ２の処理負荷を低減することができる。

＜５．第２の実施形態の変形例＞
　次に、第２の実施形態の変形例として、機器の動作に関する情報の信頼性を向上させるために、デバイス１のＯＳ実行環境と、デバイス１の履歴情報１２０の送信制御を行う環境とを隔離させた構成について説明する。

　本変形例において、第２の実施形態と同じ構成には同じ符号を付し、重複する説明を省略する。また、特に注釈のない限り、本変形例におけるデバイス１の動作は、第２の実施形態と同じであるため、重複する説明を省略する。

＜５．１．デバイス１の機能構成＞
　まず、図１７を参照して、本変形例に係るデバイス１の機能構成について説明する。図１７は、第２の実施形態の変形例に係るデバイス１の機能構成を示す機能ブロック図である。デバイス１は、履歴情報収集部１１０を含む通常領域１０２と、履歴情報ＤＢ１３０、危険度設定部１４０、送信制御部１５０、危険度設定ＤＢ１６０、履歴情報受信部１７０及び履歴情報収集制御部１８０を含む保護領域１０３とを含む。

　本変形例では、デバイス１のＯＳが実行される通常領域１０２よりもよりセキュアな保護領域１０３において、通常領域１０２からは隔離された状態で、履歴情報収集部１１０が収集する動作履歴を最適化する収集対象最適化処理が行われる。このようにすることにより、収集した履歴情報１２０の改ざんやデータの破損等を抑制することができるため、機器の動作に関する情報の信頼性をより向上させて、履歴情報収集部１１０が収集する動作履歴を最適化し、サーバ２に対してデバイス１の履歴情報を送信することができる。

＜６．第３の実施形態＞
　第３の実施形態は、履歴情報収集部１１０が収集処理において収集対象とするデバイス１の動作履歴の最適化をサーバ２からの指示に基づいて行う点で第１及び第２の実施形態と異なる。

　本実施形態において、第１の実施形態と同じ構成には、重複する説明を省略する。また、特に注釈のない限り、本実施形態におけるデバイス１の機能構成及び動作は、第１の実施形態と同じであるため、重複する説明を省略する。

＜６．１．サーバ２の機能構成＞
　まず、図１８を参照して、第３の実施形態に係るサーバ２の機能構成について説明する。図１８は、第３の実施形態に係るサーバ２の機能構成を示す機能ブロック図である。図１８に示すように、サーバ２は、コントローラ２００及びネットワークＩ／Ｆ２０１を含む。

　コントローラ２００は、デバイス１から送信された履歴情報の受信や、デバイス１のセキュリティリスクの分析処理、デバイス１において収集対象とする動作履歴を最適化する収集対象最適化処理等を実行する。コントローラ２００は、専用のソフトウェア・プログラムがデバイス１にインストールされることによって構成される。コントローラ２００は、履歴情報受信部２１０、履歴情報ＤＢ（Ｄａｔａ　Ｂａｓｅ）２２０、履歴情報分析部２３０、及び履歴情報収集制御部２４０を含む。

　履歴情報受信部２１０は、デバイス１から送信された履歴情報１２０を受信し、記憶領域である履歴情報ＤＢ２２０に記憶させる。

　履歴情報分析部２３０は、デバイス１から受信した履歴情報１２０に基づいて、デバイス１におけるセキュリティリスクの程度を分析する分析処理を実行する。

　履歴情報収集制御部２４０は、デバイス１から受信した履歴情報１２０に基づいて、履歴情報収集部１１０が収集処理において収集対象とするデバイス１の動作履歴を最適化する収集対象最適化処理を実行する。

＜６．２．サーバ２における収集対象最適化処理の流れ＞
　次に、図１９を参照して、サーバ２における収集対象最適化処理の流れについて説明する。図１９は、第３の実施形態に係るサーバ２で行われる収集対象最適化処理の流れを示すフローチャートである。

　サーバ２における収集対象最適化処理では、まず、ステップＳ５１において、履歴情報分析部２３０によって、デバイス１から受信した履歴情報１２０の分析処理が行われる。履歴情報分析部２３０は、ＣＶＳＳ（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｓｃｏｒｉｎｇ　Ｓｙｓｔｅｍ）等の既知の脆弱性評価基準に基づいてデバイス１から受信した履歴情報１２０に関してセキュリティリスク分析を行う。

　次に、ステップＳ５２において、履歴情報収集制御部２４０は、デバイス１から受信した履歴情報１２０や、分析処理の結果に基づいて、履歴情報収集部１１０が収集処理において収集対象とする動作履歴を決定する。なお、サーバ２の履歴情報収集制御部２４０は、デバイス１の履歴情報収集制御部１８０と同様の処理（図１６参照）を行って履歴情報収集部１１０が収集処理において収集対象とする動作履歴を決定してもよい。

　次に、履歴情報収集制御部２４０は、ステップＳ５２で決定された履歴情報収集部１１０が収集処理において収集対象とする動作履歴の情報を、ステップＳ５３において、デバイス１に送信する。デバイス１の履歴情報収集部１１０は、サーバ２から受信した受信情報に基づいて、ステップＳ５２において収集対象として決定された動作履歴を収集対象に含んで収集処理を実行する。

　本実施形態においては、履歴情報収集部１１０が収集した履歴情報に基づいて、サーバ２において収集対象最適化処理が行われる。サーバ２では、履歴情報に基づいてデバイス１におけるセキュリティリスクの程度を分析する分析処理が行われているため、分析処理の結果を反映させた収集処理を行うことが可能となる。また、サーバ２において収集対象最適化処理を行うことにより、デバイス１の処理負荷を低減することができる。

　なお、情報収集システム１０００のオペレータがサーバ２を操作することによりサーバ２に入力される情報を、サーバ２における収集対象最適化処理に反映させるようにしてもよい。ここで、サーバ２に入力される情報とは、デバイス１において所定の時間内に実行された動作履歴に関する履歴情報１２０を収集対象とする情報や、特定のシステムコールを含む履歴情報１２０を収集対象とする情報等、履歴情報収集部１１０が収集処理において収集対象とする動作履歴を指定する情報に相当する。

＜７．第３の実施形態の変形例＞
　次に、第３の実施形態の変形例として、サーバ２に対してデバイス１、４、５が接続された情報収集システム１０００について説明する。図２０は、第３の実施形態の変形例に係る情報収集システム１０００の運用形態を示す図である。本変形例に係る情報収集システム１０００は、デバイス１と、デバイス１と同じ機種であるデバイス４、５と、サーバ２とがネットワーク３を介して接続されている。

　本変形例において、第１から第３の実施形態と同じ構成には同じ符号を付し、重複する説明を省略する。また、特に注釈のない限り、本変形例におけるデバイス１の動作は、第１の実施形態と同じであるため、重複する説明を省略する。

　本変形例において、サーバ２は、デバイス１、４、５において動作するプログラムの動作履歴に関する履歴情報を受信する。ゆえに、サーバ２は、例えば、デバイス４から受信した履歴情報に基づいてデバイス１に対する収集対象最適化処理を実行することができる。つまり、本変形例では、デバイス１、４、５に対してそれぞれが取得した履歴情報を反映させた収集対象最適化処理を行うことができる。

＜８．第４の実施形態＞
　次いで、図２１及び図２２を参照して本発明の第４の実施形態について説明する。上述した第１から第３の実施形態は具体的な実施形態であるが、第４の実施形態はより一般化された実施形態である。以下の第４の実施形態によれば、第１から第３の実施形態と同様の技術的効果が奏される。

　図２１は、本発明の第４の実施形態に係る情報収集システム１０００Ａの概略的な構成を例示するブロック図である。図２１に示すように、情報収集システム１０００Ａは、情報収集制御装置１Ａを有する。

　図２２は、第４の実施形態に係る情報収集制御装置１Ａの概略的な構成を例示するブロック図である。情報収集制御装置１Ａは、履歴情報収集部１１０Ａ及び送信制御部１５０Ａを含む。履歴情報収集部１１０は、端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行う。送信制御部１５０Ａは、サーバへの履歴情報の送信タイミングを制御する。

　－第１から第３の実施形態との関係
　一例として、第４の実施形態に係る情報収集制御装置１Ａが、第１から第３の実施形態に係るデバイス１の動作を実行してもよい。同様に、一例として、第４の実施形態に係る情報収集システム１０００Ａが、第１から第３の実施形態に係る情報収集システム１０００と同様に構成されてもよい。以上の場合、第１から第３の実施形態についての説明が第４の実施形態にも適用可能である。なお、第４の実施形態は以上の例に限定されるものではない。

＜９．その他の実施形態＞
　以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。

　例えば、本明細書に記載されている処理におけるステップは、必ずしもシーケンス図やフローチャートに記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、シーケンス図やフローチャートとして記載した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。

　また、本明細書において説明したデバイス１の構成要素（例えば、履歴情報収集部１１０及び送信制御部１５０に相当する要素）を備える装置が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体（Non-transitory　computer　readable　medium）が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。

　上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。

（付記１）
　端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行う履歴情報収集部と、
　サーバへの前記履歴情報の送信タイミングを制御する送信制御部と、を備える、
　情報収集制御装置。

（付記２）
　前記端末におけるセキュリティリスクの程度に関連する危険度を前記履歴情報に対して設定する危険度設定部を備え、
　前記送信制御部は、
　前記履歴情報に設定された前記危険度に基づいて前記送信タイミングを制御する、
　付記１に記載の情報収集制御装置。

（付記３）
　前記危険度設定部は、
　前記履歴情報に正常値ではないパラメータが含まれている場合に、前記危険度として前記端末にセキュリティリスクが有ることを示す値を設定する、
　付記２に記載の情報収集制御装置。

（付記４）
　前記危険度設定部は、
　前記履歴情報に前記端末への攻撃パターンに関連する攻撃関連情報が含まれている場合に、前記危険度として前記端末にセキュリティリスクが有ることを示す値を設定する、
　付記２又は３に記載の情報収集制御装置。

（付記５）
　前記送信制御部は、
　前記危険度として前記履歴情報に設定された前記端末にセキュリティリスクが有ることを示す値が第１値以上である場合に、当該履歴情報を前記サーバへ送信する、
　付記３又は４に記載の情報収集制御装置。

（付記６）
　前記送信制御部は、
　前記危険度として前記履歴情報に設定された前記端末にセキュリティリスクが有ることを示す値の合計が第２値以上となった場合に、当該履歴情報を前記サーバへ送信する、
　付記３から５のいずれか１項に記載の情報収集制御装置。

（付記７）
　前記履歴情報収集部は、通常領域に配置されており、
　前記送信制御部及び前記危険度設定部は、前記通常領域よりもセキュアな保護領域に配置されており、
　前記保護領域に配置され、前記履歴情報収集部から前記履歴情報を受信する履歴情報受信部を備える、
　付記２から６のいずれか１項に記載の情報収集制御装置。

（付記８）
　前記履歴情報収集部は、前記動作履歴のうち、収集対象として予め定められた収集対象動作履歴を前記履歴情報として収集し、
　前記動作履歴のうち、前記収集対象動作履歴に関連する関連動作履歴を前記収集対象として前記履歴情報収集部に前記収集処理を実行させる履歴情報収集制御部、を備える、
　付記２から７のいずれか１項に記載の情報収集制御装置。

（付記９）
　前記履歴情報収集制御部は、
　前記関連動作履歴が前記収集対象動作履歴に関連しなくなった場合に、前記収集対象から前記関連動作履歴を除外する、
　付記８に記載の情報収集制御装置。

（付記１０）
　前記収集対象動作履歴には、前記端末にセキュリティリスクが有ることを示す動作履歴が含まれる、
　付記８又は９に記載の情報収集制御装置。

（付記１１）
　前記履歴情報収集制御部は、
　前記サーバから受信した受信情報に基づいて、前記履歴情報収集部による前記収集処理の実行を制御する、
　付記８から１０のいずれか１項に記載の情報収集制御装置。

（付記１２）
　前記履歴情報収集制御部は、通常領域よりもセキュアな保護領域に配置されている、
　付記８から１１のいずれか１項に記載の情報収集制御装置。

（付記１３）
　前記送信制御部は、
　前記履歴情報収集部が収集した前記履歴情報の量が所定量以上となった場合に、前記履歴情報を前記サーバへ送信する、
　付記１から１２のいずれか１項に記載の情報収集制御装置。

（付記１４）
　前記送信制御部は、
　所定時間毎に、前記履歴情報を前記サーバへ送信する、
　付記１から１３のいずれか１項に記載の情報収集制御装置。

（付記１５）
　前記送信制御部は、
　前記履歴情報が、所定時間内における前記動作履歴である場合に、当該履歴情報を前記サーバへ送信する、
　付記１から１４のいずれか１項に記載の情報収集制御装置。

（付記１６）
　前記送信制御部は、
　前記履歴情報が所定のシステムコールである場合に、当該履歴情報を前記サーバへ送信する、
　付記１から１５のいずれか１項に記載の情報収集制御装置。

（付記１７）
　付記１から１６のいずれか１項に記載の情報収集制御装置を含む、情報収集システム。

（付記１８）
　端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行うことと、
　サーバへの前記履歴情報の送信タイミングを制御することと、を備える、
　情報収集制御方法。

（付記１９）
　端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行うことと、
　サーバへの前記履歴情報の送信タイミングを制御することと、をプロセッサに実行させる、
　情報収集制御プログラム。

　セキュリティリスクを分析する際に、処理負荷を削減することができる。

１、４、５　デバイス
１Ａ　情報収集制御装置
２　サーバ
３　ネットワーク
１１　ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）
１２　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）
１３　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）
１４　記憶媒体
１５　インタフェース（Ｉ／Ｆ）
１６　バス
１７　入力部
１８　表示部
１００　コントローラ
１０１　ネットワークＩ／Ｆ
１０２　通常領域
１０３　保護領域
１１０、１１０Ａ　履歴情報収集部
１２０、１２０Ａ、１２０Ｂ、１２０Ｃ、１２０Ｄ　履歴情報
１３０　履歴情報ＤＢ（Ｄａｔａ　Ｂａｓｅ）
１３１　履歴情報データテーブル
１４０　危険度設定部
１５０、１５０Ａ　送信制御部
１５１　履歴情報データテーブル
１６０　危険度設定ＤＢ（Ｄａｔａ　Ｂａｓｅ）
１６３　危険度情報データテーブル
１７０　履歴情報受信部
１８０　履歴情報収集制御部
２００　コントローラ
２０１　ネットワークＩ／Ｆ
２１０　履歴情報受信部
２２０　履歴情報ＤＢ（Ｄａｔａ　Ｂａｓｅ）
２３０　履歴情報分析部
２４０　履歴情報収集制御部
１０００、１０００Ａ　情報収集システム

Claims

　端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行う履歴情報収集部と、
　サーバへの前記履歴情報の送信タイミングを制御する送信制御部と、を備える、
　情報収集制御装置。
　前記端末におけるセキュリティリスクの程度に関連する危険度を前記履歴情報に対して設定する危険度設定部を備え、
　前記送信制御部は、
　前記履歴情報に設定された前記危険度に基づいて前記送信タイミングを制御する、
　請求項１に記載の情報収集制御装置。
　前記危険度設定部は、
　前記履歴情報に正常値ではないパラメータが含まれている場合に、前記危険度として前記端末にセキュリティリスクが有ることを示す値を設定する、
　請求項２に記載の情報収集制御装置。
　前記危険度設定部は、
　前記履歴情報に前記端末への攻撃パターンに関連する攻撃関連情報が含まれている場合に、前記危険度として前記端末にセキュリティリスクが有ることを示す値を設定する、
　請求項２又は３に記載の情報収集制御装置。
　前記送信制御部は、
　前記危険度として前記履歴情報に設定された前記端末にセキュリティリスクが有ることを示す値が第１値以上である場合に、当該履歴情報を前記サーバへ送信する、
　請求項３又は４に記載の情報収集制御装置。
　前記送信制御部は、
　前記危険度として前記履歴情報に設定された前記端末にセキュリティリスクが有ることを示す値の合計が第２値以上となった場合に、当該履歴情報を前記サーバへ送信する、
　請求項３から５のいずれか１項に記載の情報収集制御装置。
　前記履歴情報収集部は、通常領域に配置されており、
　前記送信制御部及び前記危険度設定部は、前記通常領域よりもセキュアな保護領域に配置されており、
　前記保護領域に配置され、前記履歴情報収集部から前記履歴情報を受信する履歴情報受信部を備える、
　請求項２から６のいずれか１項に記載の情報収集制御装置。
　前記履歴情報収集部は、前記動作履歴のうち、収集対象として予め定められた収集対象動作履歴を前記履歴情報として収集し、
　前記動作履歴のうち、前記収集対象動作履歴に関連する関連動作履歴を前記収集対象として前記履歴情報収集部に前記収集処理を実行させる履歴情報収集制御部、を備える、
　請求項２から７のいずれか１項に記載の情報収集制御装置。
　前記履歴情報収集制御部は、
　前記関連動作履歴が前記収集対象動作履歴に関連しなくなった場合に、前記収集対象から前記関連動作履歴を除外する、
　請求項８に記載の情報収集制御装置。
　前記収集対象動作履歴には、前記端末にセキュリティリスクが有ることを示す動作履歴が含まれる、
　請求項８又は９に記載の情報収集制御装置。
　前記履歴情報収集制御部は、
　前記サーバから受信した受信情報に基づいて、前記履歴情報収集部による前記収集処理の実行を制御する、
　請求項８から１０のいずれか１項に記載の情報収集制御装置。
　前記履歴情報収集制御部は、通常領域よりもセキュアな保護領域に配置されている、
　請求項８から１１のいずれか１項に記載の情報収集制御装置。
　前記送信制御部は、
　前記履歴情報収集部が収集した前記履歴情報の量が所定量以上となった場合に、前記履歴情報を前記サーバへ送信する、
　請求項１から１２のいずれか１項に記載の情報収集制御装置。
　前記送信制御部は、
　所定時間毎に、前記履歴情報を前記サーバへ送信する、
　請求項１から１３のいずれか１項に記載の情報収集制御装置。
　前記送信制御部は、
　前記履歴情報が、所定時間内における前記動作履歴である場合に、当該履歴情報を前記サーバへ送信する、
　請求項１から１４のいずれか１項に記載の情報収集制御装置。
　前記送信制御部は、
　前記履歴情報が所定のシステムコールである場合に、当該履歴情報を前記サーバへ送信する、
　請求項１から１５のいずれか１項に記載の情報収集制御装置。
　請求項１から１６のいずれか１項に記載の情報収集制御装置を含む、情報収集システム。
　端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行うことと、
　サーバへの前記履歴情報の送信タイミングを制御することと、を備える、
　情報収集制御方法。
　端末において動作するプログラムの動作履歴に関する履歴情報を収集する収集処理を行うことと、
　サーバへの前記履歴情報の送信タイミングを制御することと、をプロセッサに実行させる、
　情報収集制御プログラム。