WO2022149233A1

WO2022149233A1 - ログ生成装置、ログ生成方法、及び、ログ生成プログラム

Info

Publication number: WO2022149233A1
Application number: PCT/JP2021/000313
Authority: WO
Inventors: 匠山本; 清人河内
Original assignee: 三菱電機株式会社
Priority date: 2021-01-07
Filing date: 2021-01-07
Publication date: 2022-07-14
Also published as: US20230273993A1; CN116670696A; JP7229443B2; JPWO2022149233A1; DE112021005802T5

Abstract

ログ生成装置（１００）は、オブジェクト探索部（１１１）とユーザ探索部（１１２）と特定操作ログ生成部とを備える。オブジェクト探索部（１１１）は、対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて対象システムが有するオブジェクトから対象オブジェクトを探索する。ユーザ探索部（１１２）は、対象操作ログを用いて対象システムのユーザから対象オブジェクトを操作し得るユーザを対象ユーザとして探索する。特定操作ログ生成部は、対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、特定操作情報と、対象操作ログとを用いて、対象ユーザが対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する。

Description

ログ生成装置、ログ生成方法、及び、ログ生成プログラム

　本開示は、ログ生成装置、ログ生成方法、及び、ログ生成プログラムに関する。

　システムにおいて、内部犯による攻撃を、機械学習を利用して検知する攻撃検知技術がある。当該攻撃検知技術において内部犯による攻撃データを用いて学習する必要があるものの、十分な量の内部犯による攻撃データを取得することができないことが多い。

Ｇｌａｓｓｅｒ，Ｊ．、Ｌｉｎｄａｕｅｒ，Ｂ．、"Ｂｒｉｄｇｉｎｇ　ｔｈｅ　Ｇａｐ：　Ａ　Ｐｒａｇｍａｔｉｃ　Ａｐｐｒｏａｃｈ　ｔｏ　Ｇｅｎｅｒａｔｉｎｇ　Ｉｎｓｉｄｅｒ　Ｔｈｒｅａｔ　Ｄａｔａ"、ＩＥＥＥ　Ｓｅｃｕｒｉｔｙ　ａｎｄ　Ｐｒｉｖａｃｙ　Ｗｏｒｋｓｈｏｐｓ、２０１３

　非特許文献１は、内部犯による攻撃データを生成する技術を開示している。しかしながら、当該技術によれば、模擬環境における攻撃データを生成するため、実際の環境においては現実的に起こり得ない操作ログを生成することがあるという課題がある。

　本開示は、実際の環境において現実的に起こり得る悪意ログを生成することを目的とする。

　本開示に係るログ生成装置は、
　オブジェクトを有する対象システムにおけるログ生成装置であって、
　前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索するオブジェクト探索部と、
　前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索するユーザ探索部と、
　前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する特定操作ログ生成部と
を備える。

　本開示に係る特定操作ログは、対象システムが有するオブジェクトを実際に操作したログである対象操作ログに基づいて特定操作ログを生成する。ここで、特定操作ログは悪意ログであってもよい。従って、本開示によれば実際の環境において現実的に起こり得る悪意ログを生成することができる。

実施の形態１に係るログ生成装置１００の構成例。実施の形態１に係るログ生成装置１００のハードウェア構成例。内部不正を説明する図。実施の形態１に係るログ生成装置１００の動作を示すフローチャート。実施の形態１に係るオブジェクト探索部１１１の動作を示すフローチャート。実施の形態１に係るユーザ探索部１１２の動作を示すフローチャート。実施の形態１に係る時間帯探索部１１３の動作を示すフローチャート。実施の形態１に係る悪意ログ生成部１２１の動作を示すフローチャート。実施の形態１に係る周辺ログ生成部１２２の動作を示すフローチャート。実施の形態１に係るログ埋込部１２３の動作を示すフローチャート。実施の形態１に係る操作ログ３００と仮想不正ログ４００との具体例。実施の形態１の変形例に係るログ生成装置１００のハードウェア構成例。

　実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。

　実施の形態１．
　以下、本実施の形態について、図面を参照しながら詳細に説明する。

＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係るログ生成装置１００の構成例を示している。ログ生成装置１００は、本図に示すように、ログ分析部１１０と、ログ生成部１２０とを備え、オブジェクト条件情報２００と、ユーザ属性情報２１０と、悪意操作情報２２０とを記憶する。ログ生成装置１００は顧客のシステムにおいて用いられてもよい。ログ生成装置１００が用いられるシステムを対象システムと呼ぶ。対象システムはオブジェクトを有する。

　操作ログ３００は、対象システムが有するオブジェクトを対象システムのユーザが実際に操作した履歴を示すログの少なくとも一部であり、対象操作ログ又は顧客ログとも呼ばれる。

　ログ分析部１１０は、オブジェクト探索部１１１と、ユーザ探索部１１２と、時間帯探索部１１３とを備える。

　オブジェクト探索部１１１は、対象システムが有するオブジェクトから、内部不正が仮想的に実行されるオブジェクトを対象オブジェクトとして探索する。オブジェクトは、操作ログ３００によってオブジェクトに対するユーザの操作を監視することができる資産であればどのようなものであってもよい。オブジェクトは、具体例として、電子ファイル又は電子機器である。なお、電子ファイルを単にファイルと表記することもある。オブジェクト探索部１１１は、対象システムが有する各オブジェクトの機密度に基づいて対象オブジェクトを探索してもよい。
　内部不正は、対象システムが有するオブジェクトに対してユーザが実行する悪意操作であり、悪意ログ３１０が示す処理である。ユーザは、特に断りがない限り対象システムに登録されているアカウント等を用いて対象システムを利用する利用者を指す。具体例として、対象システムにおけるアカウントを有する人間であって組織内部の人間が、当該人間に与えられた権限の範囲内においてファイルを閲覧し、当該権限の範囲内においてファイルをＵＳＢメモリに出力し、組織の外に当該ＵＳＢメモリを持ち出すことは内部不正に当たることがある。また、対象システムにおけるアカウントを有する人間であって組織内部の人間が、当該人間に与えられた権限の範囲内において電子機器の設定ファイルを閲覧し、当該権限の範囲内において当該設定ファイルを編集することにより電子機器の故障を誘発させることも内部不正に当たることがある。なお、外部犯が、対象システムにおける正規のユーザのアカウントを盗み、盗んだアカウントを用いて外部から対象システムに侵入し、当該アカウントの権限の範囲内において対象システムから機密情報を探し、探した機密情報を外部に送信する処理も、内部不正の対象とする。また、外部犯がマルウェアを含むファイルが添付された標的型メールを対象システムにおける正規ユーザのＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）に送り、正規ユーザが当該標的型メールに添付されているファイルを開いたことによって正規ユーザのＰＣがマルウェアに感染した場合を考える。この場合において、外部犯が、正規ユーザのＰＣをコントロールし、正規ユーザのアカウントの権限の範囲内において対象システムから機密情報を探し、探した機密情報を外部に送信する処理も、内部不正の対象とする。悪意ログ３１０は、対象ユーザが対象オブジェクトに対して実行した悪意操作を示す仮想的なログであり、操作ログ３００の一部となり得るログである。悪意操作は、悪意のあるユーザがシステムに対して実行する正常な操作である。正常な操作は、対象ユーザが対象システムに対して実行する通常の操作である。ある操作が正常な操作である場合に、具体例として、対象システムは、対象ユーザが当該ある操作を実行したときに当該ある操作を異常な操作と判断しない。ここで、正常な操作であるか否かは、ユーザの操作と、ユーザの操作対象との組み合わせによって判断されてもよい。具体例として、正常な操作であるか否かは、操作対象がファイルである場合において、ファイルの機密性と、ファイルへのアクセス頻度と、ファイルに対して頻繁に行われる操作内容との少なくともいずれかと、ユーザのファイルに対する操作との組み合わせに基づいて判断されてもよい。
　なお、ログ生成装置１００は、発電所のプラント等においても用いることができる。このとき、具体例として、オブジェクト探索部１１１は機密度の高い電子機器を対象オブジェクトとする。

　ユーザ探索部１１２は、対象操作ログを用いて対象システムのユーザから対象オブジェクトを操作し得るユーザを対象ユーザとして探索する。ユーザ探索部１１２は、対象システムの各ユーザの属性を示すユーザ属性情報を用いて対象ユーザを探索してもよい。

　時間帯探索部１１３は、悪意ログ３１０が示す処理が実行される時間帯を探索する。時間帯探索部１１３は、対象操作ログを用いて特定操作ログが示す操作が実行された時間帯を対象時間帯として探索してもよい。

　ログ生成部１２０は、悪意ログ生成部１２１と、周辺ログ生成部１２２と、ログ埋込部１２３とを備える。

　悪意ログ生成部１２１は、悪意操作情報２２０に基づいて悪意ログ３１０を生成する。悪意ログ生成部１２１は特定操作ログ生成部とも呼ばれる。悪意ログ生成部１２１は、対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、特定操作情報と、対象操作ログとを用いて、対象ユーザが対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する。悪意操作を実行するユーザは特定のユーザでもある。悪意操作は特定操作でもある。悪意ログ３１０は特定操作ログでもある。悪意ログ生成部１２１は、特定操作ログが示す操作が対象時間帯において実行されたものとしてもよい。

　周辺ログ生成部１２２は、周辺ログ３２０を生成する。周辺ログ３２０は、悪意ログ３１０と同様のログであり、周辺操作を示す仮想的なログである。周辺操作は、悪意ログ３１０が示す操作が実行される時間帯の周辺の時間帯に対象オブジェクトが格納されている場所の周辺において実行される正常な操作であり、悪意操作ではない操作であり、特定操作ではない操作である。周辺ログ３２０は、悪意ログ３１０が現実的に起こり得るログとなるよう補助するログであってもよい。

　ログ埋込部１２３は、操作ログ３００に悪意ログ３１０と周辺ログ３２０とを埋め込むことにより、仮想不正ログ４００を生成する。仮想不正ログ４００は、内部犯による攻撃ログを含む仮想的なログである。
　ログ埋込部１２３は、特定操作ログを対象操作ログに埋め込んでもよい。ログ埋込部１２３は、操作ログ３００に周辺ログ３２０を埋め込まなくてもよい。

　オブジェクト条件情報２００は、オブジェクト探索部１１１がオブジェクトを絞り込む際に用いる条件である。オブジェクト条件情報２００は、具体例として、オブジェクトが電子機器である場合において電子機器が置かれている場所又は電子機器の用途であり、電子ファイルである場合において電子ファイルが格納されているフォルダ又は電子ファイルの名称に用いられる機密関連ワードである。

　ユーザ属性情報２１０と、各ユーザの属性を示す情報である。属性は、各ユーザを分類する情報であり、具体例として、所属会社と所属部署と役職と勤続年数との組み合わせである。役職は、具体例として、役員、部長、又は課長である。

　悪意操作情報２２０は、悪意操作の一覧を示す。悪意操作情報２２０は、オブジェクトが電子ファイルである場合において、具体例として、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）出力と、インターネット送信と、ローカル保存と、印刷とのそれぞれを示す情報を含む。

　図２は、本実施の形態に係るログ生成装置１００のハードウェア構成例を示している。ログ生成装置１００は、コンピュータから成る。ログ生成装置１００は、複数のコンピュータから成ってもよい。

　コンピュータは、本図に示すように、プロセッサ１１と、メモリ１２と、補助記憶装置１３と、入出力ＩＦ（Ｉｎｔｅｒｆａｃｅ）１４と、通信装置１５と等のハードウェアを備えるコンピュータである。これらのハードウェアは、信号線１９を介して互いに接続されている。

　プロセッサ１１は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であり、かつ、コンピュータが備えるハードウェアを制御する。プロセッサ１１は、具体例として、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、又はＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　ログ生成装置１００は、プロセッサ１１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ１１の役割を分担する。

　メモリ１２は、典型的には、揮発性の記憶装置である。メモリ１２は、主記憶装置又はメインメモリとも呼ばれる。メモリ１２は、具体例として、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。メモリ１２に記憶されたデータは、必要に応じて補助記憶装置１３に保存される。

　補助記憶装置１３は、典型的には、不揮発性の記憶装置である。補助記憶装置１３は、具体例として、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、又はフラッシュメモリである。補助記憶装置１３に記憶されたデータは、必要に応じてメモリ１２にロードされる。
　メモリ１２及び補助記憶装置１３は一体的に構成されていてもよい。

　入出力ＩＦ１４は、入力装置及び出力装置が接続されるポートである。入出力ＩＦ１４は、具体例として、ＵＳＢ端子である。入力装置は、具体例として、キーボード及びマウスである。出力装置は、具体例として、ディスプレイである。

　通信装置１５は、レシーバ及びトランスミッタである。通信装置１５は、具体例として、通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。

　ログ生成装置１００の各部は、他の装置等と通信する際に、通信装置１５を適宜用いてもよい。ログ生成装置１００の各部は、入出力ＩＦ１４を介してデータを受け付けてもよく、また、通信装置１５を介してデータを受け付けてもよい。

　補助記憶装置１３は、ログ生成プログラムを記憶している。ログ生成プログラムは、ログ生成装置１００が備える各部の機能をコンピュータに実現させるプログラムである。ログ生成プログラムは、メモリ１２にロードされて、プロセッサ１１によって実行される。ログ生成装置１００が備える各部の機能は、ソフトウェアにより実現される。

　ログ生成プログラムを実行する際に用いられるデータと、ログ生成プログラムを実行することによって得られるデータと等は、記憶装置に適宜記憶される。ログ生成装置１００の各部は、適宜記憶装置を利用する。記憶装置は、具体例として、メモリ１２と、補助記憶装置１３と、プロセッサ１１内のレジスタと、プロセッサ１１内のキャッシュメモリとの少なくとも１つから成る。なお、データと、情報とは、同等の意味を有することもある。記憶装置は、コンピュータと独立したものであってもよい。記憶装置は、オブジェクト条件情報２００と、ユーザ属性情報２１０と、悪意操作情報２２０と、操作ログ３００とを記憶する。オブジェクト条件情報２００とユーザ属性情報２１０と悪意操作情報２２０と操作ログ３００とのそれぞれは、データベース化されていてもよい。
　メモリ１２及び補助記憶装置１３の機能は、他の記憶装置によって実現されてもよい。

　ログ生成プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。ログ生成プログラムは、プログラムプロダクトとして提供されてもよい。

＊＊＊動作の説明＊＊＊
　ログ生成装置１００の動作手順は、ログ生成方法に相当する。また、ログ生成装置１００の動作を実現するプログラムは、ログ生成プログラムに相当する。以下、オブジェクトが電子ファイルである場合におけるログ生成装置１００の動作を説明する。

　図３は、内部不正を模式的に説明する図である。本図において、ファイルサーバはファイルを格納しており、ファイルは適宜分類されている。「新製品プロジェクトに関連するファイル群」は新製品プロジェクトに関連する情報を示すファイルの一群であり、「新製品プロジェクトに関連するファイル群」に属するファイルの機密度は高いものとする。「ＵＳＢ出力無」は、「新製品プロジェクトに関連するファイル群」に属するファイルの内、少なくとも操作ログ３００が示す時間範囲において、ＵＳＢメモリに出力されたことがないファイルを示す。ログ生成装置１００は、ファイルが「ＵＳＢ出力無」に当たるか否かを、操作ログ３００を用いて確認してもよい。「ＵＳＢ出力無」に属するファイルは、具体例として、普段ＵＳＢ出力されない機密ファイルをＵＳＢファイルに出力する内部不正と、普段当該機密ファイルにアクセスしないユーザが当該機密ファイルにアクセスしてＵＳＢメモリに当該機密ファイルを出力する内部不正との少なくともいずれかを再現することに用いられる。正規ユーザは悪意操作を実行しないユーザである。内部犯は悪意操作を実行するユーザである。内部犯は正常な操作を実行してもよい。ログ生成装置１００は、あるユーザを仮想的に内部犯とみなすことにより内部不正が起こったものとする。内部犯は対象ユーザに相当する。ログ生成装置１００は、アクセス権限の範囲内において行われる内部不正を再現する。
　本図は、ファイルＤＯＣ２は普段ＵＳＢメモリに出力されない機密ファイルであるものの、内部犯がファイルＤＯＣ２をＵＳＢメモリに出力するという内部不正を実行する様子を示している。

　図４は、ログ生成装置１００の動作の一例を示すフローチャートである。本図を参照してログ生成装置１００の動作を説明する。

（ステップＳ１０１：ファイル探索処理）
　オブジェクト探索部１１１は、操作ログ３００に基づいて、内部不正が実行される対象であるファイルを対象ファイルとして決定する。

（ステップＳ１０２：ユーザ探索処理）
　ユーザ探索部１１２は、操作ログ３００に基づいて、内部不正を行うユーザを対象ユーザとして決定する。

（ステップＳ１０３：時間帯探索処理）
　時間帯探索部１１３は、操作ログ３００に基づいて、対象ユーザが内部不正を実行する時間帯を対象時間帯として決定する。

（ステップＳ１０４：操作決定処理）
　悪意ログ生成部１２１は、悪意操作情報２２０に基づいて、対象ファイルへの悪意操作を対象悪意操作として決定する。

（ステップＳ１０５：悪意ログ生成処理）
　悪意ログ生成部１２１は、対象ファイルに対して対象時間帯に対象悪意操作を対象ユーザが実行したことを示す悪意ログ３１０を作成する。

（ステップＳ１０６：周辺ログ生成処理）
　周辺ログ生成部１２２は、対象ファイルの周辺において対象時間帯の周辺の時間帯において対象ユーザが実行したことを示す周辺ログ３２０を作成する。

（ステップＳ１０７：ログ埋込処理）
　ログ埋込部１２３は、操作ログ３００に対して悪意ログ３１０と対象周辺ログ３２０とを対象時間帯及び対象時間帯の周辺において対象ユーザが実行した操作として埋め込むことにより、仮想不正ログ４００を作成する。

　図５は、オブジェクト探索部１１１の動作の一例を示すフローチャートである。本図を参照してオブジェクト探索部１１１の動作を説明する。

（ステップＳ１１１：ファイル分類処理）
　オブジェクト探索部１１１は、操作ログ３００に基づいて対象システムが有するファイルをファイルへのアクセスの傾向によりカテゴリに分類し、対象とするカテゴリを対象カテゴリとして決める。カテゴリは、具体例として、「誰もアクセスしないファイル」と、「誰も編集しないファイル」と、「規定のユーザ又は規定のグループに属するユーザのみリードアクセスするファイル」と、「規定のユーザ又は規定のグループに属するユーザのみ編集するファイル」と、「特定のユーザのみリードアクセスするファイル」と、「特定のユーザのみ編集するファイル」とを含む。
　多くの人がアクセス又は編集するファイルは機密度が低いと考えられる。そこで、オブジェクト探索部１１１は、アクセスするユーザが限定されているカテゴリを対象カテゴリとして選択する。

（ステップＳ１１２：操作絞り込み処理）
　オブジェクト探索部１１１は、対象カテゴリに属するファイルを、規定の悪意操作が実行されていないファイルに絞り込む。オブジェクト探索部１１１は、悪意操作情報２２０を参照して規定の悪意操作を決めてもよい。規定の悪意操作はユーザの属性又はファイルの性質等によって異なってもよい。具体例として、役員ＡがファイルＦ１をローカル保存することは規定の悪意操作ではないが、課長ＢがファイルＦ１をローカルすることは規定の悪意操作であってもよい。また、ファイルＦ１を印刷することは規定の悪意操作ではないが、ファイルＦ２を印刷することは規定の悪意操作であってもよい。

（ステップＳ１１３：対象ファイル抽出処理）
　オブジェクト探索部１１１は、前のステップの処理によって絞り込まれたファイルから、ファイル名に規定のワードが含まれているファイル、又は、ディレクトリ名に規定のワードが含まれているディレクトリが格納しているファイル等を対象ファイルとして抽出する。当該ファイル名又は当該ディレクトリ名は、具体例として、「社外秘」と「秘」と「極秘」と「発電プラント」と「新製品プロジェクト」と「企画書」と「仕様書」との少なくともいずれかの用語を含む。
　オブジェクト探索部１１１は複数のファイルを抽出してもよい。また、オブジェクト探索部１１１は、ファイルではなく、一定の期間内にアクセスされる一連のファイルから成るファイル集合を抽出してもよい。オブジェクト探索部１１１がファイル集合を抽出した場合、以降の処理において、ログ生成装置１００は、ファイル単位ではなくファイル集合単位で処理を実行する。

　図６は、ユーザ探索部１１２の動作の一例を示すフローチャートである。本図を参照してユーザ探索部１１２の動作を説明する。

（ステップＳ１２１：ユーザ分類処理）
　ユーザ探索部１１２は、操作ログ３００における対象ファイルへのアクセス傾向に基づいて各ユーザをカテゴリに分類し、対象とするカテゴリを対象カテゴリとして決める。カテゴリは、具体例として、「対象ファイルに全くリードアクセスしないユーザ」と、「対象ファイルにリードアクセスのみするユーザ」と、「対象ファイルを編集するユーザ」とを含む。

（ステップＳ１２２：ユーザ属性絞り込み処理）
　ユーザ探索部１１２は、対象カテゴリに属するユーザを、ユーザ属性情報２１０を用いて対象ユーザとなり得るユーザに絞り込む。ユーザ探索部１１２は、具体例として、役職が比較的低いユーザ、又は、勤続年数が比較的短いユーザに絞り込む。ユーザ属性情報２１０は、ユーザ属性が含む複数の情報の組み合わせが一定の条件を満たすユーザに絞り込んでもよい。

（ステップＳ１２３：対象ユーザ抽出処理）
　ユーザ探索部１１２は、前のステップの処理によって絞り込まれたユーザから、対象ファイルが置いてあるディレクトリにアクセスする権限のあるユーザ、又は、当該ディレクトリにアクセスしたことのあるユーザ等に絞り込み、絞り込んだユーザから対象ユーザを抽出する。ユーザ探索部１１２は、複数のユーザを対象ユーザとして抽出してもよい。

　図７は、時間帯探索部１１３の動作の一例を示すフローチャートである。本図を参照して時間帯探索部１１３の動作を説明する。

（ステップＳ１３１：時間帯特定処理）
　時間帯探索部１１３は、操作ログ３００に基づいて対象ユーザがファイルにアクセスすることが多い時間帯を特定時間帯として特定する。ここで、当該ファイルは対象ファイルに限られなくてもよい。

（ステップＳ１３２：時間帯除外処理）
　時間帯探索部１１３は、操作ログ３００に基づいて、対象ファイルを有するディレクトリと当該ディレクトリの周辺のディレクトリとを除くディレクトリを対象ユーザが操作することが比較的多い時間帯を、特定時間帯から除く。時間帯探索部１１３は、本ステップにおいて除外しなかった時間帯を除外済時間帯とする。

（ステップＳ１３３：対象時間帯抽出処理）
　時間帯探索部１１３は、操作ログ３００に基づいて対象ユーザのファイルアクセスの時間間隔を特定し、特定した時間間隔に基づいて除外済時間帯から対象時間帯を抽出する。時間間隔には上限と下限とがあってもよい。時間帯探索部１１３は、具体例として、一定期間の間に対象ユーザが、開くファイルの種類若しくはファイルの数、又は、編集するファイルの種類若しくはファイルの数等に基づいて時間間隔を求める。
　時間帯探索部１１３は、具体例として、対象ユーザがあるファイルにアクセスした時間から時間間隔が経過した時間を対象時間帯とする。

　図８は、悪意ログ生成部１２１の動作の一例を示すフローチャートである。本図を参照して悪意ログ生成部１２１の動作を説明する。

（ステップＳ１４１：悪意操作決定処理）
　悪意ログ生成部１２１は、悪意操作情報２２０を参照して、対象ユーザが対象ファイルに対して実行する悪意操作を対象悪意操作として決定する。悪意ログ生成部１２１は、操作ログ３００を参照することにより、対象時間帯において現実的に起こり得る悪意操作を絞り込み、絞り込んだ悪意操作から対象悪意操作を決定してもよい。

（ステップＳ１４２：ログ生成処理）
　悪意ログ生成部１２１は、当該ユーザが当該時間帯に、対象ファイルに対して対象悪意操作を実行したことを示す悪意ログ３１０を作成する。悪意ログ３１０は、具体例として、タイムスタンプと、対象ファイルの名称と、対象ユーザの名称と、対象悪意操作とを示す情報を含む。

　図９は、周辺ログ生成部１２２の動作の一例を示すフローチャートである。本図を参照して周辺ログ生成部１２２の動作を説明する。

（ステップＳ１５１：ファイル選択処理）
　周辺ログ生成部１２２は、対象ファイルが置かれているディレクトリ内の対象ファイル以外のファイルと、当該ディレクトリの周辺のディレクトリが含むファイルとから、任意の数のファイルを選択する。

（ステップＳ１５２：周辺操作決定処理）
　周辺ログ生成部１２２は、当該周辺ファイルに対する正常操作を対象正常操作として決定する。対象正常操作は、悪意操作ではない操作である。周辺ログ生成部１２２は、操作ログ３００と悪意操作情報２２０との少なくともいずれかを適宜参照して対象周辺操作を決定してもよい。

（ステップＳ１５３：ログ生成処理）
　周辺ログ生成部１２２は、悪意ログ３１０の時間帯前後に、対象ユーザが、対象周辺操作を実行したことを示す周辺ログ３２０を作成する。

　図１０は、ログ埋込部１２３の動作の一例を示すフローチャートである。本図を参照してログ埋込部１２３の動作を説明する。

（ステップＳ１６１：悪意ログ埋込処理）
　ログ埋込部１２３は、悪意ログ３１０が示す操作が対象時間帯に実行されたものとなるよう悪意ログ３１０を操作ログ３００に埋め込む。

（ステップＳ１６２：周辺ログ埋込処理）
　ログ埋込部１２３は、周辺ログ３２０を操作ログ３００に適宜埋め込み、仮想不正ログ４００を生成する。

　図１１は、操作ログ３００と操作ログ３００に対応する仮想不正ログ４００との具体例を示している。本例において、ログ生成装置１００は、周辺ログ３２０としてユーザＡがファイルＢを編集する操作を示すログを操作ログ３００に埋め込み、悪意ログ３１０としてユーザＡがファイルＢをＵＳＢメモリに出力する操作を示すログを操作ログ３００に埋め込む。

＊＊＊実施の形態１の効果の説明＊＊＊
　以上のように、本実施の形態によれば、顧客の環境に対応した仮想的な内部犯行ログを自動的に生成することができる。

＊＊＊他の構成＊＊＊
＜変形例１＞
　悪意ログ生成部１２１は、操作ログ３００の一部を変更することにより悪意ログ３１０を生成してもよい。
　周辺ログ生成部１２２は、操作ログ３００の一部を変更することにより周辺ログ３２０を生成してもよい。

＜変形例２＞
　図１２は、本変形例に係るログ生成装置１００のハードウェア構成例を示している。
　ログ生成装置１００は、本図に示すように、プロセッサ１１とメモリ１２と補助記憶装置１３との少なくとも１つに代えて、処理回路１８を備える。
　処理回路１８は、ログ生成装置１００が備える各部の少なくとも一部を実現するハードウェアである。
　処理回路１８は、専用のハードウェアであってもよく、また、メモリ１２に格納されるプログラムを実行するプロセッサであってもよい。

　処理回路１８が専用のハードウェアである場合、処理回路１８は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（ＡＳＩＣはＡｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）又はこれらの組み合わせである。
　ログ生成装置１００は、処理回路１８を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路１８の役割を分担する。

　ログ生成装置１００において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。

　処理回路１８は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
　プロセッサ１１とメモリ１２と補助記憶装置１３と処理回路１８とを、総称して「プロセッシングサーキットリー」という。つまり、ログ生成装置１００の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
＊＊＊他の実施の形態＊＊＊
　実施の形態１について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。
　なお、上述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャート等を用いて説明した手順は、適宜変更されてもよい。

　１１　プロセッサ、１２　メモリ、１３　補助記憶装置、１４　入出力ＩＦ、１５　通信装置、１８　処理回路、１９　信号線、１００　ログ生成装置、１１０　ログ分析部、１１１　オブジェクト探索部、１１２　ユーザ探索部、１１３　時間帯探索部、１２０　ログ生成部、１２１　悪意ログ生成部、１２２　周辺ログ生成部、１２３　ログ埋込部、２００　オブジェクト条件情報、２１０　ユーザ属性情報、２２０　悪意操作情報、３００　操作ログ、３１０　悪意ログ、３２０　周辺ログ、４００　仮想不正ログ。

Claims

　オブジェクトを有する対象システムにおけるログ生成装置であって、
　前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索するオブジェクト探索部と、
　前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索するユーザ探索部と、
　前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する特定操作ログ生成部と
を備えるログ生成装置。
　前記ログ生成装置は、さらに、
　前記対象操作ログを用いて前記特定操作ログが示す操作が実行された時間帯を対象時間帯として探索する時間帯探索部を備え、
　前記特定操作ログ生成部は、前記特定操作ログが示す操作が前記対象時間帯において実行されたものとする請求項１に記載のログ生成装置。
　前記ログ生成装置は、さらに、
　前記特定操作ログを前記対象操作ログに埋め込むログ埋込部を備える請求項２に記載のログ生成装置。
　前記ログ生成装置は、さらに、
　前記対象時間帯の周辺の時間帯において前記対象オブジェクトが格納されている場所の周辺において前記対象ユーザが実行した操作であって、前記特定操作ではない操作である周辺操作を示す仮想的なログである周辺ログを生成する周辺ログ生成部を備え、
　前記ログ埋込部は、前記周辺ログを前記対象操作ログに埋め込む請求項３に記載のログ生成装置。
　前記オブジェクト探索部は、前記対象システムが有する各オブジェクトの機密度に基づいて前記対象オブジェクトを探索する請求項１から４のいずれか１項に記載のログ生成装置。
　前記ユーザ探索部は、前記対象システムの各ユーザの属性を示すユーザ属性情報を用いて前記対象ユーザを探索する請求項１から５のいずれか１項に記載のログ生成装置。
　前記オブジェクトは電子ファイルである請求項１から６のいずれか１項に記載のログ生成装置。
　前記オブジェクトは電子機器である請求項１から６のいずれか１項に記載のログ生成装置。
　オブジェクトを有する対象システムにおけるログ生成方法であって、
　オブジェクト探索部が、前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索し、
　ユーザ探索部が、前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索し、
　特定操作ログ生成部が、前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成するログ生成方法。
　オブジェクトを有する対象システムにおけるログ生成プログラムであって、
　前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索するオブジェクト探索処理と、
　前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索するユーザ探索処理と、
　前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する特定操作ログ生成処理と
をコンピュータであるログ生成装置に実行させるログ生成プログラム。