WO2022264420A1

WO2022264420A1 - セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム

Info

Publication number: WO2022264420A1
Application number: PCT/JP2021/023249
Authority: WO
Inventors: 亜衣子岩崎; 匠山本; 創小林; 清人河内
Original assignee: 三菱電機株式会社
Priority date: 2021-06-18
Filing date: 2021-06-18
Publication date: 2022-12-22
Also published as: US20240080330A1; CN117461033A; JPWO2022264420A1; JP7357825B2

Abstract

セキュリティ監視装置（１００）は、コンテンツカテゴリ推定部（１２２）と、カテゴリ比較部（１２３）と、情報付与部（１３０）とを備える。コンテンツカテゴリ推定部（１２２）は、監視対象システム（２００）が備える対象装置が有するコンテンツのカテゴリを推定した結果である第１推定カテゴリを、コンテンツを示すコンテンツデータを用いてコンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、対象装置が有するコンテンツを示すデータとを用いて推定する。カテゴリ比較部（１２３）は、第１推定カテゴリと比較用カテゴリとが一致するか否かを判定する。情報付与部（１３０）は、第１推定カテゴリと比較用カテゴリとが一致するか否かに応じた付与情報を生成する。

Description

セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム

　本開示は、セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラムに関する。

　正常状態であるデータを用いてルール又は推論モデル等を作成し、作成したルール又はモデル等を用いてデータが正常状態から逸脱したか否かを判定することにより、データの異常を検知する技術がある。本技術を用いることにより通信における正常とは異なる活動を発見することができるため、サイバー攻撃といった悪意のある活動を検知することに本技術を活用することが期待されている。
　特許文献１は、ＵＲＬ（Ｕｎｉｆｏｒｍ　Ｒｅｓｏｕｒｃｅ　Ｌｏｃａｔｏｒ）をドメイン又はカテゴリレベル等の荒い粒度で分類し、分類した結果に応じたルールを用いて通信に関する異常を判定し、判定結果と、異常の原因に関する情報とを管理者に提示する技術を開示している。

国際公開第２０１６／０３１０３４号

　特許文献１が開示する技術は、通信先が有するコンテンツのカテゴリの過去からの変化を自動的に検出しないため、通信先が有するコンテンツのカテゴリの過去からの変化が通信に関する異常の原因である場合においても、システムの管理者が、送信先が有するコンテンツのカテゴリが過去から変化したか否かを調べる必要があるという課題がある。

　本開示は、通信先が有するコンテンツのカテゴリの過去からの変化を自動的に検出し、検出した結果をシステムのオペレータ等に提示することを目的とする。

　本開示に係るセキュリティ監視装置は、
　監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第１推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定するコンテンツカテゴリ推定部と、
　前記第１推定カテゴリと比較用カテゴリとが一致するか否かを判定するカテゴリ比較部と、
　前記第１推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成する情報付与部と
を備える。

　本開示によれば、コンテンツカテゴリ推定部は対象装置が有するコンテンツのカテゴリを推定し、カテゴリ比較部は推定したカテゴリが比較用カテゴリと一致するか否かを判定し、情報付与部は判定した結果に応じた付与情報を生成する。対象装置は通信先であってもよく、比較用カテゴリは過去において対象装置が有したコンテンツのカテゴリであってもよく、付与情報はシステムのオペレータ等に通信異常を知らせる情報に付与されてもよい。そのため、本開示によれば、通信先が有するコンテンツのカテゴリに過去からの変化がある場合において、通信先が有するコンテンツのカテゴリの過去からの変化を自動的に検出し、検出した結果をシステムのオペレータ等に提示することができる。

実施の形態１に係るセキュリティ監視システム９０の構成例を示す図。実施の形態１に係る通信ログの具体例を示す図。実施の形態１に係るセキュリティ監視装置１００のハードウェア構成例を示す図。実施の形態１に係るセキュリティ監視装置１００の学習時における動作を示すフローチャート。実施の形態１に係るセキュリティ監視装置１００の検知時における動作を示すフローチャート。実施の形態１に係る情報付与部１３０が付与する付与情報を示す図。実施の形態１の変形例に係るセキュリティ監視装置１００のハードウェア構成例を示す図。実施の形態２に係るセキュリティ監視システム９０の構成例を示す図。実施の形態２に係るセキュリティ監視装置１００の学習時における動作を示すフローチャート。実施の形態２に係るセキュリティ監視装置１００の検知時における動作を示すフローチャート。実施の形態３に係るセキュリティ監視システム９０の構成例を示す図。実施の形態３に係る情報付与部１３０が付与する付与情報を示す図。実施の形態４に係るセキュリティ監視システム９０の構成例を示す図。

　実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。

　実施の形態１．
　以下、本実施の形態について、図面を参照しながら詳細に説明する。
　本実施の形態は、基本的には、通信先のコンテンツのカテゴリは、正常時であれば変化せず、攻撃者によって改ざんされた場合等に変化するという仮定に基づく。

＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係るセキュリティ監視システム９０の構成例を示している。セキュリティ監視システム９０は、本図に示すように、セキュリティ監視装置１００と、監視対象システム２００とを備える。セキュリティ監視装置１００と、監視対象システム２００との各々は複数存在してもよい。セキュリティ監視装置１００と、監視対象システム２００とは適宜一体的に構成されていてもよい。

　セキュリティ監視装置１００は、監視対象システム２００を監視する装置であり、通信異常検知部１１０と、一貫性判定部１２０と、情報付与部１３０と、カテゴリＤＢ（Ｄａｔａｂａｓｅ）１７０とを備える。セキュリティ監視装置１００は、監視対象システム２００の通信ログの異常を検知した場合に、アラートを適宜出力する。

　通信異常検知部１１０は、コンテンツを有する装置であるコンテンツ装置の通信ログを用いてコンテンツ装置の通信ログを用いてコンテンツ装置の通信ログが異常であるか否かを推定する学習モデルである正常通信推定モデルを、監視対象システム２００の通信ログを用いて学習し、学習した正常通信推定モデルと、対象装置の通信ログとを用いて対象装置の通信ログが正常であるか否かを推定する。ここで、監視対象システム２００の通信ログは、監視対象システム２００が備える装置等における送受信記録を示す。送受信記録は、具体例として、監視対象システム２００が備えるサーバに監視対象システム２００が備える端末がアクセスした記録である。正常通信推定モデルは、通信ログを入力とし、入力された通信ログが正常であるか否かを推定するモデルである。対象装置は、監視対象システム２００が備えるサーバ等である。通信異常検知部１１０は、入力された通信ログの異常が正常通信推定モデルによって推定された場合にアラートを生成する。通信異常検知部１１０は、正常通信推定モデルを学習せず、他の装置等が生成した正常通信推定モデルを用いてもよい。通信異常検知部１１０の構成は、正常学習部と、異常判定部とを備える構成であってもよい。通信異常検知部１１０は、正常通信推定モデルを生成する際にどのような既存技術を用いてもよい。なお、正常通信推定モデルは、通信ログと、通信ログが正常であるか異常であるかを示す通信ログの状態との関係を学習した学習モデルであり、機械学習に基づく推論モデルであってもよく、ルールベース等、ルールに基づく方式を採用するプログラム等であってもよい。
　図２は、通信ログの具体例を示している。通信ログは、通信先のＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスと、通信日時等の情報から成る。

　一貫性判定部１２０は、コンテンツ取得部１２１と、コンテンツカテゴリ推定部１２２と、カテゴリ比較部１２３とを備える。
　コンテンツ取得部１２１は、通信ログに含まれる通信先の情報に基づいて通信先が有するコンテンツを取得する。通信先は、監視対象システム２００であってもよく、監視対象システム２００が備えるサーバ等であってもよい。コンテンツは、具体例として、ウェブサイトに表示される内容、又はファイルサーバに格納されているファイルの内容である。
　コンテンツカテゴリ推定部１２２は、コンテンツを示すデータを用いてコンテンツを示すコンテンツデータを用いてコンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルを学習し、対象装置が有するコンテンツのカテゴリを、学習したコンテンツカテゴリ推定モデルと、対象装置が有するコンテンツを示すデータとを用いて推定する。コンテンツカテゴリ推定部１２２が推定したカテゴリは第１推定カテゴリとも呼ばれる。第１推定カテゴリは、対象装置が有するコンテンツのカテゴリを推定した結果である。コンテンツカテゴリ推定部１２２は、コンテンツカテゴリ推定モデルを学習せず、他の装置等が生成したコンテンツカテゴリ推定モデルを用いてもよい。コンテンツカテゴリ推定モデルは、コンテンツを示すデータを入力とし、入力されたデータに対応するカテゴリを推定する。コンテンツカテゴリ推定モデルは、コンテンツを示すデータと、カテゴリとの関係を学習した学習モデルであり、機械学習に基づく推論モデルであってもよく、ルールベース等、ルールに基づく方式を採用するプログラム等であってもよい。コンテンツカテゴリ推定モデルは、１つのコンテンツから複数のカテゴリを推論するモデルであってもよく、複数のカテゴリを推論する場合において、各カテゴリの信頼度等を求めてもよい。コンテンツカテゴリ推定部１２２は、コンテンツカテゴリ推定モデルを学習する際にどのような既存技術を用いてもよい。コンテンツカテゴリ推定部１２２の構成は、カテゴリ学習部とカテゴリ判定部とを備える構成であってもよい。
　カテゴリ比較部１２３は、コンテンツカテゴリ推定部１２２が推定したカテゴリと、カテゴリＤＢ１７０とを参照して、現在における通信先が有するコンテンツのカテゴリと、過去における通信先が有するコンテンツのカテゴリとを比較する。カテゴリ比較部１２３の構成は、新旧比較部を備える構成であってもよい。カテゴリ比較部１２３は、第１推定カテゴリと比較用カテゴリとが一致するか否かを判定する。比較用カテゴリは、過去において、対象装置が有するコンテンツのカテゴリを、コンテンツカテゴリ推定モデルと、対象装置が有するコンテンツを示すデータとを用いて推定した結果であってもよい。
　なお、サーバが有するコンテンツのカテゴリが同じである場合にサーバの通信ログが類似し、また、サーバが有するコンテンツのカテゴリが互いに異なる場合にサーバの通信ログが類似しないと考えられる。カテゴリは、具体例として、ニュース、検索サービス、天気、又はＳＮＳ（Ｓｏｃｉａｌ　Ｎｅｔｗｏｒｋｉｎｇ　Ｓｅｒｖｉｃｅ）である。攻撃者によってサーバが有するコンテンツの内容が改ざんされた場合、改ざんの前後でサーバが有するコンテンツのカテゴリに変化が生じると考えられる。そこで、一貫性判定部１２０は、通信先が有するコンテンツのカテゴリを推定し、推定したカテゴリと、通信先が正常である場合において確認した通信先が有するコンテンツのカテゴリとに一貫性があるか否かを判定する。

　情報付与部１３０は、カテゴリ比較部１２３による比較結果に応じた付与情報を生成し、生成した付与情報をアラートに付与する。付与情報は、第１推定カテゴリと比較用カテゴリとが一致するか否かに応じた情報である。アラートは、監視対象システム２００の通信に異常があることを示すものである。情報付与部１３０は、対象装置の通信ログが正常ではないと正常通信推定モデルによって推定された場合に、生成した付与情報を、生成されたアラートに付与する。

　カテゴリＤＢ１７０は、各通信先情報について、通信先情報と通信先情報が示す通信先が有するコンテンツのカテゴリとの組を示すデータを記録する。通信先情報は、通信先を示す情報であり、具体例として通信先のドメインである。

　監視対象システム２００は、ログ採取装置２１０を備え、また、具体例として、ＷｅｂサーバとＡＤ（Ａｃｔｉｖｅ　Ｄｉｒｅｃｔｏｒｙ）サーバとファイルサーバとプロキシサーバとユーザ端末等を備えるＩＴ（Ｉｎｆｏｒｍａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ）システムである。
　ログ採取装置２１０は、監視対象システム２００の通信ログを採取し、採取した通信ログを保存する。

　図３は、本実施の形態に係るセキュリティ監視装置１００のハードウェア構成例を示している。セキュリティ監視装置１００は、コンピュータから成る。セキュリティ監視装置１００は、複数のコンピュータから成ってもよい。

　セキュリティ監視装置１００は、本図に示すように、プロセッサ１１と、メモリ１２と、補助記憶装置１３と、入出力ＩＦ（Ｉｎｔｅｒｆａｃｅ）１４と、通信装置１５等のハードウェアを備えるコンピュータである。これらのハードウェアは、信号線１９を介して適宜接続されている。

　プロセッサ１１は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であり、かつ、コンピュータが備えるハードウェアを制御する。プロセッサ１１は、具体例として、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、又はＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　セキュリティ監視装置１００は、プロセッサ１１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ１１の役割を分担する。

　メモリ１２は、典型的には、揮発性の記憶装置である。メモリ１２は、主記憶装置又はメインメモリとも呼ばれる。メモリ１２は、具体例として、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。メモリ１２に記憶されたデータは、必要に応じて補助記憶装置１３に保存される。

　補助記憶装置１３は、典型的には、不揮発性の記憶装置である。補助記憶装置１３は、具体例として、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、又はフラッシュメモリである。補助記憶装置１３に記憶されたデータは、必要に応じてメモリ１２にロードされる。
　メモリ１２及び補助記憶装置１３は一体的に構成されていてもよい。

　入出力ＩＦ１４は、入力装置及び出力装置が接続されるポートである。入出力ＩＦ１４は、具体例として、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）端子である。入力装置は、具体例として、キーボード及びマウスである。出力装置は、具体例として、ディスプレイである。

　通信装置１５は、レシーバ及びトランスミッタである。通信装置１５は、具体例として、通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。

　セキュリティ監視装置１００の各部は、他の装置等と通信する際に、入出力ＩＦ１４及び通信装置１５を適宜用いてもよい。

　補助記憶装置１３は、セキュリティ監視プログラムを記憶している。セキュリティ監視プログラムは、セキュリティ監視装置１００が備える各部の機能をコンピュータに実現させるプログラムである。セキュリティ監視プログラムは、メモリ１２にロードされて、プロセッサ１１によって実行される。セキュリティ監視装置１００が備える各部の機能は、ソフトウェアにより実現される。

　セキュリティ監視プログラムを実行する際に用いられるデータと、セキュリティ監視プログラムを実行することによって得られるデータ等は、記憶装置に適宜記憶される。セキュリティ監視装置１００の各部は、適宜記憶装置を利用する。記憶装置は、具体例として、メモリ１２と、補助記憶装置１３と、プロセッサ１１内のレジスタと、プロセッサ１１内のキャッシュメモリとの少なくとも１つから成る。なお、データと、情報とは、同等の意味を有することもある。記憶装置は、コンピュータと独立したものであってもよい。
　メモリ１２及び補助記憶装置１３の機能は、他の記憶装置によって実現されてもよい。

　セキュリティ監視プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。セキュリティ監視プログラムは、プログラムプロダクトとして提供されてもよい。

　ログ採取装置２１０のハードウェア構成は、セキュリティ監視装置１００のハードウェア構成と同様である。

＊＊＊動作の説明＊＊＊
　セキュリティ監視装置１００の動作手順は、セキュリティ監視方法に相当する。また、セキュリティ監視装置１００の動作を実現するプログラムは、セキュリティ監視プログラムに相当する。

　図４は、セキュリティ監視装置１００の学習時における動作の一例を示すフローチャートである。本図を参照してセキュリティ監視装置１００の学習時における動作を説明する。

（ステップＳ１０１）
　監視対象システム２００が正常である場合において、ログ採取装置２１０は、監視対象システム２００の通信ログを収集する。

（ステップＳ１０２）
　通信異常検知部１１０は、ログ採取装置２１０が収集した通信ログを取得し、取得した通信ログを用いて正常通信推定モデルを学習する。なお、通信異常検知部１１０は、監視対象システム２００が正常ではない場合における監視対象システム２００の通信ログを用いて正常通信推定モデルを学習してもよい。

（ステップＳ１０３）
　コンテンツ取得部１２１は、通信ログが示す通信先情報を取得し、取得した通信先情報を用いて通信先情報が示す通信先にアクセスし、通信先が有するコンテンツを取得する。

（ステップＳ１０４）
　コンテンツカテゴリ推定部１２２は、取得したコンテンツを用いてコンテンツカテゴリ推定モデルを学習する。コンテンツカテゴリ推定部１２２がコンテンツカテゴリ推定モデルを学習する際に、取得したコンテンツのカテゴリを示すデータが教師データとして与えられてもよい。

（ステップＳ１０５）
　コンテンツカテゴリ推定部１２２は、通信先が有するコンテンツを示すデータを取得し、ステップＳ１０３において取得した通信先情報が示す通信先が有するコンテンツのカテゴリを、取得したデータと、コンテンツカテゴリ推定モデルとを用いて推定する。その後、コンテンツカテゴリ推定部１２２は、当該通信先情報と、推定したカテゴリとの組を示すデータをカテゴリＤＢ１７０に記録する。

　図５は、セキュリティ監視装置１００の検知時における動作の一例を示すフローチャートである。本図を参照してセキュリティ監視装置１００の検知時における動作を説明する。

（ステップＳ１２１）
　ログ採取装置２１０は、監視対象システム２００の通信ログを収集する。

（ステップＳ１２２）
　通信異常検知部１１０は、ログ採取装置２１０が収集した通信ログを取得し、正常通信推定モデルと、取得した通信ログとを用いて、取得した通信ログが正常であるか否かを判定する。この際、通信異常検知部１１０は、正常通信推定モデルからアラートが出力されるか否かを確認してもよい。
　通信ログが正常であると判定された場合、セキュリティ監視装置１００は本フローチャートの処理を終了する。それ以外の場合、セキュリティ監視装置１００は、アラートを生成し、ステップＳ１２３に進む。

（ステップＳ１２３）
　コンテンツ取得部１２１は、通信ログが示す通信先情報を取得し、取得した通信先情報を用いて当該通信先情報が示す通信先にアクセスし、通信先が有するコンテンツを示すデータを取得する。

（ステップＳ１２４）
　コンテンツカテゴリ推定部１２２は、コンテンツカテゴリ推定モデルと、取得したコンテンツを示すデータとを用いて、通信先が有するコンテンツのカテゴリを推定する。

（ステップＳ１２５）
　カテゴリ比較部１２３は、通信先のカテゴリに一貫性があるか否かを判定する。
　具体的には、まず、カテゴリ比較部１２３は、ステップＳ１２３において取得した通信先情報が示す通信先のコンテンツの過去におけるカテゴリを、カテゴリＤＢ１７０を参照して確認する。次に、カテゴリ比較部１２３は、カテゴリＤＢ１７０を参照して確認したカテゴリと、ステップＳ１２４において推定したカテゴリとの間に一貫性があるか否かを判定する。
　なお、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリＤＢ１７０が記録していない場合において、カテゴリ比較部１２３は、本ステップの処理をスキップしてもよく、ステップＳ１２３において取得した通信先情報と、ステップＳ１２４において推定したカテゴリとの組を示すデータをカテゴリＤＢ１７０に記録してもよい。

（ステップＳ１２６）
　通信先のカテゴリに一貫性がある場合、情報付与部１３０はステップＳ１２４において推定したカテゴリを示す付与情報をアラートに付与する。それ以外の場合、情報付与部１３０は、カテゴリの変化を示す付与情報として、通信先の過去におけるカテゴリと、ステップＳ１２４において推定したカテゴリとの各々を示す情報をアラートに付与する。
　なお、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリＤＢ１７０が記録していない場合、情報付与部１３０はその旨を示す付与情報をアラートに付与してもよい。
　図６は、情報付与部１３０が付与する付与情報の具体例を示している。図６において、「比較結果」欄はカテゴリ比較部１２３が比較した結果を示している。なお、「比較対象なし」は、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリＤＢ１７０が記録していない場合に対応する。「付与情報」欄は、情報付与部１３０が生成する付与情報を示している。
　セキュリティ監視装置１００は、アラートをオペレータ等に適宜伝達する。

＊＊＊実施の形態１の効果の説明＊＊＊
　以上のように、本実施の形態によれば、監視対象システム２００の通信ログに異常がある場合において、通信先が有するコンテンツのカテゴリが過去から変化したか否かを確認し、確認した結果を示す情報を出力する。出力された情報は、ユーザ側と通信先側とのどちらに通信に関する異常の原因があると考えられるかを監視対象システム２００のオペレータ等が判断する際に役立つ。そのため、本実施の形態によれば、オペレータ等は、出力された結果に基づいて、通信ログの異常の原因が、ユーザ側にあるのか、通信先側にあるのかを把握しやすくなり、通信ログの異常に対処しやすくなる。ここで、ユーザ側は通信先にアクセスする端末等を意味する。ユーザ側に起因する通信ログの異常は、具体例として、内部犯、攻撃者、若しくはマルウェアによって普段と違う通信ログが発生すること、又は、偶然に発生した事由により普段と違う通信ログが発生することによって生じる。通信先側に起因する異常は、具体例として、乗っ取り若しくは改ざん等の悪意のあるコンテンツ変更、又は、正規なコンテンツ変更により普段と違う通信ログが発生することにより生じる。ここで、送信先における正規のコンテンツ変更によってユーザの送信先に対する活動が変化した場合において、通信ログの学習時とは異なる特徴が現れ、通信ログが異常と誤って判断される可能性がある。通信ログから収集される特徴のみからでは、送信先のコンテンツが変更されたか否かを把握することができないが、本実施の形態によれば、現在の送信先のコンテンツのカテゴリと過去における送信先のコンテンツのカテゴリとを比較した結果を出力することにより、オペレータ等はコンテンツの変更等を比較的容易に把握することができる。
　また、本実施の形態によれば、悪性ＵＲＬ等として登録されていない通信先の通信に関する異常に対応することができ、さらに、学習モデルとカテゴリとドメイン等のみを管理すればよいため、管理すべきモデル及び比較用データの量が比較的少なくて済む。

＊＊＊他の構成＊＊＊
＜変形例１＞
　図７は、本変形例に係るセキュリティ監視装置１００のハードウェア構成例を示している。
　セキュリティ監視装置１００は、プロセッサ１１、プロセッサ１１とメモリ１２、プロセッサ１１と補助記憶装置１３、あるいはプロセッサ１１とメモリ１２と補助記憶装置１３とに代えて、処理回路１８を備える。
　処理回路１８は、セキュリティ監視装置１００が備える各部の少なくとも一部を実現するハードウェアである。
　処理回路１８は、専用のハードウェアであってもよく、また、メモリ１２に格納されるプログラムを実行するプロセッサであってもよい。

　処理回路１８が専用のハードウェアである場合、処理回路１８は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）又はこれらの組み合わせである。
　セキュリティ監視装置１００は、処理回路１８を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路１８の役割を分担する。

　セキュリティ監視装置１００において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。

　処理回路１８は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
　プロセッサ１１とメモリ１２と補助記憶装置１３と処理回路１８とを、総称して「プロセッシングサーキットリー」という。つまり、セキュリティ監視装置１００の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
　他の実施の形態に係るセキュリティ監視装置１００についても、本変形例と同様の構成であってもよい。また、ログ採取装置２１０の構成も本変形例と同様の構成であってもよい。

　実施の形態２．
　以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
　本実施の形態は、基本的には、複数の通信先が有するコンテンツのカテゴリが同じであれば、複数の通信先の各々の通信ログが類似するという仮定に基づく。

＊＊＊構成の説明＊＊＊
　図８は、本実施の形態に係るセキュリティ監視システム９０の構成例を示している。
　本実施の形態に係るセキュリティ監視装置１００は、実施の形態１に係るセキュリティ監視装置１００と比較してログカテゴリ推定部１２４をさらに備える。

　ログカテゴリ推定部１２４は、通信ログと、通信ログに対応するコンテンツのカテゴリを示すデータとを用いて、コンテンツを有する装置であるコンテンツ装置の通信ログを用いてコンテンツ装置が有するコンテンツを推定する学習モデルであるログカテゴリ推定モデルを学習し、対象装置が有するコンテンツのカテゴリを、学習したログカテゴリ推定モデルと、対象装置の通信ログとを用いて推定する。ログカテゴリ推定モデルは、通信ログ又は通信ログの特徴を入力として、通信ログに対応するコンテンツのカテゴリを推定するモデルである。通信ログに対応するコンテンツは、当該通信ログが示す通信を実行した装置が有するコンテンツである。ログカテゴリ推定モデルは、コンテンツを有する装置の通信ログと、カテゴリとの関係を学習した学習した学習モデルであり、機械学習に基づく推論モデルであってもよく、ルールベース等、ルールに基づく方式を採用するプログラム等であってもよい。ログカテゴリ推定モデルは、１つの通信ログから複数のカテゴリを推論するモデルであってもよく、複数のカテゴリを推論する場合において、各カテゴリの信頼度等を求めてもよい。ログカテゴリ推定部１２４が推定したカテゴリは第２推定カテゴリとも呼ばれる。第２推定カテゴリは対象装置が有するコンテンツのカテゴリを推定した結果である。なお、ログカテゴリ推定部１２４は、通信先情報の情報に依存したモデルにならないよう、通信先情報を用いずにログカテゴリ推定モデルを作成する。また、ログカテゴリ推定部１２４は、ログカテゴリ推定モデルを学習せず、他の装置等が生成したログカテゴリ推定モデルを用いてもよい。ログカテゴリ推定部１２４の構成は、カテゴリ学習部と、カテゴリ判定部とを備える構成であってもよい。

　セキュリティ監視装置１００又は監視対象システム２００は、ログカテゴリ推定モデルを学習するために監視対象システム２００の通信ログを適宜保存する。
　また、本実施の形態に係るカテゴリ比較部１２３は、第１推定カテゴリと第２推定カテゴリと比較用カテゴリとが一致するか否かを判定する。カテゴリ比較部１２３の構成は、新旧比較部と、ログ比較部とを備える構成であってもよい。
　本実施の形態に係る情報付与部１３０は、第１推定カテゴリと第２推定カテゴリと比較用カテゴリとの一致状況に応じた付与情報を生成する。

＊＊＊動作の説明＊＊＊
　図９は、セキュリティ監視装置１００の学習時における動作の一例を示すフローチャートである。本図を参照してセキュリティ監視装置１００の学習時における動作を説明する。

（ステップＳ２０１）
　本ステップは、ステップＳ１０１と同様である。

（ステップＳ２０２）
　本ステップは、ステップＳ１０２と同様である。

（ステップＳ２０３）
　本ステップは、ステップＳ１０３と同様である。

（ステップＳ２０４）
　本ステップは、ステップＳ１０４と同様である。

（ステップＳ２０５）
　本ステップは、ステップＳ１０５と同様である。

（ステップＳ２０６）
　ログカテゴリ推定部１２４は、カテゴリＤＢ１７０が記録しているカテゴリを示す各データと、カテゴリを示す各データに対応する通信ログとを用いてログカテゴリ推定モデルを作成する。

　図１０は、セキュリティ監視装置１００の検知時における動作の一例を示すフローチャートである。本図を参照してセキュリティ監視装置１００の学習時における動作を説明する。

（ステップＳ２２１）
　本ステップは、ステップＳ１２１と同様である。

（ステップＳ２２２）
　本ステップは、ステップＳ１２２と同様である。

（ステップＳ２２３）
　本ステップは、ステップＳ１２３と同様である。

（ステップＳ２２４）
　本ステップは、ステップＳ１２４と同様である。

（ステップＳ２２５）
　ログカテゴリ推定部１２４は、ログカテゴリ推定モデルと、ステップＳ２２２において取得した通信ログとを用いて、通信先が有するコンテンツのカテゴリを推定する。

（ステップＳ２２６）
　カテゴリ比較部１２３は、ステップＳ１２５と同様の処理を実行する。また、カテゴリ比較部１２３は、カテゴリＤＢ１７０を参照して確認したカテゴリと、ステップＳ２２５において推定したカテゴリとの間に一貫性があるか否かを判定する。

（ステップＳ２２７）
　本ステップはステップＳ１２６と同様である。ただし、情報付与部１３０は、ステップＳ２２６において用いる３つのカテゴリ全てが同一である場合にのみ、通信先のカテゴリに一貫性がある場合における処理を実行する。
　また、通信先のカテゴリに一貫性がない場合において、情報付与部１３０は、通信先の過去におけるカテゴリと、ステップＳ２２４において推定したカテゴリと、ステップＳ２２５において推定したカテゴリとの各々を示す付与情報をアラートに付与する。

＊＊＊実施の形態２の効果の説明＊＊＊
　以上のように、本実施の形態によれば、コンテンツカテゴリ推定モデルに加えてログカテゴリ推定モデルを用いてコンテンツのカテゴリを推定するため、カテゴリの推定精度をより高めることができる。

　実施の形態３．
　以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。

＊＊＊構成の説明＊＊＊
　図１１は、本実施の形態に係るセキュリティ監視システム９０の構成例を示している。
　本実施の形態に係るセキュリティ監視装置１００は、実施の形態２に係るセキュリティ監視装置１００と比較して情報提示ＤＢ１８０をさらに備える。
　情報提示ＤＢ１８０は、情報付与部１３０が付与する付与情報と、情報付与部１３０が付与情報を付与する規則である情報提示規則とを記録している。
　本実施の形態に係る情報付与部１３０は、情報提示規則に従って付与情報を生成し、また、情報提示ＤＢ１８０に則って付与情報をアラートに付与する。

＊＊＊動作の説明＊＊＊
　本実施の形態に係るセキュリティ監視装置１００の動作は、基本的に実施の形態２に係るセキュリティ監視装置１００と同じである。本実施の形態に係るセキュリティ監視装置１００の特徴的な動作を主に説明する。

（ステップＳ２２７）
　情報付与部１３０は、情報提示ＤＢ１８０に則って付与情報をアラートに付与する。
　図１２は、情報付与部１３０が付与する付与情報の具体例を示している。本図において、「優先度」欄は、監視対象システム２００を確認すべき度合い、即ち、監視対象システム２００に異常が発生している可能性を示している。
　また、図１２において、「全一致」は、３つのカテゴリが全て一致することを示す。「全一致」である場合、情報付与部１３０は、通信ログの異常検知が誤検知である可能性が高いことを示す付与情報をアラートに付与する。
　「過去不一致」は、今回のカテゴリとログのカテゴリとは一致し、今回のカテゴリと過去のカテゴリとは一致しないことを示す。ここで、今回のカテゴリはコンテンツカテゴリ推定モデルを用いて推定したカテゴリであり、過去のカテゴリはカテゴリＤＢ１７０が記録しているカテゴリであり、ログのカテゴリはログカテゴリ推定モデルを用いて推定したカテゴリである。「過去不一致」である場合、情報付与部１３０は、通信先が有するコンテンツのカテゴリが変わったために、通信先の通信ログの傾向が変化した可能性があることを示す付与情報をアラートに付与する。
　「今回不一致」は、過去のカテゴリとログのカテゴリとは一致し、今回のカテゴリとログのカテゴリとは一致しないことを示す。「今回不一致」である場合、情報付与部１３０は、通信先が有するコンテンツのカテゴリが変化したと考えられるが、通信ログの傾向に変化がないことを示す付与情報をアラートに付与する。
　「ログ不一致」は、過去のカテゴリと今回のカテゴリとは一致し、今回のカテゴリログのカテゴリとは一致しないことを示す。「ログ不一致」である場合、情報付与部１３０は、コンテンツのカテゴリは変化していないものの、通信先におけるアクセス傾向が変化したことを示す付与情報をアラートに付与する。
　「全不一致」は、３つのカテゴリが互いに異なることを示す。「全不一致」である場合、情報付与部１３０は、通信先に異常が発生している可能性が高いことを示す付与情報をアラートに付与する。

＊＊＊実施の形態３の効果の説明＊＊＊
　以上のように、本実施の形態によれば、情報付与部１３０が情報提示ＤＢ１８０に則って情報を付与するため、ユーザが通信ログの異常の詳細を把握しやすくなる。

　実施の形態４．
　以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。

＊＊＊構成の説明＊＊＊
　図１３は、本実施の形態に係るセキュリティ監視システム９０の構成例を示している。
　本実施の形態に係るセキュリティ監視システム９０は、実施の形態３に係るセキュリティ監視システム９０と比較してコンテンツＤＢ１９０をさらに備える。コンテンツＤＢ１９０は、セキュリティ監視装置１００と一体的に構成されていてもよい。
　なお、図１３は実施の形態３をベースとした本実施の形態の構成を示しているが、本実施の形態は実施の形態１又は２をベースとしたものであってもよい。
　コンテンツＤＢ１９０は、監視対象システム２００が有するコンテンツを示すデータを記録する。コンテンツＤＢ１９０は、監視対象システム２００からコンテンツを示すデータを適宜取得し、取得したデータを記録する。コンテンツＤＢ１９０は、コンテンツを示すデータを、コンテンツを示すデータを取得した時点を示すデータと紐づけて記録してもよい。
　本実施の形態に係るコンテンツカテゴリ推定部１２２は、対象装置が有するコンテンツを示すデータが格納されたデータベースから取得したデータを用いる。

＊＊＊動作の説明＊＊＊
　本実施の形態に係るセキュリティ監視装置１００の動作は、前述の実施の形態に係るセキュリティ監視装置１００の動作と基本的に同じである。
　ただし、コンテンツ取得部１２１は、監視対象システム２００からコンテンツを示すデータを取得する代わりに、コンテンツＤＢ１９０が記録しているデータを取得する。

＊＊＊実施の形態４の効果の説明＊＊＊
　本実施の形態によれば、コンテンツ取得部１２１は、監視対象システム２００の代わりにコンテンツＤＢ１９０からコンテンツを示すデータを取得する。そのため、本実施の形態によれば、コンテンツ取得部１２１は、コンテンツ認証機能を有するサイト等のコンテンツを適切に取得することができる。

＊＊＊他の実施の形態＊＊＊
　前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
　また、実施の形態は、実施の形態１から４で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャート等を用いて説明した手順は、適宜変更されてもよい。

　１１　プロセッサ、１２　メモリ、１３　補助記憶装置、１４　入出力ＩＦ、１５　通信装置、１８　処理回路、１９　信号線、９０　セキュリティ監視システム、１００　セキュリティ監視装置、１１０　通信異常検知部、１２０　一貫性判定部、１２１　コンテンツ取得部、１２２　コンテンツカテゴリ推定部、１２３　カテゴリ比較部、１２４　ログカテゴリ推定部、１３０　情報付与部、１７０　カテゴリＤＢ、１８０　情報提示ＤＢ、１９０　コンテンツＤＢ、２００　監視対象システム、２１０　ログ採取装置。

Claims

　監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第１推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定するコンテンツカテゴリ推定部と、
　前記第１推定カテゴリと比較用カテゴリとが一致するか否かを判定するカテゴリ比較部と、
　前記第１推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成する情報付与部と
を備えるセキュリティ監視装置。
　前記比較用カテゴリは、過去において、前記対象装置が有するコンテンツのカテゴリを、前記コンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定した結果である請求項１に記載のセキュリティ監視装置。
　前記コンテンツカテゴリ推定モデルは、コンテンツを示すデータと、カテゴリとの関係を学習した学習モデルである請求項１又は２に記載のセキュリティ監視装置。
　前記セキュリティ監視装置は、さらに、
　前記対象装置が有するコンテンツのカテゴリを推定した結果である第２推定カテゴリを、コンテンツを有する装置であるコンテンツ装置の通信ログを用いて前記コンテンツ装置が有するコンテンツのカテゴリを推定する学習モデルであるログカテゴリ推定モデルと、前記対象装置の通信ログとを用いて推定するログカテゴリ推定部
を備え、
　前記カテゴリ比較部は、前記第１推定カテゴリと前記第２推定カテゴリと前記比較用カテゴリとが一致するか否かを判定し、
　前記情報付与部は、前記第１推定カテゴリと前記第２推定カテゴリと前記比較用カテゴリとの一致状況に応じた付与情報を生成する請求項１から３のいずれか１項に記載のセキュリティ監視装置。
　前記ログカテゴリ推定モデルは、コンテンツを有する装置の通信ログと、カテゴリとの関係を学習した学習モデルである請求項４に記載のセキュリティ監視装置。
　前記コンテンツカテゴリ推定部は、前記対象装置が有するコンテンツを示すデータが格納されたデータベースから取得したデータを用いる請求項１から５のいずれか１項に記載のセキュリティ監視装置。
　前記情報付与部は、情報提示規則に従って前記付与情報を生成する請求項１から６のいずれか１項に記載のセキュリティ監視装置。
　前記セキュリティ監視装置は、さらに、
　コンテンツを有する装置であるコンテンツ装置の通信ログを用いて前記コンテンツ装置の通信ログが異常であるか否かを推定する学習モデルである正常通信推定モデルと、前記対象装置の通信ログとを用いて前記対象装置の通信ログが正常であるか否かを推定し、前記対象装置の通信ログが正常ではないと推定された場合にアラートを生成する通信異常検知部
を備え、
　前記情報付与部は、前記対象装置の通信ログが正常ではないと前記正常通信推定モデルによって推定された場合に、生成した付与情報を、生成されたアラートに付与する請求項１から７のいずれか１項に記載のセキュリティ監視装置。
　監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第１推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定し、
　前記第１推定カテゴリと比較用カテゴリとが一致するか否かを判定し、
　前記第１推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成するセキュリティ監視方法。
　監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第１推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定するコンテンツカテゴリ推定処理と、
　前記第１推定カテゴリと比較用カテゴリとが一致するか否かを判定するカテゴリ比較処理と、
　前記第１推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成する情報付与処理と
をコンピュータであるセキュリティ監視装置に実行させるセキュリティ監視プログラム。