セキュリティイベント監視装置、方法およびプログラム
【課題】操作者を特定不可能な操作が含まれていても、セキュリティイベントを適切に検出して操作者を推定することを可能とすることを可能とするセキュリティイベント監視装置等を提供する。
【解決手段】セキュリティイベント監視装置10は、相関ルールを予め記憶する記憶手段12と、各監視対象装置から各ログを受信するログ収集部101と、各々のログを関連づけたシナリオ候補を生成する相関分析部103と、各シナリオ候補に対して重要度を算出するシナリオ候補評価部104と、重要度の高いシナリオ候補を表示出力する結果表示部105とを有すると共に、シナリオ候補評価部が、ユーザ関連度を算出するユーザ関連度評価機能104aと、操作関連度を算出する操作関連度評価機能104bと、ユーザ関連度および操作関連度によってユーザごとに各シナリオ候補の重要度を再算出するシナリオ候補重要度再評価機能104cとを備える。
【解決手段】セキュリティイベント監視装置10は、相関ルールを予め記憶する記憶手段12と、各監視対象装置から各ログを受信するログ収集部101と、各々のログを関連づけたシナリオ候補を生成する相関分析部103と、各シナリオ候補に対して重要度を算出するシナリオ候補評価部104と、重要度の高いシナリオ候補を表示出力する結果表示部105とを有すると共に、シナリオ候補評価部が、ユーザ関連度を算出するユーザ関連度評価機能104aと、操作関連度を算出する操作関連度評価機能104bと、ユーザ関連度および操作関連度によってユーザごとに各シナリオ候補の重要度を再算出するシナリオ候補重要度再評価機能104cとを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はセキュリティイベント監視装置、方法およびプログラムに関し、特に問題を引き起こす操作をしているユーザを高精度に特定することを可能とするセキュリティイベント監視装置等に関する。
【背景技術】
【0002】
コンピュータネットワークが事業者の基幹業務で根幹をなす存在となった現代では、その業務に関連して大量の個人情報や機密情報が当該事業者のローカルネットワーク上で扱われている。当然、これらの情報が組織外に漏洩することがないよう、その取り扱いには慎重を期す必要がある。
【0003】
コンピュータネットワーク上で行われる、当該ネットワークの安全性(セキュリティ)に関わる行為のことを、ここではセキュリティイベントという。たとえば、機密情報や個人情報などを含む特定のファイル(以後、重要ファイルという)を勝手に組織外に持ち出すことなどが、このセキュリティイベントに該当する。
【0004】
セキュリティイベント監視装置は、当該ネットワークを監視し、特定のセキュリティイベントが行われた場合にこれをいち早く検出し、その行為を行った人物を特定する装置である。当該ネットワークを構成する各装置は、当該装置に対して行われた操作などを操作ログ(以後、単にログという)に記録して、そのログをセキュリティイベント監視装置に対して送信する機能を備えている。セキュリティイベント監視装置は、複数の監視対象装置から受信したログを相関分析することによって、そのセキュリティイベントを検出する。
【0005】
このことに関連する技術として、以下の各々がある。その中でも特許文献1には、対象操作に対して不審値を算出するという不正操作監視システムで、この不審値が高い操作が繰り返された場合により高い不審値を設定するという技術が記載されている。特許文献2には、ユーザの行った操作の系列から、そのユーザの操作意図を検出して適切な操作ガイドを提示するという操作支援装置が記載されている。
【0006】
特許文献3には、異なる系列のログデータで共通の固有表現がある場合にそれらを対応づけるという相関分析装置が記載されている。特許文献4には、特定の操作をシナリオとして予め記憶し、その操作が実行された場合の操作コストを算出するという評価装置が記載されている。特許文献5には、特許文献4と同様に、予め記憶されたシナリオに登録された各操作を実行した場合の所要時間を計測するというウェブアプリケーションシステムが記載されている。
【0007】
非特許文献1には、たとえば「ユーザがカラムを読み書きする必然性」や「ユーザの敵意の度合い」などのような曖昧にしか表現できない事柄を、ファジー論理の言語学的変数で表現し、これをパラメータとしたアクセス制御方法が記載されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−183911号公報
【特許文献2】特開2009−080650号公報
【特許文献3】特開2009−217657号公報
【特許文献4】特開2009−259064号公報
【特許文献5】特開2011−008558号公報
【非特許文献】
【0009】
【非特許文献1】U.H.G.R.D Nawarathna and S.R. Kodithuwakku: “A Fuzzy Role Based Access Control Model for Database Security”, Procedings of the International Conference on Information and Automation, December 15-18, 2005
【発明の概要】
【発明が解決しようとする課題】
【0010】
監視対象装置に対して行われてログに記録された操作で、その操作を行った人物が全ての場合で特定されているとは限らない。より具体的には、たとえば、共用IDでサーバに複数のユーザが同時にログインして作業しているという状況、あるいはユーザがプロキシサーバなどのような中継装置を経由して(中継装置によって置換されたユーザIDで)サーバにアクセスするという状況などでは、実際にそのIDによってその操作を行った者の特定が困難である。
【0011】
従って、操作者を特定することが不可能な操作がログに含まれている場合、セキュリティイベント監視装置でセキュリティイベントを検出することが著しく困難なものとなる。そのため、ネットワーク上のセキュリティに対して深刻な問題を引き起こす行為を繰り返している者がいたとしても、そのような行為を検出することができない。
【0012】
このような問題を解決しうる技術は、前述の特許文献1〜5および非特許文献1には記載されていない。特許文献1に記載の技術は、全ての操作で、その操作を行ったユーザが特定されていることを前提としているので、操作者を特定することが不可能な状況については全く考慮されていない。
【0013】
特許文献2〜5に記載の技術は、そもそも不正な操作を行ったユーザを検出することを目的とはしておらず、またその目的に転用できる内容も記載されていない。非特許文献1に記載の技術は、検出された操作が与えられたポリシーに違反しているか否かを判断しているが、一連の操作を同一ユーザが行ったか否かをその判断に反映する計算は行われていない。従って、特許文献1〜5および非特許文献1に記載の技術を全て組み合わせたとしても、前述の問題を解決しうる技術を得ることはできない。
【0014】
本発明の目的は、収集されたログに操作者を特定することが不可能な操作が含まれている場合にも、セキュリティイベントを適切に検出し、さらにその操作を行った者を推定することを可能とすることを可能とするセキュリティイベント監視装置、方法およびプログラムを提供することにある。
【課題を解決するための手段】
【0015】
上記目的を達成するため、本発明に係るセキュリティイベント監視装置は、同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置であって、各ログに対する相関分析を行う際に適用される相関ルールを予め記憶する記憶手段と、各監視対象装置から各ログを受信するログ収集部と、各ログに相関ルールを適用し、これによって各々の当該ログを関連づけたシナリオ候補を生成して、相関ルールによって与えられた当該シナリオ候補の重要度と共に記憶手段に記憶させる相関分析部と、各シナリオ候補に対する重要度を再算出するシナリオ候補評価部と、再算出された重要度の高いシナリオ候補を表示出力する結果表示部とを有すると共に、シナリオ候補評価部が、各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙し、各操作に対する各ユーザの関連性であるユーザ関連度を算出するユーザ関連度評価機能と、各シナリオ候補の各操作の相互間の関連性である操作関連度を算出する操作関連度評価機能と、ユーザ関連度および操作関連度によってユーザごとに各シナリオ候補の重要度を再算出するシナリオ候補重要度再評価機能とを備えることを特徴とする。
【0016】
上記目的を達成するため、本発明に係るセキュリティイベント監視方法は、同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、各監視対象装置からログ収集部が各ログを受信し、各ログに相関分析部が予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成し、各シナリオ候補を、相関ルールによって与えられた当該シナリオ候補の重要度と共に相関分析部が記憶手段に記憶させ、各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザをシナリオ候補評価部のユーザ関連度評価機能が列挙し、各操作に対する各ユーザの関連性であるユーザ関連度をユーザ関連度評価機能が算出し、各シナリオ候補の各操作の相互間の関連性である操作関連度をシナリオ候補評価部の操作関連度評価機能が算出し、ユーザ関連度および操作関連度によってシナリオ候補評価部のシナリオ候補重要度再評価機能がユーザごとに各シナリオ候補の重要度を再算出し、重要度の高いシナリオ候補を結果表示部が表示出力することを特徴とする。
【0017】
上記目的を達成するため、本発明に係るセキュリティイベント監視プログラムは、同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、セキュリティイベント監視装置が備えるコンピュータに、各監視対象装置から各ログを受信する手順、各ログに予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成する手順、各シナリオ候補を、相関ルールによって与えられた当該シナリオ候補の重要度と共に記憶する手順、各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙する手順、各操作に対する各ユーザの関連性であるユーザ関連度を算出する手順、各シナリオ候補の各操作の相互間の関連性である操作関連度を算出する手順、ユーザ関連度および操作関連度によってユーザごとに各シナリオ候補の重要度を再算出する手順、および重要度の高いシナリオ候補を表示出力するする手順を実行させることを特徴とする。
【発明の効果】
【0018】
本発明は、上記したように、相関分析によって生成されたシナリオ候補に対して、各々の操作を行った可能性のある各ユーザの関連性であるユーザ関連度と、各操作の相互間の関連性である操作関連度とを算出し、それらによってユーザごとに各シナリオ候補の重要度を算出するように構成したので、操作者が特定されていない場合にもその可能性の高いユーザが誰であるかを推定できる。
【0019】
これによって、収集されたログに操作者を特定することが不可能な操作が含まれている場合にも、セキュリティイベントを適切に検出し、さらにその操作を行った者を推定することを可能とすることが可能であるという優れた特徴を持つセキュリティイベント監視装置、方法およびプログラムを提供することができる。
【図面の簡単な説明】
【0020】
【図1】図2に示したセキュリティイベント監視装置のより詳しい構成について示す説明図である。
【図2】本発明の第1の実施形態に係るセキュリティイベント監視装置を含むコンピュータネットワークの構成について示す説明図である。
【図3】図1で示した相関分析部、シナリオ候補評価部、および結果表示部の動作を表すフローチャートである。
【図4】図1で示した相関ルール記憶部の記憶内容の一例について示す説明図である。
【図5】図1で示したログ収集部および相関分析部の動作内容(図3のステップS201〜202)について示す説明図である。
【図6】図1で示したユーザ関連度評価機能(図3のステップS203)の動作を表すフローチャートである。
【図7】図1で示したシナリオ候補評価部のユーザ関連度評価機能および操作関連度評価機能の動作内容(図3のステップS203〜204)について示す説明図である。
【図8】図7で示した操作関連度評価機能による操作関連度の評価の動作例について、より詳しく示した説明図である。
【図9】図1で示したシナリオ候補重要度再評価機能によるシナリオ重要度スコア再計算の動作内容(図3のステップS205)について、より詳しく示した説明図である。
【図10】図1に示した結果表示部が表示手段上に画面表示させる(図3のステップS206)重要度の高いシナリオ候補の一覧の例について示す説明図である。
【発明を実施するための形態】
【0021】
(実施形態)
以下、本発明の実施形態の構成について添付図1〜2に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係るセキュリティイベント監視装置10は、同一のローカルネットワーク25上で相互に接続されている複数の監視対象装置21〜23に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置である。このセキュリティイベント監視装置10は、各ログに対する相関分析を行う際に適用される相関ルールを予め記憶する記憶手段12(相関ルール記憶部111)と、各監視対象装置から各ログを受信するログ収集部101と、各ログに相関ルールを適用して、これによって各々の当該ログを関連づけたシナリオ候補を生成して相関ルールによって与えられた当該シナリオ候補の重要度と共に記憶手段(シナリオ候補記憶部113)に記憶させる相関分析部103と、各シナリオ候補に対して重要度を再算出するシナリオ候補評価部104と、重要度の高いシナリオ候補を表示出力する結果表示部105とを有する。そして、シナリオ候補評価部104が、各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙し、各操作に対する各ユーザの関連性であるユーザ関連度を算出するユーザ関連度評価機能104aと、各シナリオ候補の各操作の相互間の関連性である操作関連度を算出する操作関連度評価機能104bと、ユーザ関連度および操作関連度によってユーザごとに各シナリオ候補の重要度を再算出するシナリオ候補重要度再評価機能104cとを備える。
【0022】
ここで、ユーザ関連度評価機能104aは、各シナリオ候補に含まれる操作が行われた時間に当該監視対象装置に対して当該操作が可能なユーザを列挙し、また各シナリオ候補に含まれる操作を行う権限を持つユーザを、外部に接続されたディレクトリサービス装置(ディレクトリサーバ24)に照会して列挙する。
【0023】
そして操作関連度評価機能104bは、予め与えられた評価基準に基づいて、各操作の対象となるファイルの類似性から操作関連度を算出する。ここでいうファイルの類似性の評価基準として、各操作の対象となるファイルの名称、サイズ、パス名、ハッシュ値、電子署名のうち少なくとも1つ以上を使用している。
【0024】
さらに、シナリオ候補重要度再評価機能104cは、シナリオ候補に該当する各ユーザのユーザ関連度と各シナリオ候補に含まれる各操作の重要度の積の合計値と、各シナリオ候補に含まれる各操作間の操作関連度と当該操作の重要度と各シナリオ候補の重要度の積の合計値と、を積算して各ユーザの各シナリオ候補の重要度を再算出している。そして、結果表示部105は、重要度の高いシナリオ候補と共に、当該シナリオ候補に対してユーザ関連度の高いユーザを表示する。
【0025】
以上の構成を備えることにより、本実施形態のセキュリティイベント監視装置10は、収集されたログに操作者を特定することが不可能な操作が含まれている場合にも、セキュリティイベントを適切に検出し、さらにその操作を行った者を推定することが可能なものとなる。
以下、これをより詳細に説明する。
【0026】
図2は、本発明の第1の実施形態に係るセキュリティイベント監視装置10を含むコンピュータネットワーク1の構成について示す説明図である。コンピュータネットワーク1は、インターネット30にも接続可能であるLAN(Local Area Network)もしくはWAN(Wide Area Network)などのようなコンピュータネットワークであり、複数のセキュリティ装置21(ファイアウォールなど)、ネットワーク装置22(ルータおよびスイッチングハブなど)、およびコンピュータ装置23(サーバおよびパーソナルコンピュータなど)が、ローカルネットワーク25を介して相互に接続されている。
【0027】
セキュリティイベント監視装置10は、ローカルネットワーク25に接続され、それらのセキュリティ装置21、ネットワーク装置22、およびコンピュータ装置23を監視対象として動作する(以後、セキュリティ装置21、ネットワーク装置22、およびコンピュータ装置23を総称して監視対象装置という)。さらに、セキュリティイベント監視装置10は、やはりローカルネットワーク25に接続された別の装置であるディレクトリサーバ24と協働して動作するが、その詳細は後述する。
【0028】
図1は、図2に示したセキュリティイベント監視装置10のより詳しい構成について示す説明図である。セキュリティイベント監視装置10は、コンピュータ装置としての基本的な構成を備えている。即ち、セキュリティイベント監視装置10は、コンピュータプログラムを実行する主体である主演算制御手段(CPU: Central Processing Unit)11と、データを記憶する記憶手段12と、ローカルネットワーク25を介して他の装置とのデータ送信を行う通信手段13と、処理結果をユーザに提示する表示手段14とを備える。
【0029】
主演算制御手段11は、コンピュータプログラムが実行されることにより、後述のログ収集部101、ファイル属性収集部102、相関分析部103、シナリオ候補評価部104、および結果表示部105として機能する。シナリオ候補評価部104は、ユーザ関連度評価機能104a、操作関連度評価機能104b、およびシナリオ候補重要度再評価機能104cを含む。これらの各部は、各々別々のコンピュータ装置で実行されるように構成することもできる。
【0030】
一方、記憶手段12には、相関ルール記憶部111、ログ記憶部112、シナリオ候補記憶部113、シナリオ候補重要度記憶部114といった各々の記憶領域が設けられ、あらかじめ各々のデータが記憶されている。以上これらの詳細についても後述する。
【0031】
(動作の概要)
以下、図1〜2で説明したセキュリティイベント監視装置10の各部の動作の概要について説明する。セキュリティ装置21、ネットワーク装置22、およびコンピュータ装置23は各々、システム上で発生したさまざまな事象をログとして記録してセキュリティイベント監視装置10に送信する。セキュリティイベント監視装置10では、ログ収集部101がそれらのログを受信して収集し、正規化やフィルタリング等の処理を行った後、これをイベントデータとして相関分析部103に渡して、さらにログ記憶部112に記憶させる。
【0032】
相関分析部103は、ログ収集部101から受け取ったイベントデータに対して、相関ルール記憶部111上にあらかじめ定義されたルールに基いて、その条件部にマッチするイベントのパターンを見つける。複合する一連の操作を検出するタイプのルールのことを、特にシナリオと呼び、シナリオに対してイベントデータをマッチさせた状態のものをシナリオ候補と呼ぶものとする。
【0033】
相関分析部103は、個々のシナリオ候補に対し、構成する個々のイベントの重要度、イベントの発生回数や頻度、検知された脅威の重要度、関連する情報資産の重要度、攻撃対象の脆弱性度合い等を考慮して、その重要度をスコアとして評価し、これらを合わせてシナリオ候補記憶部113に記憶する。
【0034】
シナリオ候補評価部104は、ユーザ関連度評価機能104aによって、シナリオ候補記憶部113に記録されたシナリオ候補を参照して、シナリオ候補を構成する各操作を行った可能性のあるユーザを、以下の複数の条件のうちのいずれかに該当する場合に列挙する。
【0035】
(a)相関分析によりログオンのログや通信のログ等の複数のログをつき合わせることにより操作を行ったユーザを一意に特定できる場合
(b)相関分析により複数の候補にユーザを特定できる場合
(c)相関分析により操作を行ったユーザ(の候補)を特定できなくとも、該当時間帯に当該操作を潜在的に行えると推定できるようなログが残っている場合
(d)上記のいずれの記録も無いが、当該操作を実行する権限を有するユーザを列挙できる場合
【0036】
このうち、上記の(c)については、ログ収集部101が収集した各種ログの中で、端末へのローカルなログイン、VPN接続の認証、出社や入退室、該当操作に関連した作業を行なうための事前の作業申請などの記録と当該操作の時刻を突き合わせることで、候補となるユーザを列挙する。また、上記の(d)については、ディレクトリサーバ24に対して問い合わせることで該当操作を行う権限を持つユーザを列挙する。
【0037】
さらに、ユーザ関連度評価機能104aは、列挙されたユーザによってシナリオ候補を展開する。そして、「100%÷候補者の人数」を「ユーザの絞込みの確度(ユーザ関連度)」として算出して、これをシナリオ候補記憶部113に追加記録する。
【0038】
操作関連度評価機能104bは、シナリオ候補記憶部113に記録された各シナリオ候補を構成する一連の操作について、操作対象のファイルの類似性を比較評価し、類似度の深さを不正利用の確度(=操作関連度)としてシナリオ候補記憶部113に追加記録する。
【0039】
ここで、操作対象のファイルの類似性の評価は、ファイルのパス名、ファイルに付与された署名、ファイルのハッシュ値、ファイルサイズ、ファイル名の比較等によって操作関連度評価機能104bが行う。これらのファイルの属性は、ログ収集部101でログを収集する段階、あるいは相関分析部103で関連するログを突き合わせる段階でファイル属性収集部102によって収集されるものである。
【0040】
シナリオ候補重要度再評価機能104cは、ユーザ関連度、操作関連度によって、各シナリオ候補の重要度スコアを再評価し、シナリオ候補重要度記憶部114にその再評価で算出された重要度スコアを記憶する。具体的にはルールの条件部の数の多さ、条件部へのマッチの度合いの高さ、ユーザ関連度の高さ、操作関連度の高さ、操作の重要度スコアで重み付けしたユーザの関連度の高さ、操作の重要度スコアで重み付けした操作関連度の高さを考慮した後述の数1に示される式によって、シナリオ候補の重要度を補正する。
【0041】
結果表示部105は、シナリオ候補記憶部113に記憶されたシナリオ候補の中で、シナリオ候補重要度記憶部114に記憶されたシナリオ候補重要度が一定の閾値より高いものを、表示手段14上に画面表示させる。その際、重要度の高い順に並び替えて一覧表示し、特に重要度の高いものを色を変えるなどのようにして強調して画面表示させる。
【0042】
図3は、図1で示した相関分析部103、シナリオ候補評価部104、および結果表示部105の動作を表すフローチャートである。まず相関分析部103が、ログ収集部101が受信してログ記憶部112に記憶したログを、相関ルール記憶部111に記憶されたユーザ特定用ルール111aおよび複合操作検出用ルール111bと照合して、各ログ同士の関連づけを行い、これを「シナリオ候補」としてシナリオ候補記憶部113に記憶する(ステップS201)。
【0043】
そして、相関分析部103は、シナリオ候補として記憶された各々の操作およびシナリオ候補に対して仮の重要度を算出し、これもシナリオ候補記憶部113に記憶する(ステップS202)。重要度の算出についての具体的な動作については後述する。
【0044】
そして、シナリオ候補評価部104のユーザ関連度評価機能104aが、相関分析部103によってシナリオ候補記憶部113に記憶されたシナリオ候補を参照して各操作を行った可能性のあるユーザを列挙して、各操作についてのユーザ関連度を算出し、可能性のある各ユーザについてシナリオ候補を展開して、その結果をシナリオ候補記憶部113に追加記憶する(ステップS203、後述の図6)。
【0045】
シナリオ候補評価部104の操作関連度評価機能104bはこれを受けて、各操作の相互間の関連の深さを示す操作関連度を、予め与えられた評価基準に基づいて算出し、その結果をシナリオ候補記憶部113にさらに追加記憶する(ステップS204)。
【0046】
そしてシナリオ候補評価部104のシナリオ候補重要度再評価機能104cは、ここまでで算出されたユーザ関連度、操作関連度を利用して、後述の式によって各シナリオ候補の重要度スコアを再評価し、シナリオ候補重要度記憶部114に算出された重要度スコアを記憶する(ステップS205)。
【0047】
最後に、結果表示部105は、シナリオ候補記憶部113に記憶されたシナリオ候補を、シナリオ候補重要度記憶部114に記憶されたシナリオ候補重要度に応じて表示手段14上に画面表示させる(ステップS206)。以上ステップS203〜205の動作についても、より具体的な動作内容について後述する。
【0048】
(より具体的な動作例)
以下、図1〜3で説明したセキュリティイベント監視装置10のより具体的な動作例を示す。図4は、図1で示した相関ルール記憶部111の記憶内容の一例について示す説明図である。相関ルール記憶部111には、ユーザ特定用ルール111aと、複合操作検出用ルール111bとが記憶されている。
【0049】
なお、本明細書では、本発明の概念を平易に示すために、ごく単純化されたログおよびルールを例として示している。実際のセキュリティイベント監視では、多数の監視対象装置から受信した膨大なログを突き合わせて、それらに対して複雑なルールを適用して特定の操作を行ったユーザを検出するものである。
【0050】
このうち、ユーザ特定用ルール111aは、ルールP1〜P3の3つのルールが図4の例では示されている。ルールP1には、1行目がそのルール名「P1」、2〜3行目がもし「特定のユーザuが、特定のファイル(重要ファイル)xを参照した」ことを示すログを検出された場合にこれをp1(u,x)とするという内容が記述されている。
【0051】
同様に、ルールP2には、「特定のユーザuが、特定のファイル(重要ファイル)xをUSBメモリに格納した」ことを示すログを検出された場合にこれをp2(u,x)とするという内容が記述されている。ルールP3には、「特定のユーザuが、特定のファイル(重要ファイル)xをファイルyにコピーした」ことを示すログを検出された場合にこれをp3(u,x,y)とするという内容が記述されている。
【0052】
複合操作検出用ルール111bは、ルールC1〜C2の2つのルールが図4の例では示されている。これらのルールC1およびC2を、ここではシナリオともいう。
【0053】
ルールC1には、1行目がそのルール名「C1」、2〜3行目が「ユーザu1が特定のファイルxを参照し(ユーザ特定用ルール111aのP1)、ユーザu2が特定のファイルyをUSBメモリに格納した(ユーザ特定用ルール111aのP2)」場合を示し、4〜5行目が「ユーザu1とu2が同一であり、ファイルxとyが類似している」場合を示し、2〜5行目の全てに該当する場合にこれをc1(u1,x)とするという内容が記述されている。
【0054】
同様に、ルールC2には、1行目がそのルール名「C2」、2〜4行目が「ユーザu1が特定のファイルxを参照し(ユーザ特定用ルール111aのP1)、ユーザu2が特定のファイルyをUSBメモリに格納し(ユーザ特定用ルール111aのP2)、ユーザu3が特定のファイルaをファイルbにコピーした(ユーザ特定用ルール111aのP3)」場合を示し、5〜8行目が「ユーザu1,u2,u3が全て同一であり、ファイルx,y,a,bが全て類似している」場合を示し、2〜8行目の全てに該当する場合にこれをc2(u1,x)とするという内容が記述されている。
【0055】
複合操作検出用ルール111bには、ルールC1に対して「重要ファイルの持ち出し」、ルールC2に対して「重要ファイルのコピーと持ち出し」などのように、各々の複合操作を特徴付けるシナリオ名があらかじめ付けられている。
【0056】
ここで「類似している(similar)」ことの検出は、各操作が対象とするファイルのパス名、ファイルサイズ、ファイル名、電子署名、ハッシュ値などといった情報を比較して、これらの情報の中で一致するものがあれば「類似している」、そうでなければ「類似していない」と判定する。
【0057】
図5は、図1で示したログ収集部101および相関分析部103の動作内容(図3のステップS201〜202)について示す説明図である。図5は、図4に示したユーザ特定用ルール111aおよび複合操作検出用ルール111bが相関ルール記憶部111に予め記憶されている場合の動作例について示している。
【0058】
ログ収集部101は、各々の監視対象装置からログL1〜L4を受信して、相関分析部103に渡してログ記憶部112に記憶させる。現実の状況では、1つの事象を検出するためには複数の監視対象装置から受信した膨大なログを突き合わせて相関分析を行う必要があるが、ここでも本発明の概念を平易に示すために、相関分析まで終えた単純化されたログを例として示している。
【0059】
ログL1は「不特定のユーザがファイルXをダウンロード」したことを示す。ここで、「?」とは「相関分析などによっても、その操作を行ったユーザを特定できなかった」ことを示している。同様に、ログL2は「不特定のユーザがファイルYをUSBメモリに格納した」したことを示す。ログL3は「特定のユーザBがファイルZをUSBメモリに格納した」ことを示し、ログL4は「特定のユーザBがファイルXをファイルZにコピーした」ことを示す。
【0060】
相関分析部103は、相関ルール記憶部111に記憶されたユーザ特定用ルール111aおよび複合操作検出用ルール111bとログL1〜L4とを照合して、各ログ同士の関連づけを行い、これを「シナリオ候補」としてシナリオ候補記憶部113に記憶する(図3のステップS201)。
【0061】
図4〜5に記載された例でいえば、相関分析部103はルールP1によってログL1を検知し、これを操作o1とする。そしてルールP2によってログL2を検知し、これを操作o2とする。さらにルールC1によって操作o1と操作o2の組み合わせを一連の操作として検知し、これをシナリオ候補T1としてシナリオ候補記憶部113に記憶する。ここで、操作o1を行ったユーザをログから特定できていないので、ルールP1の変数uは確定していない状態である。この場合は、特定できていないユーザを「?」として、以後の動作を継続する。
【0062】
相関分析部103はこれと同様に、ルールP2によってログL3を検知し、これを操作o3とする。そしてルールP3によってログL4を検知し、これを操作o4とする。さらにさらにルールC1によって操作o1と操作o3の組み合わせを一連の操作として検知し、これをシナリオ候補T2としてシナリオ候補記憶部113に記憶する。そしてルールC2によって操作o2,o3,o4の組み合わせを一連の操作として検知し、これをシナリオ候補T3としてシナリオ候補記憶部113に記憶する。
【0063】
相関分析部103はさらに、操作oiの重要度スコアmi、シナリオ候補Tjの重要度スコアMTjを評価し、シナリオ候補記憶部113に記憶する(図3のステップS202)。操作oiの重要度スコアmiは、各相関ルールや、相関ルールにマッチしたイベントに関連する脅威の重要度、情報資産の重要度、攻撃対象の脆弱性度合いに基づいて計算するようなルールが、あらかじめユーザによって相関ルール記憶部111上に定義され、それによって算出される。シナリオ候補Tjの重要度スコアMTjは、相関分析部103の処理によって算出され、後述の処理によって再評価される。
【0064】
図5に示された例では、操作o1〜4の各々の重要度スコアm1〜4が各々0.6,0.6,0.6,0.3と、あらかじめユーザによって相関ルール記憶部111上に定義されている。シナリオ候補T1〜3の重要度スコアMT1〜3は、ここでは各々1.0,1.0,1.0として説明する。以上で説明した相関分析部103による処理は、前述の特許文献1にも記載された公知技術であり、本発明の前提となる技術である。
【0065】
図6は、図1で示したユーザ関連度評価機能104a(図3のステップS203)の動作を表すフローチャートである。ユーザ関連度評価機能104aは、相関分析部103によってシナリオ候補記憶部113に記憶されたシナリオ候補を参照して、各操作を行った可能性のあるユーザを複数の方式によって列挙する。
【0066】
動作を開始したユーザ関連度評価機能104aは、変数iの初期値を1として(ステップS301)、操作oiについてまず相関分析部103によってその操作を行ったユーザを1人に特定できているかをユーザ関連度評価機能104aは判断する(ステップS302)。特定できていれば(ステップS302がイエス)、操作oiのユーザ関連度=100%として(ステップS308)ステップS309の処理に進む。
【0067】
相関分析部103によって操作oiを行ったユーザを1人に特定できていなければ(ステップS302がノー)、その相関分析によってその可能性のあるユーザを複数名にまで特定できているかをユーザ関連度評価機能104aは判断する(ステップS303)。特定できていれば(ステップS303がイエス)、その可能性のあるユーザの人数をn人とした場合に、操作oiのユーザ関連度=(100/n)%として(ステップS307)ステップS309の処理に進む。
【0068】
相関分析部103によって操作oiを行ったユーザを全く特定できていなければ(ステップS303がノー)、ユーザ関連度評価機能104aはログ収集部101によって収集された端末ログイン記録のログを参照して、その操作oiが行われた時刻にその操作を行うことが可能な端末にログインしていたユーザが特定できているかを判断する(ステップS304)。特定できていれば(ステップS303がイエス)、その可能性のあるユーザの人数をn人とした場合に、操作oiのユーザ関連度=(100/n)%として(ステップS307)ステップS309の処理に進む。
【0069】
端末ログイン記録のログを参照しても操作oiを行ったユーザを全く特定できていなければ(ステップS304がノー)、ユーザ関連度評価機能104aはディレクトリサーバ24に操作oiを行う権限を持つユーザが誰であるかを照会する(ステップS305)。
【0070】
この照会によってその権限を持つユーザを特定できれば(ステップS305がイエス)、その可能性のあるユーザの人数をn人とした場合に、操作oiのユーザ関連度=(100/n)%として(ステップS307)ステップS309の処理に進む。特定できなければ(ステップS305がノー)関連するユーザ無しとして(ステップS306)ステップS309の処理に進む。
【0071】
ここで、ステップS303〜305に示した処理は、ディレクトリサーバ24に照会して得られた各ユーザの持つ実行権限や、端末ログイン記録などから得られるアリバイ情報(当該時刻にログインしていなかったユーザについての情報)などを加味して、その操作を行った可能性のあるユーザを総合的に判断して抽出するようにしてもよい。
【0072】
そしてユーザ関連度評価機能104aは、iがシナリオ候補記憶部113に記憶された操作oiの総数Nに到達したか否かを判断し(ステップS309)、到達していれば処理を終了して操作関連度評価機能104bによる処理に進む。到達していなければiの値を1つ増加して(ステップS310)ステップS302から処理を繰り返す。
【0073】
図7は、図1で示したシナリオ候補評価部104のユーザ関連度評価機能104aおよび操作関連度評価機能104bの動作内容(図3のステップS203〜204)について示す説明図である。図7は、図6のフローチャートで説明した動作を、図4に示したシナリオ候補記憶部113に記憶されたシナリオ候補T1〜3に対して行った結果を示している。
【0074】
この例では、相関分析部103によって操作oiを行ったユーザを1人にも複数人にも特定できていない(図6・ステップS302〜303がいずれもノー)が、操作o1が行われた時刻帯にユーザA〜Cの3名が操作o1を行うことが可能な端末にログインしていることが判明した(図6・ステップS304がイエス)。従って、ユーザA〜Cが操作o1を行った確率であるユーザA〜Cの各々のユーザ関連度r11、r11、r11は各々、100%をその可能性のあるユーザの人数3で割って、100÷3=33%であるとの結果を得ることができる(図6・ステップS307)。
【0075】
ユーザ関連度評価機能104aは、以上の動作で複数列挙された各ユーザA〜Cをシナリオ候補T1〜3に対して適用して展開する(図3のステップS203)。たとえば操作o1は、ユーザA〜Cの3名が候補として列挙されたので、p1(A,X)、p1(B,X)、p1(C,X)の3通りに展開され、その各々のユーザ関連度r11、r11、r11は各々33%となる。
【0076】
同様に、操作o2は、ユーザAおよびBの2名が候補として列挙されたので、p2(A,Y)、p2(B,Y)の2通りに展開され、その各々のユーザ関連度r22、r22は各々50%となる。操作o3およびo4は、前述のように操作者がユーザBに特定されているので、各々p2(B,Z)とp3(B,X,Z)となり、その各々のユーザ関連度r23およびr24はいずれも100%である。
【0077】
シナリオ候補T1は、前述のように操作o1とo2の組み合わせによって構成されるが、この操作o1とo2のいずれの操作も可能なのはユーザAおよびBである(ユーザCは操作o1を行った可能性はあるが、操作o2を行っていない)。従って、ユーザAとBの各々について、c1(A,X)とc1(B,X)の2通りに展開される。
【0078】
これと同様に、シナリオ候補T2は、操作o1とo3の組み合わせによって構成される。そしてシナリオ候補T3は、操作o1,o3,o4の組み合わせによって構成される。操作o3およびo4は操作者がユーザBに特定されているので、シナリオ候補T2およびT3はいずれもユーザBひとりだけに展開され、各々c1(B,X)、c2(B,X,Z)の1通りに展開される。ユーザ関連度評価機能104aは、以上の処理結果をシナリオ候補記憶部113に記憶する。
【0079】
そして操作関連度評価機能104bは、以上で記憶された各シナリオ候補を構成する一連の操作について、各操作pと操作qの関連の深さである操作関連度lpqを算出する(図3のステップS204)。まず、ファイル属性収集部102が、各操作が対象とするファイルのパス名、ファイルサイズ、ファイル名、電子署名、ハッシュ値などといった情報を、ログ収集部101によってログが収集される時点もしくは相関分析部103によって前述のsimilar()関数によるパターンマッチを行う時点よりも事前に、計算あるいは収集する。
【0080】
操作関連度評価機能104bは、ファイル属性収集部102によって収集されたこれらの情報を用いて、予め与えられた評価基準に基づいて各々の操作関連度を算出する。ここでいう評価基準とは、たとえば、同じ署名や同じマシン上の同じパス名のファイルに対する操作であれば操作関連度=100%、同じハッシュ値を持つファイルに対する操作であれば操作関連度=90%、同じファイルサイズのファイルに対する操作ならば操作関連度60%、同じファイル名のファイルに対する操作であれば操作関連度55%、などのように予め与えられたものである。
【0081】
図8は、図7で示した操作関連度評価機能104bによる操作関連度の評価の動作例について、より詳しく示した説明図である。図8は、図4および図7に示したシナリオ候補T3を構成する操作o1,o3,o4の各々の間について、操作関連度を算出するという例を示している。
【0082】
シナリオ候補T3において、操作o1のファイルXと操作o3のファイルZは類似している(similar(X,Z))が、それはそのファイルサイズが同じであったためであるとすると、操作o1と操作o3の間の操作関連度l13=60%となる。同様に、操作o3のファイルZと操作o4のファイルZはパス名が一致するので、操作o3と操作o4の間の操作関連度l34=100%となる。そして、操作o1のファイルXと操作o4のファイルXとの間ではファイル名が一致するので、操作o1と操作o4の間の操作関連度l14=55%となる。
【0083】
さらに同様に、シナリオ候補T1では、ユーザAのc1(A,X)について操作o1のファイルXと操作o2のファイルYは同一のハッシュ値を持つので、ユーザAの操作o1と操作o2の間の操作関連度l12=90%となる。ユーザBのc1(B,X)についても同様に、ユーザBの操作o1と操作o2の間の操作関連度l12=90%となる。
【0084】
そしてシナリオ候補T2では、操作o1のファイルXと操作o3のファイルZはファイルサイズが同じであるので、操作o1と操作o3の間の操作関連度l13=60%となる。操作関連度評価機能104bは、以上の算出結果を、図7に示したようにシナリオ候補記憶部113に記憶する。
【0085】
図9は、図1で示したシナリオ候補重要度再評価機能104cによるシナリオ重要度スコア再計算の動作内容(図3のステップS205)について、より詳しく示した説明図である。シナリオ候補重要度再評価機能104cは、シナリオ候補記憶部113に記憶されたn個の操作からなるユーザuiによるシナリオ候補Tx={ui,ok1,ok2,…okn}について、シナリオ重要度スコアMTiを以下の数1に示す計算式で再計算し、これをRTxiとする。シナリオ候補重要度再評価機能104cは、この計算をシナリオ候補Txとこれに該当する全てのユーザuiに対して行う。ユーザu1,u2,u3は、各々ユーザA,B,Cに対応する。
【0086】
ここで、nは各シナリオ候補Txに含まれる操作の総数、ui∈U(Uはユーザ全体の集合)、ok1,ok2,…okn∈O(Oは操作全体の集合)、mjは図5に示した相関分析部103による処理で算出された操作ojの重要度スコアで1≧mj≧0、rijは図7に示したユーザ関連度評価機能104aによる処理で算出されたユーザuiと操作ojの関連度で1≧rij≧0、図7に示した操作関連度評価機能104bによる処理で算出されたlpqは操作opとoqの関連度で1≧lpq≧0である。
【0087】
【数1】
【0088】
この計算式により、ルールの条件部の数(√nC2の部分)、条件部のマッチの度合い(Σlpq/nC2の部分)、ユーザ関連度の総合的な高さ(1/nΣrikjの部分)、ユーザが実際に行っている操作(即ちユーザ関連度が高い操作)の重要度スコア(rikjmkjの部分)に応じて、各シナリオ候補の重要度が再評価される。また、重要度スコア(lpqmpmqの部分)に応じて操作関連度の重みが再評価される。シナリオ候補重要度再評価機能104cは、以上の計算式で算出された再評価後のシナリオ重要度スコアRTiを、シナリオ候補重要度記憶部114に記憶する。
【0089】
図4,7,8に示された例についてこの計算式を適用した場合、ユーザAにおけるシナリオ候補T1の再評価後のシナリオ重要度スコアRT11は、n=2、k1=1、k2=2であるので、以下の数2のように、RT11=約8.1%と算出できる。ユーザBについても同様に、以下の数3のように、シナリオ候補T1の再評価後のシナリオ重要度スコアRT12=約8.1%となる。ユーザCについては、このシナリオ候補T1に該当しないので、再評価後のシナリオ重要度スコアの算出は行わない。
【0090】
【数2】
【0091】
【数3】
【0092】
また、ユーザBにおけるシナリオ候補T2の再評価後のシナリオ重要度スコアRT2は、n=2、k1=1、k2=3であるので、以下の数4のように、RT22=約8.6%と算出できる。ユーザAおよびCについては、このシナリオ候補T2に該当しないので、再評価後のシナリオ重要度スコアの算出は行わない。
【0093】
【数4】
【0094】
さらに、ユーザBにおけるシナリオ候補T3の再評価後のシナリオ重要度スコアRT3は、n=3、k1=1、k2=3、k3=4であるので、以下の数5のように、RT32=約18.0%と算出できる。ユーザAおよびCについては、このシナリオ候補T3に該当しないので、再評価後のシナリオ重要度スコアの算出は行わない。
【0095】
【数5】
【0096】
以上で説明したように、図5で示された例では各シナリオ候補T1〜3の重要度スコアMT1〜3に各々1.0,1.0,1.0という値が仮定されていたが、このシナリオ候補重要度再評価機能104cによる処理によって算出された再評価後のシナリオ重要度スコアRT1〜3は、各ユーザの実際の動作が反映されたものとなる。特に、その操作を行ったユーザが誰であるかがログから特定できない状況に対しても、一連の操作が同一ユーザによって行われた可能性が高い場合に、算出されるシナリオ重要度スコアは高くなる。
【0097】
図10は、図1に示した結果表示部105が表示手段14上に画面表示させる(図3のステップS206)重要度の高いシナリオ候補の一覧の例について示す説明図である。結果表示部105は、シナリオ候補記憶部113に記憶されたシナリオ候補の中で、シナリオ候補重要度記憶部114に記憶されたシナリオ候補重要度が一定の閾値より高いものを、表示手段14上に画面表示させる(図3のステップS206)。
【0098】
その際、結果表示部105は、各シナリオ候補に該当するシナリオ名(たとえば「重要ファイルの持ち出し」などのように、複合操作検出用ルール111bの各々に与えられた名称)を重要度の高い順に並び替えた一覧として表示手段14上に表示させ、特に重要度の高いものを色を変えるなどのようにして強調して表示させる。また、当該シナリオ候補に示された操作を実際に行ったユーザ、もしくはそれに該当する可能性の高いユーザを、そのシナリオ候補に付随して表示させる。
【0099】
図10に示した例では、閾値「10%」があらかじめ設定されており、ユーザBにおけるシナリオ候補T3の再評価後のシナリオ重要度スコアRT23だけがその閾値を超える18.0%の値が出たので、このシナリオ候補T3の元となったシナリオC2に与えられていたシナリオ名「重要ファイルのコピーと持ち出し」が発生したと推定される旨と、その発生時刻、監視対象機器名、対象ファイル名、そしてこれを実行したと推定されるユーザ名(ユーザB)、などといった情報が表示手段14上に表示されている。
【0100】
(実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。
本実施形態に係るセキュリティイベント監視方法は、同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、各監視対象装置からログ収集部が各ログを受信し、各ログに相関分析部が予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成し、各シナリオ候補を、相関ルールによって与えられた当該シナリオ候補の重要度と共に相関分析部が記憶手段に記憶させ、(図3・ステップS201〜202)、各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザをシナリオ候補評価部のユーザ関連度評価機能が列挙し、各操作に対する各ユーザの関連性であるユーザ関連度をユーザ関連度評価機能が算出し(図3・ステップS203)、各シナリオ候補の各操作の相互間の関連性である操作関連度をシナリオ候補評価部の操作関連度評価機能が算出し(図3・ステップS204)、ユーザ関連度および操作関連度によってシナリオ候補評価部のシナリオ候補重要度再評価機能がユーザごとに各シナリオ候補の重要度を再算出し(図3・ステップS205)、重要度の高いシナリオ候補を結果表示部が表示出力する(図3・ステップS206)。
【0101】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するセキュリティイベント監視装置10に実行させるようにしてもよい。本プログラムは、非一時的な記録媒体、例えば、DVD、CD、フラッシュメモリ等に記録されてもよい。その場合、本プログラムは、記録媒体からコンピュータによって読み出され、実行される。
この動作により、本実施形態は以下のような効果を奏する。
【0102】
本実施形態では、ユーザ関連度、即ちユーザ候補からの絞込みの確度と、操作関連度、即ち不正に操作された情報資産の不正利用の確度とに基づいて、一連の操作が同一ユーザによって行われた可能性を評価して、これによって各ユーザごとに各シナリオ候補の重要度を算出している。従って、特定のユーザが重要ファイルに対してセキュリティ上の問題を引き起こす可能性の高い操作を繰り返している場合にも、その操作を的確に検出し、さらにそのユーザが誰であるかを高い確度で推定することができる。
【0103】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【0104】
上述した実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。
【0105】
(付記1) 同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置であって、
前記各ログに対する相関分析を行う際に適用される相関ルールを予め記憶する記憶手段と、
前記各監視対象装置から各ログを受信するログ収集部と、
前記各ログに前記相関ルールを適用し、これによって各々の当該ログを関連づけたシナリオ候補を生成して、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に前記記憶手段に記憶させる相関分析部と、
前記各シナリオ候補に対する重要度を再算出するシナリオ候補評価部と、
再算出された前記重要度の高い前記シナリオ候補を表示出力する結果表示部とを有すると共に、
前記シナリオ候補評価部が、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙し、前記各操作に対する前記各ユーザの関連性であるユーザ関連度を算出するユーザ関連度評価機能と、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を算出する操作関連度評価機能と、
前記ユーザ関連度および前記操作関連度によって前記ユーザごとに前記各シナリオ候補の重要度を再算出するシナリオ候補重要度再評価機能と
を備えることを特徴とするセキュリティイベント監視装置。
【0106】
(付記2) 前記ユーザ関連度評価機能が、前記各シナリオ候補に含まれる操作が行われた時間に当該監視対象装置に対して当該操作が可能なユーザを列挙することを特徴とする、付記1に記載のセキュリティイベント監視装置。
【0107】
(付記3) 前記ユーザ関連度評価機能が、前記各シナリオ候補に含まれる操作を行う権限を持つユーザを、外部に接続されたディレクトリサービス装置に照会して列挙することを特徴とする、付記1に記載のセキュリティイベント監視装置。
【0108】
(付記4) 前記操作関連度評価機能が、予め与えられた評価基準に基づいて、前記各操作の対象となるファイルの類似性から前記操作関連度を算出することを特徴とする、付記1に記載のセキュリティイベント監視装置。
【0109】
(付記5) 前記操作関連度評価機能が、前記ファイルの類似性の評価基準として、前記各操作の対象となるファイルの名称、サイズ、パス名、ハッシュ値、電子署名のうち少なくとも1つ以上を使用することを特徴とする、付記4に記載のセキュリティイベント監視装置。
【0110】
(付記6)前記シナリオ候補重要度再評価機能が、前記シナリオ候補に該当する各ユーザの前記ユーザ関連度と前記各シナリオ候補に含まれる各操作の重要度の積の合計値と、前記各シナリオ候補に含まれる各操作間の操作関連度と当該操作の重要度と前記各シナリオ候補の重要度の積の合計値と、を積算して前記各ユーザの前記各シナリオ候補の重要度を再算出することを特徴とする、付記1に記載のセキュリティイベント監視装置。
【0111】
(付記7) 前記結果表示部が、前記重要度の高い前記シナリオ候補と共に、当該シナリオ候補に対して前記ユーザ関連度の高いユーザを表示することを特徴とする、付記1に記載のセキュリティイベント監視装置。
【0112】
(付記8) 同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、
前記各監視対象装置からログ収集部が各ログを受信し、
前記各ログに相関分析部が予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成し、
前記各シナリオ候補を、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に前記相関分析部が前記記憶手段に記憶させ、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザをシナリオ候補評価部のユーザ関連度評価機能が列挙し、
前記各操作に対する前記各ユーザの関連性であるユーザ関連度を前記ユーザ関連度評価機能が算出し、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を前記シナリオ候補評価部の操作関連度評価機能が算出し、
前記ユーザ関連度および前記操作関連度によって前記シナリオ候補評価部のシナリオ候補重要度再評価機能が前記ユーザごとに前記各シナリオ候補の重要度を再算出し、
前記重要度の高い前記シナリオ候補を結果表示部が表示出力する
ことを特徴とするセキュリティイベント監視方法。
【0113】
(付記9) 同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、
前記セキュリティイベント監視装置が備えるコンピュータに、
前記各監視対象装置から各ログを受信する手順、
前記各ログに予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成する手順、
前記各シナリオ候補を、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に記憶する手順、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙する手順、
前記各操作に対する前記各ユーザの関連性であるユーザ関連度を算出する手順、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を算出する手順、
前記ユーザ関連度および前記操作関連度によって前記ユーザごとに前記各シナリオ候補の重要度を再算出する手順、
および前記重要度の高い前記シナリオ候補を表示出力する手順
を実行させることを特徴とするセキュリティイベント監視プログラム。
【産業上の利用可能性】
【0114】
本発明は、コンピュータネットワークに対して適用することができる。特に、機密情報や個人情報を多く取り扱っているネットワークにおいて、それらの情報が漏洩するリスクを低減させるという用途に適する。
【符号の説明】
【0115】
1 コンピュータネットワーク
10 セキュリティイベント監視装置
11 主演算制御手段
12 記憶手段
13 通信手段
14 表示手段
21 セキュリティ装置
22 ネットワーク装置
23 コンピュータ装置
24 ディレクトリサーバ
25 ローカルネットワーク
30 インターネット
101 ログ収集部
102 ファイル属性収集部
103 相関分析部
104 シナリオ候補評価部
104a ユーザ関連度評価機能
104b 操作関連度評価機能
104c シナリオ候補重要度再評価機能
105 結果表示部
111 相関ルール記憶部
111a ユーザ特定用ルール
111b 複合操作検出用ルール
112 ログ記憶部
113 シナリオ候補記憶部
114 シナリオ候補重要度記憶部
【技術分野】
【0001】
本発明はセキュリティイベント監視装置、方法およびプログラムに関し、特に問題を引き起こす操作をしているユーザを高精度に特定することを可能とするセキュリティイベント監視装置等に関する。
【背景技術】
【0002】
コンピュータネットワークが事業者の基幹業務で根幹をなす存在となった現代では、その業務に関連して大量の個人情報や機密情報が当該事業者のローカルネットワーク上で扱われている。当然、これらの情報が組織外に漏洩することがないよう、その取り扱いには慎重を期す必要がある。
【0003】
コンピュータネットワーク上で行われる、当該ネットワークの安全性(セキュリティ)に関わる行為のことを、ここではセキュリティイベントという。たとえば、機密情報や個人情報などを含む特定のファイル(以後、重要ファイルという)を勝手に組織外に持ち出すことなどが、このセキュリティイベントに該当する。
【0004】
セキュリティイベント監視装置は、当該ネットワークを監視し、特定のセキュリティイベントが行われた場合にこれをいち早く検出し、その行為を行った人物を特定する装置である。当該ネットワークを構成する各装置は、当該装置に対して行われた操作などを操作ログ(以後、単にログという)に記録して、そのログをセキュリティイベント監視装置に対して送信する機能を備えている。セキュリティイベント監視装置は、複数の監視対象装置から受信したログを相関分析することによって、そのセキュリティイベントを検出する。
【0005】
このことに関連する技術として、以下の各々がある。その中でも特許文献1には、対象操作に対して不審値を算出するという不正操作監視システムで、この不審値が高い操作が繰り返された場合により高い不審値を設定するという技術が記載されている。特許文献2には、ユーザの行った操作の系列から、そのユーザの操作意図を検出して適切な操作ガイドを提示するという操作支援装置が記載されている。
【0006】
特許文献3には、異なる系列のログデータで共通の固有表現がある場合にそれらを対応づけるという相関分析装置が記載されている。特許文献4には、特定の操作をシナリオとして予め記憶し、その操作が実行された場合の操作コストを算出するという評価装置が記載されている。特許文献5には、特許文献4と同様に、予め記憶されたシナリオに登録された各操作を実行した場合の所要時間を計測するというウェブアプリケーションシステムが記載されている。
【0007】
非特許文献1には、たとえば「ユーザがカラムを読み書きする必然性」や「ユーザの敵意の度合い」などのような曖昧にしか表現できない事柄を、ファジー論理の言語学的変数で表現し、これをパラメータとしたアクセス制御方法が記載されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−183911号公報
【特許文献2】特開2009−080650号公報
【特許文献3】特開2009−217657号公報
【特許文献4】特開2009−259064号公報
【特許文献5】特開2011−008558号公報
【非特許文献】
【0009】
【非特許文献1】U.H.G.R.D Nawarathna and S.R. Kodithuwakku: “A Fuzzy Role Based Access Control Model for Database Security”, Procedings of the International Conference on Information and Automation, December 15-18, 2005
【発明の概要】
【発明が解決しようとする課題】
【0010】
監視対象装置に対して行われてログに記録された操作で、その操作を行った人物が全ての場合で特定されているとは限らない。より具体的には、たとえば、共用IDでサーバに複数のユーザが同時にログインして作業しているという状況、あるいはユーザがプロキシサーバなどのような中継装置を経由して(中継装置によって置換されたユーザIDで)サーバにアクセスするという状況などでは、実際にそのIDによってその操作を行った者の特定が困難である。
【0011】
従って、操作者を特定することが不可能な操作がログに含まれている場合、セキュリティイベント監視装置でセキュリティイベントを検出することが著しく困難なものとなる。そのため、ネットワーク上のセキュリティに対して深刻な問題を引き起こす行為を繰り返している者がいたとしても、そのような行為を検出することができない。
【0012】
このような問題を解決しうる技術は、前述の特許文献1〜5および非特許文献1には記載されていない。特許文献1に記載の技術は、全ての操作で、その操作を行ったユーザが特定されていることを前提としているので、操作者を特定することが不可能な状況については全く考慮されていない。
【0013】
特許文献2〜5に記載の技術は、そもそも不正な操作を行ったユーザを検出することを目的とはしておらず、またその目的に転用できる内容も記載されていない。非特許文献1に記載の技術は、検出された操作が与えられたポリシーに違反しているか否かを判断しているが、一連の操作を同一ユーザが行ったか否かをその判断に反映する計算は行われていない。従って、特許文献1〜5および非特許文献1に記載の技術を全て組み合わせたとしても、前述の問題を解決しうる技術を得ることはできない。
【0014】
本発明の目的は、収集されたログに操作者を特定することが不可能な操作が含まれている場合にも、セキュリティイベントを適切に検出し、さらにその操作を行った者を推定することを可能とすることを可能とするセキュリティイベント監視装置、方法およびプログラムを提供することにある。
【課題を解決するための手段】
【0015】
上記目的を達成するため、本発明に係るセキュリティイベント監視装置は、同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置であって、各ログに対する相関分析を行う際に適用される相関ルールを予め記憶する記憶手段と、各監視対象装置から各ログを受信するログ収集部と、各ログに相関ルールを適用し、これによって各々の当該ログを関連づけたシナリオ候補を生成して、相関ルールによって与えられた当該シナリオ候補の重要度と共に記憶手段に記憶させる相関分析部と、各シナリオ候補に対する重要度を再算出するシナリオ候補評価部と、再算出された重要度の高いシナリオ候補を表示出力する結果表示部とを有すると共に、シナリオ候補評価部が、各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙し、各操作に対する各ユーザの関連性であるユーザ関連度を算出するユーザ関連度評価機能と、各シナリオ候補の各操作の相互間の関連性である操作関連度を算出する操作関連度評価機能と、ユーザ関連度および操作関連度によってユーザごとに各シナリオ候補の重要度を再算出するシナリオ候補重要度再評価機能とを備えることを特徴とする。
【0016】
上記目的を達成するため、本発明に係るセキュリティイベント監視方法は、同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、各監視対象装置からログ収集部が各ログを受信し、各ログに相関分析部が予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成し、各シナリオ候補を、相関ルールによって与えられた当該シナリオ候補の重要度と共に相関分析部が記憶手段に記憶させ、各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザをシナリオ候補評価部のユーザ関連度評価機能が列挙し、各操作に対する各ユーザの関連性であるユーザ関連度をユーザ関連度評価機能が算出し、各シナリオ候補の各操作の相互間の関連性である操作関連度をシナリオ候補評価部の操作関連度評価機能が算出し、ユーザ関連度および操作関連度によってシナリオ候補評価部のシナリオ候補重要度再評価機能がユーザごとに各シナリオ候補の重要度を再算出し、重要度の高いシナリオ候補を結果表示部が表示出力することを特徴とする。
【0017】
上記目的を達成するため、本発明に係るセキュリティイベント監視プログラムは、同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、セキュリティイベント監視装置が備えるコンピュータに、各監視対象装置から各ログを受信する手順、各ログに予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成する手順、各シナリオ候補を、相関ルールによって与えられた当該シナリオ候補の重要度と共に記憶する手順、各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙する手順、各操作に対する各ユーザの関連性であるユーザ関連度を算出する手順、各シナリオ候補の各操作の相互間の関連性である操作関連度を算出する手順、ユーザ関連度および操作関連度によってユーザごとに各シナリオ候補の重要度を再算出する手順、および重要度の高いシナリオ候補を表示出力するする手順を実行させることを特徴とする。
【発明の効果】
【0018】
本発明は、上記したように、相関分析によって生成されたシナリオ候補に対して、各々の操作を行った可能性のある各ユーザの関連性であるユーザ関連度と、各操作の相互間の関連性である操作関連度とを算出し、それらによってユーザごとに各シナリオ候補の重要度を算出するように構成したので、操作者が特定されていない場合にもその可能性の高いユーザが誰であるかを推定できる。
【0019】
これによって、収集されたログに操作者を特定することが不可能な操作が含まれている場合にも、セキュリティイベントを適切に検出し、さらにその操作を行った者を推定することを可能とすることが可能であるという優れた特徴を持つセキュリティイベント監視装置、方法およびプログラムを提供することができる。
【図面の簡単な説明】
【0020】
【図1】図2に示したセキュリティイベント監視装置のより詳しい構成について示す説明図である。
【図2】本発明の第1の実施形態に係るセキュリティイベント監視装置を含むコンピュータネットワークの構成について示す説明図である。
【図3】図1で示した相関分析部、シナリオ候補評価部、および結果表示部の動作を表すフローチャートである。
【図4】図1で示した相関ルール記憶部の記憶内容の一例について示す説明図である。
【図5】図1で示したログ収集部および相関分析部の動作内容(図3のステップS201〜202)について示す説明図である。
【図6】図1で示したユーザ関連度評価機能(図3のステップS203)の動作を表すフローチャートである。
【図7】図1で示したシナリオ候補評価部のユーザ関連度評価機能および操作関連度評価機能の動作内容(図3のステップS203〜204)について示す説明図である。
【図8】図7で示した操作関連度評価機能による操作関連度の評価の動作例について、より詳しく示した説明図である。
【図9】図1で示したシナリオ候補重要度再評価機能によるシナリオ重要度スコア再計算の動作内容(図3のステップS205)について、より詳しく示した説明図である。
【図10】図1に示した結果表示部が表示手段上に画面表示させる(図3のステップS206)重要度の高いシナリオ候補の一覧の例について示す説明図である。
【発明を実施するための形態】
【0021】
(実施形態)
以下、本発明の実施形態の構成について添付図1〜2に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係るセキュリティイベント監視装置10は、同一のローカルネットワーク25上で相互に接続されている複数の監視対象装置21〜23に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置である。このセキュリティイベント監視装置10は、各ログに対する相関分析を行う際に適用される相関ルールを予め記憶する記憶手段12(相関ルール記憶部111)と、各監視対象装置から各ログを受信するログ収集部101と、各ログに相関ルールを適用して、これによって各々の当該ログを関連づけたシナリオ候補を生成して相関ルールによって与えられた当該シナリオ候補の重要度と共に記憶手段(シナリオ候補記憶部113)に記憶させる相関分析部103と、各シナリオ候補に対して重要度を再算出するシナリオ候補評価部104と、重要度の高いシナリオ候補を表示出力する結果表示部105とを有する。そして、シナリオ候補評価部104が、各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙し、各操作に対する各ユーザの関連性であるユーザ関連度を算出するユーザ関連度評価機能104aと、各シナリオ候補の各操作の相互間の関連性である操作関連度を算出する操作関連度評価機能104bと、ユーザ関連度および操作関連度によってユーザごとに各シナリオ候補の重要度を再算出するシナリオ候補重要度再評価機能104cとを備える。
【0022】
ここで、ユーザ関連度評価機能104aは、各シナリオ候補に含まれる操作が行われた時間に当該監視対象装置に対して当該操作が可能なユーザを列挙し、また各シナリオ候補に含まれる操作を行う権限を持つユーザを、外部に接続されたディレクトリサービス装置(ディレクトリサーバ24)に照会して列挙する。
【0023】
そして操作関連度評価機能104bは、予め与えられた評価基準に基づいて、各操作の対象となるファイルの類似性から操作関連度を算出する。ここでいうファイルの類似性の評価基準として、各操作の対象となるファイルの名称、サイズ、パス名、ハッシュ値、電子署名のうち少なくとも1つ以上を使用している。
【0024】
さらに、シナリオ候補重要度再評価機能104cは、シナリオ候補に該当する各ユーザのユーザ関連度と各シナリオ候補に含まれる各操作の重要度の積の合計値と、各シナリオ候補に含まれる各操作間の操作関連度と当該操作の重要度と各シナリオ候補の重要度の積の合計値と、を積算して各ユーザの各シナリオ候補の重要度を再算出している。そして、結果表示部105は、重要度の高いシナリオ候補と共に、当該シナリオ候補に対してユーザ関連度の高いユーザを表示する。
【0025】
以上の構成を備えることにより、本実施形態のセキュリティイベント監視装置10は、収集されたログに操作者を特定することが不可能な操作が含まれている場合にも、セキュリティイベントを適切に検出し、さらにその操作を行った者を推定することが可能なものとなる。
以下、これをより詳細に説明する。
【0026】
図2は、本発明の第1の実施形態に係るセキュリティイベント監視装置10を含むコンピュータネットワーク1の構成について示す説明図である。コンピュータネットワーク1は、インターネット30にも接続可能であるLAN(Local Area Network)もしくはWAN(Wide Area Network)などのようなコンピュータネットワークであり、複数のセキュリティ装置21(ファイアウォールなど)、ネットワーク装置22(ルータおよびスイッチングハブなど)、およびコンピュータ装置23(サーバおよびパーソナルコンピュータなど)が、ローカルネットワーク25を介して相互に接続されている。
【0027】
セキュリティイベント監視装置10は、ローカルネットワーク25に接続され、それらのセキュリティ装置21、ネットワーク装置22、およびコンピュータ装置23を監視対象として動作する(以後、セキュリティ装置21、ネットワーク装置22、およびコンピュータ装置23を総称して監視対象装置という)。さらに、セキュリティイベント監視装置10は、やはりローカルネットワーク25に接続された別の装置であるディレクトリサーバ24と協働して動作するが、その詳細は後述する。
【0028】
図1は、図2に示したセキュリティイベント監視装置10のより詳しい構成について示す説明図である。セキュリティイベント監視装置10は、コンピュータ装置としての基本的な構成を備えている。即ち、セキュリティイベント監視装置10は、コンピュータプログラムを実行する主体である主演算制御手段(CPU: Central Processing Unit)11と、データを記憶する記憶手段12と、ローカルネットワーク25を介して他の装置とのデータ送信を行う通信手段13と、処理結果をユーザに提示する表示手段14とを備える。
【0029】
主演算制御手段11は、コンピュータプログラムが実行されることにより、後述のログ収集部101、ファイル属性収集部102、相関分析部103、シナリオ候補評価部104、および結果表示部105として機能する。シナリオ候補評価部104は、ユーザ関連度評価機能104a、操作関連度評価機能104b、およびシナリオ候補重要度再評価機能104cを含む。これらの各部は、各々別々のコンピュータ装置で実行されるように構成することもできる。
【0030】
一方、記憶手段12には、相関ルール記憶部111、ログ記憶部112、シナリオ候補記憶部113、シナリオ候補重要度記憶部114といった各々の記憶領域が設けられ、あらかじめ各々のデータが記憶されている。以上これらの詳細についても後述する。
【0031】
(動作の概要)
以下、図1〜2で説明したセキュリティイベント監視装置10の各部の動作の概要について説明する。セキュリティ装置21、ネットワーク装置22、およびコンピュータ装置23は各々、システム上で発生したさまざまな事象をログとして記録してセキュリティイベント監視装置10に送信する。セキュリティイベント監視装置10では、ログ収集部101がそれらのログを受信して収集し、正規化やフィルタリング等の処理を行った後、これをイベントデータとして相関分析部103に渡して、さらにログ記憶部112に記憶させる。
【0032】
相関分析部103は、ログ収集部101から受け取ったイベントデータに対して、相関ルール記憶部111上にあらかじめ定義されたルールに基いて、その条件部にマッチするイベントのパターンを見つける。複合する一連の操作を検出するタイプのルールのことを、特にシナリオと呼び、シナリオに対してイベントデータをマッチさせた状態のものをシナリオ候補と呼ぶものとする。
【0033】
相関分析部103は、個々のシナリオ候補に対し、構成する個々のイベントの重要度、イベントの発生回数や頻度、検知された脅威の重要度、関連する情報資産の重要度、攻撃対象の脆弱性度合い等を考慮して、その重要度をスコアとして評価し、これらを合わせてシナリオ候補記憶部113に記憶する。
【0034】
シナリオ候補評価部104は、ユーザ関連度評価機能104aによって、シナリオ候補記憶部113に記録されたシナリオ候補を参照して、シナリオ候補を構成する各操作を行った可能性のあるユーザを、以下の複数の条件のうちのいずれかに該当する場合に列挙する。
【0035】
(a)相関分析によりログオンのログや通信のログ等の複数のログをつき合わせることにより操作を行ったユーザを一意に特定できる場合
(b)相関分析により複数の候補にユーザを特定できる場合
(c)相関分析により操作を行ったユーザ(の候補)を特定できなくとも、該当時間帯に当該操作を潜在的に行えると推定できるようなログが残っている場合
(d)上記のいずれの記録も無いが、当該操作を実行する権限を有するユーザを列挙できる場合
【0036】
このうち、上記の(c)については、ログ収集部101が収集した各種ログの中で、端末へのローカルなログイン、VPN接続の認証、出社や入退室、該当操作に関連した作業を行なうための事前の作業申請などの記録と当該操作の時刻を突き合わせることで、候補となるユーザを列挙する。また、上記の(d)については、ディレクトリサーバ24に対して問い合わせることで該当操作を行う権限を持つユーザを列挙する。
【0037】
さらに、ユーザ関連度評価機能104aは、列挙されたユーザによってシナリオ候補を展開する。そして、「100%÷候補者の人数」を「ユーザの絞込みの確度(ユーザ関連度)」として算出して、これをシナリオ候補記憶部113に追加記録する。
【0038】
操作関連度評価機能104bは、シナリオ候補記憶部113に記録された各シナリオ候補を構成する一連の操作について、操作対象のファイルの類似性を比較評価し、類似度の深さを不正利用の確度(=操作関連度)としてシナリオ候補記憶部113に追加記録する。
【0039】
ここで、操作対象のファイルの類似性の評価は、ファイルのパス名、ファイルに付与された署名、ファイルのハッシュ値、ファイルサイズ、ファイル名の比較等によって操作関連度評価機能104bが行う。これらのファイルの属性は、ログ収集部101でログを収集する段階、あるいは相関分析部103で関連するログを突き合わせる段階でファイル属性収集部102によって収集されるものである。
【0040】
シナリオ候補重要度再評価機能104cは、ユーザ関連度、操作関連度によって、各シナリオ候補の重要度スコアを再評価し、シナリオ候補重要度記憶部114にその再評価で算出された重要度スコアを記憶する。具体的にはルールの条件部の数の多さ、条件部へのマッチの度合いの高さ、ユーザ関連度の高さ、操作関連度の高さ、操作の重要度スコアで重み付けしたユーザの関連度の高さ、操作の重要度スコアで重み付けした操作関連度の高さを考慮した後述の数1に示される式によって、シナリオ候補の重要度を補正する。
【0041】
結果表示部105は、シナリオ候補記憶部113に記憶されたシナリオ候補の中で、シナリオ候補重要度記憶部114に記憶されたシナリオ候補重要度が一定の閾値より高いものを、表示手段14上に画面表示させる。その際、重要度の高い順に並び替えて一覧表示し、特に重要度の高いものを色を変えるなどのようにして強調して画面表示させる。
【0042】
図3は、図1で示した相関分析部103、シナリオ候補評価部104、および結果表示部105の動作を表すフローチャートである。まず相関分析部103が、ログ収集部101が受信してログ記憶部112に記憶したログを、相関ルール記憶部111に記憶されたユーザ特定用ルール111aおよび複合操作検出用ルール111bと照合して、各ログ同士の関連づけを行い、これを「シナリオ候補」としてシナリオ候補記憶部113に記憶する(ステップS201)。
【0043】
そして、相関分析部103は、シナリオ候補として記憶された各々の操作およびシナリオ候補に対して仮の重要度を算出し、これもシナリオ候補記憶部113に記憶する(ステップS202)。重要度の算出についての具体的な動作については後述する。
【0044】
そして、シナリオ候補評価部104のユーザ関連度評価機能104aが、相関分析部103によってシナリオ候補記憶部113に記憶されたシナリオ候補を参照して各操作を行った可能性のあるユーザを列挙して、各操作についてのユーザ関連度を算出し、可能性のある各ユーザについてシナリオ候補を展開して、その結果をシナリオ候補記憶部113に追加記憶する(ステップS203、後述の図6)。
【0045】
シナリオ候補評価部104の操作関連度評価機能104bはこれを受けて、各操作の相互間の関連の深さを示す操作関連度を、予め与えられた評価基準に基づいて算出し、その結果をシナリオ候補記憶部113にさらに追加記憶する(ステップS204)。
【0046】
そしてシナリオ候補評価部104のシナリオ候補重要度再評価機能104cは、ここまでで算出されたユーザ関連度、操作関連度を利用して、後述の式によって各シナリオ候補の重要度スコアを再評価し、シナリオ候補重要度記憶部114に算出された重要度スコアを記憶する(ステップS205)。
【0047】
最後に、結果表示部105は、シナリオ候補記憶部113に記憶されたシナリオ候補を、シナリオ候補重要度記憶部114に記憶されたシナリオ候補重要度に応じて表示手段14上に画面表示させる(ステップS206)。以上ステップS203〜205の動作についても、より具体的な動作内容について後述する。
【0048】
(より具体的な動作例)
以下、図1〜3で説明したセキュリティイベント監視装置10のより具体的な動作例を示す。図4は、図1で示した相関ルール記憶部111の記憶内容の一例について示す説明図である。相関ルール記憶部111には、ユーザ特定用ルール111aと、複合操作検出用ルール111bとが記憶されている。
【0049】
なお、本明細書では、本発明の概念を平易に示すために、ごく単純化されたログおよびルールを例として示している。実際のセキュリティイベント監視では、多数の監視対象装置から受信した膨大なログを突き合わせて、それらに対して複雑なルールを適用して特定の操作を行ったユーザを検出するものである。
【0050】
このうち、ユーザ特定用ルール111aは、ルールP1〜P3の3つのルールが図4の例では示されている。ルールP1には、1行目がそのルール名「P1」、2〜3行目がもし「特定のユーザuが、特定のファイル(重要ファイル)xを参照した」ことを示すログを検出された場合にこれをp1(u,x)とするという内容が記述されている。
【0051】
同様に、ルールP2には、「特定のユーザuが、特定のファイル(重要ファイル)xをUSBメモリに格納した」ことを示すログを検出された場合にこれをp2(u,x)とするという内容が記述されている。ルールP3には、「特定のユーザuが、特定のファイル(重要ファイル)xをファイルyにコピーした」ことを示すログを検出された場合にこれをp3(u,x,y)とするという内容が記述されている。
【0052】
複合操作検出用ルール111bは、ルールC1〜C2の2つのルールが図4の例では示されている。これらのルールC1およびC2を、ここではシナリオともいう。
【0053】
ルールC1には、1行目がそのルール名「C1」、2〜3行目が「ユーザu1が特定のファイルxを参照し(ユーザ特定用ルール111aのP1)、ユーザu2が特定のファイルyをUSBメモリに格納した(ユーザ特定用ルール111aのP2)」場合を示し、4〜5行目が「ユーザu1とu2が同一であり、ファイルxとyが類似している」場合を示し、2〜5行目の全てに該当する場合にこれをc1(u1,x)とするという内容が記述されている。
【0054】
同様に、ルールC2には、1行目がそのルール名「C2」、2〜4行目が「ユーザu1が特定のファイルxを参照し(ユーザ特定用ルール111aのP1)、ユーザu2が特定のファイルyをUSBメモリに格納し(ユーザ特定用ルール111aのP2)、ユーザu3が特定のファイルaをファイルbにコピーした(ユーザ特定用ルール111aのP3)」場合を示し、5〜8行目が「ユーザu1,u2,u3が全て同一であり、ファイルx,y,a,bが全て類似している」場合を示し、2〜8行目の全てに該当する場合にこれをc2(u1,x)とするという内容が記述されている。
【0055】
複合操作検出用ルール111bには、ルールC1に対して「重要ファイルの持ち出し」、ルールC2に対して「重要ファイルのコピーと持ち出し」などのように、各々の複合操作を特徴付けるシナリオ名があらかじめ付けられている。
【0056】
ここで「類似している(similar)」ことの検出は、各操作が対象とするファイルのパス名、ファイルサイズ、ファイル名、電子署名、ハッシュ値などといった情報を比較して、これらの情報の中で一致するものがあれば「類似している」、そうでなければ「類似していない」と判定する。
【0057】
図5は、図1で示したログ収集部101および相関分析部103の動作内容(図3のステップS201〜202)について示す説明図である。図5は、図4に示したユーザ特定用ルール111aおよび複合操作検出用ルール111bが相関ルール記憶部111に予め記憶されている場合の動作例について示している。
【0058】
ログ収集部101は、各々の監視対象装置からログL1〜L4を受信して、相関分析部103に渡してログ記憶部112に記憶させる。現実の状況では、1つの事象を検出するためには複数の監視対象装置から受信した膨大なログを突き合わせて相関分析を行う必要があるが、ここでも本発明の概念を平易に示すために、相関分析まで終えた単純化されたログを例として示している。
【0059】
ログL1は「不特定のユーザがファイルXをダウンロード」したことを示す。ここで、「?」とは「相関分析などによっても、その操作を行ったユーザを特定できなかった」ことを示している。同様に、ログL2は「不特定のユーザがファイルYをUSBメモリに格納した」したことを示す。ログL3は「特定のユーザBがファイルZをUSBメモリに格納した」ことを示し、ログL4は「特定のユーザBがファイルXをファイルZにコピーした」ことを示す。
【0060】
相関分析部103は、相関ルール記憶部111に記憶されたユーザ特定用ルール111aおよび複合操作検出用ルール111bとログL1〜L4とを照合して、各ログ同士の関連づけを行い、これを「シナリオ候補」としてシナリオ候補記憶部113に記憶する(図3のステップS201)。
【0061】
図4〜5に記載された例でいえば、相関分析部103はルールP1によってログL1を検知し、これを操作o1とする。そしてルールP2によってログL2を検知し、これを操作o2とする。さらにルールC1によって操作o1と操作o2の組み合わせを一連の操作として検知し、これをシナリオ候補T1としてシナリオ候補記憶部113に記憶する。ここで、操作o1を行ったユーザをログから特定できていないので、ルールP1の変数uは確定していない状態である。この場合は、特定できていないユーザを「?」として、以後の動作を継続する。
【0062】
相関分析部103はこれと同様に、ルールP2によってログL3を検知し、これを操作o3とする。そしてルールP3によってログL4を検知し、これを操作o4とする。さらにさらにルールC1によって操作o1と操作o3の組み合わせを一連の操作として検知し、これをシナリオ候補T2としてシナリオ候補記憶部113に記憶する。そしてルールC2によって操作o2,o3,o4の組み合わせを一連の操作として検知し、これをシナリオ候補T3としてシナリオ候補記憶部113に記憶する。
【0063】
相関分析部103はさらに、操作oiの重要度スコアmi、シナリオ候補Tjの重要度スコアMTjを評価し、シナリオ候補記憶部113に記憶する(図3のステップS202)。操作oiの重要度スコアmiは、各相関ルールや、相関ルールにマッチしたイベントに関連する脅威の重要度、情報資産の重要度、攻撃対象の脆弱性度合いに基づいて計算するようなルールが、あらかじめユーザによって相関ルール記憶部111上に定義され、それによって算出される。シナリオ候補Tjの重要度スコアMTjは、相関分析部103の処理によって算出され、後述の処理によって再評価される。
【0064】
図5に示された例では、操作o1〜4の各々の重要度スコアm1〜4が各々0.6,0.6,0.6,0.3と、あらかじめユーザによって相関ルール記憶部111上に定義されている。シナリオ候補T1〜3の重要度スコアMT1〜3は、ここでは各々1.0,1.0,1.0として説明する。以上で説明した相関分析部103による処理は、前述の特許文献1にも記載された公知技術であり、本発明の前提となる技術である。
【0065】
図6は、図1で示したユーザ関連度評価機能104a(図3のステップS203)の動作を表すフローチャートである。ユーザ関連度評価機能104aは、相関分析部103によってシナリオ候補記憶部113に記憶されたシナリオ候補を参照して、各操作を行った可能性のあるユーザを複数の方式によって列挙する。
【0066】
動作を開始したユーザ関連度評価機能104aは、変数iの初期値を1として(ステップS301)、操作oiについてまず相関分析部103によってその操作を行ったユーザを1人に特定できているかをユーザ関連度評価機能104aは判断する(ステップS302)。特定できていれば(ステップS302がイエス)、操作oiのユーザ関連度=100%として(ステップS308)ステップS309の処理に進む。
【0067】
相関分析部103によって操作oiを行ったユーザを1人に特定できていなければ(ステップS302がノー)、その相関分析によってその可能性のあるユーザを複数名にまで特定できているかをユーザ関連度評価機能104aは判断する(ステップS303)。特定できていれば(ステップS303がイエス)、その可能性のあるユーザの人数をn人とした場合に、操作oiのユーザ関連度=(100/n)%として(ステップS307)ステップS309の処理に進む。
【0068】
相関分析部103によって操作oiを行ったユーザを全く特定できていなければ(ステップS303がノー)、ユーザ関連度評価機能104aはログ収集部101によって収集された端末ログイン記録のログを参照して、その操作oiが行われた時刻にその操作を行うことが可能な端末にログインしていたユーザが特定できているかを判断する(ステップS304)。特定できていれば(ステップS303がイエス)、その可能性のあるユーザの人数をn人とした場合に、操作oiのユーザ関連度=(100/n)%として(ステップS307)ステップS309の処理に進む。
【0069】
端末ログイン記録のログを参照しても操作oiを行ったユーザを全く特定できていなければ(ステップS304がノー)、ユーザ関連度評価機能104aはディレクトリサーバ24に操作oiを行う権限を持つユーザが誰であるかを照会する(ステップS305)。
【0070】
この照会によってその権限を持つユーザを特定できれば(ステップS305がイエス)、その可能性のあるユーザの人数をn人とした場合に、操作oiのユーザ関連度=(100/n)%として(ステップS307)ステップS309の処理に進む。特定できなければ(ステップS305がノー)関連するユーザ無しとして(ステップS306)ステップS309の処理に進む。
【0071】
ここで、ステップS303〜305に示した処理は、ディレクトリサーバ24に照会して得られた各ユーザの持つ実行権限や、端末ログイン記録などから得られるアリバイ情報(当該時刻にログインしていなかったユーザについての情報)などを加味して、その操作を行った可能性のあるユーザを総合的に判断して抽出するようにしてもよい。
【0072】
そしてユーザ関連度評価機能104aは、iがシナリオ候補記憶部113に記憶された操作oiの総数Nに到達したか否かを判断し(ステップS309)、到達していれば処理を終了して操作関連度評価機能104bによる処理に進む。到達していなければiの値を1つ増加して(ステップS310)ステップS302から処理を繰り返す。
【0073】
図7は、図1で示したシナリオ候補評価部104のユーザ関連度評価機能104aおよび操作関連度評価機能104bの動作内容(図3のステップS203〜204)について示す説明図である。図7は、図6のフローチャートで説明した動作を、図4に示したシナリオ候補記憶部113に記憶されたシナリオ候補T1〜3に対して行った結果を示している。
【0074】
この例では、相関分析部103によって操作oiを行ったユーザを1人にも複数人にも特定できていない(図6・ステップS302〜303がいずれもノー)が、操作o1が行われた時刻帯にユーザA〜Cの3名が操作o1を行うことが可能な端末にログインしていることが判明した(図6・ステップS304がイエス)。従って、ユーザA〜Cが操作o1を行った確率であるユーザA〜Cの各々のユーザ関連度r11、r11、r11は各々、100%をその可能性のあるユーザの人数3で割って、100÷3=33%であるとの結果を得ることができる(図6・ステップS307)。
【0075】
ユーザ関連度評価機能104aは、以上の動作で複数列挙された各ユーザA〜Cをシナリオ候補T1〜3に対して適用して展開する(図3のステップS203)。たとえば操作o1は、ユーザA〜Cの3名が候補として列挙されたので、p1(A,X)、p1(B,X)、p1(C,X)の3通りに展開され、その各々のユーザ関連度r11、r11、r11は各々33%となる。
【0076】
同様に、操作o2は、ユーザAおよびBの2名が候補として列挙されたので、p2(A,Y)、p2(B,Y)の2通りに展開され、その各々のユーザ関連度r22、r22は各々50%となる。操作o3およびo4は、前述のように操作者がユーザBに特定されているので、各々p2(B,Z)とp3(B,X,Z)となり、その各々のユーザ関連度r23およびr24はいずれも100%である。
【0077】
シナリオ候補T1は、前述のように操作o1とo2の組み合わせによって構成されるが、この操作o1とo2のいずれの操作も可能なのはユーザAおよびBである(ユーザCは操作o1を行った可能性はあるが、操作o2を行っていない)。従って、ユーザAとBの各々について、c1(A,X)とc1(B,X)の2通りに展開される。
【0078】
これと同様に、シナリオ候補T2は、操作o1とo3の組み合わせによって構成される。そしてシナリオ候補T3は、操作o1,o3,o4の組み合わせによって構成される。操作o3およびo4は操作者がユーザBに特定されているので、シナリオ候補T2およびT3はいずれもユーザBひとりだけに展開され、各々c1(B,X)、c2(B,X,Z)の1通りに展開される。ユーザ関連度評価機能104aは、以上の処理結果をシナリオ候補記憶部113に記憶する。
【0079】
そして操作関連度評価機能104bは、以上で記憶された各シナリオ候補を構成する一連の操作について、各操作pと操作qの関連の深さである操作関連度lpqを算出する(図3のステップS204)。まず、ファイル属性収集部102が、各操作が対象とするファイルのパス名、ファイルサイズ、ファイル名、電子署名、ハッシュ値などといった情報を、ログ収集部101によってログが収集される時点もしくは相関分析部103によって前述のsimilar()関数によるパターンマッチを行う時点よりも事前に、計算あるいは収集する。
【0080】
操作関連度評価機能104bは、ファイル属性収集部102によって収集されたこれらの情報を用いて、予め与えられた評価基準に基づいて各々の操作関連度を算出する。ここでいう評価基準とは、たとえば、同じ署名や同じマシン上の同じパス名のファイルに対する操作であれば操作関連度=100%、同じハッシュ値を持つファイルに対する操作であれば操作関連度=90%、同じファイルサイズのファイルに対する操作ならば操作関連度60%、同じファイル名のファイルに対する操作であれば操作関連度55%、などのように予め与えられたものである。
【0081】
図8は、図7で示した操作関連度評価機能104bによる操作関連度の評価の動作例について、より詳しく示した説明図である。図8は、図4および図7に示したシナリオ候補T3を構成する操作o1,o3,o4の各々の間について、操作関連度を算出するという例を示している。
【0082】
シナリオ候補T3において、操作o1のファイルXと操作o3のファイルZは類似している(similar(X,Z))が、それはそのファイルサイズが同じであったためであるとすると、操作o1と操作o3の間の操作関連度l13=60%となる。同様に、操作o3のファイルZと操作o4のファイルZはパス名が一致するので、操作o3と操作o4の間の操作関連度l34=100%となる。そして、操作o1のファイルXと操作o4のファイルXとの間ではファイル名が一致するので、操作o1と操作o4の間の操作関連度l14=55%となる。
【0083】
さらに同様に、シナリオ候補T1では、ユーザAのc1(A,X)について操作o1のファイルXと操作o2のファイルYは同一のハッシュ値を持つので、ユーザAの操作o1と操作o2の間の操作関連度l12=90%となる。ユーザBのc1(B,X)についても同様に、ユーザBの操作o1と操作o2の間の操作関連度l12=90%となる。
【0084】
そしてシナリオ候補T2では、操作o1のファイルXと操作o3のファイルZはファイルサイズが同じであるので、操作o1と操作o3の間の操作関連度l13=60%となる。操作関連度評価機能104bは、以上の算出結果を、図7に示したようにシナリオ候補記憶部113に記憶する。
【0085】
図9は、図1で示したシナリオ候補重要度再評価機能104cによるシナリオ重要度スコア再計算の動作内容(図3のステップS205)について、より詳しく示した説明図である。シナリオ候補重要度再評価機能104cは、シナリオ候補記憶部113に記憶されたn個の操作からなるユーザuiによるシナリオ候補Tx={ui,ok1,ok2,…okn}について、シナリオ重要度スコアMTiを以下の数1に示す計算式で再計算し、これをRTxiとする。シナリオ候補重要度再評価機能104cは、この計算をシナリオ候補Txとこれに該当する全てのユーザuiに対して行う。ユーザu1,u2,u3は、各々ユーザA,B,Cに対応する。
【0086】
ここで、nは各シナリオ候補Txに含まれる操作の総数、ui∈U(Uはユーザ全体の集合)、ok1,ok2,…okn∈O(Oは操作全体の集合)、mjは図5に示した相関分析部103による処理で算出された操作ojの重要度スコアで1≧mj≧0、rijは図7に示したユーザ関連度評価機能104aによる処理で算出されたユーザuiと操作ojの関連度で1≧rij≧0、図7に示した操作関連度評価機能104bによる処理で算出されたlpqは操作opとoqの関連度で1≧lpq≧0である。
【0087】
【数1】
【0088】
この計算式により、ルールの条件部の数(√nC2の部分)、条件部のマッチの度合い(Σlpq/nC2の部分)、ユーザ関連度の総合的な高さ(1/nΣrikjの部分)、ユーザが実際に行っている操作(即ちユーザ関連度が高い操作)の重要度スコア(rikjmkjの部分)に応じて、各シナリオ候補の重要度が再評価される。また、重要度スコア(lpqmpmqの部分)に応じて操作関連度の重みが再評価される。シナリオ候補重要度再評価機能104cは、以上の計算式で算出された再評価後のシナリオ重要度スコアRTiを、シナリオ候補重要度記憶部114に記憶する。
【0089】
図4,7,8に示された例についてこの計算式を適用した場合、ユーザAにおけるシナリオ候補T1の再評価後のシナリオ重要度スコアRT11は、n=2、k1=1、k2=2であるので、以下の数2のように、RT11=約8.1%と算出できる。ユーザBについても同様に、以下の数3のように、シナリオ候補T1の再評価後のシナリオ重要度スコアRT12=約8.1%となる。ユーザCについては、このシナリオ候補T1に該当しないので、再評価後のシナリオ重要度スコアの算出は行わない。
【0090】
【数2】
【0091】
【数3】
【0092】
また、ユーザBにおけるシナリオ候補T2の再評価後のシナリオ重要度スコアRT2は、n=2、k1=1、k2=3であるので、以下の数4のように、RT22=約8.6%と算出できる。ユーザAおよびCについては、このシナリオ候補T2に該当しないので、再評価後のシナリオ重要度スコアの算出は行わない。
【0093】
【数4】
【0094】
さらに、ユーザBにおけるシナリオ候補T3の再評価後のシナリオ重要度スコアRT3は、n=3、k1=1、k2=3、k3=4であるので、以下の数5のように、RT32=約18.0%と算出できる。ユーザAおよびCについては、このシナリオ候補T3に該当しないので、再評価後のシナリオ重要度スコアの算出は行わない。
【0095】
【数5】
【0096】
以上で説明したように、図5で示された例では各シナリオ候補T1〜3の重要度スコアMT1〜3に各々1.0,1.0,1.0という値が仮定されていたが、このシナリオ候補重要度再評価機能104cによる処理によって算出された再評価後のシナリオ重要度スコアRT1〜3は、各ユーザの実際の動作が反映されたものとなる。特に、その操作を行ったユーザが誰であるかがログから特定できない状況に対しても、一連の操作が同一ユーザによって行われた可能性が高い場合に、算出されるシナリオ重要度スコアは高くなる。
【0097】
図10は、図1に示した結果表示部105が表示手段14上に画面表示させる(図3のステップS206)重要度の高いシナリオ候補の一覧の例について示す説明図である。結果表示部105は、シナリオ候補記憶部113に記憶されたシナリオ候補の中で、シナリオ候補重要度記憶部114に記憶されたシナリオ候補重要度が一定の閾値より高いものを、表示手段14上に画面表示させる(図3のステップS206)。
【0098】
その際、結果表示部105は、各シナリオ候補に該当するシナリオ名(たとえば「重要ファイルの持ち出し」などのように、複合操作検出用ルール111bの各々に与えられた名称)を重要度の高い順に並び替えた一覧として表示手段14上に表示させ、特に重要度の高いものを色を変えるなどのようにして強調して表示させる。また、当該シナリオ候補に示された操作を実際に行ったユーザ、もしくはそれに該当する可能性の高いユーザを、そのシナリオ候補に付随して表示させる。
【0099】
図10に示した例では、閾値「10%」があらかじめ設定されており、ユーザBにおけるシナリオ候補T3の再評価後のシナリオ重要度スコアRT23だけがその閾値を超える18.0%の値が出たので、このシナリオ候補T3の元となったシナリオC2に与えられていたシナリオ名「重要ファイルのコピーと持ち出し」が発生したと推定される旨と、その発生時刻、監視対象機器名、対象ファイル名、そしてこれを実行したと推定されるユーザ名(ユーザB)、などといった情報が表示手段14上に表示されている。
【0100】
(実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。
本実施形態に係るセキュリティイベント監視方法は、同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、各監視対象装置からログ収集部が各ログを受信し、各ログに相関分析部が予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成し、各シナリオ候補を、相関ルールによって与えられた当該シナリオ候補の重要度と共に相関分析部が記憶手段に記憶させ、(図3・ステップS201〜202)、各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザをシナリオ候補評価部のユーザ関連度評価機能が列挙し、各操作に対する各ユーザの関連性であるユーザ関連度をユーザ関連度評価機能が算出し(図3・ステップS203)、各シナリオ候補の各操作の相互間の関連性である操作関連度をシナリオ候補評価部の操作関連度評価機能が算出し(図3・ステップS204)、ユーザ関連度および操作関連度によってシナリオ候補評価部のシナリオ候補重要度再評価機能がユーザごとに各シナリオ候補の重要度を再算出し(図3・ステップS205)、重要度の高いシナリオ候補を結果表示部が表示出力する(図3・ステップS206)。
【0101】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するセキュリティイベント監視装置10に実行させるようにしてもよい。本プログラムは、非一時的な記録媒体、例えば、DVD、CD、フラッシュメモリ等に記録されてもよい。その場合、本プログラムは、記録媒体からコンピュータによって読み出され、実行される。
この動作により、本実施形態は以下のような効果を奏する。
【0102】
本実施形態では、ユーザ関連度、即ちユーザ候補からの絞込みの確度と、操作関連度、即ち不正に操作された情報資産の不正利用の確度とに基づいて、一連の操作が同一ユーザによって行われた可能性を評価して、これによって各ユーザごとに各シナリオ候補の重要度を算出している。従って、特定のユーザが重要ファイルに対してセキュリティ上の問題を引き起こす可能性の高い操作を繰り返している場合にも、その操作を的確に検出し、さらにそのユーザが誰であるかを高い確度で推定することができる。
【0103】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【0104】
上述した実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。
【0105】
(付記1) 同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置であって、
前記各ログに対する相関分析を行う際に適用される相関ルールを予め記憶する記憶手段と、
前記各監視対象装置から各ログを受信するログ収集部と、
前記各ログに前記相関ルールを適用し、これによって各々の当該ログを関連づけたシナリオ候補を生成して、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に前記記憶手段に記憶させる相関分析部と、
前記各シナリオ候補に対する重要度を再算出するシナリオ候補評価部と、
再算出された前記重要度の高い前記シナリオ候補を表示出力する結果表示部とを有すると共に、
前記シナリオ候補評価部が、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙し、前記各操作に対する前記各ユーザの関連性であるユーザ関連度を算出するユーザ関連度評価機能と、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を算出する操作関連度評価機能と、
前記ユーザ関連度および前記操作関連度によって前記ユーザごとに前記各シナリオ候補の重要度を再算出するシナリオ候補重要度再評価機能と
を備えることを特徴とするセキュリティイベント監視装置。
【0106】
(付記2) 前記ユーザ関連度評価機能が、前記各シナリオ候補に含まれる操作が行われた時間に当該監視対象装置に対して当該操作が可能なユーザを列挙することを特徴とする、付記1に記載のセキュリティイベント監視装置。
【0107】
(付記3) 前記ユーザ関連度評価機能が、前記各シナリオ候補に含まれる操作を行う権限を持つユーザを、外部に接続されたディレクトリサービス装置に照会して列挙することを特徴とする、付記1に記載のセキュリティイベント監視装置。
【0108】
(付記4) 前記操作関連度評価機能が、予め与えられた評価基準に基づいて、前記各操作の対象となるファイルの類似性から前記操作関連度を算出することを特徴とする、付記1に記載のセキュリティイベント監視装置。
【0109】
(付記5) 前記操作関連度評価機能が、前記ファイルの類似性の評価基準として、前記各操作の対象となるファイルの名称、サイズ、パス名、ハッシュ値、電子署名のうち少なくとも1つ以上を使用することを特徴とする、付記4に記載のセキュリティイベント監視装置。
【0110】
(付記6)前記シナリオ候補重要度再評価機能が、前記シナリオ候補に該当する各ユーザの前記ユーザ関連度と前記各シナリオ候補に含まれる各操作の重要度の積の合計値と、前記各シナリオ候補に含まれる各操作間の操作関連度と当該操作の重要度と前記各シナリオ候補の重要度の積の合計値と、を積算して前記各ユーザの前記各シナリオ候補の重要度を再算出することを特徴とする、付記1に記載のセキュリティイベント監視装置。
【0111】
(付記7) 前記結果表示部が、前記重要度の高い前記シナリオ候補と共に、当該シナリオ候補に対して前記ユーザ関連度の高いユーザを表示することを特徴とする、付記1に記載のセキュリティイベント監視装置。
【0112】
(付記8) 同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、
前記各監視対象装置からログ収集部が各ログを受信し、
前記各ログに相関分析部が予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成し、
前記各シナリオ候補を、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に前記相関分析部が前記記憶手段に記憶させ、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザをシナリオ候補評価部のユーザ関連度評価機能が列挙し、
前記各操作に対する前記各ユーザの関連性であるユーザ関連度を前記ユーザ関連度評価機能が算出し、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を前記シナリオ候補評価部の操作関連度評価機能が算出し、
前記ユーザ関連度および前記操作関連度によって前記シナリオ候補評価部のシナリオ候補重要度再評価機能が前記ユーザごとに前記各シナリオ候補の重要度を再算出し、
前記重要度の高い前記シナリオ候補を結果表示部が表示出力する
ことを特徴とするセキュリティイベント監視方法。
【0113】
(付記9) 同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、
前記セキュリティイベント監視装置が備えるコンピュータに、
前記各監視対象装置から各ログを受信する手順、
前記各ログに予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成する手順、
前記各シナリオ候補を、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に記憶する手順、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙する手順、
前記各操作に対する前記各ユーザの関連性であるユーザ関連度を算出する手順、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を算出する手順、
前記ユーザ関連度および前記操作関連度によって前記ユーザごとに前記各シナリオ候補の重要度を再算出する手順、
および前記重要度の高い前記シナリオ候補を表示出力する手順
を実行させることを特徴とするセキュリティイベント監視プログラム。
【産業上の利用可能性】
【0114】
本発明は、コンピュータネットワークに対して適用することができる。特に、機密情報や個人情報を多く取り扱っているネットワークにおいて、それらの情報が漏洩するリスクを低減させるという用途に適する。
【符号の説明】
【0115】
1 コンピュータネットワーク
10 セキュリティイベント監視装置
11 主演算制御手段
12 記憶手段
13 通信手段
14 表示手段
21 セキュリティ装置
22 ネットワーク装置
23 コンピュータ装置
24 ディレクトリサーバ
25 ローカルネットワーク
30 インターネット
101 ログ収集部
102 ファイル属性収集部
103 相関分析部
104 シナリオ候補評価部
104a ユーザ関連度評価機能
104b 操作関連度評価機能
104c シナリオ候補重要度再評価機能
105 結果表示部
111 相関ルール記憶部
111a ユーザ特定用ルール
111b 複合操作検出用ルール
112 ログ記憶部
113 シナリオ候補記憶部
114 シナリオ候補重要度記憶部
【特許請求の範囲】
【請求項1】
同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置であって、
前記各ログに対する相関分析を行う際に適用される相関ルールを予め記憶する記憶手段と、
前記各監視対象装置から各ログを受信するログ収集部と、
前記各ログに前記相関ルールを適用し、これによって各々の当該ログを関連づけたシナリオ候補を生成して、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に前記記憶手段に記憶させる相関分析部と、
前記各シナリオ候補に対する重要度を再算出するシナリオ候補評価部と、
再算出された前記重要度の高い前記シナリオ候補を表示出力する結果表示部とを有すると共に、
前記シナリオ候補評価部が、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙し、前記各操作に対する前記各ユーザの関連性であるユーザ関連度を算出するユーザ関連度評価機能と、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を算出する操作関連度評価機能と、
前記ユーザ関連度および前記操作関連度によって前記ユーザごとに前記各シナリオ候補の重要度を再算出するシナリオ候補重要度再評価機能と
を備えることを特徴とするセキュリティイベント監視装置。
【請求項2】
前記ユーザ関連度評価機能が、前記各シナリオ候補に含まれる操作が行われた時間に当該監視対象装置に対して当該操作が可能なユーザを列挙することを特徴とする、請求項1に記載のセキュリティイベント監視装置。
【請求項3】
前記ユーザ関連度評価機能が、前記各シナリオ候補に含まれる操作を行う権限を持つユーザを、外部に接続されたディレクトリサービス装置に照会して列挙することを特徴とする、請求項1に記載のセキュリティイベント監視装置。
【請求項4】
前記操作関連度評価機能が、予め与えられた評価基準に基づいて、前記各操作の対象となるファイルの類似性から前記操作関連度を算出することを特徴とする、請求項1に記載のセキュリティイベント監視装置。
【請求項5】
前記操作関連度評価機能が、前記ファイルの類似性の評価基準として、前記各操作の対象となるファイルの名称、サイズ、パス名、ハッシュ値、電子署名のうち少なくとも1つ以上を使用することを特徴とする、請求項4に記載のセキュリティイベント監視装置。
【請求項6】
前記シナリオ候補重要度再評価機能が、前記シナリオ候補に該当する各ユーザの前記ユーザ関連度と前記各シナリオ候補に含まれる各操作の重要度の積の合計値と、前記各シナリオ候補に含まれる各操作間の操作関連度と当該操作の重要度と前記各シナリオ候補の重要度の積の合計値と、を積算して前記各ユーザの前記各シナリオ候補の重要度を再算出することを特徴とする、請求項1に記載のセキュリティイベント監視装置。
【請求項7】
前記結果表示部が、前記重要度の高い前記シナリオ候補と共に、当該シナリオ候補に対して前記ユーザ関連度の高いユーザを表示することを特徴とする、請求項1に記載のセキュリティイベント監視装置。
【請求項8】
同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、
前記各監視対象装置からログ収集部が各ログを受信し、
前記各ログに相関分析部が予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成し、
前記各シナリオ候補を、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に前記相関分析部が前記記憶手段に記憶させ、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザをシナリオ候補評価部のユーザ関連度評価機能が列挙し、
前記各操作に対する前記各ユーザの関連性であるユーザ関連度を前記ユーザ関連度評価機能が算出し、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を前記シナリオ候補評価部の操作関連度評価機能が算出し、
前記ユーザ関連度および前記操作関連度によって前記シナリオ候補評価部のシナリオ候補重要度再評価機能が前記ユーザごとに前記各シナリオ候補の重要度を再算出し、
前記重要度の高い前記シナリオ候補を結果表示部が表示出力する
ことを特徴とするセキュリティイベント監視方法。
【請求項9】
同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、
前記セキュリティイベント監視装置が備えるコンピュータに、
前記各監視対象装置から各ログを受信する手順、
前記各ログに予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成する手順、
前記各シナリオ候補を、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に記憶する手順、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙する手順、
前記各操作に対する前記各ユーザの関連性であるユーザ関連度を算出する手順、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を算出する手順、
前記ユーザ関連度および前記操作関連度によって前記ユーザごとに前記各シナリオ候補の重要度を再算出する手順、
および前記重要度の高い前記シナリオ候補を表示出力する手順
を実行させることを特徴とするセキュリティイベント監視プログラム。
【請求項1】
同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置であって、
前記各ログに対する相関分析を行う際に適用される相関ルールを予め記憶する記憶手段と、
前記各監視対象装置から各ログを受信するログ収集部と、
前記各ログに前記相関ルールを適用し、これによって各々の当該ログを関連づけたシナリオ候補を生成して、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に前記記憶手段に記憶させる相関分析部と、
前記各シナリオ候補に対する重要度を再算出するシナリオ候補評価部と、
再算出された前記重要度の高い前記シナリオ候補を表示出力する結果表示部とを有すると共に、
前記シナリオ候補評価部が、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙し、前記各操作に対する前記各ユーザの関連性であるユーザ関連度を算出するユーザ関連度評価機能と、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を算出する操作関連度評価機能と、
前記ユーザ関連度および前記操作関連度によって前記ユーザごとに前記各シナリオ候補の重要度を再算出するシナリオ候補重要度再評価機能と
を備えることを特徴とするセキュリティイベント監視装置。
【請求項2】
前記ユーザ関連度評価機能が、前記各シナリオ候補に含まれる操作が行われた時間に当該監視対象装置に対して当該操作が可能なユーザを列挙することを特徴とする、請求項1に記載のセキュリティイベント監視装置。
【請求項3】
前記ユーザ関連度評価機能が、前記各シナリオ候補に含まれる操作を行う権限を持つユーザを、外部に接続されたディレクトリサービス装置に照会して列挙することを特徴とする、請求項1に記載のセキュリティイベント監視装置。
【請求項4】
前記操作関連度評価機能が、予め与えられた評価基準に基づいて、前記各操作の対象となるファイルの類似性から前記操作関連度を算出することを特徴とする、請求項1に記載のセキュリティイベント監視装置。
【請求項5】
前記操作関連度評価機能が、前記ファイルの類似性の評価基準として、前記各操作の対象となるファイルの名称、サイズ、パス名、ハッシュ値、電子署名のうち少なくとも1つ以上を使用することを特徴とする、請求項4に記載のセキュリティイベント監視装置。
【請求項6】
前記シナリオ候補重要度再評価機能が、前記シナリオ候補に該当する各ユーザの前記ユーザ関連度と前記各シナリオ候補に含まれる各操作の重要度の積の合計値と、前記各シナリオ候補に含まれる各操作間の操作関連度と当該操作の重要度と前記各シナリオ候補の重要度の積の合計値と、を積算して前記各ユーザの前記各シナリオ候補の重要度を再算出することを特徴とする、請求項1に記載のセキュリティイベント監視装置。
【請求項7】
前記結果表示部が、前記重要度の高い前記シナリオ候補と共に、当該シナリオ候補に対して前記ユーザ関連度の高いユーザを表示することを特徴とする、請求項1に記載のセキュリティイベント監視装置。
【請求項8】
同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、
前記各監視対象装置からログ収集部が各ログを受信し、
前記各ログに相関分析部が予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成し、
前記各シナリオ候補を、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に前記相関分析部が前記記憶手段に記憶させ、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザをシナリオ候補評価部のユーザ関連度評価機能が列挙し、
前記各操作に対する前記各ユーザの関連性であるユーザ関連度を前記ユーザ関連度評価機能が算出し、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を前記シナリオ候補評価部の操作関連度評価機能が算出し、
前記ユーザ関連度および前記操作関連度によって前記シナリオ候補評価部のシナリオ候補重要度再評価機能が前記ユーザごとに前記各シナリオ候補の重要度を再算出し、
前記重要度の高い前記シナリオ候補を結果表示部が表示出力する
ことを特徴とするセキュリティイベント監視方法。
【請求項9】
同一のローカルネットワーク上で相互に接続されている複数の監視対象装置に対して行われた操作の記録であるログから特定の操作を検出するセキュリティイベント監視装置にあって、
前記セキュリティイベント監視装置が備えるコンピュータに、
前記各監視対象装置から各ログを受信する手順、
前記各ログに予め与えられた相関ルールを適用して各々の当該ログを関連づけたシナリオ候補を生成する手順、
前記各シナリオ候補を、前記相関ルールによって与えられた当該シナリオ候補の重要度と共に記憶する手順、
前記各シナリオ候補に含まれる各々の操作を行った可能性のあるユーザを列挙する手順、
前記各操作に対する前記各ユーザの関連性であるユーザ関連度を算出する手順、
前記各シナリオ候補の前記各操作の相互間の関連性である操作関連度を算出する手順、
前記ユーザ関連度および前記操作関連度によって前記ユーザごとに前記各シナリオ候補の重要度を再算出する手順、
および前記重要度の高い前記シナリオ候補を表示出力する手順
を実行させることを特徴とするセキュリティイベント監視プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2013−61794(P2013−61794A)
【公開日】平成25年4月4日(2013.4.4)
【国際特許分類】
【出願番号】特願2011−199776(P2011−199776)
【出願日】平成23年9月13日(2011.9.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成25年4月4日(2013.4.4)
【国際特許分類】
【出願日】平成23年9月13日(2011.9.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]