セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム
【課題】セキュリティポリシーに基づく管理において特にセキュリティポリシーの対象外とした項目についても、その発生を監視して、監視結果を適切に管理者に通知し、管理者が脅威を認識して適切なタイミングで対策を取ることができること。
【解決手段】管理サーバは、セキュリティポリシーの対象外である項目についても、その項目の発生を監視し、監視結果の変動を評価して、必要に応じて特定の出力を行う。
【解決手段】管理サーバは、セキュリティポリシーの対象外である項目についても、その項目の発生を監視し、監視結果の変動を評価して、必要に応じて特定の出力を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティポリシーに基づいて、情報システムのセキュリティ監視を行うセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラムに関するものであり、特に、セキュリティへの脅威とその原因の分析に好適なものである。
【背景技術】
【0002】
近年、情報産業の発達によって、情報システムの果たす役割が重要になるに連れてセキュリティ管理の重要性が高まっている。このような情報システムに関するセキュリティ管理においては、脅威、脆弱性の発見、その発生の確率などに基づいてセキュリティリスクを分析し、セキュリティポリシーを策定して、必要な対策を実施している。セキュリティ対策の実施に関しては、運用中のシステムの状態として脆弱性の有無、脆弱性の発生頻度、資産価値を基にリスクを分析し、優先順位を付けて対策案候補を提示する方法が存在している(特許文献1参照)。また、その他にも情報の資産価値とファイルアクセス情報を基にリスク値を更新し、リスク値が指定された閾値を越えた場合にアクセス制限などの対策処理を行う方法が存在している(特許文献2参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】国際公開2008−004498号公報
【特許文献2】特開2005−190066号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来の情報システムにおいては、上述のように対策案候補を提示しようとする場合、実際に行う対策及び情報システムにおけるセキュリティポリシーを最終的に決定するのは管理者である。このような情報システムのセキュリティの脅威には、情報漏洩のようにユーザの行動の他、その使用状況を原因とする場合がある。管理者は、セキュリティポリシーを策定する際、原因となり得るユーザの行動に対する対策として、例えば、コンピュータなどの端末装置での操作を抑止する設定などを行う場合もある。しかしながら、従来の情報システムでは、利便性との兼ね合いで操作を抑止する設定を行わない場合や、例えば端末装置の持ち出しなどのように端末装置への設定ではユーザの行動自体を抑止することができない場合が存在する。
【0005】
また、従来のセキュリティ管理ツールにおいても、管理者が、セキュリティポリシーとしてある項目を設定した場合、該当項目について遵守されているか否かを監視し、評価を行うことは一般に行われている。しかしながら、セキュリティポリシー策定時に、上記のようにセキュリティポリシーとして設定しない項目については監視も行われないことになってしまう。
【0006】
本発明は以上の点を考慮してなされたもので、セキュリティポリシー策定時に対象外としたポリシーについて、その発生を監視し、監視結果を適切なタイミングで出力することで、管理者が脅威を認識し、対策を取ることができるセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラムを提案しようとするものである。
【課題を解決するための手段】
【0007】
かかる課題を解決するため、本発明においては、少なくとも1台の端末装置を管理するセキュリティ監視装置において、各前記端末装置にセキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとを備えることを特徴とする。
【0008】
また、本発明においては、少なくとも1台の端末装置を備えるシステムを管理するためのセキュリティ監視方法において、管理プログラムが、各前記端末装置にセキュリティポリシーを設定する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理ステップと、収集プログラムが、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集ステップと、対象外ポリシー監視プログラムが、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視ステップとを含むことを特徴とする。
【0009】
また、本発明においては、少なくとも1台の端末装置に各々セキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとをコンピュータにおいて実行させることを特徴とする。
【0010】
また、本発明においては、少なくとも1台の端末装置を備えるシステムにおけるセキュリティ監視方法において、監視モジュールが、セキュリティの脅威の原因となる可能性のある原因事象について、その発生を監視し、算出モジュールが、その発生確率を算出するとともに、前記原因事象の発生確率に基づいて影響される脅威の発生確率を算出し、評価モジュールが、前記算出した値の時間経過に伴う変化を評価し、その変化が基準値以上の場合に特定の出力を行うことを特徴とする。
【発明の効果】
【0011】
本発明によれば、管理者が認識していないセキュリティポリシーの対象外の潜在的な脅威についても、顕在化の可能性が高まっている脅威とその原因、それに対する対策について情報を提供することで、管理者が脅威を認識し、適切なタイミングで対策を取ることができる。
【図面の簡単な説明】
【0012】
【図1】第1の実施の形態におけるシステムのハードウェア及び論理構成を示す図である。
【図2】管理サーバにおいて実行されるプログラムとテーブルの関係を示すモジュール構成図である。
【図3】セキュリティポリシー管理プログラムの機能モジュール構成を示すブロック図である。
【図4】対象外ポリシー監視プログラムの機能モジュール構成を示すブロック図である。
【図5】セキュリティポリシー管理プログラムが実行する手順の一例を示すフローチャートである。
【図6】ポリシー管理テーブルのテーブル構成を示す図である。
【図7】監視項目管理テーブルのテーブル構成を示す図である。
【図8】伝搬ルール管理テーブルのテーブル構成を示す図である。
【図9】伝搬ルールの脅威とその原因事象の組み合わせの仕組みを示すツリーの例を示す図である。
【図10】対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。
【図11】第1の実施の形態の変形例における対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。
【図12】第1の実施の形態の変形例における対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。
【図13】第2の実施の形態における対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、図面について、本発明の一実施の形態について詳述する。
【0014】
(1)本実施の形態の概念
本実施の形態では、少なくとも1台の端末装置を備えるシステムにおいて、各端末装置にセキュリティポリシーを設定する際に、セキュリティポリシーとして設定した項目と設定していない項目に分けてセキュリティポリシーを管理している。通常のセキュリティポリシーの管理においては、設定した項目(以下「設定項目」と呼ぶ)のみについて監視対象となり、設定していない項目(以下、「非設定項目」と呼ぶ)に関しては監視対象とはならない。
【0015】
しかしながら、本実施の形態においては、このような非設定項目についても次のような事情により監視対象としている。即ち、例えば管理者による設定とは云え、非設定項目だからといって、全く監視しないのでは潜在的な脅威に対してあまりにも無防備ではないかとの考えに基づき、こうした非設定項目(後述する監視項目に相当)についても、念のため、監視対象としておき、必要に応じて、特定の出力として、今後潜在的なセキュリティリスクが生じ得るかもしれない旨を、管理者に対して通知するためである。
【0016】
本実施の形態では、端末装置の一例として、ユーザ端末を挙げるが、その他の電子機器、例えばコンピュータであっても良い。以下、本実施の形態について具体的に説明する。なお、後述する説明においては、伝搬ルールという用語を用いるが、この伝搬ルールとは、ある脅威が発生する原因となる可能性のある事象(後述する原因事象に相当)の組み合わせをいう。また、監視項目は、後述するように原因事象毎に定義される。なお、同一の原因事象が、異なる脅威の伝搬ルールに含まれることもある。
【0017】
(2)第1の実施の形態
(2−1)ハードウェア及び論理構成
(2−1−1)システム全体
図1は、第1の実施の形態におけるシステム100のハードウェア及び論理構成を示す。本システム100は、管理サーバ101、少なくとも1台のユーザ端末102及びネットワーク1108を備えている。管理サーバ101は、セキュリティリスク可視化装置の一例である。ユーザ端末102は、例えば複数台存在し、ユーザが直接操作、使用するとともに、セキュリティポリシーに従って管理対象となる端末装置である。
【0018】
管理サーバ101及びユーザ端末102は、いずれも、1つ以上の中央処理装置(以下「CPU」という)103、メモリ104、ハードディスクドライブなどの二次記憶装置105、入出力インタフェース106、ネットワークインタフェース107を備えている。このうち入出力インタフェース106は、キーボード、マウスからの入力情報とディスプレイへの出力情報とを制御する機能を有する。また、ネットワークインタフェース107は、ネットワーク108に接続するためのインタフェースである。
【0019】
管理サーバ101のメモリ104上には、セキュリティポリシー管理プログラム109、対象外ポリシー監視プログラム110及び収集プログラム111がロードされる。これらセキュリティポリシー管理プログラム109、対象外ポリシー監視プログラム110及び収集プログラム111などのプログラムは、CPU103により実行される。また、ディスク装置105には、ポリシー管理テーブル112及び伝搬ルール管理テーブル113の情報が保存されている。
【0020】
各ユーザ端末102は、CPU122、メモリ121、ディスク装置123、ネットワークインタフェース(以下「I/F」と略す)125及び入出力インタフェース124を備えている。このうちメモリ121には、エージェントプログラム114がロードされ、CPU122により実行される。このエージェントプログラム114は、後述するようにユーザ端末102のユーザによる操作ログや構成情報を取得する通常の機能を有する。
【0021】
(2−1−2)管理サーバにおけるプログラムとテーブルとの関係
図2は、管理サーバ101における各プログラムとテーブルとの関係を示す。セキュリティポリシー管理プログラム109は、管理プログラムの一例に相当し、ユーザからの入出力、ポリシー管理テーブル112への登録、読み出し等を行い、さらにエージェントプログラム114に対し、セキュリティポリシーを送信する。対象外ポリシー監視プログラム110は、監視プログラムの一例に相当し、ポリシー管理テーブル112、伝搬ルール管理テーブル113の参照とユーザへの出力を行う。また、セキュリティポリシー管理プログラム109及び対象外ポリシー監視プログラム110は、それぞれ、収集プログラム111が収集した情報を利用して、上述した非設定項目について脅威の発生確率の時間経過に伴う変化を評価する。この収集プログラム111は、ユーザ端末102のエージェントプログラム114から情報を収集する。
【0022】
(2−1−3)セキュリティポリシーの定義
ここで、セキュリティポリシー(以下「ポリシー」とも略す)とは、管理サーバ101やネットワーク機器、ユーザ端末102といったシステム100全体のセキュリティ方針を示すものであるが、ここでは、一例として、ユーザ端末102での操作及び設定の少なくとも一方に関する方針を示している。このようなポリシーとしては、例えば、必須ソフトウェアや禁止ソフトウェアといったソフトウェアインストールに関する項目、スクリーンセーバ有効やファイアウォール有効などOSの設定に関する項目、外部記憶媒体の接続抑止やアプリケーションの起動抑止など端末装置での制御に関する項目、社外アドレス宛メールの送信禁止、端末装置の持ち出し禁止といったユーザの行動を規定する項目が存在している。
【0023】
(2−1−4)対象外ポリシー監視プログラムの機能モジュール構成
図3は、セキュリティポリシー管理プログラム109の機能モジュール構成を示す。セキュリティポリシー管理プログラム109は、入力受付モジュール301、ポリシー作成モジュール302、ポリシー設定モジュール303及びポリシー遵守状況評価モジュール304を有する。
【0024】
入力受付モジュール301は、ユーザからのポリシー設定に関する入力を受け付ける。ポリシー作成モジュール302は、ユーザ端末102など及びシステムの少なくとも一方に適用するポリシーを作成する。ポリシー設定モジュール303は、管理対象のユーザ端末102へのポリシーの配布及び設定を行う。作成したポリシーは、ポリシー管理テーブル112に登録され管理される。ポリシー遵守状況評価モジュール304は、設定したポリシーについて、各ユーザ端末102において遵守されているか否かを監視して評価する。ポリシー遵守状況評価モジュール304は、ポリシー管理テーブル112の内容を読み出し、その内容に基づいて上述した評価を行う。
【0025】
また、管理サーバ101の収集プログラム111は、操作ログ収集部305及び構成情報取得モジュール306を有する。操作ログ収集部305は、ユーザ端末102のエージェントプログラム114から、ユーザ端末102での操作ログを収集する。一方、構成情報収集モジュール306は、ユーザ端末102の構成情報を収集する。
【0026】
(2−1−5)対象外ポリシー監視プログラムの機能モジュール構成
図4は、対象外ポリシー監視プログラム110の機能モジュール構成を示す。対象外ポリシー監視プログラム110は、原因事象抽出モジュール404、発生確率算出モジュール403、履歴データベース405(図示の確率履歴DB)、確率変動評価モジュール402及び出力処理モジュール401を備えている。
【0027】
原因事象抽出モジュール404は、各エージェントプログラム114から収集したユーザの操作ログ及び構成情報に基づいて原因事象がないかどうかを抽出する。発生確率算出モジュール403は、伝搬ルール管理テーブル113から伝搬ルールを読み出し、原因事象の発生確率を基に伝搬ルールに基づいて脅威発生の確率を算出する。履歴データベース405は、算出した確率を保持するためのデータベースである。確率変動評価モジュール402は、確率の履歴を評価する機能を有する。出力処理モジュール401は、評価結果を出力する機能を有する。
【0028】
(2−2)セキュリティ監視方法
第1の実施の形態におけるシステムは以上のような構成であり、次に、その動作例の一部であるセキュリティ監視方法の一例について説明する。
【0029】
(2−2−1)セキュリティポリシー管理プログラムの処理
図5は、管理サーバ101のセキュリティポリシー管理プログラム109のフローチャートを示す。なお、この管理サーバ101では、CPU103がセキュリティポリシー管理プログラム109の各命令を実行し、このセキュリティポリシー管理プログラム109がCPU311の制御によって次のような各ステップを実行するが、以下の説明においては、そのセキュリティポリシー管理プログラム109が各ステップを実行すると簡素化して表現する。
【0030】
管理サーバ101では、ポリシーとして設定できる項目を表示する。これに対し、ユーザは、入力インタフェース(図示せず)を用いて選択し(S501)、入力を行う。セキュリティポリシー管理プログラム109は、上述したユーザからの入力を受け付け(S502)、設定するポリシーを決定し、ポリシー管理テーブル112に登録する(S503)。さらにセキュリティポリシー管理プログラム109は、このように設定されたポリシーを、管理サーバ101のエージェントプログラム114に配布する(S504)。なお、ユーザからの入力は、上述のような選択形式でなく、記述方法を定義した記述形式であってもよい。
【0031】
また、対象外ポリシー監視プログラム110が使用する伝搬ルール管理テーブル113では、伝搬ルールに対応する監視項目を保持している。セキュリティポリシー管理プログラム109は、決定されたポリシーにおける監視項目と、伝搬ルールにおける監視項目とを比較し(S505)、一致する項目については、ポリシーが遵守されているか否かの状況を評価すること(以下「ポリシー遵守状況評価)」と呼ぶ)を行うため、対象外ポリシー監視プログラム110の対象項目としないものと判断する(S506)。セキュリティポリシー管理プログラム109は、このような判断を、設定する全ポリシーの監視項目について適用する(S507)。
【0032】
ここで、管理者がポリシーを決定する別の方法としては、セキュリティポリシー管理プログラム109が、伝搬ルールに含まれる監視項目に対応するポリシーをポリシー管理テーブル112から検索し、選択できるポリシーとして出力することにより、管理者に提示してもよい。セキュリティポリシー管理プログラム109は、このように出力したポリシーのうちから、管理者によって選択されたポリシーを適用し、それ以外のポリシーを除外ポリシーとして管理してもよい。この除外ポリシーに対応する監視項目は、対象外ポリシー監視プログラム110の対象項目となる。
【0033】
セキュリティポリシー管理プログラム109は、設定したポリシーについては遵守状況を監視し、評価する。セキュリティポリシー管理プログラム109は、遵守状況は、ユーザ端末102から収集した操作ログと構成情報から項目に従った情報を抽出し(S508)、対象の全端末の情報を集計することで評価する。セキュリティポリシー管理プログラム109は、定期的に又はユーザからの要求があった時に評価し、評価結果を出力する(S509)。
【0034】
ユーザ端末102内のエージェントプログラム114は、管理サーバ101からポリシーを受信し、この受信したポリシーに従って設定が必要な項目については、OS及びレジストリに設定を行う。このエージェントプログラム114は、監視対象として、ポリシー設定項目だけでなく、全ての監視項目について監視する。これとともに、このエージェントプログラム114は、ユーザの操作を記録する。また、エージェントプログラム114は、監視情報を定期的に、又は、管理サーバ101からの要求に従って管理サーバ101に送信する。
【0035】
(2−2−2)セキュリティポリシー管理テーブルのテーブル構成
図6は、管理サーバ101が管理するセキュリティポリシー管理テーブル112のテーブル構成を示す。セキュリティポリシー管理テーブル112は、ポリシーを管理するためのテーブルであり、ポリシーIDフィールド601、内容フィールド602、対象フィールド603及び監視項目フィールド604を有する。
【0036】
ポリシーIDフィールド601は、ポリシーを識別するための識別子である。内容フィールド602は、ポリシーIDフィールド601に対応するポリシーの内容が記述される。対象フィールド603は、ポリシーとして適用するかどうかを示す。監視項目フィールド604は、ポリシーに対応する監視項目の内容が記述される。
【0037】
ポリシーには、1つ以上の監視項目が定義されており、その監視項目が監視されることで、遵守状況が評価される。なお、1つのポリシーに対して2つ以上の監視項目があってもよく、1つの監視項目が別々のポリシーの監視項目となってもよい。
【0038】
(2−2−3)監視項目テーブルのテーブル構成
図7は、監視項目を管理する監視項目テーブル108の構成例を示す。この監視項目テーブル108は、監視項目ID701に対して、監視内容702、それがポリシーとして監視対象となっているかを管理する対象フィールド703を有する。ポリシー対象の項目(設定項目に相当)の監視結果は、ポリシー遵守状況評価の対象となり、ポリシー対象外の項目(非設定項目に相当)は、後述する対象外ポリシー監視プログラム110による対象となる。
【0039】
(2−2−4)伝搬ルール管理テーブル113のテーブル構成
図8は、管理サーバ101が管理する伝搬ルール管理テーブル113の構成を示す。伝搬テーブル管理テーブル113は、ルールIDフィールド801、脅威フィールド802、伝搬ルールフィールド803及び監視項目フィールド804を有する。
【0040】
ルールIDフィールド801は、各伝搬ルールを識別するためのフィールドである。脅威フィールド802は、複数の脅威を互いに識別するためのフィールドである。伝搬ルールフィールド803は、伝搬ルールの計算式を示すフィールドである。監視項目フィールド804は、伝搬ルールに対応する監視項目を示すフィールドである。
【0041】
ここで、伝搬ルールは、原因事象の組み合わせで表され、監視項目は、原因事象毎に定義される。なお、同一の原因事象が、異なる脅威の伝搬ルールに含まれることもある。また、監視項目については、図7に示した監視項目テーブル108に示した監視項目IDによって管理される。
【0042】
(2−3)原因事象の組み合わせ
図9は、伝搬ルールとして脅威とその原因事象の組み合わせの仕組みを示すツリーの例を示す。本実施の形態では、セキュリティ上の脅威である事象に対してその原因事象を定義し、さらに原因事象の組み合わせから発生までの伝搬を定義する。なお、この例では、脅威に対する原因事象の全てを示すものではなく、一部を取り出して示している。
【0043】
・脅威事象1[ユーザがユーザ端末を持ち出して盗難に遭い、情報が漏洩する](901)
・原因事象A[ユーザ端末は可搬型である](902)
・原因事象B[ユーザ端末にファイルを保存](903)
・原因事象C[ユーザはユーザ端末を持ち出す](904)
・原因事象D[ユーザ端末にHDDパスワードが設定されていない](905)
・原因事象E[ユーザ端末にHDDパスワードが設定されていない](906)
・原因事象F[ユーザ端末のHDDが暗号化されていない](907)
【0044】
なお、原因事象と脅威事象以外の事象908〜910は、状態を示すが、伝搬ルールには関係ないため、説明を省略する。また、HDD(Hard Disk Drive)は、上述したディスク装置123の一例である。
【0045】
この場合、伝搬ルールは、脅威事象=[原因事象A]*[原因事象B]*[原因事象C]*{([原因事象D]+[原因事象E])+[原因事象F]}と表される。ここで、「*」は論理積(図示のANDに相当)を示し、「+」は論理和(図示のORに相当)を示す。本実施の形態では、対象外ポリシー監視プログラム110は、1つ以上の原因事象の発生確率の論理積又は論理和の組み合わせを用いて脅威の発生確率を算出する。即ち、対象外ポリシー監視プログラム110は、各原因事象の発生確率を求め、伝搬ルールに当て嵌めることで、脅威事象の発生確率を算出する。
【0046】
(2−4)対象外ポリシー監視プログラムの処理
図10は、管理サーバ101の対象外ポリシー監視プログラム110のフローチャートを示す。なお、この管理サーバ101では、CPU103が対象外ポリシー監視プログラム110の各命令を実行し、この対象外ポリシー監視プログラム110がCPU311の制御によって次のような各ステップを実行するが、以下の説明においては、その対象外ポリシー監視プログラム110が各ステップを実行すると簡素化して表現する。また、収集プログラム111に関しても同様に簡素化して表現する。
【0047】
対象外ポリシー監視プログラム110は、収集プログラム111がユーザ端末102から収集した操作ログ及び構成情報から監視対象項目である原因事象の監視で必要な項目を抽出する(S1001)。対象外ポリシー監視プログラム110は、例えば、原因事象Bについては、操作ログから「ファイルを保存」した記録を抽出する。
【0048】
対象外ポリシー監視プログラム110は、このような抽出処理を、全てのエージェントプログラム114(図示のエージェントに対応)からの収集情報に対して行い(S1002)、監視項目毎に抽出結果を集計する(S1003)。さらに、対象外ポリシー監視プログラム110は、監視項目に対応する原因事象の発生確率を算出する(S1004)。対象外ポリシー監視プログラム110は、例えば1000台のユーザ端末102からの構成情報に基づいてHDDパスワードを監視している場合、HDDパスワードが設定されていないユーザ端末102が10台であれば、原因事象Dの発生確率は、10/1000=0.01と算出する。
【0049】
対象外ポリシー監視プログラム110は、当該算出した値を履歴データベース405に保存しておく。これにより、この履歴データベース405には、監視項目とその発生確率、脅威事象とその発生確率が、それぞれ、算出時刻とともに保存される。この対象外ポリシー監視プログラム110は、このような処理を、全監視項目について行う(S1005)。
【0050】
次に対象外ポリシー監視プログラム110は、伝搬ルール毎にそれぞれの原因事象の発生確率を検索し、算出原因事象の発生確率値を当て嵌めて、脅威の発生確率を算出する(S1006)。ここで、伝搬ルールの原因事象に関連する監視項目がポリシー設定対象になっている場合もある。この場合、対象外ポリシー監視プログラム110は、セキュリティポリシー管理プログラム109が監視している結果を読み出し、脅威の発生確率として使用する。対象外ポリシー監視プログラム110は、算出した脅威の発生確率を履歴データベース405に保存する。
【0051】
さらに、対象外ポリシー監視プログラム110は、その確率履歴データベース405に基づいて、当該伝搬ルールに関する発生確率の履歴を評価し、その評価結果に基づいてユーザに対して特定の出力を行う必要があるか否かを出力基準にあてはまるかで判断する(S1007)。出力基準は例えば、予め定義された閾値とし、発生確率が閾値以上である場合に特定の出力を行う。
【0052】
また別の例として、対象外ポリシー監視プログラム110は、上述のように前記算出した値の時間経過に伴う変化の差分、即ち、前回との差分を判断し、当該差分が特定値以上に大きい場合、又は、算出した高い値が一定期間続いている場合に特定の出力を行う。さらに別の例として、対象外ポリシー監視プログラム110は、予測履歴グラフを作成しておき、当該予測履歴グラフと一致する傾向にない場合なども特定の出力を行う基準としてもよい。こうした出力基準は、予めプログラムでいずれの基準を使用するかとその基準値を設定しておく。また閾値と、差分といった複数の出力基準を同時に使用するように設定してもよい。
【0053】
対象外ポリシー監視プログラム110は、判断の結果、基準にあった場合に特定の出力を実行する(S1008)。この対象外ポリシー監視プログラム110は、特定の出力として、例えば、原因となる可能性のある事象のうち発生確率の変化が大きい特定の原因事象と、この特定の原因事象について発生確率を減少するための対策とを出力する。具体的には、この対象外ポリシー監視プログラム110は、出力情報として、脅威事象とその確率、さらに脅威事象の発生確率を変動させた原因である原因事象についての情報を表示する。なお、発生確率の数値については、図示のように数値そのまま表示するか、例えば数段階に定義したレベルなどで表示してもよい。
【0054】
また、対象外ポリシー監視プログラム110は、該当する原因事象に対する対策として、監視項目に対応するポリシーをポリシー管理テーブル109から検索し、併せて出力してもよい。一方、対象外ポリシー監視プログラム110は、ユーザ端末102において対策が取れない脅威とその原因については、対策先の候補(例えばサーバやネットワーク機器など)を伝搬ルールテーブル(図示せず)で管理し、併せて特定の出力を行ってもよい。
【0055】
ここで、管理サーバ101は、上述のように出力された対策を、原因事象が発生する可能性のあるユーザ端末102に対して実施する対策実施モジュール(図示しない)を備えていても良い。なお、この場合、この対策実施モジュールは、上記対策を、前記ユーザ端末102以外の別の装置、例えば図示しないメールサーバ又はファイルサーバにおいて実施するようにしてもよい。
【0056】
対象外ポリシー監視プログラム110は、全ての伝搬ルールについて計算したか否かを判断し、計算していない伝搬ルールが存在する場合には、上述したステップS1006に計算済の場合には処理を終了する(S1009)。
【0057】
以上により、ポリシーとして設定している項目以外の項目(上記非設定項目に相当)でも、脅威の原因となり得る事象(上記原因事象に相当)について、管理を行うことで、管理者に脅威の発生の確率が高くなっていることなどを適切なタイミングで通知することができる。従って、管理者が認識していないセキュリティポリシーの対象外の潜在的な脅威についても、顕在化の可能性が高まっている脅威とその原因、それに対する対策について情報を提供することで、管理者が脅威を認識し、適切なタイミングで対策を取ることができるようになる。
【0058】
(2−5)第1の実施の形態の変形例
(2−5−1)第1の変形例
次に、監視項目の変動について評価することで、脅威の発生の原因を適切に管理者に知らせるための方法を示す。ここでは、対象外ポリシー監視プログラム110は、監視項目毎に変動を評価し、監視項目の発生確率に変動があった場合に、脅威事象の発生確率を算出する方法を説明する。
【0059】
図11は、対象外ポリシー監視プログラム110のフローチャートを示す。当該フローチャートにおける処理は、図10において説明したフローチャートと、原因事象の発生確率を算出する処理(ステップS1001〜S1004に相当)までは同じ処理である。
【0060】
対象外ポリシー監視プログラム110は、算出した結果を履歴として保存するとともに、結果の履歴を評価する。履歴が出力基準に当て嵌まるかを判断する(S1101)。ここでの出力基準は、最新の算出値を前回算出値と比較して差分が一定値以上である場合や、閾値以上が一定期間続いている場合など、予め定義した基準を用いる。全項目同一の基準、又は、監視項目毎の基準であってもよい。
【0061】
出力基準に当て嵌まる場合、対象外ポリシー監視プログラム110は、該当監視項目の結果について出力してもよい(S1102)。また、対象外ポリシー監視プログラム110は、該当監視項目が含まれる脅威事象について、発生確率を算出し、図10の説明において前述した方法と同様に評価した結果に従って出力してもよい。この方法により、原因事象の確率が変動しない脅威については、計算を行わず、処理を簡単にできる。
【0062】
また、第1の変形例では、監視項目の発生確率の変動を評価しているところを、変動の評価に使用する値を発生確率でなく、集計結果の抽出数で評価してもよい。この場合、抽出数に対する出力基準を予め定義しておき、出力基準にあてはまるか否かを判断する。
【0063】
(2−5−2)第2の変形例
第1の実施の形態において示した原因事象の監視の結果、原因事象の発生確率が「0」になる場合もある(例えば、HDDパスワードは、特定時点では全てのユーザ端末102に設定されているなど)。ここでは、ある原因事象の発生確率が「0」の場合でも、その他の原因事象の変動が脅威の発生確率に影響するかを評価する方法を示す。
【0064】
図12は、対象外ポリシー監視プログラム110の処理の一部のフローチャートを示す。当該フローチャートでは、図10に示したフローチャートの監視項目毎の発生確率の算出(S1001〜S1005)までは、同じ処理を行う。第1の実施の形態において説明した方法では、監視項目の1つに「0」があってもそのまま伝搬ルールに「0」を当て嵌める。これは、図12に示すフローチャートのS1201〜S1203でも同様である。ここでは、履歴データベース405を2つ保持し、第1の履歴データベース405にはそのままの算出値を保存する。例えばHDDパスワードが全てに設定されていれば、論理積の組み合わせで算出される脅威の発生確率は「0」であり、第1の履歴データベース405に保存する。
【0065】
原因事象の発生確率が「0」では、他の原因事象の確率が変動しても脅威の発生確率は「0」で変動しないことになる。そのため、対象外ポリシー監視プログラム110は、発生確率が「0」の原因事象があるかを確認し(S1204)、他の原因の変動の影響を確認できるように、次に「0」の項目を「0」より大きく「1」以下の特定の値(例えば0.01など)に変更する。対象外ポリシー監視プログラム110は、当該特定の値を用いて脅威の発生確率を算出し、第2の履歴データベース405に保存する(S1205)。また、該当原因事象の確率は、特定の値であることをテーブル(図示しない)で管理しておく。そして、対象外ポリシー監視プログラム110は、出力基準に照らし合わせ(S1206)、出力する際には特定値を使用した原因事象を除いて、変動のあった原因事象と脅威の発生確率について情報を出力する(S1207)。
【0066】
このような第2の変形例によれば、特定の時点で、複数ある原因のいずれかが発生の可能性がなくても(発生確率が「0」であっても)、他の原因事象が脅威の発生確率の変動に影響するかを判断することができる。
【0067】
(3)第2の実施の形態
次に、本発明の第2の実施の形態として、脅威事象の発生確率が高まっている時に、自動的にポリシーを変更する方法について説明する。第2の実施の形態では、第1の実施の形態とほぼ同様であるため、以下では異なる点を中心として説明する。
【0068】
(3−1)対象外ポリシー監視プログラムの処理
図13は、第2の実施の形態における対象外ポリシー監視プログラム110のフローチャートを示す。第2の実施の形態では、脅威事象の発生確率を評価するまでの処理(ステップS1001〜S1008に相当)は、上述した第1の実施の形態と同様であるため、同様の内容については説明を省略する。
【0069】
対象外ポリシー監視プログラム110は、上記評価の結果、基準に当て嵌まる場合、原因事象の発生確率のうち、脅威事象の発生確率の変動の原因となっている項目について判断する。このような判断しては、例えば、原因事象の発生確率そのものが変動し、前回との差分が大きい、又は、閾値を越えているなどを挙げることができる。具体的には、ステップS1008の実行後、対象外ポリシー監視プログラム110は、例えば、時間の経過に伴って、非設定項目のうち原因事象の発生確率の変動が規定値よりも大きい項目について、ポリシー管理テーブル112を参照し、例えば特定の対策に応じてポリシーの設定を自動的に変更する(S1301)。なお、この自動設定のための命令は、上述した図2における対象外ポリシー監視プログラム110からセキュリティポリシー管理プログラム109への矢印によって表されている。
【0070】
対象外ポリシー監視プログラム110によるポリシーの設定変更は、セキュリティポリシー管理プログラム109に通知され、セキュリティポリシー管理プログラム109は、変更されたポリシーをエージェントプログラム114に配布する。さらに、対象外ポリシー監視プログラム110は、ポリシーを自動的に変更する場合、管理者に通知するために出力を行う。以上のようにすると、管理者が認識していないポリシー対象外の潜在的な脅威について潜在的な可能性が高まっている場合に、その管理者が意識しなくても、恒常的にセキュリティリスクを抑制することができるようになる。
【0071】
ここで、対象外ポリシー監視プログラム110は、上述した評価の結果に従ってポリシーを自動的に変更する前に、変更の可否を選択するインタフェースを出力するようにしても良い。このようにすると、管理者は、ポリシーを本当に変更して良いかどうかについて判断する機会を付与することができ、ポリシーの変更というセキュリティへの大きな影響のある行為に関して安全性を確保することができる。対象外ポリシー監視プログラム110は、管理者からの入力に従って、「変更可」が選択された場合にはポリシーを変更し、「否」が選択された場合にはポリシーを変更しない。
【0072】
(3−2)別の方法について
この方法の別の案としては、脅威事象の発生確率が少ない場合の基準値を満たす(閾値より低い)場合、設定しているポリシーを除外する方法もある。これにより、最小限のポリシー設定で運用を開始した場合にも、運用状況を監視し、脅威発生の確率が高まっている場合に必要な操作抑止などのポリシー設定をすることで、運用状況に応じたポリシーの設定が可能となる。
【0073】
上述した実施の形態によれば、セキュリティポリシーの対象外の項目についても、監視により発生を検知し、出力条件を満たした場合に、情報が出力される。セキュリティポリシーの対象外である項目は、管理者が管理不要としている可能性もあり、その発生を検知する度に管理者に通知されるのでは、管理者の負担が増大する可能性があり、本発明のように発生頻度の増加や、脅威顕在化の確率が高くなっている場合に出力することで、管理者の負担を減らすことができる。
【0074】
また可搬型PCが軽量になり、持ち出すユーザが増加するなど、管理者がポリシー策定時点では不要と判断した項目についても、ユーザ使用状況が変化することで、発生が増加することもある。本実施の形態では、こうした変化を監視し、出力することで、管理者がポリシーの対象とすべきかを判断することができる。
【0075】
(4)その他の実施形態
上記実施形態は、本発明を説明するための例示であり、本発明をこれらの実施形態にのみ限定する趣旨ではない。本発明は、その趣旨を逸脱しない限り、様々な形態で実施することができる。例えば、上記実施形態では、各種プログラムの処理をシーケンシャルに説明したが、特にこれにこだわるものではない。従って、処理結果に矛盾が生じない限り、処理の順序を入れ替え又は並行動作するように構成しても良い。
【符号の説明】
【0076】
100……システム、101……管理サーバ、102……ユーザ端末、108……監視項目テーブル、109……セキュリティポリシー管理プログラム、110……対象外ポリシー監視プログラム、111……収集プログラム、112……ポリシー管理テーブル、113……伝搬ルール管理テーブル、114……エージェントプログラム
【技術分野】
【0001】
本発明は、セキュリティポリシーに基づいて、情報システムのセキュリティ監視を行うセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラムに関するものであり、特に、セキュリティへの脅威とその原因の分析に好適なものである。
【背景技術】
【0002】
近年、情報産業の発達によって、情報システムの果たす役割が重要になるに連れてセキュリティ管理の重要性が高まっている。このような情報システムに関するセキュリティ管理においては、脅威、脆弱性の発見、その発生の確率などに基づいてセキュリティリスクを分析し、セキュリティポリシーを策定して、必要な対策を実施している。セキュリティ対策の実施に関しては、運用中のシステムの状態として脆弱性の有無、脆弱性の発生頻度、資産価値を基にリスクを分析し、優先順位を付けて対策案候補を提示する方法が存在している(特許文献1参照)。また、その他にも情報の資産価値とファイルアクセス情報を基にリスク値を更新し、リスク値が指定された閾値を越えた場合にアクセス制限などの対策処理を行う方法が存在している(特許文献2参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】国際公開2008−004498号公報
【特許文献2】特開2005−190066号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来の情報システムにおいては、上述のように対策案候補を提示しようとする場合、実際に行う対策及び情報システムにおけるセキュリティポリシーを最終的に決定するのは管理者である。このような情報システムのセキュリティの脅威には、情報漏洩のようにユーザの行動の他、その使用状況を原因とする場合がある。管理者は、セキュリティポリシーを策定する際、原因となり得るユーザの行動に対する対策として、例えば、コンピュータなどの端末装置での操作を抑止する設定などを行う場合もある。しかしながら、従来の情報システムでは、利便性との兼ね合いで操作を抑止する設定を行わない場合や、例えば端末装置の持ち出しなどのように端末装置への設定ではユーザの行動自体を抑止することができない場合が存在する。
【0005】
また、従来のセキュリティ管理ツールにおいても、管理者が、セキュリティポリシーとしてある項目を設定した場合、該当項目について遵守されているか否かを監視し、評価を行うことは一般に行われている。しかしながら、セキュリティポリシー策定時に、上記のようにセキュリティポリシーとして設定しない項目については監視も行われないことになってしまう。
【0006】
本発明は以上の点を考慮してなされたもので、セキュリティポリシー策定時に対象外としたポリシーについて、その発生を監視し、監視結果を適切なタイミングで出力することで、管理者が脅威を認識し、対策を取ることができるセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラムを提案しようとするものである。
【課題を解決するための手段】
【0007】
かかる課題を解決するため、本発明においては、少なくとも1台の端末装置を管理するセキュリティ監視装置において、各前記端末装置にセキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとを備えることを特徴とする。
【0008】
また、本発明においては、少なくとも1台の端末装置を備えるシステムを管理するためのセキュリティ監視方法において、管理プログラムが、各前記端末装置にセキュリティポリシーを設定する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理ステップと、収集プログラムが、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集ステップと、対象外ポリシー監視プログラムが、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視ステップとを含むことを特徴とする。
【0009】
また、本発明においては、少なくとも1台の端末装置に各々セキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとをコンピュータにおいて実行させることを特徴とする。
【0010】
また、本発明においては、少なくとも1台の端末装置を備えるシステムにおけるセキュリティ監視方法において、監視モジュールが、セキュリティの脅威の原因となる可能性のある原因事象について、その発生を監視し、算出モジュールが、その発生確率を算出するとともに、前記原因事象の発生確率に基づいて影響される脅威の発生確率を算出し、評価モジュールが、前記算出した値の時間経過に伴う変化を評価し、その変化が基準値以上の場合に特定の出力を行うことを特徴とする。
【発明の効果】
【0011】
本発明によれば、管理者が認識していないセキュリティポリシーの対象外の潜在的な脅威についても、顕在化の可能性が高まっている脅威とその原因、それに対する対策について情報を提供することで、管理者が脅威を認識し、適切なタイミングで対策を取ることができる。
【図面の簡単な説明】
【0012】
【図1】第1の実施の形態におけるシステムのハードウェア及び論理構成を示す図である。
【図2】管理サーバにおいて実行されるプログラムとテーブルの関係を示すモジュール構成図である。
【図3】セキュリティポリシー管理プログラムの機能モジュール構成を示すブロック図である。
【図4】対象外ポリシー監視プログラムの機能モジュール構成を示すブロック図である。
【図5】セキュリティポリシー管理プログラムが実行する手順の一例を示すフローチャートである。
【図6】ポリシー管理テーブルのテーブル構成を示す図である。
【図7】監視項目管理テーブルのテーブル構成を示す図である。
【図8】伝搬ルール管理テーブルのテーブル構成を示す図である。
【図9】伝搬ルールの脅威とその原因事象の組み合わせの仕組みを示すツリーの例を示す図である。
【図10】対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。
【図11】第1の実施の形態の変形例における対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。
【図12】第1の実施の形態の変形例における対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。
【図13】第2の実施の形態における対象外ポリシー監視プログラムが実行する手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、図面について、本発明の一実施の形態について詳述する。
【0014】
(1)本実施の形態の概念
本実施の形態では、少なくとも1台の端末装置を備えるシステムにおいて、各端末装置にセキュリティポリシーを設定する際に、セキュリティポリシーとして設定した項目と設定していない項目に分けてセキュリティポリシーを管理している。通常のセキュリティポリシーの管理においては、設定した項目(以下「設定項目」と呼ぶ)のみについて監視対象となり、設定していない項目(以下、「非設定項目」と呼ぶ)に関しては監視対象とはならない。
【0015】
しかしながら、本実施の形態においては、このような非設定項目についても次のような事情により監視対象としている。即ち、例えば管理者による設定とは云え、非設定項目だからといって、全く監視しないのでは潜在的な脅威に対してあまりにも無防備ではないかとの考えに基づき、こうした非設定項目(後述する監視項目に相当)についても、念のため、監視対象としておき、必要に応じて、特定の出力として、今後潜在的なセキュリティリスクが生じ得るかもしれない旨を、管理者に対して通知するためである。
【0016】
本実施の形態では、端末装置の一例として、ユーザ端末を挙げるが、その他の電子機器、例えばコンピュータであっても良い。以下、本実施の形態について具体的に説明する。なお、後述する説明においては、伝搬ルールという用語を用いるが、この伝搬ルールとは、ある脅威が発生する原因となる可能性のある事象(後述する原因事象に相当)の組み合わせをいう。また、監視項目は、後述するように原因事象毎に定義される。なお、同一の原因事象が、異なる脅威の伝搬ルールに含まれることもある。
【0017】
(2)第1の実施の形態
(2−1)ハードウェア及び論理構成
(2−1−1)システム全体
図1は、第1の実施の形態におけるシステム100のハードウェア及び論理構成を示す。本システム100は、管理サーバ101、少なくとも1台のユーザ端末102及びネットワーク1108を備えている。管理サーバ101は、セキュリティリスク可視化装置の一例である。ユーザ端末102は、例えば複数台存在し、ユーザが直接操作、使用するとともに、セキュリティポリシーに従って管理対象となる端末装置である。
【0018】
管理サーバ101及びユーザ端末102は、いずれも、1つ以上の中央処理装置(以下「CPU」という)103、メモリ104、ハードディスクドライブなどの二次記憶装置105、入出力インタフェース106、ネットワークインタフェース107を備えている。このうち入出力インタフェース106は、キーボード、マウスからの入力情報とディスプレイへの出力情報とを制御する機能を有する。また、ネットワークインタフェース107は、ネットワーク108に接続するためのインタフェースである。
【0019】
管理サーバ101のメモリ104上には、セキュリティポリシー管理プログラム109、対象外ポリシー監視プログラム110及び収集プログラム111がロードされる。これらセキュリティポリシー管理プログラム109、対象外ポリシー監視プログラム110及び収集プログラム111などのプログラムは、CPU103により実行される。また、ディスク装置105には、ポリシー管理テーブル112及び伝搬ルール管理テーブル113の情報が保存されている。
【0020】
各ユーザ端末102は、CPU122、メモリ121、ディスク装置123、ネットワークインタフェース(以下「I/F」と略す)125及び入出力インタフェース124を備えている。このうちメモリ121には、エージェントプログラム114がロードされ、CPU122により実行される。このエージェントプログラム114は、後述するようにユーザ端末102のユーザによる操作ログや構成情報を取得する通常の機能を有する。
【0021】
(2−1−2)管理サーバにおけるプログラムとテーブルとの関係
図2は、管理サーバ101における各プログラムとテーブルとの関係を示す。セキュリティポリシー管理プログラム109は、管理プログラムの一例に相当し、ユーザからの入出力、ポリシー管理テーブル112への登録、読み出し等を行い、さらにエージェントプログラム114に対し、セキュリティポリシーを送信する。対象外ポリシー監視プログラム110は、監視プログラムの一例に相当し、ポリシー管理テーブル112、伝搬ルール管理テーブル113の参照とユーザへの出力を行う。また、セキュリティポリシー管理プログラム109及び対象外ポリシー監視プログラム110は、それぞれ、収集プログラム111が収集した情報を利用して、上述した非設定項目について脅威の発生確率の時間経過に伴う変化を評価する。この収集プログラム111は、ユーザ端末102のエージェントプログラム114から情報を収集する。
【0022】
(2−1−3)セキュリティポリシーの定義
ここで、セキュリティポリシー(以下「ポリシー」とも略す)とは、管理サーバ101やネットワーク機器、ユーザ端末102といったシステム100全体のセキュリティ方針を示すものであるが、ここでは、一例として、ユーザ端末102での操作及び設定の少なくとも一方に関する方針を示している。このようなポリシーとしては、例えば、必須ソフトウェアや禁止ソフトウェアといったソフトウェアインストールに関する項目、スクリーンセーバ有効やファイアウォール有効などOSの設定に関する項目、外部記憶媒体の接続抑止やアプリケーションの起動抑止など端末装置での制御に関する項目、社外アドレス宛メールの送信禁止、端末装置の持ち出し禁止といったユーザの行動を規定する項目が存在している。
【0023】
(2−1−4)対象外ポリシー監視プログラムの機能モジュール構成
図3は、セキュリティポリシー管理プログラム109の機能モジュール構成を示す。セキュリティポリシー管理プログラム109は、入力受付モジュール301、ポリシー作成モジュール302、ポリシー設定モジュール303及びポリシー遵守状況評価モジュール304を有する。
【0024】
入力受付モジュール301は、ユーザからのポリシー設定に関する入力を受け付ける。ポリシー作成モジュール302は、ユーザ端末102など及びシステムの少なくとも一方に適用するポリシーを作成する。ポリシー設定モジュール303は、管理対象のユーザ端末102へのポリシーの配布及び設定を行う。作成したポリシーは、ポリシー管理テーブル112に登録され管理される。ポリシー遵守状況評価モジュール304は、設定したポリシーについて、各ユーザ端末102において遵守されているか否かを監視して評価する。ポリシー遵守状況評価モジュール304は、ポリシー管理テーブル112の内容を読み出し、その内容に基づいて上述した評価を行う。
【0025】
また、管理サーバ101の収集プログラム111は、操作ログ収集部305及び構成情報取得モジュール306を有する。操作ログ収集部305は、ユーザ端末102のエージェントプログラム114から、ユーザ端末102での操作ログを収集する。一方、構成情報収集モジュール306は、ユーザ端末102の構成情報を収集する。
【0026】
(2−1−5)対象外ポリシー監視プログラムの機能モジュール構成
図4は、対象外ポリシー監視プログラム110の機能モジュール構成を示す。対象外ポリシー監視プログラム110は、原因事象抽出モジュール404、発生確率算出モジュール403、履歴データベース405(図示の確率履歴DB)、確率変動評価モジュール402及び出力処理モジュール401を備えている。
【0027】
原因事象抽出モジュール404は、各エージェントプログラム114から収集したユーザの操作ログ及び構成情報に基づいて原因事象がないかどうかを抽出する。発生確率算出モジュール403は、伝搬ルール管理テーブル113から伝搬ルールを読み出し、原因事象の発生確率を基に伝搬ルールに基づいて脅威発生の確率を算出する。履歴データベース405は、算出した確率を保持するためのデータベースである。確率変動評価モジュール402は、確率の履歴を評価する機能を有する。出力処理モジュール401は、評価結果を出力する機能を有する。
【0028】
(2−2)セキュリティ監視方法
第1の実施の形態におけるシステムは以上のような構成であり、次に、その動作例の一部であるセキュリティ監視方法の一例について説明する。
【0029】
(2−2−1)セキュリティポリシー管理プログラムの処理
図5は、管理サーバ101のセキュリティポリシー管理プログラム109のフローチャートを示す。なお、この管理サーバ101では、CPU103がセキュリティポリシー管理プログラム109の各命令を実行し、このセキュリティポリシー管理プログラム109がCPU311の制御によって次のような各ステップを実行するが、以下の説明においては、そのセキュリティポリシー管理プログラム109が各ステップを実行すると簡素化して表現する。
【0030】
管理サーバ101では、ポリシーとして設定できる項目を表示する。これに対し、ユーザは、入力インタフェース(図示せず)を用いて選択し(S501)、入力を行う。セキュリティポリシー管理プログラム109は、上述したユーザからの入力を受け付け(S502)、設定するポリシーを決定し、ポリシー管理テーブル112に登録する(S503)。さらにセキュリティポリシー管理プログラム109は、このように設定されたポリシーを、管理サーバ101のエージェントプログラム114に配布する(S504)。なお、ユーザからの入力は、上述のような選択形式でなく、記述方法を定義した記述形式であってもよい。
【0031】
また、対象外ポリシー監視プログラム110が使用する伝搬ルール管理テーブル113では、伝搬ルールに対応する監視項目を保持している。セキュリティポリシー管理プログラム109は、決定されたポリシーにおける監視項目と、伝搬ルールにおける監視項目とを比較し(S505)、一致する項目については、ポリシーが遵守されているか否かの状況を評価すること(以下「ポリシー遵守状況評価)」と呼ぶ)を行うため、対象外ポリシー監視プログラム110の対象項目としないものと判断する(S506)。セキュリティポリシー管理プログラム109は、このような判断を、設定する全ポリシーの監視項目について適用する(S507)。
【0032】
ここで、管理者がポリシーを決定する別の方法としては、セキュリティポリシー管理プログラム109が、伝搬ルールに含まれる監視項目に対応するポリシーをポリシー管理テーブル112から検索し、選択できるポリシーとして出力することにより、管理者に提示してもよい。セキュリティポリシー管理プログラム109は、このように出力したポリシーのうちから、管理者によって選択されたポリシーを適用し、それ以外のポリシーを除外ポリシーとして管理してもよい。この除外ポリシーに対応する監視項目は、対象外ポリシー監視プログラム110の対象項目となる。
【0033】
セキュリティポリシー管理プログラム109は、設定したポリシーについては遵守状況を監視し、評価する。セキュリティポリシー管理プログラム109は、遵守状況は、ユーザ端末102から収集した操作ログと構成情報から項目に従った情報を抽出し(S508)、対象の全端末の情報を集計することで評価する。セキュリティポリシー管理プログラム109は、定期的に又はユーザからの要求があった時に評価し、評価結果を出力する(S509)。
【0034】
ユーザ端末102内のエージェントプログラム114は、管理サーバ101からポリシーを受信し、この受信したポリシーに従って設定が必要な項目については、OS及びレジストリに設定を行う。このエージェントプログラム114は、監視対象として、ポリシー設定項目だけでなく、全ての監視項目について監視する。これとともに、このエージェントプログラム114は、ユーザの操作を記録する。また、エージェントプログラム114は、監視情報を定期的に、又は、管理サーバ101からの要求に従って管理サーバ101に送信する。
【0035】
(2−2−2)セキュリティポリシー管理テーブルのテーブル構成
図6は、管理サーバ101が管理するセキュリティポリシー管理テーブル112のテーブル構成を示す。セキュリティポリシー管理テーブル112は、ポリシーを管理するためのテーブルであり、ポリシーIDフィールド601、内容フィールド602、対象フィールド603及び監視項目フィールド604を有する。
【0036】
ポリシーIDフィールド601は、ポリシーを識別するための識別子である。内容フィールド602は、ポリシーIDフィールド601に対応するポリシーの内容が記述される。対象フィールド603は、ポリシーとして適用するかどうかを示す。監視項目フィールド604は、ポリシーに対応する監視項目の内容が記述される。
【0037】
ポリシーには、1つ以上の監視項目が定義されており、その監視項目が監視されることで、遵守状況が評価される。なお、1つのポリシーに対して2つ以上の監視項目があってもよく、1つの監視項目が別々のポリシーの監視項目となってもよい。
【0038】
(2−2−3)監視項目テーブルのテーブル構成
図7は、監視項目を管理する監視項目テーブル108の構成例を示す。この監視項目テーブル108は、監視項目ID701に対して、監視内容702、それがポリシーとして監視対象となっているかを管理する対象フィールド703を有する。ポリシー対象の項目(設定項目に相当)の監視結果は、ポリシー遵守状況評価の対象となり、ポリシー対象外の項目(非設定項目に相当)は、後述する対象外ポリシー監視プログラム110による対象となる。
【0039】
(2−2−4)伝搬ルール管理テーブル113のテーブル構成
図8は、管理サーバ101が管理する伝搬ルール管理テーブル113の構成を示す。伝搬テーブル管理テーブル113は、ルールIDフィールド801、脅威フィールド802、伝搬ルールフィールド803及び監視項目フィールド804を有する。
【0040】
ルールIDフィールド801は、各伝搬ルールを識別するためのフィールドである。脅威フィールド802は、複数の脅威を互いに識別するためのフィールドである。伝搬ルールフィールド803は、伝搬ルールの計算式を示すフィールドである。監視項目フィールド804は、伝搬ルールに対応する監視項目を示すフィールドである。
【0041】
ここで、伝搬ルールは、原因事象の組み合わせで表され、監視項目は、原因事象毎に定義される。なお、同一の原因事象が、異なる脅威の伝搬ルールに含まれることもある。また、監視項目については、図7に示した監視項目テーブル108に示した監視項目IDによって管理される。
【0042】
(2−3)原因事象の組み合わせ
図9は、伝搬ルールとして脅威とその原因事象の組み合わせの仕組みを示すツリーの例を示す。本実施の形態では、セキュリティ上の脅威である事象に対してその原因事象を定義し、さらに原因事象の組み合わせから発生までの伝搬を定義する。なお、この例では、脅威に対する原因事象の全てを示すものではなく、一部を取り出して示している。
【0043】
・脅威事象1[ユーザがユーザ端末を持ち出して盗難に遭い、情報が漏洩する](901)
・原因事象A[ユーザ端末は可搬型である](902)
・原因事象B[ユーザ端末にファイルを保存](903)
・原因事象C[ユーザはユーザ端末を持ち出す](904)
・原因事象D[ユーザ端末にHDDパスワードが設定されていない](905)
・原因事象E[ユーザ端末にHDDパスワードが設定されていない](906)
・原因事象F[ユーザ端末のHDDが暗号化されていない](907)
【0044】
なお、原因事象と脅威事象以外の事象908〜910は、状態を示すが、伝搬ルールには関係ないため、説明を省略する。また、HDD(Hard Disk Drive)は、上述したディスク装置123の一例である。
【0045】
この場合、伝搬ルールは、脅威事象=[原因事象A]*[原因事象B]*[原因事象C]*{([原因事象D]+[原因事象E])+[原因事象F]}と表される。ここで、「*」は論理積(図示のANDに相当)を示し、「+」は論理和(図示のORに相当)を示す。本実施の形態では、対象外ポリシー監視プログラム110は、1つ以上の原因事象の発生確率の論理積又は論理和の組み合わせを用いて脅威の発生確率を算出する。即ち、対象外ポリシー監視プログラム110は、各原因事象の発生確率を求め、伝搬ルールに当て嵌めることで、脅威事象の発生確率を算出する。
【0046】
(2−4)対象外ポリシー監視プログラムの処理
図10は、管理サーバ101の対象外ポリシー監視プログラム110のフローチャートを示す。なお、この管理サーバ101では、CPU103が対象外ポリシー監視プログラム110の各命令を実行し、この対象外ポリシー監視プログラム110がCPU311の制御によって次のような各ステップを実行するが、以下の説明においては、その対象外ポリシー監視プログラム110が各ステップを実行すると簡素化して表現する。また、収集プログラム111に関しても同様に簡素化して表現する。
【0047】
対象外ポリシー監視プログラム110は、収集プログラム111がユーザ端末102から収集した操作ログ及び構成情報から監視対象項目である原因事象の監視で必要な項目を抽出する(S1001)。対象外ポリシー監視プログラム110は、例えば、原因事象Bについては、操作ログから「ファイルを保存」した記録を抽出する。
【0048】
対象外ポリシー監視プログラム110は、このような抽出処理を、全てのエージェントプログラム114(図示のエージェントに対応)からの収集情報に対して行い(S1002)、監視項目毎に抽出結果を集計する(S1003)。さらに、対象外ポリシー監視プログラム110は、監視項目に対応する原因事象の発生確率を算出する(S1004)。対象外ポリシー監視プログラム110は、例えば1000台のユーザ端末102からの構成情報に基づいてHDDパスワードを監視している場合、HDDパスワードが設定されていないユーザ端末102が10台であれば、原因事象Dの発生確率は、10/1000=0.01と算出する。
【0049】
対象外ポリシー監視プログラム110は、当該算出した値を履歴データベース405に保存しておく。これにより、この履歴データベース405には、監視項目とその発生確率、脅威事象とその発生確率が、それぞれ、算出時刻とともに保存される。この対象外ポリシー監視プログラム110は、このような処理を、全監視項目について行う(S1005)。
【0050】
次に対象外ポリシー監視プログラム110は、伝搬ルール毎にそれぞれの原因事象の発生確率を検索し、算出原因事象の発生確率値を当て嵌めて、脅威の発生確率を算出する(S1006)。ここで、伝搬ルールの原因事象に関連する監視項目がポリシー設定対象になっている場合もある。この場合、対象外ポリシー監視プログラム110は、セキュリティポリシー管理プログラム109が監視している結果を読み出し、脅威の発生確率として使用する。対象外ポリシー監視プログラム110は、算出した脅威の発生確率を履歴データベース405に保存する。
【0051】
さらに、対象外ポリシー監視プログラム110は、その確率履歴データベース405に基づいて、当該伝搬ルールに関する発生確率の履歴を評価し、その評価結果に基づいてユーザに対して特定の出力を行う必要があるか否かを出力基準にあてはまるかで判断する(S1007)。出力基準は例えば、予め定義された閾値とし、発生確率が閾値以上である場合に特定の出力を行う。
【0052】
また別の例として、対象外ポリシー監視プログラム110は、上述のように前記算出した値の時間経過に伴う変化の差分、即ち、前回との差分を判断し、当該差分が特定値以上に大きい場合、又は、算出した高い値が一定期間続いている場合に特定の出力を行う。さらに別の例として、対象外ポリシー監視プログラム110は、予測履歴グラフを作成しておき、当該予測履歴グラフと一致する傾向にない場合なども特定の出力を行う基準としてもよい。こうした出力基準は、予めプログラムでいずれの基準を使用するかとその基準値を設定しておく。また閾値と、差分といった複数の出力基準を同時に使用するように設定してもよい。
【0053】
対象外ポリシー監視プログラム110は、判断の結果、基準にあった場合に特定の出力を実行する(S1008)。この対象外ポリシー監視プログラム110は、特定の出力として、例えば、原因となる可能性のある事象のうち発生確率の変化が大きい特定の原因事象と、この特定の原因事象について発生確率を減少するための対策とを出力する。具体的には、この対象外ポリシー監視プログラム110は、出力情報として、脅威事象とその確率、さらに脅威事象の発生確率を変動させた原因である原因事象についての情報を表示する。なお、発生確率の数値については、図示のように数値そのまま表示するか、例えば数段階に定義したレベルなどで表示してもよい。
【0054】
また、対象外ポリシー監視プログラム110は、該当する原因事象に対する対策として、監視項目に対応するポリシーをポリシー管理テーブル109から検索し、併せて出力してもよい。一方、対象外ポリシー監視プログラム110は、ユーザ端末102において対策が取れない脅威とその原因については、対策先の候補(例えばサーバやネットワーク機器など)を伝搬ルールテーブル(図示せず)で管理し、併せて特定の出力を行ってもよい。
【0055】
ここで、管理サーバ101は、上述のように出力された対策を、原因事象が発生する可能性のあるユーザ端末102に対して実施する対策実施モジュール(図示しない)を備えていても良い。なお、この場合、この対策実施モジュールは、上記対策を、前記ユーザ端末102以外の別の装置、例えば図示しないメールサーバ又はファイルサーバにおいて実施するようにしてもよい。
【0056】
対象外ポリシー監視プログラム110は、全ての伝搬ルールについて計算したか否かを判断し、計算していない伝搬ルールが存在する場合には、上述したステップS1006に計算済の場合には処理を終了する(S1009)。
【0057】
以上により、ポリシーとして設定している項目以外の項目(上記非設定項目に相当)でも、脅威の原因となり得る事象(上記原因事象に相当)について、管理を行うことで、管理者に脅威の発生の確率が高くなっていることなどを適切なタイミングで通知することができる。従って、管理者が認識していないセキュリティポリシーの対象外の潜在的な脅威についても、顕在化の可能性が高まっている脅威とその原因、それに対する対策について情報を提供することで、管理者が脅威を認識し、適切なタイミングで対策を取ることができるようになる。
【0058】
(2−5)第1の実施の形態の変形例
(2−5−1)第1の変形例
次に、監視項目の変動について評価することで、脅威の発生の原因を適切に管理者に知らせるための方法を示す。ここでは、対象外ポリシー監視プログラム110は、監視項目毎に変動を評価し、監視項目の発生確率に変動があった場合に、脅威事象の発生確率を算出する方法を説明する。
【0059】
図11は、対象外ポリシー監視プログラム110のフローチャートを示す。当該フローチャートにおける処理は、図10において説明したフローチャートと、原因事象の発生確率を算出する処理(ステップS1001〜S1004に相当)までは同じ処理である。
【0060】
対象外ポリシー監視プログラム110は、算出した結果を履歴として保存するとともに、結果の履歴を評価する。履歴が出力基準に当て嵌まるかを判断する(S1101)。ここでの出力基準は、最新の算出値を前回算出値と比較して差分が一定値以上である場合や、閾値以上が一定期間続いている場合など、予め定義した基準を用いる。全項目同一の基準、又は、監視項目毎の基準であってもよい。
【0061】
出力基準に当て嵌まる場合、対象外ポリシー監視プログラム110は、該当監視項目の結果について出力してもよい(S1102)。また、対象外ポリシー監視プログラム110は、該当監視項目が含まれる脅威事象について、発生確率を算出し、図10の説明において前述した方法と同様に評価した結果に従って出力してもよい。この方法により、原因事象の確率が変動しない脅威については、計算を行わず、処理を簡単にできる。
【0062】
また、第1の変形例では、監視項目の発生確率の変動を評価しているところを、変動の評価に使用する値を発生確率でなく、集計結果の抽出数で評価してもよい。この場合、抽出数に対する出力基準を予め定義しておき、出力基準にあてはまるか否かを判断する。
【0063】
(2−5−2)第2の変形例
第1の実施の形態において示した原因事象の監視の結果、原因事象の発生確率が「0」になる場合もある(例えば、HDDパスワードは、特定時点では全てのユーザ端末102に設定されているなど)。ここでは、ある原因事象の発生確率が「0」の場合でも、その他の原因事象の変動が脅威の発生確率に影響するかを評価する方法を示す。
【0064】
図12は、対象外ポリシー監視プログラム110の処理の一部のフローチャートを示す。当該フローチャートでは、図10に示したフローチャートの監視項目毎の発生確率の算出(S1001〜S1005)までは、同じ処理を行う。第1の実施の形態において説明した方法では、監視項目の1つに「0」があってもそのまま伝搬ルールに「0」を当て嵌める。これは、図12に示すフローチャートのS1201〜S1203でも同様である。ここでは、履歴データベース405を2つ保持し、第1の履歴データベース405にはそのままの算出値を保存する。例えばHDDパスワードが全てに設定されていれば、論理積の組み合わせで算出される脅威の発生確率は「0」であり、第1の履歴データベース405に保存する。
【0065】
原因事象の発生確率が「0」では、他の原因事象の確率が変動しても脅威の発生確率は「0」で変動しないことになる。そのため、対象外ポリシー監視プログラム110は、発生確率が「0」の原因事象があるかを確認し(S1204)、他の原因の変動の影響を確認できるように、次に「0」の項目を「0」より大きく「1」以下の特定の値(例えば0.01など)に変更する。対象外ポリシー監視プログラム110は、当該特定の値を用いて脅威の発生確率を算出し、第2の履歴データベース405に保存する(S1205)。また、該当原因事象の確率は、特定の値であることをテーブル(図示しない)で管理しておく。そして、対象外ポリシー監視プログラム110は、出力基準に照らし合わせ(S1206)、出力する際には特定値を使用した原因事象を除いて、変動のあった原因事象と脅威の発生確率について情報を出力する(S1207)。
【0066】
このような第2の変形例によれば、特定の時点で、複数ある原因のいずれかが発生の可能性がなくても(発生確率が「0」であっても)、他の原因事象が脅威の発生確率の変動に影響するかを判断することができる。
【0067】
(3)第2の実施の形態
次に、本発明の第2の実施の形態として、脅威事象の発生確率が高まっている時に、自動的にポリシーを変更する方法について説明する。第2の実施の形態では、第1の実施の形態とほぼ同様であるため、以下では異なる点を中心として説明する。
【0068】
(3−1)対象外ポリシー監視プログラムの処理
図13は、第2の実施の形態における対象外ポリシー監視プログラム110のフローチャートを示す。第2の実施の形態では、脅威事象の発生確率を評価するまでの処理(ステップS1001〜S1008に相当)は、上述した第1の実施の形態と同様であるため、同様の内容については説明を省略する。
【0069】
対象外ポリシー監視プログラム110は、上記評価の結果、基準に当て嵌まる場合、原因事象の発生確率のうち、脅威事象の発生確率の変動の原因となっている項目について判断する。このような判断しては、例えば、原因事象の発生確率そのものが変動し、前回との差分が大きい、又は、閾値を越えているなどを挙げることができる。具体的には、ステップS1008の実行後、対象外ポリシー監視プログラム110は、例えば、時間の経過に伴って、非設定項目のうち原因事象の発生確率の変動が規定値よりも大きい項目について、ポリシー管理テーブル112を参照し、例えば特定の対策に応じてポリシーの設定を自動的に変更する(S1301)。なお、この自動設定のための命令は、上述した図2における対象外ポリシー監視プログラム110からセキュリティポリシー管理プログラム109への矢印によって表されている。
【0070】
対象外ポリシー監視プログラム110によるポリシーの設定変更は、セキュリティポリシー管理プログラム109に通知され、セキュリティポリシー管理プログラム109は、変更されたポリシーをエージェントプログラム114に配布する。さらに、対象外ポリシー監視プログラム110は、ポリシーを自動的に変更する場合、管理者に通知するために出力を行う。以上のようにすると、管理者が認識していないポリシー対象外の潜在的な脅威について潜在的な可能性が高まっている場合に、その管理者が意識しなくても、恒常的にセキュリティリスクを抑制することができるようになる。
【0071】
ここで、対象外ポリシー監視プログラム110は、上述した評価の結果に従ってポリシーを自動的に変更する前に、変更の可否を選択するインタフェースを出力するようにしても良い。このようにすると、管理者は、ポリシーを本当に変更して良いかどうかについて判断する機会を付与することができ、ポリシーの変更というセキュリティへの大きな影響のある行為に関して安全性を確保することができる。対象外ポリシー監視プログラム110は、管理者からの入力に従って、「変更可」が選択された場合にはポリシーを変更し、「否」が選択された場合にはポリシーを変更しない。
【0072】
(3−2)別の方法について
この方法の別の案としては、脅威事象の発生確率が少ない場合の基準値を満たす(閾値より低い)場合、設定しているポリシーを除外する方法もある。これにより、最小限のポリシー設定で運用を開始した場合にも、運用状況を監視し、脅威発生の確率が高まっている場合に必要な操作抑止などのポリシー設定をすることで、運用状況に応じたポリシーの設定が可能となる。
【0073】
上述した実施の形態によれば、セキュリティポリシーの対象外の項目についても、監視により発生を検知し、出力条件を満たした場合に、情報が出力される。セキュリティポリシーの対象外である項目は、管理者が管理不要としている可能性もあり、その発生を検知する度に管理者に通知されるのでは、管理者の負担が増大する可能性があり、本発明のように発生頻度の増加や、脅威顕在化の確率が高くなっている場合に出力することで、管理者の負担を減らすことができる。
【0074】
また可搬型PCが軽量になり、持ち出すユーザが増加するなど、管理者がポリシー策定時点では不要と判断した項目についても、ユーザ使用状況が変化することで、発生が増加することもある。本実施の形態では、こうした変化を監視し、出力することで、管理者がポリシーの対象とすべきかを判断することができる。
【0075】
(4)その他の実施形態
上記実施形態は、本発明を説明するための例示であり、本発明をこれらの実施形態にのみ限定する趣旨ではない。本発明は、その趣旨を逸脱しない限り、様々な形態で実施することができる。例えば、上記実施形態では、各種プログラムの処理をシーケンシャルに説明したが、特にこれにこだわるものではない。従って、処理結果に矛盾が生じない限り、処理の順序を入れ替え又は並行動作するように構成しても良い。
【符号の説明】
【0076】
100……システム、101……管理サーバ、102……ユーザ端末、108……監視項目テーブル、109……セキュリティポリシー管理プログラム、110……対象外ポリシー監視プログラム、111……収集プログラム、112……ポリシー管理テーブル、113……伝搬ルール管理テーブル、114……エージェントプログラム
【特許請求の範囲】
【請求項1】
少なくとも1台の端末装置を管理するセキュリティ監視装置において、
各前記端末装置にセキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、
各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、
前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとを備える
ことを特徴とするセキュリティ監視装置。
【請求項2】
前記収集プログラムは、
各前記端末装置からユーザによる操作に応じた操作ログと、各前記端末装置の構成に関する構成情報とを取得する
ことを特徴とする請求項1に記載のセキュリティ監視装置。
【請求項3】
前記対象外ポリシー監視プログラムは、前記原因事象の変化が基準以上か否かの評価として、前記非設定項目に関する前記原因事象の発生確率を算出し、前記非設定項目に関する前記原因事象の発生確率に基づいて算出される脅威の発生確率を算出し、
前記算出した値の時間経過に伴う変化の差分が特定値以上に大きい場合、又は、前記算出した値が予め規定された閾値以上である場合に前記特定の出力を行う
ことを特徴とする請求項2に記載のセキュリティ監視装置。
【請求項4】
前記対象外ポリシー監視プログラムは、
1つ以上の原因事象の発生確率の論理積又は論理和の組み合わせを用いて前記脅威の発生確率を算出する
ことを特徴とする請求項3に記載のセキュリティ監視装置。
【請求項5】
前記対象外ポリシー監視プログラムは、
前記原因となる可能性のある事象のうち発生確率の変化が大きい特定の原因事象と、
前記特定の原因事象について発生確率を減少するための対策と、を前記特定の出力として出力する
ことを特徴とする請求項4に記載のセキュリティ監視装置。
【請求項6】
前記対象外ポリシー監視プログラムは、
前記非設定項目のうち前記原因事象の発生確率の変動が規定値よりも大きい項目について、前記セキュリティポリシーを自動的に変更する
ことを特徴とする請求項5に記載のセキュリティ監視装置。
【請求項7】
前記出力された対策を、前記原因事象が発生する可能性のある前記端末装置に対して実施する対策実施モジュールを備える
ことを特徴とする請求項6に記載のセキュリティ監視装置。
【請求項8】
前記対策実施モジュールは、
前記対策を、前記端末装置以外の別の装置で実行する
ことを特徴とする請求項7に記載のセキュリティ監視装置。
【請求項9】
少なくとも1台の端末装置を備えるシステムを管理するためのセキュリティ監視方法において、
管理プログラムが、各前記端末装置にセキュリティポリシーを設定する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理ステップと、
収集プログラムが、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集ステップと、
対象外ポリシー監視プログラムが、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視ステップとを含む
ことを特徴とするセキュリティ監視方法。
【請求項10】
前記収集プログラムが、
各前記端末装置からユーザによる操作に応じた操作ログと、各前記端末装置の構成に関する構成情報とを取得する
ことを特徴とする請求項9に記載のセキュリティ監視方法。
【請求項11】
前記対象外ポリシー監視プログラムが、
前記原因事象の変化が基準以上か否かの評価として、前記非設定項目に関する前記原因事象の発生確率を算出し、前記非設定項目に関する前記原因事象の発生確率に基づいて算出される脅威の発生確率を算出し、
前記算出した値の時間経過に伴う変化の差分が特定値以上に大きい場合、又は、前記算出した値が予め規定された閾値以上である場合に前記特定の出力を行う
ことを特徴とする請求項10に記載のセキュリティ監視方法。
【請求項12】
前記対象外ポリシー監視プログラムが、
1つ以上の原因事象の発生確率の論理積又は論理和の組み合わせを用いて前記脅威の発生確率を算出する
ことを特徴とする請求項11に記載のセキュリティ監視方法。
【請求項13】
前記対象外ポリシー監視プログラムが、
前記原因となる可能性のある事象のうち発生確率の変化が大きい特定の原因事象と、
前記特定の原因事象について発生確率を減少するための対策と、を前記特定の出力として出力する
ことを特徴とする請求項12に記載のセキュリティ監視方法。
【請求項14】
前記対象外ポリシー監視プログラムは、
前記非設定項目のうち前記原因事象の発生確率の変動が規定値よりも大きい項目について、前記セキュリティポリシーを自動的に変更する
ことを特徴とする請求項13に記載のセキュリティ監視装置。
【請求項15】
対策実施モジュールが、前記出力された対策を、前記原因事象が発生する可能性のある前記端末装置に対して実施する
ことを特徴とする請求項15に記載のセキュリティ監視方法。
【請求項16】
前記対策実施モジュールが、
前記対策を、前記端末装置以外の別の装置で実行する
ことを特徴とする請求項15に記載のセキュリティ監視方法。
【請求項17】
少なくとも1台の端末装置に各々セキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、
各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、
前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとをコンピュータにおいて実行させる
ことを特徴とするセキュリティ監視プログラム。
【請求項18】
少なくとも1台の端末装置を備えるシステムにおけるセキュリティ監視方法において、
監視モジュールが、セキュリティの脅威の原因となる可能性のある原因事象について、その発生を監視し、
算出モジュールが、その発生確率を算出するとともに、前記原因事象の発生確率に基づいて影響される脅威の発生確率を算出し、
評価モジュールが、前記算出した値の時間経過に伴う変化を評価し、その変化が基準値以上の場合に特定の出力を行う
ことを特徴とするセキュリティ監視方法。
【請求項1】
少なくとも1台の端末装置を管理するセキュリティ監視装置において、
各前記端末装置にセキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、
各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、
前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとを備える
ことを特徴とするセキュリティ監視装置。
【請求項2】
前記収集プログラムは、
各前記端末装置からユーザによる操作に応じた操作ログと、各前記端末装置の構成に関する構成情報とを取得する
ことを特徴とする請求項1に記載のセキュリティ監視装置。
【請求項3】
前記対象外ポリシー監視プログラムは、前記原因事象の変化が基準以上か否かの評価として、前記非設定項目に関する前記原因事象の発生確率を算出し、前記非設定項目に関する前記原因事象の発生確率に基づいて算出される脅威の発生確率を算出し、
前記算出した値の時間経過に伴う変化の差分が特定値以上に大きい場合、又は、前記算出した値が予め規定された閾値以上である場合に前記特定の出力を行う
ことを特徴とする請求項2に記載のセキュリティ監視装置。
【請求項4】
前記対象外ポリシー監視プログラムは、
1つ以上の原因事象の発生確率の論理積又は論理和の組み合わせを用いて前記脅威の発生確率を算出する
ことを特徴とする請求項3に記載のセキュリティ監視装置。
【請求項5】
前記対象外ポリシー監視プログラムは、
前記原因となる可能性のある事象のうち発生確率の変化が大きい特定の原因事象と、
前記特定の原因事象について発生確率を減少するための対策と、を前記特定の出力として出力する
ことを特徴とする請求項4に記載のセキュリティ監視装置。
【請求項6】
前記対象外ポリシー監視プログラムは、
前記非設定項目のうち前記原因事象の発生確率の変動が規定値よりも大きい項目について、前記セキュリティポリシーを自動的に変更する
ことを特徴とする請求項5に記載のセキュリティ監視装置。
【請求項7】
前記出力された対策を、前記原因事象が発生する可能性のある前記端末装置に対して実施する対策実施モジュールを備える
ことを特徴とする請求項6に記載のセキュリティ監視装置。
【請求項8】
前記対策実施モジュールは、
前記対策を、前記端末装置以外の別の装置で実行する
ことを特徴とする請求項7に記載のセキュリティ監視装置。
【請求項9】
少なくとも1台の端末装置を備えるシステムを管理するためのセキュリティ監視方法において、
管理プログラムが、各前記端末装置にセキュリティポリシーを設定する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理ステップと、
収集プログラムが、各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集ステップと、
対象外ポリシー監視プログラムが、前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視ステップとを含む
ことを特徴とするセキュリティ監視方法。
【請求項10】
前記収集プログラムが、
各前記端末装置からユーザによる操作に応じた操作ログと、各前記端末装置の構成に関する構成情報とを取得する
ことを特徴とする請求項9に記載のセキュリティ監視方法。
【請求項11】
前記対象外ポリシー監視プログラムが、
前記原因事象の変化が基準以上か否かの評価として、前記非設定項目に関する前記原因事象の発生確率を算出し、前記非設定項目に関する前記原因事象の発生確率に基づいて算出される脅威の発生確率を算出し、
前記算出した値の時間経過に伴う変化の差分が特定値以上に大きい場合、又は、前記算出した値が予め規定された閾値以上である場合に前記特定の出力を行う
ことを特徴とする請求項10に記載のセキュリティ監視方法。
【請求項12】
前記対象外ポリシー監視プログラムが、
1つ以上の原因事象の発生確率の論理積又は論理和の組み合わせを用いて前記脅威の発生確率を算出する
ことを特徴とする請求項11に記載のセキュリティ監視方法。
【請求項13】
前記対象外ポリシー監視プログラムが、
前記原因となる可能性のある事象のうち発生確率の変化が大きい特定の原因事象と、
前記特定の原因事象について発生確率を減少するための対策と、を前記特定の出力として出力する
ことを特徴とする請求項12に記載のセキュリティ監視方法。
【請求項14】
前記対象外ポリシー監視プログラムは、
前記非設定項目のうち前記原因事象の発生確率の変動が規定値よりも大きい項目について、前記セキュリティポリシーを自動的に変更する
ことを特徴とする請求項13に記載のセキュリティ監視装置。
【請求項15】
対策実施モジュールが、前記出力された対策を、前記原因事象が発生する可能性のある前記端末装置に対して実施する
ことを特徴とする請求項15に記載のセキュリティ監視方法。
【請求項16】
前記対策実施モジュールが、
前記対策を、前記端末装置以外の別の装置で実行する
ことを特徴とする請求項15に記載のセキュリティ監視方法。
【請求項17】
少なくとも1台の端末装置に各々セキュリティポリシーを適用する際に、前記セキュリティポリシーの項目として設定した設定項目と、前記セキュリティポリシーの項目として設定していない非設定項目とに分けて前記セキュリティポリシーを管理する管理プログラムと、
各前記端末装置における前記非設定項目について脅威を発生させる可能性のある原因事象の発生を監視し、前記原因事象の発生に関する情報を収集する収集プログラムと、
前記原因事象に関する情報に基づいて、前記原因事象の変化を評価し、前記原因事象の変化が基準以上の場合に特定の出力を行う対象外ポリシー監視プログラムとをコンピュータにおいて実行させる
ことを特徴とするセキュリティ監視プログラム。
【請求項18】
少なくとも1台の端末装置を備えるシステムにおけるセキュリティ監視方法において、
監視モジュールが、セキュリティの脅威の原因となる可能性のある原因事象について、その発生を監視し、
算出モジュールが、その発生確率を算出するとともに、前記原因事象の発生確率に基づいて影響される脅威の発生確率を算出し、
評価モジュールが、前記算出した値の時間経過に伴う変化を評価し、その変化が基準値以上の場合に特定の出力を行う
ことを特徴とするセキュリティ監視方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2012−93804(P2012−93804A)
【公開日】平成24年5月17日(2012.5.17)
【国際特許分類】
【出願番号】特願2010−237996(P2010−237996)
【出願日】平成22年10月22日(2010.10.22)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成24年5月17日(2012.5.17)
【国際特許分類】
【出願日】平成22年10月22日(2010.10.22)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]