ログ監視レベル制御装置
【課題】 記録すべきログ情報の容量を低減するとともに、不正なアクセスがなされる蓋然性が高い、過去にユーザに連続して利用され関連性があるファイルの利用に対しては、ログの監視レベルを高め、十分にログ情報を収集することができるログ監視レベル制御装置の提供を目的とする。
【解決手段】 ログ情報に基づいてログ監視対象物をグループ化し、各グループにおいて最も高いログ監視レベルに他のログ監視対象物のログ監視レベルを合わせることにより、不正なアクセスがなされる蓋然性が高い関連性があるファイルのアクセスに対しては、監視レベルを高め、不正行為の追及を容易にする。
【解決手段】 ログ情報に基づいてログ監視対象物をグループ化し、各グループにおいて最も高いログ監視レベルに他のログ監視対象物のログ監視レベルを合わせることにより、不正なアクセスがなされる蓋然性が高い関連性があるファイルのアクセスに対しては、監視レベルを高め、不正行為の追及を容易にする。
【発明の詳細な説明】
【技術分野】
【0001】
情報漏えい対策のためのログ監視におけるログ監視レベル制御装置に関する。
【背景技術】
【0002】
近年、情報漏えい対策の観点から、組織のITシステムにおいて厳密なログ監視をすることが求められている。具体的には、ITシステムからログ情報を収集し、監査等の目的に利用する統合ログ管理システムによって、ITシステムのログを一括管理する、統合ログ管理技術が利用される事例が増加している。
従来のログ監視装置として特許文献1がある。すべてのログを記憶し管理するとその情報量は膨大になるために、特許文献1では、ユーザのセキュリティレベルに応じてログ情報の容量を低減する技術が開示されている。
【0003】
【特許文献1】特開2008−040745
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、ユーザが不正に情報(例えば、ファイル)を入手する際、単一のファイルを入手することは少なく、関連性のあるファイルを連続して入手することが多い。すなわち、漏洩する情報は、単一のファイルではなく、過去にユーザによって連続して利用された関連性があるファイルである可能性が高い。
一方、特許文献1のログ監視装置では、不正な行為をするユーザが、ファイルを入手した場合、ユーザのセキュリティレベルに応じて監視すべきログ情報の容量が決定されるため、セキュリティレベルの低い人物の行為については、十分なログ情報を収集できないという課題があった。
【0005】
この発明は、上記のような課題を解決するためになされたもので、記録すべきログ情報の容量を低減するとともに、不正なアクセスがなされる蓋然性が高い、過去にユーザに連続して利用され関連性があるファイルの利用に対しては、ログの監視レベルを高め、十分にログ情報を収集することができるログ監視レベル制御装置の提供を目的としている。
【課題を解決するための手段】
【0006】
このログ監視レベル制御装置は、ログ監視対象物とログ監視対象物の使用を監視する際のログ監視レベルとを対応づけて記憶したログレベル管理部、アクセスされたログ監視対象物のログ情報を記憶したログデータストア部、ログデータストア部に記憶されたログ情報に基づいて、ログ監視対象物をグループ化するログ監視対象物グループ化部、ログ監視対象物グループ化部によりグループ化された各グループにおいて、最も高いログ監視レベルに他のログ監視対象物のログ監視レベルを合わせるログ監視レベル動的変更部、を備えたものである。
【発明の効果】
【0007】
この発明は、ログ情報に基づいてログ監視対象物をグループ化し、各グループにおいて最も高いログ監視レベルに他のログ監視対象物のログ監視レベルを合わせることにより、不正なアクセスがなされる蓋然性が高い関連性があるファイルのアクセスに対しては、監視レベルを高め、不正行為の追及を容易にする。
【図面の簡単な説明】
【0008】
【図1】この発明の実施の形態1におけるログ監視レベル制御装置1を含むITシステムの構成図である。
【図2】この発明の実施の形態1におけるID&アクセス管理装置2と認証認可装置3のフロー図である。
【図3】この発明の実施の形態1における統合ログ管理装置4のフロー図である。
【図4】この発明の実施の形態1におけるID&アクセス管理装置2の構成情報データストア部25の構成図である。
【図5】この発明の実施の形態1におけるID&アクセス管理装置2の構成情報データストア部25に保存する依存関係を示すITシステム機器5およびエリアの構成図である。
【図6】この発明の実施の形態1におけるID&アクセス管理装置2のID・アクセス権限情報データストア部の構成図である。
【図7】この発明の実施の形態1における認証認可装置3の認証認可情報データストア部32の構成図である。
【図8】この発明の実施の形態1における統合ログ管理装置4の統合ログデータストア部43の構成図である。
【図9】この発明の実施の形態1におけるITシステム1の処理フローである。
【図10】この発明の実施の形態1におけるITシステム1の処理フローである。
【図11】この発明の実施の形態1におけるITシステム1の処理フローである。
【図12】この発明の実施の形態1におけるITシステム1の処理フローである。
【図13】この発明の実施の形態1におけるITシステム1の処理フローである。
【発明を実施するための形態】
【0009】
実施の形態1.
図1は、本実施の形態におけるログ監視レベル制御装置を含むITシステム1である。 ITシステム1は、ID&アクセス管理装置2、認証許可装置3、統合ログ管理装置4、ITシステム機器5から構成される。
ユーザ(利用者)6は、組織内のITシステム機器5を利用するものとする。
【0010】
ID&アクセス管理装置2は、ITシステム機器5を利用するユーザ6のユーザIDおよびアクセス権限を管理する。
ID&アクセス管理装置2は、ID&アクセス権限配信部21とアクセス権限動的更新部22とアクセス予測部23とアクセス権限最適化部24と構成情報データストア部25とID・アクセス権限データストア部26とID&アクセス権限管理部27と更新履歴管理部28から構成するとして説明する。各構成要素の説明は後述する。
【0011】
認証認可装置3は、ユーザ6がITシステム機器5にアクセスする際に、個人認証とアクセス認可の処理を行う。
認証許可装置3は、認証認可管理部31と認証認可情報データストア部32と認証認可実行部33とアクセス権限更新要求部34とアクセス権限更新確認部35から構成するとして説明する。各構成要素の説明は後述する。
【0012】
統合ログ管理装置4は、ユーザ6がITシステム機器にアクセスした際に出力されるログ情報を、リアルタイムに、あるいは、定期的に収集して保存する。
統合ログ管理装置4は、ログ管理部41とログ収集部42と統合ログデータストア部43とログ監視レベル動的更新部44から構成するとして説明する。各構成要素の説明は後述する。
【0013】
ITシステム機器5は、ユーザ6がアクセスする2以上の機器であり、これらの機器のログ情報が統合ログ管理装置4のログ収集部42を介して統合ログデータストア部43に保存される。
ITシステム機器5は、機器A51と機器B52から構成され、機器A51、機器B52は、例えば業務用パソコン、サーバ、ネットワーク機器などである。
【0014】
次に、ID&アクセス管理装置2の各構成要素について説明する。
ID&アクセス管理装置2のID&アクセス権限配信部21は、アクセス権限最適化部24で更新され、ID/アクセス権限データストア部26に保存されたユーザ6のID属性情報とアクセス権限を取得し、認証認可装置3の認証認可管理部31にユーザ6のユーザID・パスワードなどのID属性情報と、アクセス権限情報とを出力する。ID属性情報とアクセス権限情報の出力は、同情報の登録時あるいは変更時に、即時処理あるいは定時処理として実行される。
【0015】
ID&アクセス管理装置2のアクセス権限動的更新部22は、認証認可装置3のアクセス権限更新要求部34から、ID&アクセス権限管理部27を介して、ユーザ6のアクセス権限の更新要求を受けて、ITシステム機器5を利用するユーザ6のアクセス権限を動的に更新する。
【0016】
ID&アクセス管理装置2のアクセス予測部23は、統合ログ管理装置4のログ管理部41から取得した過去のログ情報に基づいて、ユーザ6が次にアクセスする傾向を予測(アクセス傾向予測)する。
アクセス予想部23は、統合ログ管理装置4のログ管理部41から入力されたログ情報に基づいて、ユーザの過去のアクセス履歴の傾向を分析し、同じタイミングで起こるアクセスを抽出する。ここでの傾向の分析は、あるユーザに特定してそのアクセスの履歴を分析しても良いし、ある機器に対するアクセス履歴の傾向を分析しても良い。
【0017】
ID&アクセス管理装置2のアクセス権限最適化部24は、ユーザ6のアクセス傾向の予測や、ITシステム機器5の物理的・論理的な構成情報をもとに、ユーザ6に割当てるアクセス権限の最適化を行い、最適化したアクセス権限をユーザ6のユーザIDに対応づけてID・アクセス権限データストア部26に保存する。
アクセス権限最適化部24(ログ監視対象物グループ化部)は、同じタイミングで起こるアクセス(ユーザが連続してするアクセスであってアクセス先は関連性がある可能性が高い)の組み合わせを、別の新たなアクセス権限グループIDとしてまとめて、ユーザ6に割り当てることもできる。その際、異なるログ監視レベルを持つアクセス権限グループIDをひとまとめにする場合は、そのうちの最大のログ監視レベルを、新たなアクセス権限グループIDのログ監視レベルとし、更新履歴管理部28を介して、統合ログ管理装置4のログ監視レベル動的更新部44に、アクセス権限グループIDとログ監視レベルの更新を要求する。
【0018】
アクセス予測部23、アクセス権限最適化部24により、1)アクセス権限をまとめることで、一人の利用者に割り当てるアクセス権限グループIDの数を減らすことができ、利用者ごとのアクセス権限管理が容易になる。また、2)ログ監視レベルの高いアクセスと、同じタイミングで起こる、より監視レベルの低いアクセスに対しても、高いログ監視レベルで記録を残すことができ、効果的なセキュリティの向上につながる。また、同じタイミングで起こる傾向が高いアクセスは、ひとまとめにして、最も高いログ監視レベルを与えることで、ログ記録量の低減と、セキュリティの維持を両立することができる。
【0019】
ID&アクセス管理装置2の構成情報データストア部25は、ITシステム機器5の物理的・論理的な構成情報を保存している。
ID&アクセス管理装置2のID・アクセス権限データストア部26は、ID&アクセス権限管理部27の要求によりユーザ6のユーザID・パスワードなどのID属性情報とアクセス権限情報を保存、または、アクセス権限最適化部24によって最適化されたユーザIDに対応したアクセス権限情報を保存する。
【0020】
ID&アクセス管理装置2のID&アクセス権限管理部27は、ITシステムの管理者が、ユーザ6のユーザID・パスワードなどのID属性情報と、アクセス権限情報とを管理するためのインターフェースを提供し、ITシステムの管理者によって入力されたユーザ6のID属性情報とアクセス権限情報をID・アクセス権限データストア部に保存する。
【0021】
ID&アクセス管理装置2の更新履歴管理部28は、ID・アクセス権限データストア部26に保存されているユーザ6のユーザID・パスワードなどのID情報とアクセス権限情報に基づいて、ID属性情報とアクセス権限情報の更新履歴を作成してID・アクセス権限データストア部26に保存し、更新履歴を統合ログ管理装置4のログ監視レベル動的更新部44に要求に応じて出力する。
【0022】
次に、認証認可装置3の各構成要素について説明する。
認証認可装置3の認証許可管理部31は、認証認可情報を管理するためのインターフェース(認証認可装置の管理者が認証認可情報を確認したり、認証認可情報の動的更新を手動で実行するような管理捜査を行うインターフェースと、外部装置から参照あるいは更新要求を受けて、要求された処理を行うインターフェース)を提供する。ID&アクセス管理装置2のID&アクセス権限配信部21から入力したユーザ6のユーザID・パスワードなどのID属性情報と、アクセス権限情報を認証認可情報データストア部32に出力する。
【0023】
認証認可装置3の認証認可情報データストア部32は、認証認可管理部31から入力した認証認可に必要な設定情報、および、ユーザ6のID・パスワードなどのID情報、アクセス権限情報を保存する。
認証認可装置3の認証認可実行部33は、ユーザ6のITシステム機器5へのアクセス時に、ITシステム機器5から認証および認可の実行要求を受け、認証認可情報データストア部32のデータに基づいて、ユーザ6の個人認証およびITシステム機器5へのアクセスの認可を行い、ITシステム機器5へのアクセス制御を実行する。
【0024】
認証認可装置3のアクセス権限更新要求部34は、ユーザ6がITシステム機器5にアクセスする際に、必要に応じてアクセス権限の更新をID&アクセス管理装置2のID&アクセス権限管理部27を介して、アクセス権限動的更新部22に要求し、アクセス権限更新確認部35にアクセス権限の更新を通知する。
認証認可装置3のアクセス権限更新確認部35は、ユーザ6のアクセス権限の更新が必要な場合に、アクセス権限更新要求部34からアクセス権限の更新の通知があれば、ユーザ6にアクセス権限の更新に対して明示的あるいは暗黙的に同意を得るための方法を提供し、通知する。
【0025】
次に、統合ログ管理装置4の各構成要素について説明する。
統合ログ管理装置4のログ管理部41は、統合ログ管理装置4の統合ログデータストア部43に集積されたログ情報を監査するログ運用者の操作画面などに、ログ情報を入出力する外部装置向けの管理インターフェースを提供する。また、管理部41は、集積されたログ情報をID&アクセス管理装置2のアクセス予測部23の要求に応じて、統合ログデータストア部43のログ情報をID&アクセス管理装置2のアクセス予測部に出力する。
【0026】
統合ログ管理装置4の統合ログデータストア部43は、ログ収集部42が収集したログ情報や、ログ監視レベル動的更新部44によって動的に更新されたログ監視レベルの設定情報を保存する。
統合ログ管理装置4のログ収集部42は、ログ収集対象であるITシステム機器5から、リアルタイムあるいは定期的に、統合ログデータストア部43に保存されているユーザ6に対応またはITシステム機器5に対応したログ監視レベルに合致した分量のログ情報を収集して統合ログデータストア部43に保存する。
【0027】
統合ログ管理装置4のログ監視レベル動的更新部44は、ID&アクセス管理装置2の更新履歴管理部28から、ユーザ6のアクセス権限の更新の履歴情報を取得し、ユーザ6ごとに適用するログ監視レベルを動的に更新する。また、ID&アクセス管理装置2の更新履歴管理部28を介して、アクセス権限最適化部24からの要求で、ユーザ6に割り当てられた新たなアクセス権限グループIDへのログ監視レベルの設定を行う。
【0028】
図2により、ユーザ6がITシステム機器5へアクセスする際のログ監視に関するID&アクセス管理装置2と認証認可装置3の基本的な処理の流れを説明する。
まず、ユーザ6が、ITシステム機器5の機器A51または機器B52の種類に応じた方法で、ITシステム機器5にアクセスを試みる(ST101)。ITシステム機器5の種類によって、OSへのログイン、電子ファイルへのアクセス、入退室用のICカードによるゲート通過など、アクセス方法は異なる。
【0029】
次に、認証認可装置3の認証認可実行部33が、ITシステム機器5を利用するユーザ6の個人認証を行い(ST102)、認証が成功したか否かを判断する(ST103)。
実際にユーザ6の個人認証を実施する実体は、対象のITシステム機器5自体であってもよい。その場合は、認証認可装置3はITシステム機器5から認証成否の情報を取得し、当該認証成否情報に従って、ユーザ6の認証成否を決定する。なお、認証方法は、対象のITシステム機器5ごとに定める方法で実施される。
【0030】
次に、ST103で、認証に成功した場合は、認証認可装置3のアクセス権限更新要求部35が、ID&アクセス管理装置2のアクセス権限動的更新部22に、アクセス権限の更新処理を要求する(ST104)。
【0031】
次に、ID&アクセス管理装置2のアクセス予測部23が、統合ログ管理装置4のログ管理部41からユーザ6の過去のログ情報を取得する。過去のログ情報から、ベイズ理論を用いた予測などの任意の統計的手法により、次のアクセスの種類や傾向を予測する(ST105)。
【0032】
次に、ID&アクセス管理装置2のアクセス権限最適化部24が、ID&アクセス管理装置2の構成情報データストア部25に保存されているアクセス対象間の依存関係の情報(アクセス対象間で必ず直前または直後に特定のアクセス対象への操作が伴うような依存関係の情報)とアクセス傾向予測に基づいて、ユーザ6に割り当てるアクセス権限が最適になるように変更し、ID・アクセス権限データストア部26に保存する(ST106)。
【0033】
例えば、アクセス権限最適化部24は、同じタイミングで起こるアクセス(ユーザが連続してするアクセスであってアクセス先は関連性がある可能性が高い)の組み合わせを、別の新たなアクセス権限グループIDとしてまとめて、ユーザ6に割り当てることもできる。その際、異なるログ監視レベルを持つアクセス権限グループIDをひとまとめにする場合は、そのうちの最大のログ監視レベルを、新たなアクセス権限グループIDのログ監視レベルとし、更新履歴管理部28を介して、統合ログ管理装置4のログ監視レベル動的更新部44にログ監視レベルの更新を要求する。
【0034】
また、例えば、予測される次のアクセスの権限の強さ(あるいは対応するログ監視レベル)が現状と等しい場合は、続くと予測されるアクセスの権限も事前に割り当てておく、などの処理を行う。あるいは、構成情報データストアの情報から、現在のアクセスが成功することにより、機器の接続や建物の構造といったシステム構成上の依存情報に基づき、次に発生するはずがないアクセスに関するアクセス権限を 自動で割当解除する などの処理を行う。
【0035】
次に、ID&アクセス管理装置2のID&アクセス権限配信部21が、ST105で更新された、ユーザ6に割り当てられた有効なアクセス権限の情報を、認証認可装置3の認証認可管理部31に通知する(ST107)。
【0036】
次に、認証認可装置3のアクセス権限更新確認部35が、ユーザ6にアクセス権限が更新されたことを通知し、明示的あるいは暗黙的に同意を得て確認する(ST108)。
通知方法は、アクセス対象のITシステム機器5によって異なる。典型的には、アクセスしようとするPCの画面に、アクセス権限が昇格または降格される旨の表示を行い、同意確認をユーザ6に問うための情報入力方法が提供される。
【0037】
そして、ユーザ6に明示的あるいは暗黙的に同意を得た後、認証認可装置3の認証認可実行部33が、認証認可装置3の認証認可情報データストア部32のユーザ6に割り当てられた(現在の有効な)アクセス権限に関する情報を更新し、その情報に基づいてユーザ6のアクセスの認可を判定し(ST109)、アクセスの認可の可否によってユーザ6のアクセスの許可の可否を判断する(ST110)。
ST109で認可された場合は、ユーザ6のアクセスが許可される(ST111)。
ST102で認証されなかった場合、または、ST110で認可されなかった場合は、ユーザ6にITシステム機器5のアクセスが許可されず、ユーザ6はITシステム機器5を利用できない(ST112)。
【0038】
図3により、統合ログ管理装置4によるログ情報収集の基本的な流れを説明する。
まず、統合ログ管理装置4のログ管理部41が、深夜のバッチ処理などで定期的に、ログ監視レベルの動的更新およびログ収集のプロセスを開始する(ST201)。
【0039】
次に、統合ログ管理装置4のログ監視レベル動的更新部44が、ログ収集対象期間に応じて、当該ログ収集対象期間におけるユーザ6のアクセス権限の更新履歴情報をID&アクセス権限管理装置2の更新履歴管理部28から取得し、取得したアクセス権限の強さに対応して、規定のログ監視レベルをユーザ6のログ監視レベルとして設定する(ST202)。また、ID&アクセス管理装置2のアクセス権限最適化部24のログ監視レベルのグループ化の要求に応じて、ログ監視レベルを更新する。
【0040】
統合ログ管理装置4のログ収集部42が、ユーザ6毎のログ監視レベルに応じて、必要な分だけITシステム機器5からログ情報を収集し、統合ログ管理装置4の統合ログデータストア部(ログデータストア部)43に保存する(ST203)。
【0041】
図4乃至8を用いて、各データストア部で所持する情報の一例を示す。
図4に、ID&アクセス管理装置2の構成情報データストア部25の構成例を示す
構成情報データストア部25は、位置情報テーブル251と依存関係情報テーブル252から構成される。
図4の例で、位置情報テーブルは、ITシステム機器IDと、ITシステム機器に対応する設置エリアの情報から構成される。
【0042】
また、依存関係情報テーブル252は、アクセス対象間の関連情報を管理し、依存元ID、依存元操作、依存先ID,依存先操作、依存関係種別から構成される。なお、図4の例では、ITシステム機器ID、アクセス対象ID、操作などのID情報は、図6のID・アクセス権限情報データストアと共通の情報である。ここでの依存関係とは、例えば、あるアクセス対象に操作を行う際には、セキュリティ上の制約や建物の構造上の制約から、必ず直前または直後に特定のアクセス対象への操作が伴うような場合のアクセス対象間の関係をいう。
【0043】
次に、図5で、ID&アクセス管理装置2の構成情報データストア部25に保存する依存関係の例として、ITシステム機器5およびエリアの構成図を示す。
ITシステム機器5およびエリアの構成は、会社ビル7の正門ゲート71と1階サーバルーム72と2階管理室73から構成されている。
1階サーバルーム72には、ゲート721とファイルサーバ722と入退室管理サーバ723がある。
2階管理室73には、ゲート731と管理端末732がある。
【0044】
1階サーバルーム72のファイルサーバ722と入退室管理サーバ723、2階管理室73の管理端末732は、図1のITシステム機器5の機器A51または機器B52に相当し、構内ネットワークで通信可能となっている。
図5の例では、建物などの物理的な制約とセキュリティ上のアクセス制約から、システム間のアクセスには、図5の構成情報データストア部25の依存関係情報テーブルに示したような、次の依存関係が存在する。
【0045】
「正門ゲート71に入室しなければ、1階サーバルーム72には入室できない。」「正門ゲート71に入室しなければ、2階管理室73にアクセスできない。」「1階サーバルーム72に入室(ゲート721から入室)しなければ、ファイルサーバ722のOSにログインできない。」「1階サーバルーム72に入室しなければ、入退室管理サーバ723のOSにログインできない。」「2階管理室73に入室(ゲート731から入室)しなければ、管理端末732のOSにログインできない。」「管理端末732にログインしなければ、ファイルサーバ722上のセキュリティ情報を読み出すことができない。」
【0046】
次に、図6で、ID&アクセス管理装置2のID・アクセス権限情報データストア部の構成例を示す。
ID・アクセス権限情報データストア部2は、ユーザ情報テーブル261、有効アクセス権限グループ割当情報テーブル262、最大アクセス権限グループ割当情報テーブル263、アクセス権限情報テーブル264、アクセス対象情報テーブル265、ITシステム機器情報テーブル266から構成されている。
【0047】
ユーザ情報テーブル261は、ITシステム機器5を利用するユーザ6に関する情報であり、ユーザを一意に識別する識別情報と、ユーザが持つ複数の属性情報で構成される。 本例では、識別情報にはユーザIDを、属性情報には氏名、パスワード、社員証カード番号を保持している。パスワードは、PCなどのITシステム機器にアクセスする際要求される個人認証で用いるクレデンシャル情報であり、社員証カードは、入退用のゲートを通過するときに必要なICカードを識別するためのクレデンシャル情報である。
【0048】
有効アクセス権限グループ割当情報テーブル262は、ITシステム機器5を利用するユーザ6に現在割当てられているアクセス権限をグループで管理する有効アクセス権限グループ割当情報であり、ユーザIDとアクセス権限グループIDから構成される。
アクセス権限グループIDは、ユーザ6に割り当てられているアクセス権限のセットを一意に示す識別子であり、ID&アクセス管理装置2のアクセス権限最適化部24によって同じタイミングで起こるアクセスのアクセス権限がグループ化される。同じITシステム機器5を利用するユーザ6に、複数のアクセス権限グループを割当てることも可能である。
【0049】
最大アクセス権限グループ割当情報テーブル263は、ユーザ6に割当てることが許可されている、すべてのアクセス権限グループIDの集合を管理する情報であり、ユーザIDとアクセス権限グループIDから構成される。
あるユーザ6に対する有効アクセス権限グループ割当情報(有効アクセス権限グループ割当情報テーブル262で管理している情報)は、必ず同じユーザに対する最大アクセス権限グループ割当情報の部分集合でなければならない。
【0050】
アクセス権限情報テーブル264は、アクセス権限のグループごとのアクセス許可(アクセス対象IDと、許可操作のセット)の情報であり、アクセス権限グループIDとアクセス対象IDと許可操作の情報から構成される。
図6の例で、許可操作の定義は、R:ファイルの読み出し、W:ファイルへの書き込み、R+W:ファイルの読み出しとファイルへの書き込み、IN:入室、OUT:退室、IN+OUT:入退室、LOGIN:パソコン・サーバなどへのログインである。
同じアクセス権限のグループが、複数のアクセス許可を含むことも可能である。
【0051】
アクセス対象情報テーブル265は、ユーザ6がアクセスすることができるITシステム機器5の最小単位の情報を保持するアクセス対象情報であり、アクセス対象ID、アクセス対象名称、アクセス対象種別、親システム機器ID等から構成される。
図2の例で、アクセス対象種別の定義は、ファイル:ファイルサーバなどで管理される電子ファイルへのアクセス、ゲート:入退室管理サーバで管理され、施錠管理されている扉の入退室、ログイン:パソコン、サーバなどへのシステムログイン、親システムID:アクセス対象を管理しているITシステム機器を識別するIDである。
【0052】
ITシステム機器情報テーブル266は、ユーザ6が利用する(物理的・論理的にアクセスする)ITシステム機器5に関するITシステム機器情報であり、ITシステム機器を識別するITシステム機器IDと、ITシステム機器の名称を示すITシステム機器名称などから構成される。
【0053】
次に、図7で、認証認可装置3の認証認可情報データストア部32の構成例を示す。
認証認可情報データストア部32の内容は、図5のID&アクセス管理装置2のID・アクセス権限情報データストア部26の内容と同様となる。ただし、認証認可情報データストア部32には、最大アクセス権限グループ割当情報テーブルはない。
【0054】
図8に、統合ログ管理装置4の統合ログデータストア部43の構成例を示す。
統合ログデータストア部43は、ログ情報テーブル431とログ監視レベル割当情報テーブル432とログ監視レベル更新譲歩テーブル433から構成される。
統合ログデータストア部43(ログデータストア部)は、ログ監視対象物とログ監視対象物の使用を監視する際のログ監視レベルとを対応付けて記憶し、ユーザ6にアクセスされたログ監視対象物のログ情報を記憶している。
ログ情報テーブル431は、ITシステム機器から収集したログ情報を保存する。
図8の例では、ログ情報は、日時:ログ情報が発生した日時、機器ID:ログ情報の収集元であるITシステム機器ID、対象ID:ログの対象となったアクセス対象のアクセス対象ID、ログ種別:ログ情報の種別、ユーザID:ログに対応する操作を行ったITシステム機器5を利用するユーザ6のユーザID、ログ内容:ログ内容の記述から構成される。
【0055】
ログ監視レベル割当情報テーブル432は、アクセス権限の大きさに応じて割り当てる、ログ監視レベルの設定値を管理する。図8の例では、ログ監視レベル割当情報テーブル432は、アクセス権限グループID、ログ監視レベルから構成される。ログ監視レベルは5段階の数値で表されており、数値が小さいほど監視レベルが高い。
【0056】
ログ監視レベル更新情報テーブル433は、ユーザID、ログ監視レベル、開始日時(ログ監視開始日時)、終了日時(ログ監視終了日時)から構成される。
ユーザ6の過去のアクセス権限の履歴情報に応じて、当該ユーザ6のログ監視レベルを開始日時と終了日時で区分された時間範囲ごとに保持しておく。
実際に、統合ログ管理装置4のログ収集部42がITシステム機器5のログ情報を収集する際には、時間範囲ごとのログ監視レベルの変動に応じて、ログ監視レベルに応じて定められているITシステム機器のログ取得量(範囲、量)のみを取得する。
【0057】
図9乃至13において、図4乃至8で示したデータストア構成の値を用いた、実際のアクセスに対する動作例を示す。
図9は、ユーザ6が正門ゲート71を入室しようとした際の動作例を示す。
ユーザ6(ユーザID:USER002)が、自身の社員証カードを正門ゲート71のカードリーダ(図示せず)にかざして、正門ゲート71に入室を試みる(ST301)。
【0058】
入退室管理サーバ723が、カードリーダから取得した社員証カード番号を、入退室管理サーバ723のデータベースと照合し、ユーザ6を認証し、認証成功と判断する。
入退室管理サーバ723は、認証結果を、認証認可装置3の認証認可管理部31に通知する。
認証認可装置3の認証認可管理部31は、認証認可装置3の認証認可情報データストア部32と照合し、ユーザ6(ユーザID:USER002)の認証成功を確認する(ST302)。
【0059】
認証認可装置3のアクセス権限更新要求部34が、ID&アクセス管理装置2のアクセス権限動的更新部22に、現在のアクセス内容を通知し、アクセス権限更新を要求する(ST303)。
【0060】
ID&アクセス管理装置2のアクセス予測部23が、統合ログ管理装置4からユーザ6(ユーザID:USER002)の過去のアクセスログの履歴情報を取得する。そして、現在のアクセス(正門ゲート71の入室)と、過去のアクセスログの履歴情報から、続いて起こる可能性が最も高いアクセス「1階サーバルーム72への入室」を予測する(ST304)。
【0061】
次に、ID&アクセス管理装置2のアクセス権限最適化部24が、ST304で予測したアクセス予測とID&アクセス管理装置2の構成情報データストア部25の情報から、ユーザ6に割り当てるアクセス権限が最適になるように変更する。(ST305)
まず、現在のアクセス(正門ゲート71の入室)の権限が有効であることを、ID&アクセス管理装置2のID&アクセス権限データストア部26の有効アクセス権限グループ割当情報テーブル262を検索して確認する。また、予想される次のアクセスである「1階サーバルーム72への入室」は現在割り当てられているアクセス権限よりも強い(ログ監視レベルが高い)ため、「1階サーバルーム72への入室」権限の追加割当ては行われない。
【0062】
ID&アクセス管理装置2のID&アクセス権限配信部21が、ID&アクセス管理装置2のID&アクセス権限データストア部26の情報から現在のユーザ6に割り当てられた有効なアクセス権限を認証認可装置3に通知する。今回は、アクセス権限割当に変更がないことが通知される(ST306)。
【0063】
認証認可装置3の認証認可実行部33が、認証認可装置3の認証認可情報データストア部32を参照し、ユーザ6のアクセスの認可可否を決定する。
ここでは、認証認可情報データストア部32の有効アクセス権限グループ割当情報テーブルから、ユーザID:USER002に割り当てられたアクセス権限ACCS_GRP_00を取得する。続けて、認証認可情報データストア部32のアクセス権限情報テーブルから、アクセス権限ID:ACCS_GRP_00の情報を取得し、ユーザID:USER002が、正門ゲート71(アクセス対象ID:obj_0003)入室(許可操作:IN)の権限を有することを確認する(ST307)。
【0064】
認証認可装置3が、入退室管理サーバ723にアクセス許可を通知した後、入退室管理サーバ723が、正門ゲート71を開き、ユーザ6(ユーザID:USER002)が入室する(ST308)。
【0065】
図10は、ユーザ6が正門ゲート71に入室した後、2棟管理室73のゲート731を入室しようとした際の動作例を示す。
ユーザ6(ユーザID:USER002)が、自身の社員証カードを2階管理室73のゲート731のカードリーダにかざして、2階管理室73のゲート731に入室を試みる(ST401)。
【0066】
入退室管理サーバ723が、カードリーダから取得した社員証カード番号を、入退室管理サーバ723のデータベースと照合し、ユーザ6を認証して認証成功と判断する。
入退室管理サーバ723は、認証結果を、認証認可装置3の認証認可管理部31に通知する。
認証認可装置3の認証認可管理部31は、認証認可装置3の認証認可情報データストア部32と照合し、ユーザ6(ユーザID:USER002)の認証成功を確認する(ST402)。
【0067】
次に、認証認可装置3のアクセス権限更新要求部34が、ID&アクセス管理装置2のアクセス権限動的更新部22に、現在のアクセス内容を通知し、アクセス権限更新を要求する(ST403)。
【0068】
次に、ID&アクセス管理装置2のアクセス予測部23が、統合ログ管理装置4のログ管理部41からユーザ6(ユーザID:USER002)の過去のアクセスログの履歴情報を取得する。そして、現在のアクセス(2階管理室73のゲート731の入室)と、過去のアクセスログの履歴情報から、次に起こる可能性が最も高いアクセス「管理端末732のOSへのログイン」を予測する(ST404)。
【0069】
ID&アクセス管理装置2のアクセス権限最適化部24が、ST404で予測したアクセス予測とID&アクセス管理装置2の構成情報データストア部25の情報から、ユーザ6に割り当てるアクセス権限が最適になるように変更する(ST405)。
【0070】
まず、現在のアクセス(2階管理室73のゲート731の入室)の権限が有効ではないため、ID&アクセス権限データストア部26の最大アクセス権限グループ割当情報テーブルを検索し、ユーザID:USER002に、2階管理室73のゲート731の入室の権限(アクセス権限グループID:ACCS_GRP_04)を割当ることが可能であることを確認した後、当該アクセス権限をUSER002に追加で割り当てる。
【0071】
また、続くアクセスの予測である「管理端末732のOSへのログイン」は現在割り当てられているアクセス権限と同等以下である(ログ監視レベルが同じか低い)ため、追加割当を行っても良いと判断し、管理端末732のOSへのログインのアクセス権限(アクセス権限グループID:ACCS_GRP_05)を自動で割当てておく。
【0072】
ID&アクセス管理装置2のID&アクセス権限配信部21が、ユーザ6に割り当てられた現在有効なアクセス権限を認証認可装置3の認証認可管理部31に通知する。
今回は、2階管理室ゲートの入室(アクセス権限グループID:ACCS_GRP_04)、管理端末723のOSへのログインのアクセス権限(アクセス権限グループID:ACCS_GRP_05)が追加されたことが通知される(ST406)。
【0073】
認証認可装置3の認証認可実行部33が、認証認可装置3の認証認可情報データストア部32を参照し、ユーザ6のアクセスの認可可否を決定する(ST407)。
ここでは、認証認可情報データストア部32の有効アクセス権限グループ割当情報テーブルから、USER002に割り当てられたアクセス権限ACCS_GRP_00、ACCS_GRP_04、ACCS_GRP_05を取得する。
続けて、認証認可情報データストア部32のアクセス権限情報テーブルから、アクセス権限ID:CCS_GRP_04の情報を取得し、ユーザID:USER002が、2階管理室(アクセス対象ID:ojbj_0006)入室(許可操作:IN)の権限を有することを確認する。
【0074】
認証認可装置3が、入退室管理サーバ723にアクセス許可を通知した後、入退室管理サーバ723が、2階管理室73のゲート731を開き、ユーザ6(ユーザID:USER002)が入室する(ST408)。
【0075】
図11は、ユーザ6が2階管理室73のゲート731から入室した後、管理端末732のOSにログインしようとした際の動作例を示す。
ユーザ6(ユーザID:USER002)が、管理端末732を操作し、自身のユーザIDとパスワード入力して、管理端末732のOSにログインを試みる(ST501)。
【0076】
管理端末832は、入力されたユーザIDとパスワードを認証認可装置3の認証認可管理部31に通知し、ユーザ認証を要求する。
認証認可装置3の認証認可管理部31は、認証認可装置3の認証認可情報データストア部32と照合し、ユーザ6(ユーザID:USER002)の認証成功を確認する(ST502)。
【0077】
認証認可装置3のアクセス権限更新要求部34が、ID&アクセス管理装置2のアクセス権限動的更新部22に、現在のアクセス内容を通知し、アクセス権限の更新を要求する(ST503)。
【0078】
ID&アクセス管理装置2のアクセス予測部23が、統合ログ管理装置4のログ管理部41からユーザ6(ユーザID:USER002)の過去のアクセスログの履歴情報を取得する。そして、現在のアクセス(管理端末732のOSへのログイン)と、過去のアクセスログの履歴情報から、続いて起こる可能性が最も高いアクセス「セキュリティ情報のファイルの読み出し」を予測する(ST504)。
【0079】
ID&アクセス管理装置2のアクセス権限最適化部24が、ST504で予測したアクセス予測とID&アクセス管理装置2の構成情報データストア部25の情報から、ユーザ6に割り当てるアクセス権限が最適になるように変更する(ST505)。
まず、現在のアクセス(管理端末732のOSへのログイン)の権限が有効であることを確認する。
また、続くアクセスの予測である「セキュリティ情報のファイルの読み出し」のアクセス権限は、現在割り当てられているアクセス権限よりも強い(ログ監視レベルが高い)ため、当該アクセス権限の追加割当ては行われない。
【0080】
ID&アクセス管理装置2のID&アクセス権限配信部21が、現在のユーザ6に割り当てられた有効なアクセス権限を認証認可装置3の認証認可管理部31に通知する(ST506)。今回は、アクセス権限に変更がないことが通知される。
【0081】
認証認可装置3の認証認可実行部33が、認証認可装置3の認証認可情報データストア部32を参照し、ユーザ6のアクセスの認可可否を決定する(ST507)。
ここでは、認証認可情報データストア部32の有効アクセス権限グループ割当情報テーブルから、USER002に割り当てられたアクセス権限ACCS_GRP_00、ACCS_GRP_04、ACCS_GRP_05を取得する。続けて、認証認可情報データストア部32のアクセス権限情報テーブルから、アクセス権限ID:ACCS_GRP_05の情報を取得し、ユーザID:USER002が、管理端末732のOS(アクセス対象ID:obj_0005)へのログイン(許可操作:LOGIN)の権限を有することを確認する。
【0082】
認証認可装置3の認証認可管理部31が、管理端末732のOSにアクセス許可を通知した後、管理端末732のOSがユーザ6(ユーザID:USER002)のログインを許可する。
【0083】
次に、図12で、ユーザ6が、管理端末732のOSにログインして操作を終えた後、2階管理室73のゲート731から退室しようとした際の動作例を示す。
【0084】
ユーザ6(ユーザID:USER002)が、2階管理室73のゲート731に、自身の社員証カードをかざして、2階管理室73のゲート731からの退室を試みる(ST601)。
【0085】
次に、1階サーバルーム72の入退室管理サーバ723が、2階管理室73のゲート731でカードリーダから取得した社員証カード番号を、自身のデータベースと照合し、ユーザ6を認証して認証成功と判断する。
入退室管理サーバ723は、認証結果を、認証認可装置3の認証認可管理部31に通知する。
認証認可装置3の認証認可管理部31は、認証認可装置3の認証認可情報データストア部32と照合し、ユーザ6(ユーザID:USER002)の認証成功を確認する(ST602)。
【0086】
次に、認証認可装置3のアクセス権限更新要求部34が、ID&アクセス管理装置2のアクセス権限動的更新部22に、現在のアクセス内容を通知し、アクセス権限更新を要求する(ST603)。
【0087】
次に、ID&アクセス管理装置2のアクセス予測部23が、統合ログ管理装置4からユーザ6(ユーザID:USER002)の過去のアクセスログ履歴情報を取得する。そして、現在のアクセス(2階管理室73のゲート731から退室)と、過去のアクセスログの履歴情報から、続いて起こる可能性が最も高いアクセス「正門ゲート71の退室」を予測する(ST604)。
【0088】
次に、ID&アクセス管理装置2のアクセス権限最適化部24が、ST204で予測したアクセス予測とID&アクセス管理装置2の構成情報データストア部25の情報から、ユーザ6に割り当てるアクセス権限が最適になるように変更する(ST605)。
【0089】
まず、現在のアクセス(2階管理室73のゲート731から退室)の権限が有効であることを、ID&アクセス管理装置2のID・アクセス権限データストア部26の有効アクセス権限グループ割当情報テーブル262を検索して確認する。
次のアクセスの予測である「正門ゲートの退室」の権限も割当済みであることを確認し、追加の割当は行わない。
また、構成情報データストア部25を参照し、2階管理室73から退室することで「管理端末732のOSへのログイン」が次のアクセスで起こらないことが確認できるため、当該アクセス権限(ACCS_GRP_05)の割当てを自動で解除する。
【0090】
さらに、過去のアクセス傾向から「2階管理室73への入室」と「管理端末732のOSへのログイン」が同時に起こる可能性が規定の高さを超えている場合、新たに「2階管理室73のゲート731への入室、および、管理端末732のOSへのログイン」の2つのアクセスを許可するアクセス権限グループ(アクセス権限グループID:ACCS_GRP_08)を自動で作成し、1つのアクセス権限グループIDで2つの操作許可を管理できるように最適化する。また、ID&アクセス管理装置2のID・アクセス権限データストア部26の最大アクセス権限グループ割当情報テーブル263に、USER002に割り当てるアクセス権限ACCS_GRP_08を追加する処理を行っておく。
なお、これら一連の最適化処理は、ユーザ6のアクセス発生時以外でも、定期的な処理として実施することも考えられる。
【0091】
次に、ID&アクセス管理装置2のID&アクセス権限配信部21が、現在のユーザ6に割り当てられた有効なアクセス権限を認証認可装置3の認証認可管理部31に通知する(ST606)。
今回は「管理端末732のOSへのログイン」のアクセス権限(ACCS_GRP_05)の割当が解除されたことが通知される。
【0092】
そして、認証認可装置3のアクセス権限更新確認部35が、ユーザ6にアクセス権限が更新されたことを通知し、確認する。
次に、認証認可装置3の認証認可実行部33が、認証認可装置3の認証認可情報データストア部32を参照し、ユーザ6のアクセスの認可可否を決定する(ST607)。
ここでは、ID&アクセス権限データストア部26の有効アクセス権限グループ割当情報テーブル262から、USER002に割り当てられたアクセス権限ACCS_GRP_00、ACCS_GRP_04を取得する。
【0093】
続けて、ID&アクセス権限データストア部26のアクセス権限情報テーブル264から、アクセス権限ID:ACCS_GRP_04の情報を取得し、ユーザID:USER002が、2階管理室73(アクセス対象ID:obj_0006)のゲート731からの退室(許可操作:OUT)の権限を有することを確認する(ST607)。
【0094】
認証認可装置3の認証認可実行部33が、1階サーバルーム72の入退室管理サーバ723にアクセス許可を通知した後、入退室管理サーバ723が、2階管理室73ゲート731を開き、ユーザ6(ユーザID:USER002)が退室する(ST608)。
【0095】
次に、図5を用いて、関連性のあるファイルをその中で最も高いログ監視レベルまで引き上げることについて、具体的に説明する。
図示しないが、ここでは2階に管理室が2階管理室73Aと2階管理室73Bとがあるとして説明する。2階管理室73Aに管理端末732A、2階管理室73Bに管理端末732Bが設置され、それぞれの管理端末からログ監視レベルが異なるファイルをアクセスする例を示す。
【0096】
この例では、ログ監視レベルの低いファイルへのアクセスの前後にログ監視レベルの高いファイルへのアクセスが起こっている場合に、ログ監視レベルの低いファイルであっても、高いログ監視レベルに設定しておくことによって、セキュリティレベルの低下を回避できることを説明する。
【0097】
ファイルAは、機密等級が「秘」の顧客情報ファイルであり、顧客ID、顧客名称、顧客住所、顧客電話番号などを含んでいる。
ファイルBは、機密等級が「社外秘」の、購入履歴ファイルであり、顧客ID、購入物、購入金額などを含んでいる。
ルームXは、図5の2階管理室73Aに相当し、ファイルAにアクセスできるPC端末(管理端末732Aに相当)が設置されている。
ルームYは、図5の2階管理室73Bに相当し、ファイルBのみにアクセスできるPC端末(管理端末732Bに相当)が設置されている。
【0098】
ファイルAへのアクセスはログ監視レベル5である。
ファイルBへのアクセスはログ監視レベル3である。
ルームXへの入室(2階管理室73Aのゲート731Aに相当からの入室)は、ログ監視レベル5である。
ルームYへの入室(2階管理室73Bのゲート731Aに相当からの入室)は、ログ監視レベル3である。
ファイルBは、社内のみで識別に用いている「顧客ID」に対して、何をどれだけ販売したかを示す情報であり、実際に誰が購入したのかは社外の人にはわからないため、単体では社外秘情報であり、ログ監視レベルは低く設定されている。
【0099】
しかし、ファイルAとファイルBの両方にアクセスした場合、ファイルAに記述された顧客IDに対応づけられた顧客の個人情報を知ることに加えて、「誰が何を購入したか」という「秘」相当の情報まで知ることができる。この場合ファイルBのログ監視レベルは、ファイルAと同等にする必要がある。
【0100】
次に、ユーザ6がファイルXおよびファイルYにアクセスする際にアクセス権限最適化部24によって最適化されるログ監視レベルについて説明する。
まず、ユーザ6がルームXに入室し、ルームXのPC端末にログインし、ファイルAを見て、ルームXから退室する。続いて、ルームYに入室し、ルームYのPC端末にログインし、ファイルBを見て、ルームYから退室する。
【0101】
このような場合、統合ログ管理装置4のログ情報からファイルAとファイルBを同じタイミングでアクセスする傾向が抽出されると、ファイルAとファイルBに同じアクセス権限グループが自動で割り当てられる。
そして、ファイルAあるいはファイルBのアクセス権限グループのログ監視レベルは5であるため、ファイルAとファイルBのどちらもログ監視レベルが5となる。
そのため、ファイルBを見る場合、ログ監視レベル5のアクセスが要求されることとなり、セキュリティレベルの低下を回避できる。
【0102】
このように、ID&アクセス管理装置2のアクセス権限最適化部24によって、ログ情報に基づいてアクセス権限がグループ化され、ログ監視レベルが高い方に設定されることにより、連続したファイルへのアクセスにおいて、セキュリティレベルの低下を回避することができる。
ここでは、ファイルAとファイルBとは、別の管理室の別の管理端末からアクセスするとしたが、この発明はこれに限定されず、同じ管理端末からアクセスできる場合も含まれる。
【0103】
また、ここでは、アクセス権限最適化部24(ログ監視対象物グループ化部)が、ユーザのアクセス情報に基づいてグループ化する例について説明したが、ログ情報から、連続して使用されることが多いファイル(ログ監視対象物)をグループ化してもよい。
【0104】
また、アクセス権限最適化部24が、ログ情報から、連続して使用されるファイル(ログ監視対象物)が、予め定められた回数を超えて使用される場合にグループ化してもよい。
【0105】
次に、図13で、統合ログ管理装置4が、ITシステム機器5からログ情報を収集する際の動作例を示す。
統合ログ管理装置4が、深夜のバッチ処理などで定期的にユーザ6のアクセス権限履歴に応じた、ログ監視レベルの動的更新とログ収集のプロセスを実行する(ST701)。
ここでの例は、ログ収集期間対象期間は、2010/01/09 08:30〜2010/01/10 02:59とする。
【0106】
次に、ログ収集対象の期間に応じて、統合ログ管理装置4のログ監視レベル動的更新部44が、前述した期間でのユーザ6の有効アクセス権限グループ割当の更新履歴情報を取得する。
取得した履歴情報をもとに、ユーザ6ごとのログ監視レベルを、統合ログデータストア部43のログ監視レベル割当情報テーブル432に基づいて決定し統合ログデータストア部43のログ監視レベル更新情報テーブル433のユーザIDごとのログ監視レベルを設定する(ST702)。
【0107】
ITシステム機器5を利用するユーザ6に複数のアクセス権限が割り当てられていた場合は、対応するログ監視レベルが最も高い値を、その時間範囲で当該ユーザのログ監視レベルとして使用する。こうして決定された時間範囲ごとのログ監視レベルをユーザ6ごとにまとめて、ログ監視レベル更新情報テーブル433に設定(登録)しておく。
【0108】
図8の例では、ユーザID:USER002に関しては、以下のログ監視レベルが設定されている。
2010/01/09 18:30〜2010/01/10 08:35の時間範囲は、ログ監視レベルは5
2010/01/10 08:35〜2010/01/10 09:12の時間範囲は、ログ監視レベルは2
2010/01/10 09:12〜2010/01/10 10:25の時間範囲は、ログ監視レベルは1
2010/01/10 10:25〜2010/12/31 23:59の時間範囲は、ログ監視レベルは5
【0109】
統合ログ管理装置4のログ収集部42が、統合ログデータストア部43のログ監視レベル更新情報テーブルの情報に基づいて、ユーザ6ごとに時間に応じてログ監視レベルを変更しながら、各ITシステム機器5から必要な分だけログ情報を収集し、統合ログデータストア部43に収集したログ情報を保存する(ST703)。
【0110】
なお、ITシステム機器5ごとに、ログ監視レベルの値に対応して取得すべきログ情報の種類や量を事前に定めておく必要がある。
また、ITシステム機器5によっては、ログ収集の際にログの種類や期間を取捨選択できない場合があるため、そのような場合は、ログ収集部42が不要なログ情報を破棄し、必要なログ情報のみ統合ログデータストア部43に保存する処理を行う。
【0111】
この様に、過去のアクセスログの履歴情報から、ユーザが次にアクセスする可能性が高いアクセスを予測して、アクセス権限をグループ化し、アクセス権限に対応するログ監視レベルをグループ化した最も高いログ監視レベルに合わせるので、ユーザが続けてアクセスするアクセスにおいて、セキュリティレベルの低下を回避することができる。
【符号の説明】
【0112】
1 ITシステム、2 ID&アクセス管理装置、21 ID&アクセス権限配信部、22 アクセス権限動的更新部、23 アクセス権限予測部、24 アクセス権限最適化部、25構成情報データストア部、251 位置情報テーブル、252 依存関係情報テーブル、26 ID&アクセス権限データストア部、261 ユーザ情報テーブル、262 有効アクセス権限グループ割当情報テーブル、263 最大アクセス権限グループ割当情報テーブル、264 アクセス権限情報テーブル、265 アクセス対象情報テーブル、266 ITシステム機器情報テーブル、27 ID&アクセス権限管理部、28 更新履歴管理部、3 認証認可装置、31 認証認可管理部、32 認証認可情報データストア部、321 ユーザ情報テーブル、322 有効アクセス権限グループ割当情報テーブル、323 アクセス権限情報テーブル、324 アクセス対象情報テーブル、325 ITシステム機器情報テーブル、33認証認可実行部、34 アクセス権限更新要求部、35 アクセス権限更新確認部、4 統合ログ管理装置、41 ログ管理部、42 ログ収集部、43 統合ログデータストア部、431 ログ情報テーブル、432 ログ監視レベル割当情報テーブル、433 ログ監視レベル更新情報テーブル、44 ログ監視レベル動的更新部、5 ITシステム機器、51 機器A、52 機器B、6 ITシステム利用者、7 会社ビル、71 正門ゲート、72 1階サーバルーム、721 ゲート、722 ファイルサーバ、723 入退室管理サーバ、73 2階管理室、731 ゲート、732 管理端末。
【技術分野】
【0001】
情報漏えい対策のためのログ監視におけるログ監視レベル制御装置に関する。
【背景技術】
【0002】
近年、情報漏えい対策の観点から、組織のITシステムにおいて厳密なログ監視をすることが求められている。具体的には、ITシステムからログ情報を収集し、監査等の目的に利用する統合ログ管理システムによって、ITシステムのログを一括管理する、統合ログ管理技術が利用される事例が増加している。
従来のログ監視装置として特許文献1がある。すべてのログを記憶し管理するとその情報量は膨大になるために、特許文献1では、ユーザのセキュリティレベルに応じてログ情報の容量を低減する技術が開示されている。
【0003】
【特許文献1】特開2008−040745
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、ユーザが不正に情報(例えば、ファイル)を入手する際、単一のファイルを入手することは少なく、関連性のあるファイルを連続して入手することが多い。すなわち、漏洩する情報は、単一のファイルではなく、過去にユーザによって連続して利用された関連性があるファイルである可能性が高い。
一方、特許文献1のログ監視装置では、不正な行為をするユーザが、ファイルを入手した場合、ユーザのセキュリティレベルに応じて監視すべきログ情報の容量が決定されるため、セキュリティレベルの低い人物の行為については、十分なログ情報を収集できないという課題があった。
【0005】
この発明は、上記のような課題を解決するためになされたもので、記録すべきログ情報の容量を低減するとともに、不正なアクセスがなされる蓋然性が高い、過去にユーザに連続して利用され関連性があるファイルの利用に対しては、ログの監視レベルを高め、十分にログ情報を収集することができるログ監視レベル制御装置の提供を目的としている。
【課題を解決するための手段】
【0006】
このログ監視レベル制御装置は、ログ監視対象物とログ監視対象物の使用を監視する際のログ監視レベルとを対応づけて記憶したログレベル管理部、アクセスされたログ監視対象物のログ情報を記憶したログデータストア部、ログデータストア部に記憶されたログ情報に基づいて、ログ監視対象物をグループ化するログ監視対象物グループ化部、ログ監視対象物グループ化部によりグループ化された各グループにおいて、最も高いログ監視レベルに他のログ監視対象物のログ監視レベルを合わせるログ監視レベル動的変更部、を備えたものである。
【発明の効果】
【0007】
この発明は、ログ情報に基づいてログ監視対象物をグループ化し、各グループにおいて最も高いログ監視レベルに他のログ監視対象物のログ監視レベルを合わせることにより、不正なアクセスがなされる蓋然性が高い関連性があるファイルのアクセスに対しては、監視レベルを高め、不正行為の追及を容易にする。
【図面の簡単な説明】
【0008】
【図1】この発明の実施の形態1におけるログ監視レベル制御装置1を含むITシステムの構成図である。
【図2】この発明の実施の形態1におけるID&アクセス管理装置2と認証認可装置3のフロー図である。
【図3】この発明の実施の形態1における統合ログ管理装置4のフロー図である。
【図4】この発明の実施の形態1におけるID&アクセス管理装置2の構成情報データストア部25の構成図である。
【図5】この発明の実施の形態1におけるID&アクセス管理装置2の構成情報データストア部25に保存する依存関係を示すITシステム機器5およびエリアの構成図である。
【図6】この発明の実施の形態1におけるID&アクセス管理装置2のID・アクセス権限情報データストア部の構成図である。
【図7】この発明の実施の形態1における認証認可装置3の認証認可情報データストア部32の構成図である。
【図8】この発明の実施の形態1における統合ログ管理装置4の統合ログデータストア部43の構成図である。
【図9】この発明の実施の形態1におけるITシステム1の処理フローである。
【図10】この発明の実施の形態1におけるITシステム1の処理フローである。
【図11】この発明の実施の形態1におけるITシステム1の処理フローである。
【図12】この発明の実施の形態1におけるITシステム1の処理フローである。
【図13】この発明の実施の形態1におけるITシステム1の処理フローである。
【発明を実施するための形態】
【0009】
実施の形態1.
図1は、本実施の形態におけるログ監視レベル制御装置を含むITシステム1である。 ITシステム1は、ID&アクセス管理装置2、認証許可装置3、統合ログ管理装置4、ITシステム機器5から構成される。
ユーザ(利用者)6は、組織内のITシステム機器5を利用するものとする。
【0010】
ID&アクセス管理装置2は、ITシステム機器5を利用するユーザ6のユーザIDおよびアクセス権限を管理する。
ID&アクセス管理装置2は、ID&アクセス権限配信部21とアクセス権限動的更新部22とアクセス予測部23とアクセス権限最適化部24と構成情報データストア部25とID・アクセス権限データストア部26とID&アクセス権限管理部27と更新履歴管理部28から構成するとして説明する。各構成要素の説明は後述する。
【0011】
認証認可装置3は、ユーザ6がITシステム機器5にアクセスする際に、個人認証とアクセス認可の処理を行う。
認証許可装置3は、認証認可管理部31と認証認可情報データストア部32と認証認可実行部33とアクセス権限更新要求部34とアクセス権限更新確認部35から構成するとして説明する。各構成要素の説明は後述する。
【0012】
統合ログ管理装置4は、ユーザ6がITシステム機器にアクセスした際に出力されるログ情報を、リアルタイムに、あるいは、定期的に収集して保存する。
統合ログ管理装置4は、ログ管理部41とログ収集部42と統合ログデータストア部43とログ監視レベル動的更新部44から構成するとして説明する。各構成要素の説明は後述する。
【0013】
ITシステム機器5は、ユーザ6がアクセスする2以上の機器であり、これらの機器のログ情報が統合ログ管理装置4のログ収集部42を介して統合ログデータストア部43に保存される。
ITシステム機器5は、機器A51と機器B52から構成され、機器A51、機器B52は、例えば業務用パソコン、サーバ、ネットワーク機器などである。
【0014】
次に、ID&アクセス管理装置2の各構成要素について説明する。
ID&アクセス管理装置2のID&アクセス権限配信部21は、アクセス権限最適化部24で更新され、ID/アクセス権限データストア部26に保存されたユーザ6のID属性情報とアクセス権限を取得し、認証認可装置3の認証認可管理部31にユーザ6のユーザID・パスワードなどのID属性情報と、アクセス権限情報とを出力する。ID属性情報とアクセス権限情報の出力は、同情報の登録時あるいは変更時に、即時処理あるいは定時処理として実行される。
【0015】
ID&アクセス管理装置2のアクセス権限動的更新部22は、認証認可装置3のアクセス権限更新要求部34から、ID&アクセス権限管理部27を介して、ユーザ6のアクセス権限の更新要求を受けて、ITシステム機器5を利用するユーザ6のアクセス権限を動的に更新する。
【0016】
ID&アクセス管理装置2のアクセス予測部23は、統合ログ管理装置4のログ管理部41から取得した過去のログ情報に基づいて、ユーザ6が次にアクセスする傾向を予測(アクセス傾向予測)する。
アクセス予想部23は、統合ログ管理装置4のログ管理部41から入力されたログ情報に基づいて、ユーザの過去のアクセス履歴の傾向を分析し、同じタイミングで起こるアクセスを抽出する。ここでの傾向の分析は、あるユーザに特定してそのアクセスの履歴を分析しても良いし、ある機器に対するアクセス履歴の傾向を分析しても良い。
【0017】
ID&アクセス管理装置2のアクセス権限最適化部24は、ユーザ6のアクセス傾向の予測や、ITシステム機器5の物理的・論理的な構成情報をもとに、ユーザ6に割当てるアクセス権限の最適化を行い、最適化したアクセス権限をユーザ6のユーザIDに対応づけてID・アクセス権限データストア部26に保存する。
アクセス権限最適化部24(ログ監視対象物グループ化部)は、同じタイミングで起こるアクセス(ユーザが連続してするアクセスであってアクセス先は関連性がある可能性が高い)の組み合わせを、別の新たなアクセス権限グループIDとしてまとめて、ユーザ6に割り当てることもできる。その際、異なるログ監視レベルを持つアクセス権限グループIDをひとまとめにする場合は、そのうちの最大のログ監視レベルを、新たなアクセス権限グループIDのログ監視レベルとし、更新履歴管理部28を介して、統合ログ管理装置4のログ監視レベル動的更新部44に、アクセス権限グループIDとログ監視レベルの更新を要求する。
【0018】
アクセス予測部23、アクセス権限最適化部24により、1)アクセス権限をまとめることで、一人の利用者に割り当てるアクセス権限グループIDの数を減らすことができ、利用者ごとのアクセス権限管理が容易になる。また、2)ログ監視レベルの高いアクセスと、同じタイミングで起こる、より監視レベルの低いアクセスに対しても、高いログ監視レベルで記録を残すことができ、効果的なセキュリティの向上につながる。また、同じタイミングで起こる傾向が高いアクセスは、ひとまとめにして、最も高いログ監視レベルを与えることで、ログ記録量の低減と、セキュリティの維持を両立することができる。
【0019】
ID&アクセス管理装置2の構成情報データストア部25は、ITシステム機器5の物理的・論理的な構成情報を保存している。
ID&アクセス管理装置2のID・アクセス権限データストア部26は、ID&アクセス権限管理部27の要求によりユーザ6のユーザID・パスワードなどのID属性情報とアクセス権限情報を保存、または、アクセス権限最適化部24によって最適化されたユーザIDに対応したアクセス権限情報を保存する。
【0020】
ID&アクセス管理装置2のID&アクセス権限管理部27は、ITシステムの管理者が、ユーザ6のユーザID・パスワードなどのID属性情報と、アクセス権限情報とを管理するためのインターフェースを提供し、ITシステムの管理者によって入力されたユーザ6のID属性情報とアクセス権限情報をID・アクセス権限データストア部に保存する。
【0021】
ID&アクセス管理装置2の更新履歴管理部28は、ID・アクセス権限データストア部26に保存されているユーザ6のユーザID・パスワードなどのID情報とアクセス権限情報に基づいて、ID属性情報とアクセス権限情報の更新履歴を作成してID・アクセス権限データストア部26に保存し、更新履歴を統合ログ管理装置4のログ監視レベル動的更新部44に要求に応じて出力する。
【0022】
次に、認証認可装置3の各構成要素について説明する。
認証認可装置3の認証許可管理部31は、認証認可情報を管理するためのインターフェース(認証認可装置の管理者が認証認可情報を確認したり、認証認可情報の動的更新を手動で実行するような管理捜査を行うインターフェースと、外部装置から参照あるいは更新要求を受けて、要求された処理を行うインターフェース)を提供する。ID&アクセス管理装置2のID&アクセス権限配信部21から入力したユーザ6のユーザID・パスワードなどのID属性情報と、アクセス権限情報を認証認可情報データストア部32に出力する。
【0023】
認証認可装置3の認証認可情報データストア部32は、認証認可管理部31から入力した認証認可に必要な設定情報、および、ユーザ6のID・パスワードなどのID情報、アクセス権限情報を保存する。
認証認可装置3の認証認可実行部33は、ユーザ6のITシステム機器5へのアクセス時に、ITシステム機器5から認証および認可の実行要求を受け、認証認可情報データストア部32のデータに基づいて、ユーザ6の個人認証およびITシステム機器5へのアクセスの認可を行い、ITシステム機器5へのアクセス制御を実行する。
【0024】
認証認可装置3のアクセス権限更新要求部34は、ユーザ6がITシステム機器5にアクセスする際に、必要に応じてアクセス権限の更新をID&アクセス管理装置2のID&アクセス権限管理部27を介して、アクセス権限動的更新部22に要求し、アクセス権限更新確認部35にアクセス権限の更新を通知する。
認証認可装置3のアクセス権限更新確認部35は、ユーザ6のアクセス権限の更新が必要な場合に、アクセス権限更新要求部34からアクセス権限の更新の通知があれば、ユーザ6にアクセス権限の更新に対して明示的あるいは暗黙的に同意を得るための方法を提供し、通知する。
【0025】
次に、統合ログ管理装置4の各構成要素について説明する。
統合ログ管理装置4のログ管理部41は、統合ログ管理装置4の統合ログデータストア部43に集積されたログ情報を監査するログ運用者の操作画面などに、ログ情報を入出力する外部装置向けの管理インターフェースを提供する。また、管理部41は、集積されたログ情報をID&アクセス管理装置2のアクセス予測部23の要求に応じて、統合ログデータストア部43のログ情報をID&アクセス管理装置2のアクセス予測部に出力する。
【0026】
統合ログ管理装置4の統合ログデータストア部43は、ログ収集部42が収集したログ情報や、ログ監視レベル動的更新部44によって動的に更新されたログ監視レベルの設定情報を保存する。
統合ログ管理装置4のログ収集部42は、ログ収集対象であるITシステム機器5から、リアルタイムあるいは定期的に、統合ログデータストア部43に保存されているユーザ6に対応またはITシステム機器5に対応したログ監視レベルに合致した分量のログ情報を収集して統合ログデータストア部43に保存する。
【0027】
統合ログ管理装置4のログ監視レベル動的更新部44は、ID&アクセス管理装置2の更新履歴管理部28から、ユーザ6のアクセス権限の更新の履歴情報を取得し、ユーザ6ごとに適用するログ監視レベルを動的に更新する。また、ID&アクセス管理装置2の更新履歴管理部28を介して、アクセス権限最適化部24からの要求で、ユーザ6に割り当てられた新たなアクセス権限グループIDへのログ監視レベルの設定を行う。
【0028】
図2により、ユーザ6がITシステム機器5へアクセスする際のログ監視に関するID&アクセス管理装置2と認証認可装置3の基本的な処理の流れを説明する。
まず、ユーザ6が、ITシステム機器5の機器A51または機器B52の種類に応じた方法で、ITシステム機器5にアクセスを試みる(ST101)。ITシステム機器5の種類によって、OSへのログイン、電子ファイルへのアクセス、入退室用のICカードによるゲート通過など、アクセス方法は異なる。
【0029】
次に、認証認可装置3の認証認可実行部33が、ITシステム機器5を利用するユーザ6の個人認証を行い(ST102)、認証が成功したか否かを判断する(ST103)。
実際にユーザ6の個人認証を実施する実体は、対象のITシステム機器5自体であってもよい。その場合は、認証認可装置3はITシステム機器5から認証成否の情報を取得し、当該認証成否情報に従って、ユーザ6の認証成否を決定する。なお、認証方法は、対象のITシステム機器5ごとに定める方法で実施される。
【0030】
次に、ST103で、認証に成功した場合は、認証認可装置3のアクセス権限更新要求部35が、ID&アクセス管理装置2のアクセス権限動的更新部22に、アクセス権限の更新処理を要求する(ST104)。
【0031】
次に、ID&アクセス管理装置2のアクセス予測部23が、統合ログ管理装置4のログ管理部41からユーザ6の過去のログ情報を取得する。過去のログ情報から、ベイズ理論を用いた予測などの任意の統計的手法により、次のアクセスの種類や傾向を予測する(ST105)。
【0032】
次に、ID&アクセス管理装置2のアクセス権限最適化部24が、ID&アクセス管理装置2の構成情報データストア部25に保存されているアクセス対象間の依存関係の情報(アクセス対象間で必ず直前または直後に特定のアクセス対象への操作が伴うような依存関係の情報)とアクセス傾向予測に基づいて、ユーザ6に割り当てるアクセス権限が最適になるように変更し、ID・アクセス権限データストア部26に保存する(ST106)。
【0033】
例えば、アクセス権限最適化部24は、同じタイミングで起こるアクセス(ユーザが連続してするアクセスであってアクセス先は関連性がある可能性が高い)の組み合わせを、別の新たなアクセス権限グループIDとしてまとめて、ユーザ6に割り当てることもできる。その際、異なるログ監視レベルを持つアクセス権限グループIDをひとまとめにする場合は、そのうちの最大のログ監視レベルを、新たなアクセス権限グループIDのログ監視レベルとし、更新履歴管理部28を介して、統合ログ管理装置4のログ監視レベル動的更新部44にログ監視レベルの更新を要求する。
【0034】
また、例えば、予測される次のアクセスの権限の強さ(あるいは対応するログ監視レベル)が現状と等しい場合は、続くと予測されるアクセスの権限も事前に割り当てておく、などの処理を行う。あるいは、構成情報データストアの情報から、現在のアクセスが成功することにより、機器の接続や建物の構造といったシステム構成上の依存情報に基づき、次に発生するはずがないアクセスに関するアクセス権限を 自動で割当解除する などの処理を行う。
【0035】
次に、ID&アクセス管理装置2のID&アクセス権限配信部21が、ST105で更新された、ユーザ6に割り当てられた有効なアクセス権限の情報を、認証認可装置3の認証認可管理部31に通知する(ST107)。
【0036】
次に、認証認可装置3のアクセス権限更新確認部35が、ユーザ6にアクセス権限が更新されたことを通知し、明示的あるいは暗黙的に同意を得て確認する(ST108)。
通知方法は、アクセス対象のITシステム機器5によって異なる。典型的には、アクセスしようとするPCの画面に、アクセス権限が昇格または降格される旨の表示を行い、同意確認をユーザ6に問うための情報入力方法が提供される。
【0037】
そして、ユーザ6に明示的あるいは暗黙的に同意を得た後、認証認可装置3の認証認可実行部33が、認証認可装置3の認証認可情報データストア部32のユーザ6に割り当てられた(現在の有効な)アクセス権限に関する情報を更新し、その情報に基づいてユーザ6のアクセスの認可を判定し(ST109)、アクセスの認可の可否によってユーザ6のアクセスの許可の可否を判断する(ST110)。
ST109で認可された場合は、ユーザ6のアクセスが許可される(ST111)。
ST102で認証されなかった場合、または、ST110で認可されなかった場合は、ユーザ6にITシステム機器5のアクセスが許可されず、ユーザ6はITシステム機器5を利用できない(ST112)。
【0038】
図3により、統合ログ管理装置4によるログ情報収集の基本的な流れを説明する。
まず、統合ログ管理装置4のログ管理部41が、深夜のバッチ処理などで定期的に、ログ監視レベルの動的更新およびログ収集のプロセスを開始する(ST201)。
【0039】
次に、統合ログ管理装置4のログ監視レベル動的更新部44が、ログ収集対象期間に応じて、当該ログ収集対象期間におけるユーザ6のアクセス権限の更新履歴情報をID&アクセス権限管理装置2の更新履歴管理部28から取得し、取得したアクセス権限の強さに対応して、規定のログ監視レベルをユーザ6のログ監視レベルとして設定する(ST202)。また、ID&アクセス管理装置2のアクセス権限最適化部24のログ監視レベルのグループ化の要求に応じて、ログ監視レベルを更新する。
【0040】
統合ログ管理装置4のログ収集部42が、ユーザ6毎のログ監視レベルに応じて、必要な分だけITシステム機器5からログ情報を収集し、統合ログ管理装置4の統合ログデータストア部(ログデータストア部)43に保存する(ST203)。
【0041】
図4乃至8を用いて、各データストア部で所持する情報の一例を示す。
図4に、ID&アクセス管理装置2の構成情報データストア部25の構成例を示す
構成情報データストア部25は、位置情報テーブル251と依存関係情報テーブル252から構成される。
図4の例で、位置情報テーブルは、ITシステム機器IDと、ITシステム機器に対応する設置エリアの情報から構成される。
【0042】
また、依存関係情報テーブル252は、アクセス対象間の関連情報を管理し、依存元ID、依存元操作、依存先ID,依存先操作、依存関係種別から構成される。なお、図4の例では、ITシステム機器ID、アクセス対象ID、操作などのID情報は、図6のID・アクセス権限情報データストアと共通の情報である。ここでの依存関係とは、例えば、あるアクセス対象に操作を行う際には、セキュリティ上の制約や建物の構造上の制約から、必ず直前または直後に特定のアクセス対象への操作が伴うような場合のアクセス対象間の関係をいう。
【0043】
次に、図5で、ID&アクセス管理装置2の構成情報データストア部25に保存する依存関係の例として、ITシステム機器5およびエリアの構成図を示す。
ITシステム機器5およびエリアの構成は、会社ビル7の正門ゲート71と1階サーバルーム72と2階管理室73から構成されている。
1階サーバルーム72には、ゲート721とファイルサーバ722と入退室管理サーバ723がある。
2階管理室73には、ゲート731と管理端末732がある。
【0044】
1階サーバルーム72のファイルサーバ722と入退室管理サーバ723、2階管理室73の管理端末732は、図1のITシステム機器5の機器A51または機器B52に相当し、構内ネットワークで通信可能となっている。
図5の例では、建物などの物理的な制約とセキュリティ上のアクセス制約から、システム間のアクセスには、図5の構成情報データストア部25の依存関係情報テーブルに示したような、次の依存関係が存在する。
【0045】
「正門ゲート71に入室しなければ、1階サーバルーム72には入室できない。」「正門ゲート71に入室しなければ、2階管理室73にアクセスできない。」「1階サーバルーム72に入室(ゲート721から入室)しなければ、ファイルサーバ722のOSにログインできない。」「1階サーバルーム72に入室しなければ、入退室管理サーバ723のOSにログインできない。」「2階管理室73に入室(ゲート731から入室)しなければ、管理端末732のOSにログインできない。」「管理端末732にログインしなければ、ファイルサーバ722上のセキュリティ情報を読み出すことができない。」
【0046】
次に、図6で、ID&アクセス管理装置2のID・アクセス権限情報データストア部の構成例を示す。
ID・アクセス権限情報データストア部2は、ユーザ情報テーブル261、有効アクセス権限グループ割当情報テーブル262、最大アクセス権限グループ割当情報テーブル263、アクセス権限情報テーブル264、アクセス対象情報テーブル265、ITシステム機器情報テーブル266から構成されている。
【0047】
ユーザ情報テーブル261は、ITシステム機器5を利用するユーザ6に関する情報であり、ユーザを一意に識別する識別情報と、ユーザが持つ複数の属性情報で構成される。 本例では、識別情報にはユーザIDを、属性情報には氏名、パスワード、社員証カード番号を保持している。パスワードは、PCなどのITシステム機器にアクセスする際要求される個人認証で用いるクレデンシャル情報であり、社員証カードは、入退用のゲートを通過するときに必要なICカードを識別するためのクレデンシャル情報である。
【0048】
有効アクセス権限グループ割当情報テーブル262は、ITシステム機器5を利用するユーザ6に現在割当てられているアクセス権限をグループで管理する有効アクセス権限グループ割当情報であり、ユーザIDとアクセス権限グループIDから構成される。
アクセス権限グループIDは、ユーザ6に割り当てられているアクセス権限のセットを一意に示す識別子であり、ID&アクセス管理装置2のアクセス権限最適化部24によって同じタイミングで起こるアクセスのアクセス権限がグループ化される。同じITシステム機器5を利用するユーザ6に、複数のアクセス権限グループを割当てることも可能である。
【0049】
最大アクセス権限グループ割当情報テーブル263は、ユーザ6に割当てることが許可されている、すべてのアクセス権限グループIDの集合を管理する情報であり、ユーザIDとアクセス権限グループIDから構成される。
あるユーザ6に対する有効アクセス権限グループ割当情報(有効アクセス権限グループ割当情報テーブル262で管理している情報)は、必ず同じユーザに対する最大アクセス権限グループ割当情報の部分集合でなければならない。
【0050】
アクセス権限情報テーブル264は、アクセス権限のグループごとのアクセス許可(アクセス対象IDと、許可操作のセット)の情報であり、アクセス権限グループIDとアクセス対象IDと許可操作の情報から構成される。
図6の例で、許可操作の定義は、R:ファイルの読み出し、W:ファイルへの書き込み、R+W:ファイルの読み出しとファイルへの書き込み、IN:入室、OUT:退室、IN+OUT:入退室、LOGIN:パソコン・サーバなどへのログインである。
同じアクセス権限のグループが、複数のアクセス許可を含むことも可能である。
【0051】
アクセス対象情報テーブル265は、ユーザ6がアクセスすることができるITシステム機器5の最小単位の情報を保持するアクセス対象情報であり、アクセス対象ID、アクセス対象名称、アクセス対象種別、親システム機器ID等から構成される。
図2の例で、アクセス対象種別の定義は、ファイル:ファイルサーバなどで管理される電子ファイルへのアクセス、ゲート:入退室管理サーバで管理され、施錠管理されている扉の入退室、ログイン:パソコン、サーバなどへのシステムログイン、親システムID:アクセス対象を管理しているITシステム機器を識別するIDである。
【0052】
ITシステム機器情報テーブル266は、ユーザ6が利用する(物理的・論理的にアクセスする)ITシステム機器5に関するITシステム機器情報であり、ITシステム機器を識別するITシステム機器IDと、ITシステム機器の名称を示すITシステム機器名称などから構成される。
【0053】
次に、図7で、認証認可装置3の認証認可情報データストア部32の構成例を示す。
認証認可情報データストア部32の内容は、図5のID&アクセス管理装置2のID・アクセス権限情報データストア部26の内容と同様となる。ただし、認証認可情報データストア部32には、最大アクセス権限グループ割当情報テーブルはない。
【0054】
図8に、統合ログ管理装置4の統合ログデータストア部43の構成例を示す。
統合ログデータストア部43は、ログ情報テーブル431とログ監視レベル割当情報テーブル432とログ監視レベル更新譲歩テーブル433から構成される。
統合ログデータストア部43(ログデータストア部)は、ログ監視対象物とログ監視対象物の使用を監視する際のログ監視レベルとを対応付けて記憶し、ユーザ6にアクセスされたログ監視対象物のログ情報を記憶している。
ログ情報テーブル431は、ITシステム機器から収集したログ情報を保存する。
図8の例では、ログ情報は、日時:ログ情報が発生した日時、機器ID:ログ情報の収集元であるITシステム機器ID、対象ID:ログの対象となったアクセス対象のアクセス対象ID、ログ種別:ログ情報の種別、ユーザID:ログに対応する操作を行ったITシステム機器5を利用するユーザ6のユーザID、ログ内容:ログ内容の記述から構成される。
【0055】
ログ監視レベル割当情報テーブル432は、アクセス権限の大きさに応じて割り当てる、ログ監視レベルの設定値を管理する。図8の例では、ログ監視レベル割当情報テーブル432は、アクセス権限グループID、ログ監視レベルから構成される。ログ監視レベルは5段階の数値で表されており、数値が小さいほど監視レベルが高い。
【0056】
ログ監視レベル更新情報テーブル433は、ユーザID、ログ監視レベル、開始日時(ログ監視開始日時)、終了日時(ログ監視終了日時)から構成される。
ユーザ6の過去のアクセス権限の履歴情報に応じて、当該ユーザ6のログ監視レベルを開始日時と終了日時で区分された時間範囲ごとに保持しておく。
実際に、統合ログ管理装置4のログ収集部42がITシステム機器5のログ情報を収集する際には、時間範囲ごとのログ監視レベルの変動に応じて、ログ監視レベルに応じて定められているITシステム機器のログ取得量(範囲、量)のみを取得する。
【0057】
図9乃至13において、図4乃至8で示したデータストア構成の値を用いた、実際のアクセスに対する動作例を示す。
図9は、ユーザ6が正門ゲート71を入室しようとした際の動作例を示す。
ユーザ6(ユーザID:USER002)が、自身の社員証カードを正門ゲート71のカードリーダ(図示せず)にかざして、正門ゲート71に入室を試みる(ST301)。
【0058】
入退室管理サーバ723が、カードリーダから取得した社員証カード番号を、入退室管理サーバ723のデータベースと照合し、ユーザ6を認証し、認証成功と判断する。
入退室管理サーバ723は、認証結果を、認証認可装置3の認証認可管理部31に通知する。
認証認可装置3の認証認可管理部31は、認証認可装置3の認証認可情報データストア部32と照合し、ユーザ6(ユーザID:USER002)の認証成功を確認する(ST302)。
【0059】
認証認可装置3のアクセス権限更新要求部34が、ID&アクセス管理装置2のアクセス権限動的更新部22に、現在のアクセス内容を通知し、アクセス権限更新を要求する(ST303)。
【0060】
ID&アクセス管理装置2のアクセス予測部23が、統合ログ管理装置4からユーザ6(ユーザID:USER002)の過去のアクセスログの履歴情報を取得する。そして、現在のアクセス(正門ゲート71の入室)と、過去のアクセスログの履歴情報から、続いて起こる可能性が最も高いアクセス「1階サーバルーム72への入室」を予測する(ST304)。
【0061】
次に、ID&アクセス管理装置2のアクセス権限最適化部24が、ST304で予測したアクセス予測とID&アクセス管理装置2の構成情報データストア部25の情報から、ユーザ6に割り当てるアクセス権限が最適になるように変更する。(ST305)
まず、現在のアクセス(正門ゲート71の入室)の権限が有効であることを、ID&アクセス管理装置2のID&アクセス権限データストア部26の有効アクセス権限グループ割当情報テーブル262を検索して確認する。また、予想される次のアクセスである「1階サーバルーム72への入室」は現在割り当てられているアクセス権限よりも強い(ログ監視レベルが高い)ため、「1階サーバルーム72への入室」権限の追加割当ては行われない。
【0062】
ID&アクセス管理装置2のID&アクセス権限配信部21が、ID&アクセス管理装置2のID&アクセス権限データストア部26の情報から現在のユーザ6に割り当てられた有効なアクセス権限を認証認可装置3に通知する。今回は、アクセス権限割当に変更がないことが通知される(ST306)。
【0063】
認証認可装置3の認証認可実行部33が、認証認可装置3の認証認可情報データストア部32を参照し、ユーザ6のアクセスの認可可否を決定する。
ここでは、認証認可情報データストア部32の有効アクセス権限グループ割当情報テーブルから、ユーザID:USER002に割り当てられたアクセス権限ACCS_GRP_00を取得する。続けて、認証認可情報データストア部32のアクセス権限情報テーブルから、アクセス権限ID:ACCS_GRP_00の情報を取得し、ユーザID:USER002が、正門ゲート71(アクセス対象ID:obj_0003)入室(許可操作:IN)の権限を有することを確認する(ST307)。
【0064】
認証認可装置3が、入退室管理サーバ723にアクセス許可を通知した後、入退室管理サーバ723が、正門ゲート71を開き、ユーザ6(ユーザID:USER002)が入室する(ST308)。
【0065】
図10は、ユーザ6が正門ゲート71に入室した後、2棟管理室73のゲート731を入室しようとした際の動作例を示す。
ユーザ6(ユーザID:USER002)が、自身の社員証カードを2階管理室73のゲート731のカードリーダにかざして、2階管理室73のゲート731に入室を試みる(ST401)。
【0066】
入退室管理サーバ723が、カードリーダから取得した社員証カード番号を、入退室管理サーバ723のデータベースと照合し、ユーザ6を認証して認証成功と判断する。
入退室管理サーバ723は、認証結果を、認証認可装置3の認証認可管理部31に通知する。
認証認可装置3の認証認可管理部31は、認証認可装置3の認証認可情報データストア部32と照合し、ユーザ6(ユーザID:USER002)の認証成功を確認する(ST402)。
【0067】
次に、認証認可装置3のアクセス権限更新要求部34が、ID&アクセス管理装置2のアクセス権限動的更新部22に、現在のアクセス内容を通知し、アクセス権限更新を要求する(ST403)。
【0068】
次に、ID&アクセス管理装置2のアクセス予測部23が、統合ログ管理装置4のログ管理部41からユーザ6(ユーザID:USER002)の過去のアクセスログの履歴情報を取得する。そして、現在のアクセス(2階管理室73のゲート731の入室)と、過去のアクセスログの履歴情報から、次に起こる可能性が最も高いアクセス「管理端末732のOSへのログイン」を予測する(ST404)。
【0069】
ID&アクセス管理装置2のアクセス権限最適化部24が、ST404で予測したアクセス予測とID&アクセス管理装置2の構成情報データストア部25の情報から、ユーザ6に割り当てるアクセス権限が最適になるように変更する(ST405)。
【0070】
まず、現在のアクセス(2階管理室73のゲート731の入室)の権限が有効ではないため、ID&アクセス権限データストア部26の最大アクセス権限グループ割当情報テーブルを検索し、ユーザID:USER002に、2階管理室73のゲート731の入室の権限(アクセス権限グループID:ACCS_GRP_04)を割当ることが可能であることを確認した後、当該アクセス権限をUSER002に追加で割り当てる。
【0071】
また、続くアクセスの予測である「管理端末732のOSへのログイン」は現在割り当てられているアクセス権限と同等以下である(ログ監視レベルが同じか低い)ため、追加割当を行っても良いと判断し、管理端末732のOSへのログインのアクセス権限(アクセス権限グループID:ACCS_GRP_05)を自動で割当てておく。
【0072】
ID&アクセス管理装置2のID&アクセス権限配信部21が、ユーザ6に割り当てられた現在有効なアクセス権限を認証認可装置3の認証認可管理部31に通知する。
今回は、2階管理室ゲートの入室(アクセス権限グループID:ACCS_GRP_04)、管理端末723のOSへのログインのアクセス権限(アクセス権限グループID:ACCS_GRP_05)が追加されたことが通知される(ST406)。
【0073】
認証認可装置3の認証認可実行部33が、認証認可装置3の認証認可情報データストア部32を参照し、ユーザ6のアクセスの認可可否を決定する(ST407)。
ここでは、認証認可情報データストア部32の有効アクセス権限グループ割当情報テーブルから、USER002に割り当てられたアクセス権限ACCS_GRP_00、ACCS_GRP_04、ACCS_GRP_05を取得する。
続けて、認証認可情報データストア部32のアクセス権限情報テーブルから、アクセス権限ID:CCS_GRP_04の情報を取得し、ユーザID:USER002が、2階管理室(アクセス対象ID:ojbj_0006)入室(許可操作:IN)の権限を有することを確認する。
【0074】
認証認可装置3が、入退室管理サーバ723にアクセス許可を通知した後、入退室管理サーバ723が、2階管理室73のゲート731を開き、ユーザ6(ユーザID:USER002)が入室する(ST408)。
【0075】
図11は、ユーザ6が2階管理室73のゲート731から入室した後、管理端末732のOSにログインしようとした際の動作例を示す。
ユーザ6(ユーザID:USER002)が、管理端末732を操作し、自身のユーザIDとパスワード入力して、管理端末732のOSにログインを試みる(ST501)。
【0076】
管理端末832は、入力されたユーザIDとパスワードを認証認可装置3の認証認可管理部31に通知し、ユーザ認証を要求する。
認証認可装置3の認証認可管理部31は、認証認可装置3の認証認可情報データストア部32と照合し、ユーザ6(ユーザID:USER002)の認証成功を確認する(ST502)。
【0077】
認証認可装置3のアクセス権限更新要求部34が、ID&アクセス管理装置2のアクセス権限動的更新部22に、現在のアクセス内容を通知し、アクセス権限の更新を要求する(ST503)。
【0078】
ID&アクセス管理装置2のアクセス予測部23が、統合ログ管理装置4のログ管理部41からユーザ6(ユーザID:USER002)の過去のアクセスログの履歴情報を取得する。そして、現在のアクセス(管理端末732のOSへのログイン)と、過去のアクセスログの履歴情報から、続いて起こる可能性が最も高いアクセス「セキュリティ情報のファイルの読み出し」を予測する(ST504)。
【0079】
ID&アクセス管理装置2のアクセス権限最適化部24が、ST504で予測したアクセス予測とID&アクセス管理装置2の構成情報データストア部25の情報から、ユーザ6に割り当てるアクセス権限が最適になるように変更する(ST505)。
まず、現在のアクセス(管理端末732のOSへのログイン)の権限が有効であることを確認する。
また、続くアクセスの予測である「セキュリティ情報のファイルの読み出し」のアクセス権限は、現在割り当てられているアクセス権限よりも強い(ログ監視レベルが高い)ため、当該アクセス権限の追加割当ては行われない。
【0080】
ID&アクセス管理装置2のID&アクセス権限配信部21が、現在のユーザ6に割り当てられた有効なアクセス権限を認証認可装置3の認証認可管理部31に通知する(ST506)。今回は、アクセス権限に変更がないことが通知される。
【0081】
認証認可装置3の認証認可実行部33が、認証認可装置3の認証認可情報データストア部32を参照し、ユーザ6のアクセスの認可可否を決定する(ST507)。
ここでは、認証認可情報データストア部32の有効アクセス権限グループ割当情報テーブルから、USER002に割り当てられたアクセス権限ACCS_GRP_00、ACCS_GRP_04、ACCS_GRP_05を取得する。続けて、認証認可情報データストア部32のアクセス権限情報テーブルから、アクセス権限ID:ACCS_GRP_05の情報を取得し、ユーザID:USER002が、管理端末732のOS(アクセス対象ID:obj_0005)へのログイン(許可操作:LOGIN)の権限を有することを確認する。
【0082】
認証認可装置3の認証認可管理部31が、管理端末732のOSにアクセス許可を通知した後、管理端末732のOSがユーザ6(ユーザID:USER002)のログインを許可する。
【0083】
次に、図12で、ユーザ6が、管理端末732のOSにログインして操作を終えた後、2階管理室73のゲート731から退室しようとした際の動作例を示す。
【0084】
ユーザ6(ユーザID:USER002)が、2階管理室73のゲート731に、自身の社員証カードをかざして、2階管理室73のゲート731からの退室を試みる(ST601)。
【0085】
次に、1階サーバルーム72の入退室管理サーバ723が、2階管理室73のゲート731でカードリーダから取得した社員証カード番号を、自身のデータベースと照合し、ユーザ6を認証して認証成功と判断する。
入退室管理サーバ723は、認証結果を、認証認可装置3の認証認可管理部31に通知する。
認証認可装置3の認証認可管理部31は、認証認可装置3の認証認可情報データストア部32と照合し、ユーザ6(ユーザID:USER002)の認証成功を確認する(ST602)。
【0086】
次に、認証認可装置3のアクセス権限更新要求部34が、ID&アクセス管理装置2のアクセス権限動的更新部22に、現在のアクセス内容を通知し、アクセス権限更新を要求する(ST603)。
【0087】
次に、ID&アクセス管理装置2のアクセス予測部23が、統合ログ管理装置4からユーザ6(ユーザID:USER002)の過去のアクセスログ履歴情報を取得する。そして、現在のアクセス(2階管理室73のゲート731から退室)と、過去のアクセスログの履歴情報から、続いて起こる可能性が最も高いアクセス「正門ゲート71の退室」を予測する(ST604)。
【0088】
次に、ID&アクセス管理装置2のアクセス権限最適化部24が、ST204で予測したアクセス予測とID&アクセス管理装置2の構成情報データストア部25の情報から、ユーザ6に割り当てるアクセス権限が最適になるように変更する(ST605)。
【0089】
まず、現在のアクセス(2階管理室73のゲート731から退室)の権限が有効であることを、ID&アクセス管理装置2のID・アクセス権限データストア部26の有効アクセス権限グループ割当情報テーブル262を検索して確認する。
次のアクセスの予測である「正門ゲートの退室」の権限も割当済みであることを確認し、追加の割当は行わない。
また、構成情報データストア部25を参照し、2階管理室73から退室することで「管理端末732のOSへのログイン」が次のアクセスで起こらないことが確認できるため、当該アクセス権限(ACCS_GRP_05)の割当てを自動で解除する。
【0090】
さらに、過去のアクセス傾向から「2階管理室73への入室」と「管理端末732のOSへのログイン」が同時に起こる可能性が規定の高さを超えている場合、新たに「2階管理室73のゲート731への入室、および、管理端末732のOSへのログイン」の2つのアクセスを許可するアクセス権限グループ(アクセス権限グループID:ACCS_GRP_08)を自動で作成し、1つのアクセス権限グループIDで2つの操作許可を管理できるように最適化する。また、ID&アクセス管理装置2のID・アクセス権限データストア部26の最大アクセス権限グループ割当情報テーブル263に、USER002に割り当てるアクセス権限ACCS_GRP_08を追加する処理を行っておく。
なお、これら一連の最適化処理は、ユーザ6のアクセス発生時以外でも、定期的な処理として実施することも考えられる。
【0091】
次に、ID&アクセス管理装置2のID&アクセス権限配信部21が、現在のユーザ6に割り当てられた有効なアクセス権限を認証認可装置3の認証認可管理部31に通知する(ST606)。
今回は「管理端末732のOSへのログイン」のアクセス権限(ACCS_GRP_05)の割当が解除されたことが通知される。
【0092】
そして、認証認可装置3のアクセス権限更新確認部35が、ユーザ6にアクセス権限が更新されたことを通知し、確認する。
次に、認証認可装置3の認証認可実行部33が、認証認可装置3の認証認可情報データストア部32を参照し、ユーザ6のアクセスの認可可否を決定する(ST607)。
ここでは、ID&アクセス権限データストア部26の有効アクセス権限グループ割当情報テーブル262から、USER002に割り当てられたアクセス権限ACCS_GRP_00、ACCS_GRP_04を取得する。
【0093】
続けて、ID&アクセス権限データストア部26のアクセス権限情報テーブル264から、アクセス権限ID:ACCS_GRP_04の情報を取得し、ユーザID:USER002が、2階管理室73(アクセス対象ID:obj_0006)のゲート731からの退室(許可操作:OUT)の権限を有することを確認する(ST607)。
【0094】
認証認可装置3の認証認可実行部33が、1階サーバルーム72の入退室管理サーバ723にアクセス許可を通知した後、入退室管理サーバ723が、2階管理室73ゲート731を開き、ユーザ6(ユーザID:USER002)が退室する(ST608)。
【0095】
次に、図5を用いて、関連性のあるファイルをその中で最も高いログ監視レベルまで引き上げることについて、具体的に説明する。
図示しないが、ここでは2階に管理室が2階管理室73Aと2階管理室73Bとがあるとして説明する。2階管理室73Aに管理端末732A、2階管理室73Bに管理端末732Bが設置され、それぞれの管理端末からログ監視レベルが異なるファイルをアクセスする例を示す。
【0096】
この例では、ログ監視レベルの低いファイルへのアクセスの前後にログ監視レベルの高いファイルへのアクセスが起こっている場合に、ログ監視レベルの低いファイルであっても、高いログ監視レベルに設定しておくことによって、セキュリティレベルの低下を回避できることを説明する。
【0097】
ファイルAは、機密等級が「秘」の顧客情報ファイルであり、顧客ID、顧客名称、顧客住所、顧客電話番号などを含んでいる。
ファイルBは、機密等級が「社外秘」の、購入履歴ファイルであり、顧客ID、購入物、購入金額などを含んでいる。
ルームXは、図5の2階管理室73Aに相当し、ファイルAにアクセスできるPC端末(管理端末732Aに相当)が設置されている。
ルームYは、図5の2階管理室73Bに相当し、ファイルBのみにアクセスできるPC端末(管理端末732Bに相当)が設置されている。
【0098】
ファイルAへのアクセスはログ監視レベル5である。
ファイルBへのアクセスはログ監視レベル3である。
ルームXへの入室(2階管理室73Aのゲート731Aに相当からの入室)は、ログ監視レベル5である。
ルームYへの入室(2階管理室73Bのゲート731Aに相当からの入室)は、ログ監視レベル3である。
ファイルBは、社内のみで識別に用いている「顧客ID」に対して、何をどれだけ販売したかを示す情報であり、実際に誰が購入したのかは社外の人にはわからないため、単体では社外秘情報であり、ログ監視レベルは低く設定されている。
【0099】
しかし、ファイルAとファイルBの両方にアクセスした場合、ファイルAに記述された顧客IDに対応づけられた顧客の個人情報を知ることに加えて、「誰が何を購入したか」という「秘」相当の情報まで知ることができる。この場合ファイルBのログ監視レベルは、ファイルAと同等にする必要がある。
【0100】
次に、ユーザ6がファイルXおよびファイルYにアクセスする際にアクセス権限最適化部24によって最適化されるログ監視レベルについて説明する。
まず、ユーザ6がルームXに入室し、ルームXのPC端末にログインし、ファイルAを見て、ルームXから退室する。続いて、ルームYに入室し、ルームYのPC端末にログインし、ファイルBを見て、ルームYから退室する。
【0101】
このような場合、統合ログ管理装置4のログ情報からファイルAとファイルBを同じタイミングでアクセスする傾向が抽出されると、ファイルAとファイルBに同じアクセス権限グループが自動で割り当てられる。
そして、ファイルAあるいはファイルBのアクセス権限グループのログ監視レベルは5であるため、ファイルAとファイルBのどちらもログ監視レベルが5となる。
そのため、ファイルBを見る場合、ログ監視レベル5のアクセスが要求されることとなり、セキュリティレベルの低下を回避できる。
【0102】
このように、ID&アクセス管理装置2のアクセス権限最適化部24によって、ログ情報に基づいてアクセス権限がグループ化され、ログ監視レベルが高い方に設定されることにより、連続したファイルへのアクセスにおいて、セキュリティレベルの低下を回避することができる。
ここでは、ファイルAとファイルBとは、別の管理室の別の管理端末からアクセスするとしたが、この発明はこれに限定されず、同じ管理端末からアクセスできる場合も含まれる。
【0103】
また、ここでは、アクセス権限最適化部24(ログ監視対象物グループ化部)が、ユーザのアクセス情報に基づいてグループ化する例について説明したが、ログ情報から、連続して使用されることが多いファイル(ログ監視対象物)をグループ化してもよい。
【0104】
また、アクセス権限最適化部24が、ログ情報から、連続して使用されるファイル(ログ監視対象物)が、予め定められた回数を超えて使用される場合にグループ化してもよい。
【0105】
次に、図13で、統合ログ管理装置4が、ITシステム機器5からログ情報を収集する際の動作例を示す。
統合ログ管理装置4が、深夜のバッチ処理などで定期的にユーザ6のアクセス権限履歴に応じた、ログ監視レベルの動的更新とログ収集のプロセスを実行する(ST701)。
ここでの例は、ログ収集期間対象期間は、2010/01/09 08:30〜2010/01/10 02:59とする。
【0106】
次に、ログ収集対象の期間に応じて、統合ログ管理装置4のログ監視レベル動的更新部44が、前述した期間でのユーザ6の有効アクセス権限グループ割当の更新履歴情報を取得する。
取得した履歴情報をもとに、ユーザ6ごとのログ監視レベルを、統合ログデータストア部43のログ監視レベル割当情報テーブル432に基づいて決定し統合ログデータストア部43のログ監視レベル更新情報テーブル433のユーザIDごとのログ監視レベルを設定する(ST702)。
【0107】
ITシステム機器5を利用するユーザ6に複数のアクセス権限が割り当てられていた場合は、対応するログ監視レベルが最も高い値を、その時間範囲で当該ユーザのログ監視レベルとして使用する。こうして決定された時間範囲ごとのログ監視レベルをユーザ6ごとにまとめて、ログ監視レベル更新情報テーブル433に設定(登録)しておく。
【0108】
図8の例では、ユーザID:USER002に関しては、以下のログ監視レベルが設定されている。
2010/01/09 18:30〜2010/01/10 08:35の時間範囲は、ログ監視レベルは5
2010/01/10 08:35〜2010/01/10 09:12の時間範囲は、ログ監視レベルは2
2010/01/10 09:12〜2010/01/10 10:25の時間範囲は、ログ監視レベルは1
2010/01/10 10:25〜2010/12/31 23:59の時間範囲は、ログ監視レベルは5
【0109】
統合ログ管理装置4のログ収集部42が、統合ログデータストア部43のログ監視レベル更新情報テーブルの情報に基づいて、ユーザ6ごとに時間に応じてログ監視レベルを変更しながら、各ITシステム機器5から必要な分だけログ情報を収集し、統合ログデータストア部43に収集したログ情報を保存する(ST703)。
【0110】
なお、ITシステム機器5ごとに、ログ監視レベルの値に対応して取得すべきログ情報の種類や量を事前に定めておく必要がある。
また、ITシステム機器5によっては、ログ収集の際にログの種類や期間を取捨選択できない場合があるため、そのような場合は、ログ収集部42が不要なログ情報を破棄し、必要なログ情報のみ統合ログデータストア部43に保存する処理を行う。
【0111】
この様に、過去のアクセスログの履歴情報から、ユーザが次にアクセスする可能性が高いアクセスを予測して、アクセス権限をグループ化し、アクセス権限に対応するログ監視レベルをグループ化した最も高いログ監視レベルに合わせるので、ユーザが続けてアクセスするアクセスにおいて、セキュリティレベルの低下を回避することができる。
【符号の説明】
【0112】
1 ITシステム、2 ID&アクセス管理装置、21 ID&アクセス権限配信部、22 アクセス権限動的更新部、23 アクセス権限予測部、24 アクセス権限最適化部、25構成情報データストア部、251 位置情報テーブル、252 依存関係情報テーブル、26 ID&アクセス権限データストア部、261 ユーザ情報テーブル、262 有効アクセス権限グループ割当情報テーブル、263 最大アクセス権限グループ割当情報テーブル、264 アクセス権限情報テーブル、265 アクセス対象情報テーブル、266 ITシステム機器情報テーブル、27 ID&アクセス権限管理部、28 更新履歴管理部、3 認証認可装置、31 認証認可管理部、32 認証認可情報データストア部、321 ユーザ情報テーブル、322 有効アクセス権限グループ割当情報テーブル、323 アクセス権限情報テーブル、324 アクセス対象情報テーブル、325 ITシステム機器情報テーブル、33認証認可実行部、34 アクセス権限更新要求部、35 アクセス権限更新確認部、4 統合ログ管理装置、41 ログ管理部、42 ログ収集部、43 統合ログデータストア部、431 ログ情報テーブル、432 ログ監視レベル割当情報テーブル、433 ログ監視レベル更新情報テーブル、44 ログ監視レベル動的更新部、5 ITシステム機器、51 機器A、52 機器B、6 ITシステム利用者、7 会社ビル、71 正門ゲート、72 1階サーバルーム、721 ゲート、722 ファイルサーバ、723 入退室管理サーバ、73 2階管理室、731 ゲート、732 管理端末。
【特許請求の範囲】
【請求項1】
ログ監視対象物と該ログ監視対象物の使用を監視する際のログ監視レベルとを対応づけたログ監視レベル情報とアクセスされた前記ログ監視対象物のログ情報とを記憶したログデータストア部、
該ログデータストア部に記憶されたログ情報に基づいて、前記ログ監視対象物をグループ化するログ監視対象物グループ化部、
前記ログ監視対象物グループ化部によりグループ化された各グループにおいて、最も高い前記ログ監視レベルに他のログ監視対象物のログ監視レベルを合わせるログ監視レベル動的更新部、
を備えたことを特徴とするログ監視レベル制御装置。
【請求項2】
前記ログ監視対象物グループ化部は、ユーザーの前記ログ監視対象物へのアクセス情報に基づいてグループ化することを特徴とする請求項1記載のログ監視レベル制御装置。
【請求項3】
前記ログ監視対象物グループ化部は、連続して使用されることが多いログ監視対象物をグループ化することを特徴とする請求項1または請求項2記載のログ監視レベル制御装置。
【請求項4】
前記ログ監視対象物グループ化部は、予め定められた回数を超えて、連続してログ監視対象物が使用された場合にグループ化を行うことを特徴とする請求項1〜3のいずれかに記載のログ監視レベル制御装置。
【請求項1】
ログ監視対象物と該ログ監視対象物の使用を監視する際のログ監視レベルとを対応づけたログ監視レベル情報とアクセスされた前記ログ監視対象物のログ情報とを記憶したログデータストア部、
該ログデータストア部に記憶されたログ情報に基づいて、前記ログ監視対象物をグループ化するログ監視対象物グループ化部、
前記ログ監視対象物グループ化部によりグループ化された各グループにおいて、最も高い前記ログ監視レベルに他のログ監視対象物のログ監視レベルを合わせるログ監視レベル動的更新部、
を備えたことを特徴とするログ監視レベル制御装置。
【請求項2】
前記ログ監視対象物グループ化部は、ユーザーの前記ログ監視対象物へのアクセス情報に基づいてグループ化することを特徴とする請求項1記載のログ監視レベル制御装置。
【請求項3】
前記ログ監視対象物グループ化部は、連続して使用されることが多いログ監視対象物をグループ化することを特徴とする請求項1または請求項2記載のログ監視レベル制御装置。
【請求項4】
前記ログ監視対象物グループ化部は、予め定められた回数を超えて、連続してログ監視対象物が使用された場合にグループ化を行うことを特徴とする請求項1〜3のいずれかに記載のログ監視レベル制御装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2013−105473(P2013−105473A)
【公開日】平成25年5月30日(2013.5.30)
【国際特許分類】
【出願番号】特願2011−251256(P2011−251256)
【出願日】平成23年11月17日(2011.11.17)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成25年5月30日(2013.5.30)
【国際特許分類】
【出願日】平成23年11月17日(2011.11.17)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]