ログ統合管理システム及びログ統合管理方法
【課題】 企業等の組織内において、物理的な行動も含めた構成員単位の行動や操作の履歴を時系列に沿って管理し、主として内部統制に有益な情報を提供することが可能な、ログ統合管理システムを提供する。
【解決手段】 セキュリティ・ゲート、セキュリティ・キャビネット、認証システム、メールサーバ、ネットワーク管理サーバ、業務用端末、PBX等の組織内のネットワークで接続された複数のシステムに記録されているログを収集して、組織の構成員単位でとりまとめた統合ログを作成する。統合したログデータをレポートとして出力したり、時系列に沿ってソートして通常の行動と対比したりすることによって、内部統制に有益な情報を提供することができる。
【解決手段】 セキュリティ・ゲート、セキュリティ・キャビネット、認証システム、メールサーバ、ネットワーク管理サーバ、業務用端末、PBX等の組織内のネットワークで接続された複数のシステムに記録されているログを収集して、組織の構成員単位でとりまとめた統合ログを作成する。統合したログデータをレポートとして出力したり、時系列に沿ってソートして通常の行動と対比したりすることによって、内部統制に有益な情報を提供することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、企業等の組織の主として内部統制に有益な情報を提供することが可能な、ログ統合管理システム及びログ統合管理方法に関するものである。
【背景技術】
【0002】
コンピュータの使用においては、障害発生時の原因追跡等のために、コンピュータへの操作やコンピュータが実行した処理の記録として、ログの管理が行なわれることが一般的である。また、コンピュータをネットワークに接続して利用する場合には、外部からの不正アクセスの監視や、ネットワークを通じたデータの送受信が行われたことを記録するなどの目的で、ログの記録が重要となることが多い。
【0003】
ネットワークを介してコンピュータを利用することが一般的になると、単に1台のコンピュータの操作記録としてログを管理するだけでなく、ネットワークを介して複数のコンピュータにアクセスして行われた一連の行為を、ログとして記録することが求められる場合もある。このようなニーズに対応して、複数のシステムにおいて個別に収集されたログを、一連の取引単位に統合する発明が開示されている(例えば、特許文献1参照。)。
【0004】
【特許文献1】特開2001−229052号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
特許文献1記載の発明は、オンラインショッピングにおいて、商品の注文から決済までに行なわれた顧客の一連の操作について、WebサーバやECサーバ、決済サーバ等の複数のシステムで記録されたログを、1レコードに1回の取引に関連するログを統合して管理しようとするものである。
【0006】
特許文献1記載の発明によると、例えば、顧客から「注文した記憶がない」といった問い合わせに対応する際に、該顧客の取引にかかるログが1レコードとして管理されているため、一連の操作の追跡調査が容易となるという効果が生じる。この発明では、「Webサーバにアクセスした」、「注文画面からデータを入力した」、「決済サーバで承認番号が発行された」といった個々の操作や処理が実際に行われたことを記録するログが管理されているだけであって、どの操作や処理がいつ、どのような順序で行われたか、という一連の操作に関する時系列的な変化を把握することができない。
【0007】
また、特許文献1記載の発明は、1回の取引毎のログを1レコードに統合し、取引単位での操作履歴を管理することを目的とするものであって、他の取引や、取引以外における顧客のコンピュータの操作履歴にかかるログを管理し得るものではない。さらに、特許文献1記載の発明は、顧客が一のコンピュータからWebサーバ、ECサーバなどに順にアクセスしたコンピュータからの操作履歴を記録するものであって、顧客自身の物理的な行動記録までも管理し得るものではない。
【0008】
一方、企業等の組織においては、組織内におけるコンプライアンスが重要な課題とされるようになりながらも、組織内における不正行為が発覚することが珍しくなく、効果的な内部統制のための体制作りが求められている。組織における内部統制のためには、個々の構成員の行動を的確に把握することが必要であり、各々が使用するコンピュータの操作履歴を記録したログも有力な情報の一つとなるが、コンピュータの操作は構成員の行動の一部に過ぎないため、該ログのみでは行動履歴を把握するためには不十分である。
【0009】
このような内部統制において求められる事項に対して、特許文献1記載の発明を適用すると、構成員がコンピュータを用いて行った一連の操作単位での情報を収集することは可能になるものの、コンピュータを使用しない構成員の物理的な行動(例えばオフィスへの入退室)の履歴を把握できない、断続的に行われる同一の構成員による行為や操作を構成員単位で時系列に沿って把握することができない、といった限界が生じることになる。
【0010】
本発明は、このような課題に対応するためになされたものであり、企業等の組織内において、物理的な行動も含めた構成員単位の行動や操作の履歴を時系列に沿って管理し、主として内部統制に有益な情報を提供することが可能な、ログ統合管理システム及びログ統合管理方法を提供することを目的とするものである。
【課題を解決するための手段】
【0011】
このような課題を解決する本発明は、組織内における構成員の行為からログを収集して統合管理する内部統制のためのログ統合管理システムであって、オフィスの入退室のために設けられたセキュリティ・ゲートにおいて、一の構成員について第1の識別コードをキーに収集した第1のログデータを受け付ける第1の受付手段と、前記構成員が操作権限を有するコンピュータにおいて、前記構成員について第2の識別コードをキーに収集した第2のログデータを受け付ける第2の受付手段と、前記構成員が接続権限を有するコンピュータネットワークにおいて、前記構成員について第3の識別コードをキーに収集した第3のログデータを受け付ける第3の受付手段と、前記構成員を識別する統合用識別コードに、少なくとも前記第1の識別コード、前記第2の識別コード、前記第3の識別コードを関連付けて記憶する記憶手段と、前記第1のログデータ、前記第2のログデータ、前記第3のログデータを、前記記憶手段を参照して前記統合用識別コード毎に設けられたテーブルに、フォーマットを統一した統合ログとして格納する格納手段と、を備えることを特徴とするログ統合管理システムである。
【0012】
また、本発明は、前記構成員の利用権限を確認して開閉が可能となるセキュリティ・キャビネットにおいて、前記構成員について第4の識別コードをキーに収集した第4のログデータを受け付ける第4の受付手段を備えていて、前記記憶手段には、前記統合用識別コードに、少なくとも前記第4の識別コードが関連付けて記憶されていて、前記格納手段は、前記第4のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴とすることもできる。
【0013】
さらに、本発明は、前記構成員が送受信する電子メールを管理するメールサーバにおいて、前記構成員に割当てられたメールアドレスをキーに収集した第5のログデータを受け付ける第5の受付手段を備えていて、前記記憶手段には、前記統合用識別コードに、少なくとも前記メールアドレスが関連付けて記憶されていて、前記格納手段は、前記第5のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴としてもよい。
【0014】
さらに、本発明は、前記構成員が発呼又は着呼する通話情報を管理する交換機から、前記構成員に割当てられた電話番号をキーに収集した第6のログデータを受け付ける第6の受付手段を備えていて、前記記憶手段には、前記統合用識別コードに、少なくとも前記電話番号が関連付けて記憶されていて、前記格納手段は、前記第6のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴としてもよい。
【0015】
本発明によると、構成員のオフィスへの入退室記録、構成員のコンピュータの操作記録、構成員のLAN等への接続記録を、同一のフォーマットに統一して収集し、構成員毎のログとして統合することによって、構成員毎の内部統制に有益な情報を収集することが可能になる。さらに、セキュリティ・キャビネットの開閉記録、電子メールの送受信機録、電話の発着呼の記録を含めることによって、より精緻な情報を把握することが可能になる。
【0016】
さらに、本発明は、前記格納手段のテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成手段と、前記履歴データに対応して、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶手段と、前記履歴データ作成手段が作成した履歴データと前記ルール記憶手段に記憶されたルールとを対比して、前記履歴データが前記ルールの少なくとも一つに合致する場合には、前記構成員の行動又は操作が異常であると判定する判定手段と、を備えることを特徴としてもよい。
【0017】
さらに、本発明は、前記格納手段のテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成手段と、構成員毎に作成された過去の履歴データから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶手段と、前記履歴データ作成手段が作成した履歴データと前記プロファイル記憶手段に記憶された前記構成員についてのプロファイルとを対比して、前記履歴データが前記プロファイルに照らして所定のルールに合致しないと判断される場合には、前記構成員の行動又は操作が異常であると判定する判定手段と、を備えることを特徴としてもよい。
【0018】
このように、本発明においては、構成員毎に統合された統合ログから把握される履歴を、異常と判定すべき一般的なルールや、構成員の過去の行動パターンと対比することによって、不正の可能性がある行為を速やかに検知することが可能になる。
【0019】
さらに、本発明は、前記格納手段に格納された統合ログに対応して、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶手段と、前記格納手段に格納された統合ログと前記ルール記憶手段に記憶されたルールとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定手段と、前記統合ログに、前記判定手段による判定結果を記録して、前記格納手段に格納された統合ログの少なくとも一部を更新する更新手段と、を備えることを特徴としてもよい。
【0020】
さらに、本発明は、構成員毎に前記格納手段に格納された統合ログから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶手段と、前記格納手段に格納された統合ログと前記プロファイル記憶手段に記憶された前記構成員についてのプロファイルとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定手段と、前記統合ログに、前記判定手段による判定結果を記録して、前記格納手段に格納された統合ログの少なくとも一部を更新する更新手段と、を備えることを特徴としてもよい。
【0021】
このように、本発明においては、各々の統合ログを、異常と判定すべき一般的なルールや、構成員の過去の行動パターンと対比することによって、不正の可能性がある行為を統合ログの一部にスコアとして記録し、内部統制等のための情報として活用することが可能になる。尚、ここで記録されるスコアは、異常である可能性を把握するのに用いられるものであれば、数値で示されるスコアに限定されるものではない。
【0022】
さらに、本発明は、ログ統合管理システムの各々の構成に対応して、各々の構成のログ統合管理システムによって実行されるログ統合管理方法として特定することもできる。
【0023】
つまり、本発明にかかるログ統合管理方法は、組織内における構成員の行為からログを収集して統合管理する内部統制のためのログ統合管理方法であって、ログの統合管理を行うコンピュータシステムが、オフィスの入退室のために設けられたセキュリティ・ゲートにおいて、一の構成員について第1の識別コードをキーに収集した第1のログデータを受け付ける第1の受付ステップと、前記コンピュータシステムが、前記構成員が操作権限を有するコンピュータにおいて、前記構成員について第2の識別コードをキーに収集した第2のログデータを受け付ける第2の受付ステップと、前記コンピュータシステムが、前記構成員が接続権限を有するコンピュータネットワークにおいて、前記構成員について第3の識別コードをキーに収集した第3のログデータを受け付ける第3の受付ステップと、前記コンピュータシステムが、前記第1のログデータ、前記第2のログデータ、前記第3のログデータを、前記構成員を識別する統合用識別コードに、少なくとも前記第1の識別コード、前記第2の識別コード、前記第3の識別コードを関連付けて記憶した記憶部を参照して、前記統合用識別コード毎に設けられたテーブルに、フォーマットを統一した統合ログとして格納する格納ステップと、を有することを特徴とするログ統合管理方法である。
【0024】
また、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記構成員の利用権限を確認して開閉が可能となるセキュリティ・キャビネットにおいて、前記構成員について第4の識別コードをキーに収集した第4のログデータを受け付ける第4の受付ステップを有していて、前記記憶部には、前記統合用識別コードに、少なくとも前記第4の識別コードが関連付けて記憶されていて、前記格納ステップにおいては、前記第4のログデータを、前記記憶部を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴とすることもできる。
【0025】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記構成員が送受信する電子メールを管理するメールサーバにおいて、前記構成員に割当てられたメールアドレスをキーに収集した第5のログデータを受け付ける第5の受付ステップを有していて、前記記憶部には、前記統合用識別コードに、少なくとも前記メールアドレスが関連付けて記憶されていて、前記格納ステップにおいては、前記第5のログデータを、前記記憶部を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴としてもよい。
【0026】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記構成員が発呼又は着呼する通話情報を管理する交換機から、前記構成員に割当てられた電話番号をキーに収集した第6のログデータを受け付ける第6の受付ステップを有していて、前記記憶部には、前記統合用識別コードに、少なくとも前記電話番号が関連付けて記憶されていて、前記格納ステップにおいては、前記第6のログデータを、前記記憶部を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴としてもよい。
【0027】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記格納ステップでテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成ステップと、前記コンピュータシステムが、前記履歴データ作成ステップで作成した履歴データと、前記履歴データに対応して、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶部に記憶されたルールとを対比して、前記履歴データ作成ステップで作成した履歴データが前記ルールの少なくとも一つに合致する場合には、前記構成員の行動又は操作が異常であると判定する判定ステップと、を有することを特徴としてもよい。
【0028】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記格納ステップでテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成ステップと、前記コンピュータシステムが、前記履歴データ作成ステップで作成した履歴データと、構成員毎に作成された過去の履歴データから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶部に記憶された前記構成員についてのプロファイルとを対比して、前記履歴データ作成ステップで作成した履歴データが前記プロファイルに照らして所定のルールに合致しないと判断される場合には、前記構成員の行動又は操作が異常であると判定する判定ステップと、を有することを特徴としてもよい。
【0029】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記格納部に格納された統合ログと、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶部に記憶されたルールとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定ステップと、前記コンピュータシステムが、前記統合ログに、前記ステップにおいて判定した判定結果を記録して、前記格納部に格納された統合ログの少なくとも一部を更新する更新ステップと、を有することを特徴としてもよい。
【0030】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記格納部に格納された統合ログと、構成員毎に前記格納部に格納された統合ログから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶部に記憶された前記構成員についてのプロファイルとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定ステップと、前記コンピュータシステムが、前記統合ログに、前記ステップにおいて判定した判定結果を記録して、前記格納部に格納された統合ログの少なくとも一部を更新する更新ステップと、を有することを特徴としてもよい。
【発明の効果】
【0031】
本発明によって、異なるシステムにおいて各々収集されていたログデータを統合し、物理的な行動も含めた構成員単位の行動や操作の履歴を時系列に沿って管理することによって、各構成員の詳細な行動や操作を容易に把握することが可能になり、主として内部統制のために有益な情報を得ることができる。
【発明を実施するための最良の形態】
【0032】
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下の説明におけるログのフォーマット、ログを収集する対象となるシステムなどの実施形態については、本発明を実施する場合の一例であって、本発明はかかる実施形態に限定されるものではない。また、以下においては、本発明にかかるログ統合管理システムを企業において導入する例について説明するが、本発明の実施は企業内に限定されるものではなく、企業以外の組織においても用いることができる。
【0033】
図1は、本発明にかかるログ統合管理システムの実施形態の概要を示す図である。図2は、本発明にかかるログ統合管理システムの構成を示すブロック図である。図3は、本発明にかかるログ統合管理システムにおけるログ紐付情報テーブルの一例を示す図である。図4は、本発明にかかるログ統合管理システムにおいて、セキュリティ・ゲート管理サーバで収集されるログデータの一例を示す図である。図5は、本発明にかかるログ統合管理システムにおいて、キュリティ・キャビネット管理サーバで収集されるログデータの一例を示す図である。図6は、本発明にかかるログ統合管理システムにおいて、認証システムで作成されるログデータの一例を示す図である。図7は、本発明にかかるログ統合管理システムにおいて、メールサーバで収集されるログデータの一例を示す図である。図8は、本発明にかかるログ統合管理システムにおいて、情報漏洩防止ツールで収集されるログデータの一例を示す図である。図9は、本発明にかかるログ統合管理システムにおいて、PBXから収集したログデータの一例を示す図である。図10は、本発明にかかるログ統合管理システムによって作成される統合ログの一例を示す図である。
【0034】
図1を用いて、本発明にかかるログ統合管理システムの概要と運用形態について説明する。本発明にかかるログ統合管理システムは、図1に示したように、オフィスへの入退室を管理するセキュリティ・ゲート、秘密資料等を収納するセキュリティ・キャビネット、社員が業務で使用する業務用端末、社内LANへの接続状況や共有サーバへのアクセス状況などを管理するネットワーク管理サーバ、電子メールの送受信を行うメールサーバ、オフィス内への電話機を統括するPBX、社内LANとインターネットを接続するゲートウェイを監視するゲートウェイ監視サーバ等の複数の異なるシステムにおいて収集されたログデータを、ログ統合サーバにおいて社員毎に統合して管理するよう構成されている。
【0035】
オフィスに入退室する社員には、入退室の権限があることを証明し、かつ各々の社員を識別するための社員コードが記憶されたIDカードが配布されている。入退室の管理が必要なオフィスへの入口にはセキュリティ・ゲートが設けられていて、セキュリティ・ゲートを通過する際には、IDカードにより入退室の権限を認証することによって、オフィスへの入退室を制限することが可能になっている。社員がセキュリティ・ゲートを通過する際には、IDカードからセンサー等で社員コードを読み取らせることによって、セキュリティ・ゲートの管理システムには、セキュリティ・ゲートの通過時刻等が社員を識別する社員コード等と合わせてログとして記録される。
【0036】
尚、IDカードにおいて社員コードを記憶させる媒体は特に制限されるものではなく、例えば、磁気ストライプやICチップ等を用いることができる。また、社員コードを読み取るシステムについても、接触型・非接触型のいずれであってもよく、読取方式ではなく社員が社員コードを入力するものであってもよい。また、セキュリティ・ゲートの設置場所についても、ビルへの入退館を管理するものであってもよいし、オフィスフロアやオフィスの特定のエリアへの入退室を管理するものであってもよく、特に限定されるものではない。
【0037】
セキュリティ・ゲートを通過した社員が、自らのデスクに着席すると、業務用端末や電話を利用して業務を行うことになる。電話を使用する場合であれば、電話の発呼と着呼はいずれもPBXを経由するので、PBXと接続されたPBXから送られるデータからログデータを生成して保存するためのサーバにおいて電話機に割当てられた番号毎に発着呼の記録が行われる。また、社員が外出時において、予め登録された番号の携帯電話を使用してオフィスに発呼した場合には、PBXと接続されたサーバにおいて所定の携帯電話からの着呼があったことが記録される。
【0038】
社員がパーソナルコンピュータ等の業務用端末を使用する場合には、ログオンから始まって、ユーザの認証結果、ファイルの閲覧や更新、プリンタへの出力などの操作、情報漏洩防止ツールによる監視結果、ログオフなど記録が、業務用端末に社員コード毎のログとして記録される。また、社内LANに接続して、共有サーバへのアクセスなどの操作を行った場合には、このような操作にかかるログが、業務用端末やネットワーク監視サーバに社員コード毎にログとして記録される。業務用端末に記録するログについては、ネットワーク監視サーバにおいて社員コード毎に記録することとしてもよい。
【0039】
さらに、社員が業務用端末を使用して、インターネットを通じて情報を収集したり、電子メールを送受信したりした場合には、ゲートウェイ監視サーバには社員コードやIPアドレス毎のインターネットへの接続情報が、メールサーバにはメールアドレス毎の電子メールの送受信情報が、それぞれ記録される。
【0040】
社員がデスクで業務を行いながら、関連する資料の閲覧が必要になったとする。その資料が、社外秘の機密文書等であって、セキュリティ・キャビネットに収納されている場合には、IDカードの社員コードや暗証番号の入力等によって開閉権限の認証が行われ、セキュリティ・キャビネットの開閉が行われる。セキュリティ・キャビネットの開閉記録は、セキュリティ・ゲートの管理システムに、社員を識別する社員コード等と合わせてログとして記録される。尚、ここで記録するログには、開閉の記録だけでなく、文書ファイル等にも識別コードを付与しておくことによって、使用した文書ファイルもログの一部として記録することとしてもよい。
【0041】
このように、各々異なるシステムにおいて管理されるログデータは、社内LAN等のネットワークを通じてログ統合サーバに収集される。収集されたログデータは、それぞれ操作者等を識別するためのコードが、社員コード、電話番号、メールアドレスのように異なることがあるため、ログ統合サーバでは同一の社員に関するログデータを一のテーブルに統合するための処理が行われる。社員毎に設けられたテーブルにまとめられたログデータを、各々のログに含まれる受付時間等の時間に関するデータをキーに時系列に沿ってソートすることによって、一の社員がオフィスに入室してから退出するまでの一連の行動や操作を把握することが可能になる。
【0042】
尚、図1にはログを統合する対象となるシステムを例示しているが、対象となるシステムはここに示したものに限られるものではない。例えば、キャビネット以外のオフィスファニチャー、監視カメラ、侵入検知システム(IDS)等で収集したログデータを対象にすることもできる。
【0043】
図2は、本発明にかかるログ統合管理システムの構成を示している。図2と、図3〜10に示したログデータの例を用いて、本発明によって企業内における社員毎のログデータを収集し、統合管理する方法について説明する。
【0044】
本発明にかかるログ統合管理システム10は、企業内のネットワークに接続されたコンピュータであって、CPU、RAM、ROM、HDDが少なくとも備えられている。HDDには、統合ログ作成や異常判定などを行うためのアプリケーションプログラム等が記憶されていて、これらのアプリケーションプログラムによって所定の処理を実行するには、ROMに記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動し、RAMをアプリケーションプログラムのワークエリアとして機能させながら、CPUにより演算処理が行われる。
【0045】
本発明にかかるログ統合管理システム10は、社内LAN等の企業内のネットワークを通じて、セキュリティ・ゲート管理サーバ30、セキュリティ・キャビネット管理サーバ40、認証システム50、メールサーバ60、ネットワーク監視サーバ70、PBXシステム90等の企業内の複数のシステムと接続されている。これらのシステムで収集されたログデータを入力ログフォーマット情報記憶部11に指定されたフォーマットに合わせてログ受付部14において受け付け、出力ログフォーマット情報記憶部12に指定されたフォーマットに従って統合ログ作成部15において社員毎の統合ログを作成し、統合ログ格納部16の社員毎に設けられたテーブルに格納する。各々のシステムで収集されるログデータについて、以下に順を追って説明する。
【0046】
セキュリティ・ゲート管理サーバ30は、ビルへの入退館やオフィススペースへの入退室を管理するセキュリティ・ゲート31、32等において、社員の入退館又は入退室に関する情報を受け付けて、社内の全てのセキュリティ・ゲートにおける入退館又は入退室に関する情報をセキュリティ・ゲート管理サーバ30において収集し、ログデータとして保存している。社員は、セキュリティ・ゲート31、32等を通過する際には、IDカードの社員コードを読取装置等に読み取らせたり、社員コードを入力させたりすることによって、セキュリティ・ゲートを通過した社員と通過時刻等のログが、セキュリティ・ゲート管理サーバ30に記録される。
【0047】
図4は、セキュリティ・ゲート管理サーバ30において収集されたログデータの一例を示すものであるが、セキュリティ・ゲートの通過毎に、ゲートNo.、社員コード、アクション、日付、時間等のログが記録されている。例えば、No.1のログであれば、社員コード「001」の社員が「01」のゲートを「2005年1月19日」の「8時50分30秒」に通過して、オフィスに入室した際の記録となっている。これらのログデータによって、誰が、いつ、オフィスに入退室したかを把握することが可能になる。
【0048】
セキュリティ・キャビネット管理サーバ40は、機密文書等の重要文書を保管しておくセキュリティ・キャビネット41、42等を管理するものである。セキュリティ・キャビネット41、42の開閉時には、IDカードの社員コードを読み取ったり、社員に社員コードを入力させたりすることによって、セキュリティ・キャビネットを利用した社員とキャビネットの開閉時刻等のログが、セキュリティ・キャビネット管理サーバ40に記録される。
【0049】
図5は、セキュリティ・キャビネット管理サーバ40において収集されたログデータの一例を示すものであるが、セキュリティ・キャビネットを開閉する毎に、キャビネットNo.、社員コード、アクション、日付、時間等のログが記録されている。例えば、No.1のログであれば、社員コード「001」の社員が「1001」のキャビネットを「2005年1月19日」の「9時15分48秒」に開けた際の記録となっている。これらのログデータによって、誰が、いつ、セキュリティ・キャビネットを開閉したかを把握することが可能になる。
【0050】
次に、社員が業務に使用する業務用端末80、81を用いて行った操作に関するログについて説明する。社員が使用する業務用端末80、81は、使用権限の無い者による不正使用を防止するために、認証システム50と接続されている。社員が業務用端末80、81を使用する際には、認証システム50からユーザIDとパスワードの入力や、生体認証のための生体情報の読み取り等によるユーザの本人認証を要求される。
【0051】
このようにして行われたユーザ認証の記録は、図6のログデータの例に示したように、本人認証に用いられた装置を識別する認証機器ID、社員コード、本人認証が行われた日付や時間等が記録される。かかる認証システム50は、図2の例に示したように業務用端末80、81から社内LAN等のネットワークを通じてアクセスするものであってもよいし、業務用端末80、81の内部に備えられていてもよい。特に後者の場合には、本人認証についてのログデータは、業務用端末80、81に記憶されることになる。
【0052】
また、業務用端末80、81において行われた操作に関するログ、例えばコンピュータへのログオンやログオフ、ファイルの更新、プリンタや外部ディスクへの出力などについて、業務用端末80、81に記憶されているログデータについても、ログ統合管理システム10において社員コード毎に収集することが好ましい。これらのログデータとして、業務用端末80、81のOSが管理するシステムログを用いることとしてもよい。
【0053】
この他に、社員は業務用端末80、81に備えられたメーラを使用して、社内外に対して電子メールの送受信を行う場合がある。電子メールの送受信は、メールサーバ60に設けられたメールアカウントを利用して行われるので、メールサーバ60では、図7の例に示したように、送信又は受信に用いられた社員毎に割り当てられたメールアドレス、送受信の別、送信の場合は宛先アドレス、受信の場合には送信元アドレス、送受信の日付や時間等のログが記録される。例えば、No.1のログであれば、メールアドレス「xxx@yyy.com」が割り振られた社員から、「ccc@yyy.com」宛に、「2005年1月19日」の「10時45分23秒」にメールが送信されたこと、メールアドレス「yyy@yyy.com」の社員が「zzz@xyz.com」の送信者から「2005年1月19日」の「11時37分46秒」にメールを受信した際の記録となっている。これらのログデータによって、誰が、いつ、誰と、メールの送受信を行ったかを把握することが可能になる。
【0054】
また、業務用端末80、81は、社内LAN等の企業内のネットワークに接続されていて、社内や各部署で共有するファイルサーバやアプリケーションサーバへのアクセスや、ネットワークプリンタからの出力、その他の社内システムへのアクセスを行うことが可能になっている。ネットワーク監視サーバ70は、これらのネットワークを介して行われた操作を監視しており、ネットワーク監視サーバ70による監視結果に基づいて、所定の条件に合致すると動作の停止やネットワークとの遮断等を実行する情報漏洩防止ツールが設けられている場合がある。
【0055】
図8は、ネットワーク監視サーバ70に設けられた情報漏洩防止ツールにおいて収集されたログデータの一例を示すものであるが、ネットワークを介して実行された動作毎に、使用されたノードのID、アクション、日付、時間等のログが記録されている。例えば、No.1のログであれば、組織「A」に設置されたノードID「12」のノードを用いて、ユーザ名「tanaka」が「2005年1月19日」の「10時12分46秒」に、コンピュータにログオンしてネットワークに接続した際の記録となっている。これらのログデータによって、誰が、いつ、どのノードを用いてどのような操作を行ったかを把握することが可能になる。
【0056】
業務用端末80、81による操作の他に、社員は電話によって業務連絡を行うことも少なくない。この場合、PBXと、PBXから収集したデータにより生成された電話のログを保存するサーバを含んで構成されるPBXシステム90において収集された電話の発呼や着呼を記録したログも、ログ統合管理システム10において収集するログデータの対象になる。
【0057】
図9の例に示したように、発呼又は着呼における社員毎に割り当てられた電話番号、発呼又は着呼の別、相手先の電話番号、日付、時間等のログが記録される。例えば、No.1のログであれば、電話番号「03−1111−0123」から「03−1234−5678」に向けて「2005年1月19日」「13時32分2秒」に発呼された際の記録となっている。これらのログデータによって、誰が、いつ、電話を用いて連絡をとったかを把握することが可能になる。
【0058】
尚、ここで社員による通話として把握すべき電話番号は、社内で用いられた電話番号に限られるものではない。発呼や着呼の相手方の番号であっても、それが予め登録してある社員の自宅や携帯電話の電話番号等である場合には、それらを含む情報から社員の行動を把握できる場合もある。例えば、図9のNo.3のログについて、電話番号「03−1111−0123」に対して「090−1234−5678」から「2005年1月19日」「15時8分24秒」に発呼された記録について、「090−1234−5678」が社員の登録した携帯電話の番号である場合には、社外から会社に業務報告等を行った記録と把握することもできる。
【0059】
以上のように、セキュリティ・ゲート管理サーバ30、セキュリティ・キャビネット管理サーバ40、認証システム50、メールサーバ60、ネットワーク監視サーバ70、業務用端末80、81、PBXシステム90等の企業内の複数のシステムにおいて収集されたログデータが、例えば1時間に1回、1日に1回といった、ユーザが任意に設定することが可能な所定のタイミングで、ログ統合管理システム10のログ受付部14において受け付けられる。
【0060】
このように収集されるログデータは、ログ受付部14において入力ログフォーマット情報記憶部11の指定に従ってフォーマットが統一され、統合ログ作成部15において、社員毎にとりまとめた統合ログが作成される。統合ログ作成部15においては、収集したログデータを統合するためのアプリケーションプログラム等が起動されて、出力ログフォーマット情報記憶部12及びログ紐付情報記憶部13を参照して、統合ログを作成する。
【0061】
出力ログフォーマット情報記憶部12には、統合ログに含まれる項目等のフォーマットが記憶されている。ログ紐付情報記憶部13には、項目が異なるログデータを社員毎に統合するために、キーとなる項目のデータの紐付け情報が記憶されている。出力ログフォーマット情報記憶部12には、例えば、図10の例に示したような項目が、フォーマットとして定義されている。ログ紐付情報記憶部13には、例えば、図3の例に示したように、社員を特定するためのキーとなるデータを紐付けるための仮想IDが設定され、仮想ID毎に設けられたレコードに、各々の項目において社員に付与されたコードやアドレスを記録することによって、ログを社員毎に紐付けるための情報が定義されている。
【0062】
図3の例において、例えば、仮想ID「a0001」に対応する社員を特定する情報として、社員コード「001」、ユーザ名「tanaka」、メールアドレス「xxx@yyy.com」、電話番号「03−1111−0123」が定義されている。このようなログを紐付けるための情報は、統合ログのフォーマット情報と合わせて、システム管理者等によって、管理者端末20から入力されることとなる。
【0063】
統合ログ作成部15では、出力ログフォーマット情報記憶部12に記憶されたフォーマットに基づく社員毎に付与された仮想ID単位のテーブルとログ単位のレコードを設けて、ログ紐付情報記憶部13に記憶された社員コード等の紐付情報を参照しながら、対応する仮想IDについて設けられたテーブルに、ログ毎にレコードにデータを記録して統合ログを作成していく。
【0064】
尚、出力ログフォーマット情報記憶部12に記憶させる統合ログのフォーマットと、ログ紐付情報記憶部13に記憶させる紐付情報については、管理者端末20よりシステム管理者等が入力して設定することができる。入力ログフォーマット情報記憶部11についても、システム管理者等が入力可能であることは同様である。
【0065】
例えば、図10に示した例であれば、ログ紐付情報記憶部13に記憶されている紐付情報から、仮想ID「a0001」によって紐付けられている社員コード「001」、ユーザ名「tanaka」、メールアドレス「xxx@yyy.com」、電話番号「03−1111−0123」を含むログデータを同一の社員にかかるものであると特定する。その結果、図4に示したセキュリティ・ゲート管理サーバ30におけるログNo.「1」のレコード、図5に示したセキュリティ・キャビネット管理サーバ40におけるログNo.「1」のレコード、図6に示した認証システム50におけるログNo.「1」のレコード、図7に示したメールサーバ60におけるログNo.「1」のレコード、図8に示した情報漏洩ツールにおけるログNo.「1」のレコード、図9に示したPBXシステムにおけるログNo.「1」及び「3」のレコードが特定され、これらのレコードの情報を仮想ID「a0001」について設けられたテーブルに統合ログとして記録し、統合ログ格納部16に格納する。
【0066】
このようにして作成された統合ログを、時間をキーにソートすると、社員毎の行動履歴やコンピュータの操作履歴を、時系列に沿って把握することが可能になる。例えば、図10の例であれば、仮想ID「a0001」によって特定される社員が、
1.「2005年1月19日」「08時50分30秒」に「ゲート01」を通過し、
2.「2005年1月19日」「09時15分48秒」に「キャビネット1001」を開けて、
3.「2005年1月19日」「09時24分45秒」に「認証システム」により認証され、
4.「2005年1月19日」「10時12分46秒」に「情報漏洩防止ツール」が管理するシステムに「ログイン」し、
5.「2005年1月19日」「10時45分23秒」に「xxx@yyy.com」から「ccc@yyy.com」宛にメールを「送信」し、
6.「2005年1月19日」「13時32分02秒」に「03−1111−0123」から「03−1234−5678」に電話を「発呼」し、・・・
といった、出社から退社までの行動や操作を把握することが可能になる。このような情報は、組織内における内部統制の他、セキュリティ検診、ビジネス・コンプライアンス、フォレンジック、証跡管理などにおいて、有益な情報として活用することができるので、これらのデータをレポート形式で定期的に出力することとしてもよい。
【0067】
このように時系列に沿って整理された統合ログに対して、一般に不正が発生しやすい行動パターン等をルール化してルール記憶部18に記憶させておくと、統合ログがルール記憶部18に記憶されたルールに該当する場合には、何らかの不正行為が行われた可能性があると判定することが可能である。不正のルールは、一のログ毎に対比するためのルールであってもよいし、一連の行動を示す複数のログをまとめて対比するためのルールであってもよい。また、社員毎の通常の行動パターンをユーザプロファイル記憶部19に記憶させておくと、統合ログがユーザプロファイル記憶部19に記憶されたプロファイルと乖離している場合には、何らかの不正行為が行われた可能性があると判定することも可能である。判定に用いるプロファイルは、一のログ毎の判定に用いてもよいし、一連の行動を示す複数のログをまとめて判定することに用いてもよい。
【0068】
ログ統合管理システム10の異常判定部17においては、ルール記憶部18とユーザプロファイル記憶部19の一方又は双方を参照し、上記のように時系列に沿って整理された統合ログから把握される社員の行動履歴やコンピュータの操作履歴が異常である場合のパターンに該当するかの判定を行うことによって、統合ログから不正の可能性のある異常行為を検出することとしている。異常行為が検出された場合には、例えば、管理者端末20に警告を表示することとしてもよいし、異常行為である可能性を判定した判定結果を、対象となったログデータのレコードに記録し、統合ログ格納部16に格納することとしてもよい。判定結果の形式については、異常行為である可能性をスコアとして算出し、算出されたスコアを記録することとしてもよいし、文字や記号によって異常行為の可能性をランク分けし、各々のログデータに対応するランクを記録することとしてもよく、特に限定されるものではない。
【0069】
上記の異常判定部14における判定は、二以上の統合ログの履歴について異常の判定を行うことに限られるものではなく、各々のレコード毎にルールやプロファイルと対比して異常の可能性について判定し、判定結果をログデータ毎に設けられたレコードに各々記録し、統合ログ格納部16に格納することとしてもよい。記録される判定結果の形式については、スコアやランクなど特に限定されないことについては、一の統合ログについて判定する場合と同様である。
【図面の簡単な説明】
【0070】
【図1】本発明にかかるログ統合管理システムの実施形態の概要を示す図である。
【図2】本発明にかかるログ統合管理システムの構成を示すブロック図である。
【図3】本発明にかかるログ統合管理システムにおけるログ紐付情報テーブルの一例を示す図である。
【図4】本発明にかかるログ統合管理システムにおいて、セキュリティ・ゲート管理サーバで収集されるログデータの一例を示す図である。
【図5】本発明にかかるログ統合管理システムにおいて、キュリティ・キャビネット管理サーバで収集されるログデータの一例を示す図である。
【図6】本発明にかかるログ統合管理システムにおいて、認証システムで作成されるログデータの一例を示す図である。
【図7】本発明にかかるログ統合管理システムにおいて、メールサーバで収集されるログデータの一例を示す図である。
【図8】本発明にかかるログ統合管理システムにおいて、情報漏洩防止ツールで収集されるログデータの一例を示す図である。
【図9】本発明にかかるログ統合管理システムにおいて、PBXから収集したログデータの一例を示す図である。
【図10】本発明にかかるログ統合管理システムによって作成される統合ログの一例を示す図である。
【符号の説明】
【0071】
10 ログ統合管理システム
11 入力ログフォーマット情報記憶部
12 出力ログフォーマット情報記憶部
13 ログ紐付情報記憶部
14 ログ受付部
15 統合ログ作成部
16 統合ログ格納部
17 異常判定部
18 ルール記憶部
19 ユーザプロファイル記憶部
20 管理者端末
30 セキュリティ・ゲート管理サーバ
31 セキュリティ・ゲート
32 セキュリティ・ゲート
40 セキュリティ・キャビネット管理サーバ
41 セキュリティ・キャビネット
42 セキュリティ・キャビネット
50 認証システム
60 メールサーバ
70 ネットワーク監視サーバ
80 業務用端末
81 業務用端末
90 PBXシステム
【技術分野】
【0001】
本発明は、企業等の組織の主として内部統制に有益な情報を提供することが可能な、ログ統合管理システム及びログ統合管理方法に関するものである。
【背景技術】
【0002】
コンピュータの使用においては、障害発生時の原因追跡等のために、コンピュータへの操作やコンピュータが実行した処理の記録として、ログの管理が行なわれることが一般的である。また、コンピュータをネットワークに接続して利用する場合には、外部からの不正アクセスの監視や、ネットワークを通じたデータの送受信が行われたことを記録するなどの目的で、ログの記録が重要となることが多い。
【0003】
ネットワークを介してコンピュータを利用することが一般的になると、単に1台のコンピュータの操作記録としてログを管理するだけでなく、ネットワークを介して複数のコンピュータにアクセスして行われた一連の行為を、ログとして記録することが求められる場合もある。このようなニーズに対応して、複数のシステムにおいて個別に収集されたログを、一連の取引単位に統合する発明が開示されている(例えば、特許文献1参照。)。
【0004】
【特許文献1】特開2001−229052号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
特許文献1記載の発明は、オンラインショッピングにおいて、商品の注文から決済までに行なわれた顧客の一連の操作について、WebサーバやECサーバ、決済サーバ等の複数のシステムで記録されたログを、1レコードに1回の取引に関連するログを統合して管理しようとするものである。
【0006】
特許文献1記載の発明によると、例えば、顧客から「注文した記憶がない」といった問い合わせに対応する際に、該顧客の取引にかかるログが1レコードとして管理されているため、一連の操作の追跡調査が容易となるという効果が生じる。この発明では、「Webサーバにアクセスした」、「注文画面からデータを入力した」、「決済サーバで承認番号が発行された」といった個々の操作や処理が実際に行われたことを記録するログが管理されているだけであって、どの操作や処理がいつ、どのような順序で行われたか、という一連の操作に関する時系列的な変化を把握することができない。
【0007】
また、特許文献1記載の発明は、1回の取引毎のログを1レコードに統合し、取引単位での操作履歴を管理することを目的とするものであって、他の取引や、取引以外における顧客のコンピュータの操作履歴にかかるログを管理し得るものではない。さらに、特許文献1記載の発明は、顧客が一のコンピュータからWebサーバ、ECサーバなどに順にアクセスしたコンピュータからの操作履歴を記録するものであって、顧客自身の物理的な行動記録までも管理し得るものではない。
【0008】
一方、企業等の組織においては、組織内におけるコンプライアンスが重要な課題とされるようになりながらも、組織内における不正行為が発覚することが珍しくなく、効果的な内部統制のための体制作りが求められている。組織における内部統制のためには、個々の構成員の行動を的確に把握することが必要であり、各々が使用するコンピュータの操作履歴を記録したログも有力な情報の一つとなるが、コンピュータの操作は構成員の行動の一部に過ぎないため、該ログのみでは行動履歴を把握するためには不十分である。
【0009】
このような内部統制において求められる事項に対して、特許文献1記載の発明を適用すると、構成員がコンピュータを用いて行った一連の操作単位での情報を収集することは可能になるものの、コンピュータを使用しない構成員の物理的な行動(例えばオフィスへの入退室)の履歴を把握できない、断続的に行われる同一の構成員による行為や操作を構成員単位で時系列に沿って把握することができない、といった限界が生じることになる。
【0010】
本発明は、このような課題に対応するためになされたものであり、企業等の組織内において、物理的な行動も含めた構成員単位の行動や操作の履歴を時系列に沿って管理し、主として内部統制に有益な情報を提供することが可能な、ログ統合管理システム及びログ統合管理方法を提供することを目的とするものである。
【課題を解決するための手段】
【0011】
このような課題を解決する本発明は、組織内における構成員の行為からログを収集して統合管理する内部統制のためのログ統合管理システムであって、オフィスの入退室のために設けられたセキュリティ・ゲートにおいて、一の構成員について第1の識別コードをキーに収集した第1のログデータを受け付ける第1の受付手段と、前記構成員が操作権限を有するコンピュータにおいて、前記構成員について第2の識別コードをキーに収集した第2のログデータを受け付ける第2の受付手段と、前記構成員が接続権限を有するコンピュータネットワークにおいて、前記構成員について第3の識別コードをキーに収集した第3のログデータを受け付ける第3の受付手段と、前記構成員を識別する統合用識別コードに、少なくとも前記第1の識別コード、前記第2の識別コード、前記第3の識別コードを関連付けて記憶する記憶手段と、前記第1のログデータ、前記第2のログデータ、前記第3のログデータを、前記記憶手段を参照して前記統合用識別コード毎に設けられたテーブルに、フォーマットを統一した統合ログとして格納する格納手段と、を備えることを特徴とするログ統合管理システムである。
【0012】
また、本発明は、前記構成員の利用権限を確認して開閉が可能となるセキュリティ・キャビネットにおいて、前記構成員について第4の識別コードをキーに収集した第4のログデータを受け付ける第4の受付手段を備えていて、前記記憶手段には、前記統合用識別コードに、少なくとも前記第4の識別コードが関連付けて記憶されていて、前記格納手段は、前記第4のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴とすることもできる。
【0013】
さらに、本発明は、前記構成員が送受信する電子メールを管理するメールサーバにおいて、前記構成員に割当てられたメールアドレスをキーに収集した第5のログデータを受け付ける第5の受付手段を備えていて、前記記憶手段には、前記統合用識別コードに、少なくとも前記メールアドレスが関連付けて記憶されていて、前記格納手段は、前記第5のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴としてもよい。
【0014】
さらに、本発明は、前記構成員が発呼又は着呼する通話情報を管理する交換機から、前記構成員に割当てられた電話番号をキーに収集した第6のログデータを受け付ける第6の受付手段を備えていて、前記記憶手段には、前記統合用識別コードに、少なくとも前記電話番号が関連付けて記憶されていて、前記格納手段は、前記第6のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴としてもよい。
【0015】
本発明によると、構成員のオフィスへの入退室記録、構成員のコンピュータの操作記録、構成員のLAN等への接続記録を、同一のフォーマットに統一して収集し、構成員毎のログとして統合することによって、構成員毎の内部統制に有益な情報を収集することが可能になる。さらに、セキュリティ・キャビネットの開閉記録、電子メールの送受信機録、電話の発着呼の記録を含めることによって、より精緻な情報を把握することが可能になる。
【0016】
さらに、本発明は、前記格納手段のテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成手段と、前記履歴データに対応して、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶手段と、前記履歴データ作成手段が作成した履歴データと前記ルール記憶手段に記憶されたルールとを対比して、前記履歴データが前記ルールの少なくとも一つに合致する場合には、前記構成員の行動又は操作が異常であると判定する判定手段と、を備えることを特徴としてもよい。
【0017】
さらに、本発明は、前記格納手段のテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成手段と、構成員毎に作成された過去の履歴データから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶手段と、前記履歴データ作成手段が作成した履歴データと前記プロファイル記憶手段に記憶された前記構成員についてのプロファイルとを対比して、前記履歴データが前記プロファイルに照らして所定のルールに合致しないと判断される場合には、前記構成員の行動又は操作が異常であると判定する判定手段と、を備えることを特徴としてもよい。
【0018】
このように、本発明においては、構成員毎に統合された統合ログから把握される履歴を、異常と判定すべき一般的なルールや、構成員の過去の行動パターンと対比することによって、不正の可能性がある行為を速やかに検知することが可能になる。
【0019】
さらに、本発明は、前記格納手段に格納された統合ログに対応して、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶手段と、前記格納手段に格納された統合ログと前記ルール記憶手段に記憶されたルールとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定手段と、前記統合ログに、前記判定手段による判定結果を記録して、前記格納手段に格納された統合ログの少なくとも一部を更新する更新手段と、を備えることを特徴としてもよい。
【0020】
さらに、本発明は、構成員毎に前記格納手段に格納された統合ログから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶手段と、前記格納手段に格納された統合ログと前記プロファイル記憶手段に記憶された前記構成員についてのプロファイルとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定手段と、前記統合ログに、前記判定手段による判定結果を記録して、前記格納手段に格納された統合ログの少なくとも一部を更新する更新手段と、を備えることを特徴としてもよい。
【0021】
このように、本発明においては、各々の統合ログを、異常と判定すべき一般的なルールや、構成員の過去の行動パターンと対比することによって、不正の可能性がある行為を統合ログの一部にスコアとして記録し、内部統制等のための情報として活用することが可能になる。尚、ここで記録されるスコアは、異常である可能性を把握するのに用いられるものであれば、数値で示されるスコアに限定されるものではない。
【0022】
さらに、本発明は、ログ統合管理システムの各々の構成に対応して、各々の構成のログ統合管理システムによって実行されるログ統合管理方法として特定することもできる。
【0023】
つまり、本発明にかかるログ統合管理方法は、組織内における構成員の行為からログを収集して統合管理する内部統制のためのログ統合管理方法であって、ログの統合管理を行うコンピュータシステムが、オフィスの入退室のために設けられたセキュリティ・ゲートにおいて、一の構成員について第1の識別コードをキーに収集した第1のログデータを受け付ける第1の受付ステップと、前記コンピュータシステムが、前記構成員が操作権限を有するコンピュータにおいて、前記構成員について第2の識別コードをキーに収集した第2のログデータを受け付ける第2の受付ステップと、前記コンピュータシステムが、前記構成員が接続権限を有するコンピュータネットワークにおいて、前記構成員について第3の識別コードをキーに収集した第3のログデータを受け付ける第3の受付ステップと、前記コンピュータシステムが、前記第1のログデータ、前記第2のログデータ、前記第3のログデータを、前記構成員を識別する統合用識別コードに、少なくとも前記第1の識別コード、前記第2の識別コード、前記第3の識別コードを関連付けて記憶した記憶部を参照して、前記統合用識別コード毎に設けられたテーブルに、フォーマットを統一した統合ログとして格納する格納ステップと、を有することを特徴とするログ統合管理方法である。
【0024】
また、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記構成員の利用権限を確認して開閉が可能となるセキュリティ・キャビネットにおいて、前記構成員について第4の識別コードをキーに収集した第4のログデータを受け付ける第4の受付ステップを有していて、前記記憶部には、前記統合用識別コードに、少なくとも前記第4の識別コードが関連付けて記憶されていて、前記格納ステップにおいては、前記第4のログデータを、前記記憶部を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴とすることもできる。
【0025】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記構成員が送受信する電子メールを管理するメールサーバにおいて、前記構成員に割当てられたメールアドレスをキーに収集した第5のログデータを受け付ける第5の受付ステップを有していて、前記記憶部には、前記統合用識別コードに、少なくとも前記メールアドレスが関連付けて記憶されていて、前記格納ステップにおいては、前記第5のログデータを、前記記憶部を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴としてもよい。
【0026】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記構成員が発呼又は着呼する通話情報を管理する交換機から、前記構成員に割当てられた電話番号をキーに収集した第6のログデータを受け付ける第6の受付ステップを有していて、前記記憶部には、前記統合用識別コードに、少なくとも前記電話番号が関連付けて記憶されていて、前記格納ステップにおいては、前記第6のログデータを、前記記憶部を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること、を特徴としてもよい。
【0027】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記格納ステップでテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成ステップと、前記コンピュータシステムが、前記履歴データ作成ステップで作成した履歴データと、前記履歴データに対応して、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶部に記憶されたルールとを対比して、前記履歴データ作成ステップで作成した履歴データが前記ルールの少なくとも一つに合致する場合には、前記構成員の行動又は操作が異常であると判定する判定ステップと、を有することを特徴としてもよい。
【0028】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記格納ステップでテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成ステップと、前記コンピュータシステムが、前記履歴データ作成ステップで作成した履歴データと、構成員毎に作成された過去の履歴データから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶部に記憶された前記構成員についてのプロファイルとを対比して、前記履歴データ作成ステップで作成した履歴データが前記プロファイルに照らして所定のルールに合致しないと判断される場合には、前記構成員の行動又は操作が異常であると判定する判定ステップと、を有することを特徴としてもよい。
【0029】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記格納部に格納された統合ログと、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶部に記憶されたルールとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定ステップと、前記コンピュータシステムが、前記統合ログに、前記ステップにおいて判定した判定結果を記録して、前記格納部に格納された統合ログの少なくとも一部を更新する更新ステップと、を有することを特徴としてもよい。
【0030】
さらに、本発明にかかるログ統合管理方法は、前記コンピュータシステムが、前記格納部に格納された統合ログと、構成員毎に前記格納部に格納された統合ログから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶部に記憶された前記構成員についてのプロファイルとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定ステップと、前記コンピュータシステムが、前記統合ログに、前記ステップにおいて判定した判定結果を記録して、前記格納部に格納された統合ログの少なくとも一部を更新する更新ステップと、を有することを特徴としてもよい。
【発明の効果】
【0031】
本発明によって、異なるシステムにおいて各々収集されていたログデータを統合し、物理的な行動も含めた構成員単位の行動や操作の履歴を時系列に沿って管理することによって、各構成員の詳細な行動や操作を容易に把握することが可能になり、主として内部統制のために有益な情報を得ることができる。
【発明を実施するための最良の形態】
【0032】
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下の説明におけるログのフォーマット、ログを収集する対象となるシステムなどの実施形態については、本発明を実施する場合の一例であって、本発明はかかる実施形態に限定されるものではない。また、以下においては、本発明にかかるログ統合管理システムを企業において導入する例について説明するが、本発明の実施は企業内に限定されるものではなく、企業以外の組織においても用いることができる。
【0033】
図1は、本発明にかかるログ統合管理システムの実施形態の概要を示す図である。図2は、本発明にかかるログ統合管理システムの構成を示すブロック図である。図3は、本発明にかかるログ統合管理システムにおけるログ紐付情報テーブルの一例を示す図である。図4は、本発明にかかるログ統合管理システムにおいて、セキュリティ・ゲート管理サーバで収集されるログデータの一例を示す図である。図5は、本発明にかかるログ統合管理システムにおいて、キュリティ・キャビネット管理サーバで収集されるログデータの一例を示す図である。図6は、本発明にかかるログ統合管理システムにおいて、認証システムで作成されるログデータの一例を示す図である。図7は、本発明にかかるログ統合管理システムにおいて、メールサーバで収集されるログデータの一例を示す図である。図8は、本発明にかかるログ統合管理システムにおいて、情報漏洩防止ツールで収集されるログデータの一例を示す図である。図9は、本発明にかかるログ統合管理システムにおいて、PBXから収集したログデータの一例を示す図である。図10は、本発明にかかるログ統合管理システムによって作成される統合ログの一例を示す図である。
【0034】
図1を用いて、本発明にかかるログ統合管理システムの概要と運用形態について説明する。本発明にかかるログ統合管理システムは、図1に示したように、オフィスへの入退室を管理するセキュリティ・ゲート、秘密資料等を収納するセキュリティ・キャビネット、社員が業務で使用する業務用端末、社内LANへの接続状況や共有サーバへのアクセス状況などを管理するネットワーク管理サーバ、電子メールの送受信を行うメールサーバ、オフィス内への電話機を統括するPBX、社内LANとインターネットを接続するゲートウェイを監視するゲートウェイ監視サーバ等の複数の異なるシステムにおいて収集されたログデータを、ログ統合サーバにおいて社員毎に統合して管理するよう構成されている。
【0035】
オフィスに入退室する社員には、入退室の権限があることを証明し、かつ各々の社員を識別するための社員コードが記憶されたIDカードが配布されている。入退室の管理が必要なオフィスへの入口にはセキュリティ・ゲートが設けられていて、セキュリティ・ゲートを通過する際には、IDカードにより入退室の権限を認証することによって、オフィスへの入退室を制限することが可能になっている。社員がセキュリティ・ゲートを通過する際には、IDカードからセンサー等で社員コードを読み取らせることによって、セキュリティ・ゲートの管理システムには、セキュリティ・ゲートの通過時刻等が社員を識別する社員コード等と合わせてログとして記録される。
【0036】
尚、IDカードにおいて社員コードを記憶させる媒体は特に制限されるものではなく、例えば、磁気ストライプやICチップ等を用いることができる。また、社員コードを読み取るシステムについても、接触型・非接触型のいずれであってもよく、読取方式ではなく社員が社員コードを入力するものであってもよい。また、セキュリティ・ゲートの設置場所についても、ビルへの入退館を管理するものであってもよいし、オフィスフロアやオフィスの特定のエリアへの入退室を管理するものであってもよく、特に限定されるものではない。
【0037】
セキュリティ・ゲートを通過した社員が、自らのデスクに着席すると、業務用端末や電話を利用して業務を行うことになる。電話を使用する場合であれば、電話の発呼と着呼はいずれもPBXを経由するので、PBXと接続されたPBXから送られるデータからログデータを生成して保存するためのサーバにおいて電話機に割当てられた番号毎に発着呼の記録が行われる。また、社員が外出時において、予め登録された番号の携帯電話を使用してオフィスに発呼した場合には、PBXと接続されたサーバにおいて所定の携帯電話からの着呼があったことが記録される。
【0038】
社員がパーソナルコンピュータ等の業務用端末を使用する場合には、ログオンから始まって、ユーザの認証結果、ファイルの閲覧や更新、プリンタへの出力などの操作、情報漏洩防止ツールによる監視結果、ログオフなど記録が、業務用端末に社員コード毎のログとして記録される。また、社内LANに接続して、共有サーバへのアクセスなどの操作を行った場合には、このような操作にかかるログが、業務用端末やネットワーク監視サーバに社員コード毎にログとして記録される。業務用端末に記録するログについては、ネットワーク監視サーバにおいて社員コード毎に記録することとしてもよい。
【0039】
さらに、社員が業務用端末を使用して、インターネットを通じて情報を収集したり、電子メールを送受信したりした場合には、ゲートウェイ監視サーバには社員コードやIPアドレス毎のインターネットへの接続情報が、メールサーバにはメールアドレス毎の電子メールの送受信情報が、それぞれ記録される。
【0040】
社員がデスクで業務を行いながら、関連する資料の閲覧が必要になったとする。その資料が、社外秘の機密文書等であって、セキュリティ・キャビネットに収納されている場合には、IDカードの社員コードや暗証番号の入力等によって開閉権限の認証が行われ、セキュリティ・キャビネットの開閉が行われる。セキュリティ・キャビネットの開閉記録は、セキュリティ・ゲートの管理システムに、社員を識別する社員コード等と合わせてログとして記録される。尚、ここで記録するログには、開閉の記録だけでなく、文書ファイル等にも識別コードを付与しておくことによって、使用した文書ファイルもログの一部として記録することとしてもよい。
【0041】
このように、各々異なるシステムにおいて管理されるログデータは、社内LAN等のネットワークを通じてログ統合サーバに収集される。収集されたログデータは、それぞれ操作者等を識別するためのコードが、社員コード、電話番号、メールアドレスのように異なることがあるため、ログ統合サーバでは同一の社員に関するログデータを一のテーブルに統合するための処理が行われる。社員毎に設けられたテーブルにまとめられたログデータを、各々のログに含まれる受付時間等の時間に関するデータをキーに時系列に沿ってソートすることによって、一の社員がオフィスに入室してから退出するまでの一連の行動や操作を把握することが可能になる。
【0042】
尚、図1にはログを統合する対象となるシステムを例示しているが、対象となるシステムはここに示したものに限られるものではない。例えば、キャビネット以外のオフィスファニチャー、監視カメラ、侵入検知システム(IDS)等で収集したログデータを対象にすることもできる。
【0043】
図2は、本発明にかかるログ統合管理システムの構成を示している。図2と、図3〜10に示したログデータの例を用いて、本発明によって企業内における社員毎のログデータを収集し、統合管理する方法について説明する。
【0044】
本発明にかかるログ統合管理システム10は、企業内のネットワークに接続されたコンピュータであって、CPU、RAM、ROM、HDDが少なくとも備えられている。HDDには、統合ログ作成や異常判定などを行うためのアプリケーションプログラム等が記憶されていて、これらのアプリケーションプログラムによって所定の処理を実行するには、ROMに記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動し、RAMをアプリケーションプログラムのワークエリアとして機能させながら、CPUにより演算処理が行われる。
【0045】
本発明にかかるログ統合管理システム10は、社内LAN等の企業内のネットワークを通じて、セキュリティ・ゲート管理サーバ30、セキュリティ・キャビネット管理サーバ40、認証システム50、メールサーバ60、ネットワーク監視サーバ70、PBXシステム90等の企業内の複数のシステムと接続されている。これらのシステムで収集されたログデータを入力ログフォーマット情報記憶部11に指定されたフォーマットに合わせてログ受付部14において受け付け、出力ログフォーマット情報記憶部12に指定されたフォーマットに従って統合ログ作成部15において社員毎の統合ログを作成し、統合ログ格納部16の社員毎に設けられたテーブルに格納する。各々のシステムで収集されるログデータについて、以下に順を追って説明する。
【0046】
セキュリティ・ゲート管理サーバ30は、ビルへの入退館やオフィススペースへの入退室を管理するセキュリティ・ゲート31、32等において、社員の入退館又は入退室に関する情報を受け付けて、社内の全てのセキュリティ・ゲートにおける入退館又は入退室に関する情報をセキュリティ・ゲート管理サーバ30において収集し、ログデータとして保存している。社員は、セキュリティ・ゲート31、32等を通過する際には、IDカードの社員コードを読取装置等に読み取らせたり、社員コードを入力させたりすることによって、セキュリティ・ゲートを通過した社員と通過時刻等のログが、セキュリティ・ゲート管理サーバ30に記録される。
【0047】
図4は、セキュリティ・ゲート管理サーバ30において収集されたログデータの一例を示すものであるが、セキュリティ・ゲートの通過毎に、ゲートNo.、社員コード、アクション、日付、時間等のログが記録されている。例えば、No.1のログであれば、社員コード「001」の社員が「01」のゲートを「2005年1月19日」の「8時50分30秒」に通過して、オフィスに入室した際の記録となっている。これらのログデータによって、誰が、いつ、オフィスに入退室したかを把握することが可能になる。
【0048】
セキュリティ・キャビネット管理サーバ40は、機密文書等の重要文書を保管しておくセキュリティ・キャビネット41、42等を管理するものである。セキュリティ・キャビネット41、42の開閉時には、IDカードの社員コードを読み取ったり、社員に社員コードを入力させたりすることによって、セキュリティ・キャビネットを利用した社員とキャビネットの開閉時刻等のログが、セキュリティ・キャビネット管理サーバ40に記録される。
【0049】
図5は、セキュリティ・キャビネット管理サーバ40において収集されたログデータの一例を示すものであるが、セキュリティ・キャビネットを開閉する毎に、キャビネットNo.、社員コード、アクション、日付、時間等のログが記録されている。例えば、No.1のログであれば、社員コード「001」の社員が「1001」のキャビネットを「2005年1月19日」の「9時15分48秒」に開けた際の記録となっている。これらのログデータによって、誰が、いつ、セキュリティ・キャビネットを開閉したかを把握することが可能になる。
【0050】
次に、社員が業務に使用する業務用端末80、81を用いて行った操作に関するログについて説明する。社員が使用する業務用端末80、81は、使用権限の無い者による不正使用を防止するために、認証システム50と接続されている。社員が業務用端末80、81を使用する際には、認証システム50からユーザIDとパスワードの入力や、生体認証のための生体情報の読み取り等によるユーザの本人認証を要求される。
【0051】
このようにして行われたユーザ認証の記録は、図6のログデータの例に示したように、本人認証に用いられた装置を識別する認証機器ID、社員コード、本人認証が行われた日付や時間等が記録される。かかる認証システム50は、図2の例に示したように業務用端末80、81から社内LAN等のネットワークを通じてアクセスするものであってもよいし、業務用端末80、81の内部に備えられていてもよい。特に後者の場合には、本人認証についてのログデータは、業務用端末80、81に記憶されることになる。
【0052】
また、業務用端末80、81において行われた操作に関するログ、例えばコンピュータへのログオンやログオフ、ファイルの更新、プリンタや外部ディスクへの出力などについて、業務用端末80、81に記憶されているログデータについても、ログ統合管理システム10において社員コード毎に収集することが好ましい。これらのログデータとして、業務用端末80、81のOSが管理するシステムログを用いることとしてもよい。
【0053】
この他に、社員は業務用端末80、81に備えられたメーラを使用して、社内外に対して電子メールの送受信を行う場合がある。電子メールの送受信は、メールサーバ60に設けられたメールアカウントを利用して行われるので、メールサーバ60では、図7の例に示したように、送信又は受信に用いられた社員毎に割り当てられたメールアドレス、送受信の別、送信の場合は宛先アドレス、受信の場合には送信元アドレス、送受信の日付や時間等のログが記録される。例えば、No.1のログであれば、メールアドレス「xxx@yyy.com」が割り振られた社員から、「ccc@yyy.com」宛に、「2005年1月19日」の「10時45分23秒」にメールが送信されたこと、メールアドレス「yyy@yyy.com」の社員が「zzz@xyz.com」の送信者から「2005年1月19日」の「11時37分46秒」にメールを受信した際の記録となっている。これらのログデータによって、誰が、いつ、誰と、メールの送受信を行ったかを把握することが可能になる。
【0054】
また、業務用端末80、81は、社内LAN等の企業内のネットワークに接続されていて、社内や各部署で共有するファイルサーバやアプリケーションサーバへのアクセスや、ネットワークプリンタからの出力、その他の社内システムへのアクセスを行うことが可能になっている。ネットワーク監視サーバ70は、これらのネットワークを介して行われた操作を監視しており、ネットワーク監視サーバ70による監視結果に基づいて、所定の条件に合致すると動作の停止やネットワークとの遮断等を実行する情報漏洩防止ツールが設けられている場合がある。
【0055】
図8は、ネットワーク監視サーバ70に設けられた情報漏洩防止ツールにおいて収集されたログデータの一例を示すものであるが、ネットワークを介して実行された動作毎に、使用されたノードのID、アクション、日付、時間等のログが記録されている。例えば、No.1のログであれば、組織「A」に設置されたノードID「12」のノードを用いて、ユーザ名「tanaka」が「2005年1月19日」の「10時12分46秒」に、コンピュータにログオンしてネットワークに接続した際の記録となっている。これらのログデータによって、誰が、いつ、どのノードを用いてどのような操作を行ったかを把握することが可能になる。
【0056】
業務用端末80、81による操作の他に、社員は電話によって業務連絡を行うことも少なくない。この場合、PBXと、PBXから収集したデータにより生成された電話のログを保存するサーバを含んで構成されるPBXシステム90において収集された電話の発呼や着呼を記録したログも、ログ統合管理システム10において収集するログデータの対象になる。
【0057】
図9の例に示したように、発呼又は着呼における社員毎に割り当てられた電話番号、発呼又は着呼の別、相手先の電話番号、日付、時間等のログが記録される。例えば、No.1のログであれば、電話番号「03−1111−0123」から「03−1234−5678」に向けて「2005年1月19日」「13時32分2秒」に発呼された際の記録となっている。これらのログデータによって、誰が、いつ、電話を用いて連絡をとったかを把握することが可能になる。
【0058】
尚、ここで社員による通話として把握すべき電話番号は、社内で用いられた電話番号に限られるものではない。発呼や着呼の相手方の番号であっても、それが予め登録してある社員の自宅や携帯電話の電話番号等である場合には、それらを含む情報から社員の行動を把握できる場合もある。例えば、図9のNo.3のログについて、電話番号「03−1111−0123」に対して「090−1234−5678」から「2005年1月19日」「15時8分24秒」に発呼された記録について、「090−1234−5678」が社員の登録した携帯電話の番号である場合には、社外から会社に業務報告等を行った記録と把握することもできる。
【0059】
以上のように、セキュリティ・ゲート管理サーバ30、セキュリティ・キャビネット管理サーバ40、認証システム50、メールサーバ60、ネットワーク監視サーバ70、業務用端末80、81、PBXシステム90等の企業内の複数のシステムにおいて収集されたログデータが、例えば1時間に1回、1日に1回といった、ユーザが任意に設定することが可能な所定のタイミングで、ログ統合管理システム10のログ受付部14において受け付けられる。
【0060】
このように収集されるログデータは、ログ受付部14において入力ログフォーマット情報記憶部11の指定に従ってフォーマットが統一され、統合ログ作成部15において、社員毎にとりまとめた統合ログが作成される。統合ログ作成部15においては、収集したログデータを統合するためのアプリケーションプログラム等が起動されて、出力ログフォーマット情報記憶部12及びログ紐付情報記憶部13を参照して、統合ログを作成する。
【0061】
出力ログフォーマット情報記憶部12には、統合ログに含まれる項目等のフォーマットが記憶されている。ログ紐付情報記憶部13には、項目が異なるログデータを社員毎に統合するために、キーとなる項目のデータの紐付け情報が記憶されている。出力ログフォーマット情報記憶部12には、例えば、図10の例に示したような項目が、フォーマットとして定義されている。ログ紐付情報記憶部13には、例えば、図3の例に示したように、社員を特定するためのキーとなるデータを紐付けるための仮想IDが設定され、仮想ID毎に設けられたレコードに、各々の項目において社員に付与されたコードやアドレスを記録することによって、ログを社員毎に紐付けるための情報が定義されている。
【0062】
図3の例において、例えば、仮想ID「a0001」に対応する社員を特定する情報として、社員コード「001」、ユーザ名「tanaka」、メールアドレス「xxx@yyy.com」、電話番号「03−1111−0123」が定義されている。このようなログを紐付けるための情報は、統合ログのフォーマット情報と合わせて、システム管理者等によって、管理者端末20から入力されることとなる。
【0063】
統合ログ作成部15では、出力ログフォーマット情報記憶部12に記憶されたフォーマットに基づく社員毎に付与された仮想ID単位のテーブルとログ単位のレコードを設けて、ログ紐付情報記憶部13に記憶された社員コード等の紐付情報を参照しながら、対応する仮想IDについて設けられたテーブルに、ログ毎にレコードにデータを記録して統合ログを作成していく。
【0064】
尚、出力ログフォーマット情報記憶部12に記憶させる統合ログのフォーマットと、ログ紐付情報記憶部13に記憶させる紐付情報については、管理者端末20よりシステム管理者等が入力して設定することができる。入力ログフォーマット情報記憶部11についても、システム管理者等が入力可能であることは同様である。
【0065】
例えば、図10に示した例であれば、ログ紐付情報記憶部13に記憶されている紐付情報から、仮想ID「a0001」によって紐付けられている社員コード「001」、ユーザ名「tanaka」、メールアドレス「xxx@yyy.com」、電話番号「03−1111−0123」を含むログデータを同一の社員にかかるものであると特定する。その結果、図4に示したセキュリティ・ゲート管理サーバ30におけるログNo.「1」のレコード、図5に示したセキュリティ・キャビネット管理サーバ40におけるログNo.「1」のレコード、図6に示した認証システム50におけるログNo.「1」のレコード、図7に示したメールサーバ60におけるログNo.「1」のレコード、図8に示した情報漏洩ツールにおけるログNo.「1」のレコード、図9に示したPBXシステムにおけるログNo.「1」及び「3」のレコードが特定され、これらのレコードの情報を仮想ID「a0001」について設けられたテーブルに統合ログとして記録し、統合ログ格納部16に格納する。
【0066】
このようにして作成された統合ログを、時間をキーにソートすると、社員毎の行動履歴やコンピュータの操作履歴を、時系列に沿って把握することが可能になる。例えば、図10の例であれば、仮想ID「a0001」によって特定される社員が、
1.「2005年1月19日」「08時50分30秒」に「ゲート01」を通過し、
2.「2005年1月19日」「09時15分48秒」に「キャビネット1001」を開けて、
3.「2005年1月19日」「09時24分45秒」に「認証システム」により認証され、
4.「2005年1月19日」「10時12分46秒」に「情報漏洩防止ツール」が管理するシステムに「ログイン」し、
5.「2005年1月19日」「10時45分23秒」に「xxx@yyy.com」から「ccc@yyy.com」宛にメールを「送信」し、
6.「2005年1月19日」「13時32分02秒」に「03−1111−0123」から「03−1234−5678」に電話を「発呼」し、・・・
といった、出社から退社までの行動や操作を把握することが可能になる。このような情報は、組織内における内部統制の他、セキュリティ検診、ビジネス・コンプライアンス、フォレンジック、証跡管理などにおいて、有益な情報として活用することができるので、これらのデータをレポート形式で定期的に出力することとしてもよい。
【0067】
このように時系列に沿って整理された統合ログに対して、一般に不正が発生しやすい行動パターン等をルール化してルール記憶部18に記憶させておくと、統合ログがルール記憶部18に記憶されたルールに該当する場合には、何らかの不正行為が行われた可能性があると判定することが可能である。不正のルールは、一のログ毎に対比するためのルールであってもよいし、一連の行動を示す複数のログをまとめて対比するためのルールであってもよい。また、社員毎の通常の行動パターンをユーザプロファイル記憶部19に記憶させておくと、統合ログがユーザプロファイル記憶部19に記憶されたプロファイルと乖離している場合には、何らかの不正行為が行われた可能性があると判定することも可能である。判定に用いるプロファイルは、一のログ毎の判定に用いてもよいし、一連の行動を示す複数のログをまとめて判定することに用いてもよい。
【0068】
ログ統合管理システム10の異常判定部17においては、ルール記憶部18とユーザプロファイル記憶部19の一方又は双方を参照し、上記のように時系列に沿って整理された統合ログから把握される社員の行動履歴やコンピュータの操作履歴が異常である場合のパターンに該当するかの判定を行うことによって、統合ログから不正の可能性のある異常行為を検出することとしている。異常行為が検出された場合には、例えば、管理者端末20に警告を表示することとしてもよいし、異常行為である可能性を判定した判定結果を、対象となったログデータのレコードに記録し、統合ログ格納部16に格納することとしてもよい。判定結果の形式については、異常行為である可能性をスコアとして算出し、算出されたスコアを記録することとしてもよいし、文字や記号によって異常行為の可能性をランク分けし、各々のログデータに対応するランクを記録することとしてもよく、特に限定されるものではない。
【0069】
上記の異常判定部14における判定は、二以上の統合ログの履歴について異常の判定を行うことに限られるものではなく、各々のレコード毎にルールやプロファイルと対比して異常の可能性について判定し、判定結果をログデータ毎に設けられたレコードに各々記録し、統合ログ格納部16に格納することとしてもよい。記録される判定結果の形式については、スコアやランクなど特に限定されないことについては、一の統合ログについて判定する場合と同様である。
【図面の簡単な説明】
【0070】
【図1】本発明にかかるログ統合管理システムの実施形態の概要を示す図である。
【図2】本発明にかかるログ統合管理システムの構成を示すブロック図である。
【図3】本発明にかかるログ統合管理システムにおけるログ紐付情報テーブルの一例を示す図である。
【図4】本発明にかかるログ統合管理システムにおいて、セキュリティ・ゲート管理サーバで収集されるログデータの一例を示す図である。
【図5】本発明にかかるログ統合管理システムにおいて、キュリティ・キャビネット管理サーバで収集されるログデータの一例を示す図である。
【図6】本発明にかかるログ統合管理システムにおいて、認証システムで作成されるログデータの一例を示す図である。
【図7】本発明にかかるログ統合管理システムにおいて、メールサーバで収集されるログデータの一例を示す図である。
【図8】本発明にかかるログ統合管理システムにおいて、情報漏洩防止ツールで収集されるログデータの一例を示す図である。
【図9】本発明にかかるログ統合管理システムにおいて、PBXから収集したログデータの一例を示す図である。
【図10】本発明にかかるログ統合管理システムによって作成される統合ログの一例を示す図である。
【符号の説明】
【0071】
10 ログ統合管理システム
11 入力ログフォーマット情報記憶部
12 出力ログフォーマット情報記憶部
13 ログ紐付情報記憶部
14 ログ受付部
15 統合ログ作成部
16 統合ログ格納部
17 異常判定部
18 ルール記憶部
19 ユーザプロファイル記憶部
20 管理者端末
30 セキュリティ・ゲート管理サーバ
31 セキュリティ・ゲート
32 セキュリティ・ゲート
40 セキュリティ・キャビネット管理サーバ
41 セキュリティ・キャビネット
42 セキュリティ・キャビネット
50 認証システム
60 メールサーバ
70 ネットワーク監視サーバ
80 業務用端末
81 業務用端末
90 PBXシステム
【特許請求の範囲】
【請求項1】
組織内における構成員の行為からログを収集して統合管理するログ統合管理システムであって、
オフィスの入退室のために設けられたセキュリティ・ゲートにおいて、一の構成員について第1の識別コードをキーに収集した第1のログデータを受け付ける第1の受付手段と、
前記構成員が操作権限を有するコンピュータにおいて、前記構成員について第2の識別コードをキーに収集した第2のログデータを受け付ける第2の受付手段と、
前記構成員が接続権限を有するコンピュータネットワークにおいて、前記構成員について第3の識別コードをキーに収集した第3のログデータを受け付ける第3の受付手段と、
前記構成員を識別する統合用識別コードに、少なくとも前記第1の識別コード、前記第2の識別コード、前記第3の識別コードを関連付けて記憶する記憶手段と、
前記第1のログデータ、前記第2のログデータ、前記第3のログデータを、前記記憶手段を参照して前記統合用識別コード毎に設けられたテーブルに、フォーマットを統一した統合ログとして格納する格納手段と、
を備えることを特徴とするログ統合管理システム。
【請求項2】
前記構成員の利用権限を確認して開閉が可能となるセキュリティ・キャビネットにおいて、前記構成員について第4の識別コードをキーに収集した第4のログデータを受け付ける第4の受付手段を備えていて、
前記記憶手段には、前記統合用識別コードに、少なくとも前記第4の識別コードが関連付けて記憶されていて、
前記格納手段は、前記第4のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること
を特徴とする請求項1記載のログ統合管理システム。
【請求項3】
前記構成員が送受信する電子メールを管理するメールサーバにおいて、前記構成員に割当てられたメールアドレスをキーに収集した第5のログデータを受け付ける第5の受付手段を備えていて、
前記記憶手段には、前記統合用識別コードに、少なくとも前記メールアドレスが関連付けて記憶されていて、
前記格納手段は、前記第5のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること
を特徴とする請求項1記載のログ統合管理システム。
【請求項4】
前記構成員が発呼又は着呼する通話情報を管理する交換機から、前記構成員に割当てられた電話番号をキーに収集した第6のログデータを受け付ける第6の受付手段を備えていて、
前記記憶手段には、前記統合用識別コードに、少なくとも前記電話番号が関連付けて記憶されていて、
前記格納手段は、前記第6のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること
を特徴とする請求項1記載のログ統合管理システム。
【請求項5】
前記格納手段のテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成手段と、
前記履歴データに対応して、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶手段と、
前記履歴データ作成手段が作成した履歴データと前記ルール記憶手段に記憶されたルールとを対比して、前記履歴データが前記ルールの少なくとも一つに合致する場合には、前記構成員の行動又は操作が異常であると判定する判定手段と、
を備えることを特徴とする請求項1乃至4いずれかに記載のログ統合管理システム。
【請求項6】
前記格納手段のテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成手段と、
構成員毎に作成された過去の履歴データから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶手段と、
前記履歴データ作成手段が作成した履歴データと前記プロファイル記憶手段に記憶された前記構成員についてのプロファイルとを対比して、前記履歴データが前記プロファイルに照らして所定のルールに合致しないと判断される場合には、前記構成員の行動又は操作が異常であると判定する判定手段と、
を備えることを特徴とする請求項1乃至4いずれかに記載のログ統合管理システム。
【請求項7】
前記格納手段に格納された統合ログに対応して、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶手段と、
前記格納手段に格納された統合ログと前記ルール記憶手段に記憶されたルールとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定手段と、
前記統合ログに、前記判定手段による判定結果を記録して、前記格納手段に格納された統合ログの少なくとも一部を更新する更新手段と、
を備えることを特徴とする請求項1乃至4いずれかに記載のログ統合管理システム。
【請求項8】
構成員毎に前記格納手段に格納された統合ログから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶手段と、
前記格納手段に格納された統合ログと前記プロファイル記憶手段に記憶された前記構成員についてのプロファイルとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定手段と、
前記統合ログに、前記判定手段による判定結果を記録して、前記格納手段に格納された統合ログの少なくとも一部を更新する更新手段と、
を備えることを特徴とする請求項1乃至4いずれかに記載のログ統合管理システム。
【請求項9】
組織内における構成員の行為からログを収集して統合管理するログ統合管理方法であって、
ログの統合管理を行うコンピュータシステムが、オフィスの入退室のために設けられたセキュリティ・ゲートにおいて、一の構成員について第1の識別コードをキーに収集した第1のログデータを受け付ける第1の受付ステップと、
前記コンピュータシステムが、前記構成員が操作権限を有するコンピュータにおいて、前記構成員について第2の識別コードをキーに収集した第2のログデータを受け付ける第2の受付ステップと、
前記コンピュータシステムが、前記構成員が接続権限を有するコンピュータネットワークにおいて、前記構成員について第3の識別コードをキーに収集した第3のログデータを受け付ける第3の受付ステップと、
前記コンピュータシステムが、前記第1のログデータ、前記第2のログデータ、前記第3のログデータを、前記構成員を識別する統合用識別コードに、少なくとも前記第1の識別コード、前記第2の識別コード、前記第3の識別コードを関連付けて記憶した記憶部を参照して、前記統合用識別コード毎に設けられたテーブルに、フォーマットを統一した統合ログとして格納する格納ステップと、
を有することを特徴とするログ統合管理方法。
【請求項1】
組織内における構成員の行為からログを収集して統合管理するログ統合管理システムであって、
オフィスの入退室のために設けられたセキュリティ・ゲートにおいて、一の構成員について第1の識別コードをキーに収集した第1のログデータを受け付ける第1の受付手段と、
前記構成員が操作権限を有するコンピュータにおいて、前記構成員について第2の識別コードをキーに収集した第2のログデータを受け付ける第2の受付手段と、
前記構成員が接続権限を有するコンピュータネットワークにおいて、前記構成員について第3の識別コードをキーに収集した第3のログデータを受け付ける第3の受付手段と、
前記構成員を識別する統合用識別コードに、少なくとも前記第1の識別コード、前記第2の識別コード、前記第3の識別コードを関連付けて記憶する記憶手段と、
前記第1のログデータ、前記第2のログデータ、前記第3のログデータを、前記記憶手段を参照して前記統合用識別コード毎に設けられたテーブルに、フォーマットを統一した統合ログとして格納する格納手段と、
を備えることを特徴とするログ統合管理システム。
【請求項2】
前記構成員の利用権限を確認して開閉が可能となるセキュリティ・キャビネットにおいて、前記構成員について第4の識別コードをキーに収集した第4のログデータを受け付ける第4の受付手段を備えていて、
前記記憶手段には、前記統合用識別コードに、少なくとも前記第4の識別コードが関連付けて記憶されていて、
前記格納手段は、前記第4のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること
を特徴とする請求項1記載のログ統合管理システム。
【請求項3】
前記構成員が送受信する電子メールを管理するメールサーバにおいて、前記構成員に割当てられたメールアドレスをキーに収集した第5のログデータを受け付ける第5の受付手段を備えていて、
前記記憶手段には、前記統合用識別コードに、少なくとも前記メールアドレスが関連付けて記憶されていて、
前記格納手段は、前記第5のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること
を特徴とする請求項1記載のログ統合管理システム。
【請求項4】
前記構成員が発呼又は着呼する通話情報を管理する交換機から、前記構成員に割当てられた電話番号をキーに収集した第6のログデータを受け付ける第6の受付手段を備えていて、
前記記憶手段には、前記統合用識別コードに、少なくとも前記電話番号が関連付けて記憶されていて、
前記格納手段は、前記第6のログデータを、前記記憶手段を参照して前記テーブルに、フォーマットを統一した統合ログとして格納すること
を特徴とする請求項1記載のログ統合管理システム。
【請求項5】
前記格納手段のテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成手段と、
前記履歴データに対応して、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶手段と、
前記履歴データ作成手段が作成した履歴データと前記ルール記憶手段に記憶されたルールとを対比して、前記履歴データが前記ルールの少なくとも一つに合致する場合には、前記構成員の行動又は操作が異常であると判定する判定手段と、
を備えることを特徴とする請求項1乃至4いずれかに記載のログ統合管理システム。
【請求項6】
前記格納手段のテーブルに格納された統合ログを、各々のログに含まれるログの記録時間をキーにソートして、前記構成員の行動及び操作の履歴を示す履歴データを作成する履歴データ作成手段と、
構成員毎に作成された過去の履歴データから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶手段と、
前記履歴データ作成手段が作成した履歴データと前記プロファイル記憶手段に記憶された前記構成員についてのプロファイルとを対比して、前記履歴データが前記プロファイルに照らして所定のルールに合致しないと判断される場合には、前記構成員の行動又は操作が異常であると判定する判定手段と、
を備えることを特徴とする請求項1乃至4いずれかに記載のログ統合管理システム。
【請求項7】
前記格納手段に格納された統合ログに対応して、異常と判定すべき行動又は操作のパターンをルールとして記憶したルール記憶手段と、
前記格納手段に格納された統合ログと前記ルール記憶手段に記憶されたルールとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定手段と、
前記統合ログに、前記判定手段による判定結果を記録して、前記格納手段に格納された統合ログの少なくとも一部を更新する更新手段と、
を備えることを特徴とする請求項1乃至4いずれかに記載のログ統合管理システム。
【請求項8】
構成員毎に前記格納手段に格納された統合ログから、構成員毎の行動又は操作のパターンをユーザプロファイルとして記憶するプロファイル記憶手段と、
前記格納手段に格納された統合ログと前記プロファイル記憶手段に記憶された前記構成員についてのプロファイルとを各々対比して、前記構成員の行動又は操作が異常であるかを判定する判定手段と、
前記統合ログに、前記判定手段による判定結果を記録して、前記格納手段に格納された統合ログの少なくとも一部を更新する更新手段と、
を備えることを特徴とする請求項1乃至4いずれかに記載のログ統合管理システム。
【請求項9】
組織内における構成員の行為からログを収集して統合管理するログ統合管理方法であって、
ログの統合管理を行うコンピュータシステムが、オフィスの入退室のために設けられたセキュリティ・ゲートにおいて、一の構成員について第1の識別コードをキーに収集した第1のログデータを受け付ける第1の受付ステップと、
前記コンピュータシステムが、前記構成員が操作権限を有するコンピュータにおいて、前記構成員について第2の識別コードをキーに収集した第2のログデータを受け付ける第2の受付ステップと、
前記コンピュータシステムが、前記構成員が接続権限を有するコンピュータネットワークにおいて、前記構成員について第3の識別コードをキーに収集した第3のログデータを受け付ける第3の受付ステップと、
前記コンピュータシステムが、前記第1のログデータ、前記第2のログデータ、前記第3のログデータを、前記構成員を識別する統合用識別コードに、少なくとも前記第1の識別コード、前記第2の識別コード、前記第3の識別コードを関連付けて記憶した記憶部を参照して、前記統合用識別コード毎に設けられたテーブルに、フォーマットを統一した統合ログとして格納する格納ステップと、
を有することを特徴とするログ統合管理方法。
【図2】
【図1】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図1】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2007−233661(P2007−233661A)
【公開日】平成19年9月13日(2007.9.13)
【国際特許分類】
【出願番号】特願2006−54173(P2006−54173)
【出願日】平成18年2月28日(2006.2.28)
【出願人】(397067853)株式会社インテリジェントウェイブ (20)
【Fターム(参考)】
【公開日】平成19年9月13日(2007.9.13)
【国際特許分類】
【出願日】平成18年2月28日(2006.2.28)
【出願人】(397067853)株式会社インテリジェントウェイブ (20)
【Fターム(参考)】
[ Back to top ]