不審行動検出システム,不審行動検出方法及び不審行動検出プログラム
【課題】電子機器に対する操作の多様性や操作傾向の変化による影響を受けることなく、電子機器に対するユーザの不審行動を有効に検出する不審行動検出システム,不審行動検出方法及び不審行動検出用プログラムを提供する。
【解決手段】周辺人物検知手段1が電子機器の周辺に設定した領域内の人物の有無を検知し、操作検出手段2が電子機器に対する操作を検出し、不審行動検出手段3が、設定した領域内に前記ユーザ以外の他の人物がいる場合といない場合とで当該ユーザの操作内容に差異があるか否かを判定し、この判定結果に基づいて当該ユーザの不審行動を検出する。
【解決手段】周辺人物検知手段1が電子機器の周辺に設定した領域内の人物の有無を検知し、操作検出手段2が電子機器に対する操作を検出し、不審行動検出手段3が、設定した領域内に前記ユーザ以外の他の人物がいる場合といない場合とで当該ユーザの操作内容に差異があるか否かを判定し、この判定結果に基づいて当該ユーザの不審行動を検出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報システムにおけるユーザの不審な操作を検出する不審行動検出システム,不審行動検出方法及び不審行動検出プログラムに関する。
【背景技術】
【0002】
情報システムにおいて情報漏洩対策は重要な課題であり、機密情報や個人情報の流出を防止する高性能な技術が広く求められている。これを鑑みて、非特許文献1には、監査ログを分析することでユーザの不審な行為を検出し端末の不正使用を抑止する技術が開示されている。
【0003】
非特許文献1に開示された技術は、情報システムのデータベース監査ログを定期的に分析し、一定条件に合致したログを不審行動として抽出して管理者宛てに通知するというものである。非特許文献1に記載の「表2」に示された各事例によると、早朝、夜間、休日などの就業時間外に大量の顧客情報にアクセスする行為を不審な行為と定義している。
【0004】
また、これに関連して、様々な場における不審な行為を検知する技術が、特許文献1乃至3に開示されている。特許文献1に開示された技術は、遊戯台と、センサユニットと、警告ランプとから構成された監視装置であり、営業時間後に遊戯台の電源が落とされるとセンサユニットが監視モードとなり、その状態で不審者が遊戯台に接近するとセンサユニットに感知履歴が残り、翌日遊戯台に電源を投入する際に感知履歴が残っていれば警告を発する。この監視装置では、遊戯台に対する不審な行為は営業時間外に行われることが前提となっている。
【0005】
特許文献2に開示された技術は、ログデータ取得手段と、ログファイル保存手段と、ログファイル検索手段と、ログデータ比較手段と、監視カメラ制御手段とから構成されたATM監視システムである。このような構成を有するシステムでは、ログデータ取得手段がATMを操作している顧客の操作内容をログデータとして取得し、ログデータ検索手段が同顧客の過去のログデータをログファイル保存手段から読み出し、両データをログデータ比較手段が比較し、両データの差が閾値以上大きなものである場合に注意信号を出力し、さらに、監視カメラ制御手段が監視カメラをその顧客に向け、顔の画像を取得する。この監視システムは、顧客の操作状態から不審行動を検出することと、監視カメラとの連動に特徴がある。
【0006】
特許文献3に開示された技術は、監視カメラと、店舗PCと、監視テーブルとから構成された監視システムである。このような構成を有する監視システムでは、店舗PCが監視カメラに撮影された画像から顧客の特徴を認識して監視対象者を特定し、監視対象者の滞在時間が監視テーブルに設定されている時間を経過したか否かを判別し、経過していれば管理者に通知する。この特許文献3の監視システムは、監視対象者の行動を滞在時間に変換して不審行動を判定するところに特徴がある。
【0007】
【非特許文献1】吉田晃、「中級 情報漏洩を防ぐDBセキュリティ 第3回」、[online]、2006年5月15日、日経BP社、インターネット〈URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20060512/237709/〉
【特許文献1】特開2006−296489号公報
【特許文献2】特開2003−16498号公報
【特許文献3】特開2007−74330号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、上述した従来技術では、不審行動とみなす条件を画一的に定義しているため、システムユーザの操作内容の多様性と変化に対応できず、情報システムに対するユーザの不審な行為を正確に検出できないという問題があった。
【0009】
例えば、非特許文献1に開示された技術は、早朝、夜間、休日などの就業時間外に端末の不正使用が行われることを前提としているが、企業情報システムにおいては、就業時間内でもオフィス内にユーザ以外の第三者がいない場合は端末の不正使用が行われる可能性がある。また、オフィス内にユーザ以外の第三者がいる場合もユーザの近くに第三者がいなければ不正使用を行う可能性がある。ユーザの背後に第三者がいなければ端末の画面に秘密情報を表示させることは可能であり、プリンタの近辺に第三者がいなければ秘密情報を印刷することは可能である。よって、非特許文献1の技術では、勤務時間内の不正な行為を検知できない。
【0010】
また、非特許文献1の技術では、アクセス情報の容量やログインの失敗回数から不審行動を判断し、特許文献1の技術では遊戯台への接近具合から判断し、特許文献2の技術ではATMへのキー入力のスピードや暗証番号不一致回数から判断し、特許文献3の技術では滞在時間の期待値で判断しているなど、上述した従来技術では、ユーザの行動内容から不審行動と判断する条件を画一的に定義している。しかし、情報システムにおいては、端末に対して様々な種類の操作が行われ、各部門や各社員の担当業務で異なる種類の操作が行われ、時間の経過と共に操作の傾向が変化するため、不審行動とみなす条件を操作内容から画一的に定義して実際に不審行為を検出するとなると、膨大な数の条件を設定してそれを定期的に更新する必要があり、システムへの負担が増加してしまう。
【0011】
[目的]
そこで、本発明は、上記従来技術の不都合を改善し、電子機器に対する操作の多様性や操作傾向の変化による影響を受けることなく、電子機器に対するユーザの不審行動を有効に検出する不審行動検出システム,不審行動検出方法及び不審行動検出用プログラムを提供することを、その目的とする。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明の不審行動検出システムは、電子機器の周辺に設定した領域内の人物の有無を検知する周辺人物検知手段と、電子機器に対するユーザの操作を検出する操作検出手段とを備え、周辺人物検知手段による検知結果と前記操作検出手段による検出結果とを照合して、電子機器の周辺に前記ユーザ以外の他の人物がいる場合といない場合とで当該ユーザの操作内容に差異があるか否かを判定し、この判定結果に基づいて当該ユーザの不審行動を検出する不審行動検出手段を備えたことを特徴とする。
【0013】
次に、本発明の不審行動検出方法は、電子機器の周辺に設定した領域内の人物の有無を順次検知する周辺人物検知工程と、電子機器に対するユーザの操作を検出する操作検出工程とを設け、電子機器の周辺に前記ユーザ以外の他の人物がいる場合といない場合との当該ユーザの操作内容を比較して差異があるか否かを判定しこの判定結果に基づいてユーザの不審行動の有無を検出する不審行動検出工程を設けたことを特徴とする。
【0014】
さらに、本発明の不審行動検出用プログラムは、電子機器の周辺に設定した領域内の人物の有無を検知する周辺人物検知機能と、電子機器に対する操作を検出する操作検出機能と、電子機器の周辺領域内に人物がいる場合といない場合とで当該電子機器に対する操作の内容に差異があるか否かを判定しこの判定結果に基づいてユーザの不審行動を検出する不審行動検出機能とをコンピュータに実行させることを特徴とする。
【発明の効果】
【0015】
本発明は以上のように構成され機能するため、これにより、電子機器の周辺にユーザ以外の第三者がいる場合といない場合とでの操作内容の差異に基づいてユーザの不審行動の有無を判断するので、電子機器に対する操作内容の多様性や操作傾向の変化による影響を受けることなく、電子機器に対するユーザの不審行動を有効に検出して、機器の不正使用を効果的に抑止することができる。
【発明を実施するための最良の形態】
【0016】
以下、本発明における一実施形態を、図面を参照して説明する。
【0017】
図1は、本実施形態の不審行動検出システムの構成を示す機能ブロック図である。図1に示すように、本実施形態の不審行動検出システムは、情報処理端末,プリンタ,複合機,又は遊技台などの電子機器の周辺に設定した領域内の人物の有無を検知する周辺人物検知手段1と、この電子機器に対するユーザの操作を検出する操作検出手段2と、周辺人物検知手段1による検知結果と操作検出手段2による検出結果とを照合して電子機器の周辺にユーザ以外の他の人物がいる場合といない場合とでユーザの操作内容に差異があるか否かを判定しこの判定結果に基づいてユーザの不審行動を検出する不審行動検出手段3とを備えている。
【0018】
周辺人物検知手段1は、電子機器を操作しているユーザの動作を他の人物が視認できる範囲の領域を設定し、この設定した領域内に他の人物がいるかいないかを検知する機能を備えている。例えば、電子機器の設置位置を中心とした円形領域のユーザの操作位置を除く領域を設定すれば、電子機器の周辺にユーザ以外の第三者がいるか否かを検知することができる。
【0019】
また、周辺人物検知手段1は、例えば、設定領域内に設置されている他の機器と接続して各機器の稼働状況を監視することで他の人物の有無を検知するように構成してもよいし、監視カメラ等で設定領域内を撮影した映像を入力して画像認識し人物の有無とその位置座標を算出するように構成してもよい。また、設定した領域内に在る椅子などに設置された圧力センサの測定値の変化から人物の有無を検知するように構成してもよいし、設定した領域内の赤外線の波長分布をセンシングして人物の有無を検知するように構成してもよい。
【0020】
操作検出手段2は、電子機器に関する操作ログ情報を検出し蓄積する機能を備えている。不審行動検出手段3は、電子機器周辺に設定された領域内に他の人物がいる場合といない場合とで電子機器に関するログ情報の内容に差異があるか否かを統計処理で判定する機能を備えている。
【0021】
図2は、周辺人物検知手段1の内部構成を示す機能ブロック図である。図2に示すように、本実施形態における周辺人物検知手段1は、電子機器の設置位置を基準に設定した領域内の人物の有無を時刻と共に示す情報を格納する人物有無情報格納手段11と、設定領域内の人物の有無を一定時間間隔で検知して人物有無情報格納手段11に格納されている情報を更新する人物有無情報更新手段12と、特定の電子機器周辺の特定の期間での人物の有無を人物有無情報格納手段11に格納された情報の中から検索する人物有無情報検索手段13とから構成されている。
【0022】
人物有無情報格納手段11は、電子機器の周辺に設定した領域内のユーザ以外の他の人物の有無をその時間帯と共に示した情報を格納する機能を備えている。人物有無情報更新手段12は、電子機器周辺に設定した領域内に在る他の機器の稼働状況や、監視カメラ映像や、設定領域内に設置された圧力センサの測定値や、設定領域内の赤外線の波長分布などを基に、電子機器周辺に設定した領域内の人物の有無を判定し、判定結果に基づいて人物有無情報格納手段11に格納されている情報を更新する機能を備えている。
【0023】
人物有無情報検索手段13は、不審行動検出手段3からの指示に従って、指定の期間での設定領域内の他の人物の有無を人物有無情報格納手段11に格納された情報から検索し、該当する情報を不審行動検出手段3へ出力する機能を備えている。
【0024】
図3は、操作検出手段2の内部構成を示す機能ブロック図である。図3に示すように、本実施形態における操作検出手段2は、電子機器に関する操作ログ情報を格納する操作ログ格納手段21と、電子機器に関する操作ログ情報を収集し操作ログ格納手段21に格納されている情報を更新する操作ログ更新手段22と、特定の期間の操作ログ情報を操作ログ格納手段21に格納された情報の中から検索する操作ログ検索手段23とから構成されている。
【0025】
操作ログ格納手段21は、電子機器に対する操作の内容とその操作が行われた時刻とを含む操作ログ情報を格納する機能を備えている。操作ログ更新手段22は、電子機器に係る操作ログ情報を該電子機器などから定期的に収集して操作ログ格納手段21へ出力する機能を備えている。操作ログ検索手段23は、不審行動検出手段3からの指示に従って、指定の期間の操作ログ情報を操作ログ格納手段21に格納された情報から検索し、該当する情報を不審行動検出手段3へ出力する機能を備えている。
【0026】
図4は、本実施形態における不審行動検出手段3の内部構成を示す機能ブロック図である。図4に示すように、本実施形態における不審行動検出手段3は、外部入力により不審行動検出の指令を受け付ける指示入力手段31と、指令に従って指定の電子機器に係るログ情報の内容について電子機器の周辺に他の人物がいる場合といない場合とで差異があるか否かを分析し不審行動の有無を検出する不審行動分析手段32と、不審行動の有無の検出結果を表示する検出結果表示手段33とから構成されている。
【0027】
不審行動分析手段32は、指定の電子機器に係る指定の期間の操作ログ情報を操作検出手段2から取得すると共に、指定の期間における指定の電子機器の周辺の人物の有無を示す情報を周辺人物検知手段1から取得し、指定の電子機器の周辺に他の人物がいるときの操作ログ情報の内容といないときの内容とについて統計処理を実行し、両内容に差異かあるか否かを判定し、判定結果に基づいて指定の電子機器に対するユーザの不審な操作を検出する機能を備えている。
【0028】
次に、本実施形態の動作について説明する。ここで、以下の動作説明は、本発明の不審行動検出方法の実施形態となるので、不審行動検出方法の各工程を対応する動作の記述と共に記す。
【0029】
まず、周辺人物検知手段1における人物有無情報更新手段12が、電子機器の周辺に設定した領域内に当該電子機器を操作するユーザ以外の他の人物がいるかいないかを、領域内の他の機器の稼働状況や設定領域内に設置した圧力センサ,設定領域内を撮影するカメラなどのいずれかを用いて、一定時間ごとに判定して(周辺人物検知工程)、判定結果に基づいて人物状態格納手段11に格納されている情報を更新する(人物有無情報蓄積工程)。
【0030】
また、操作検出手段2における操作ログ更新手段22が、電子機器に係る操作ログ情報を収集し(操作検出工程)、操作ログ格納手段21に格納されているログ情報を更新する(操作情報蓄積工程)。
【0031】
そして、不審行動検出手段3における不審行動分析手段32が、指示入力手段31に入力された指令に従って、指定の電子機器に係る指定期間の操作ログ情報を操作検出手段2から取得すると共に、指定期間内の指定の電子機器の周辺の人物の有無を示す情報を周辺人物検知手段1から取得し、取得した操作ログ情報を設定領域内に他の人物がいた時といない時との2つの集合に分けて、集合間で分布に差異があるか否かを統計処理で判定し、判定結果に基づいて指定の電子機器に対するユーザの不審な操作を検出する(不審行動検出工程)。
【0032】
このような本実施形態の不審行動検出システムによれば、電子機器に対する操作内容によって不審な行為を検出するのではなく、電子機器周辺に他の人物がいる場合といない場合とでの操作内容の差異から不審行動を検出するので、不審行動とみなす操作内容を定義する必要が無く、安定した不審行動検出が可能となる。また、電子機器とそれを操作するユーザとが紐付けされていれば、特定のユーザの不審行動を検出することができる。
【0033】
[適用例1]
次に、本実施形態の一例として、情報処理端末に対するユーザの不審行動を検出する場合について説明する。
【0034】
図5は、情報システムを導入したオフィスのレイアウトの一例を示す平面図である。図5に示す複数の矩形は、オフィス内の机を示しており、この各机の上には情報システムにかかる端末機器の情報処理端末やプリンタなどが設置されている。図5においては、説明の便宜上、不審行動検出の対象となるユーザが操作する情報処理端末の設置されている机aを黒い矩形で示している。
【0035】
机a上に設置された情報処理端末に対するユーザの不審行動を検出する場合、本実施形態における周辺人物検知手段1は、図5に示すように、机a上に設置されている情報処理端末を中心とした円形の領域Aを対象領域に設定し、領域A内に対象ユーザ以外の他の人物がいるか否かを検知する。
【0036】
周辺人物検知手段1は、領域A内に設置されている他の情報処理端末に対してキーボードやマウスからの入力があるかを基に領域A内の他の人物の有無を検知する構成であってよい。またこれに限らず、領域A内にある椅子に加わる圧力や椅子付近の赤外線の波長分布をセンシングして他の人物の有無を検出するように構成してもよく、複数のカメラでオフィス内を撮影し画像認識して人物の有無とその座標を算出し領域A内の人物有無状態を特定する構成でもよい。
【0037】
図5は、不審行動検出対象のユーザが操作する情報処理端末の位置を中心に一定半径の円領域Aを設定した例を示しており、例えば、ユーザがUSBメモリなどの小型の外部記憶媒体を用いて不正なファイルコピーを行う場合、情報処理端末へのUSBメモリの抜き差し行為は一定程度離れた位置からでは観察し難いので、図5に示すような対象領域設定が有効となる。
【0038】
他の人物がユーザの操作を視認できる位置にいるか否かを検知できればよいので、周辺人物検知手段1が設定する領域は、円形の領域に限らず、オフィス内における機器の配置具合に依存した形状に設定してもよい。例えば、机aの隣に大きなサーバ装置や柱などがある場合は、そのサーバ装置等を介して机aの反対側にいる人物はユーザの操作を見ることはできないので、このサーバ装置等を介して机aの反対側に位置する領域を対象領域外に設定するように構成してもよい。
【0039】
また、ユーザが情報処理端末を操作して秘密ファイルを同端末の表示画面に表示する場合を想定して、机a上にある情報処理端末の表示画面を他の人物が視認できる範囲を人物の検知を行う領域に設定してもよい。この場合の設定領域の一例を図6に領域Bとして示す。図6においては、机a上にある情報処理端末の表示画面が図面下を向いているものとする。
【0040】
図7は、周辺人物検知手段1における人物有無情報格納手段11に格納されている情報を示す図である。図7に示すように、人物有無情報格納手段11には、特定の情報処理端末に紐付けされたユーザを一意的に示すユーザIDと、その特定の情報処理端末の周辺領域内に他の人物が検知されなかった時間帯の開始時刻及び終了時刻とを示す情報が格納されている。図7に示す情報は、ユーザIDが10番のユーザについて、9月20日の17時15分から翌日8時30分までと、9月21日の12時から13時までと、9月21日の17時15分以降は対象領域に他の人物がいなかったこと示している。
【0041】
周辺人物検知手段1における人物有無情報更新手段12は、不審行動検出対象のユーザが操作する情報処理端末の周辺として設定された領域内にこのユーザ以外の他の人物がいるかいないかを一定時間毎に検知する。例えば、設定した領域内に設置されている別の機器の稼働状況や、設定した領域内に在る椅子に加わる圧力やこの椅子付近の赤外線の波長分布や、複数のカメラによるオフィス内の撮影画像などに基づいて、一定時間毎に領域内に他の人物がいるか否かを判定し、人物有無情報格納手段11に格納されている情報を更新する。また、情報処理端末の周辺として設定する領域としては、例えば、図5に示す円領域Aや図6に示す領域Bがある。
【0042】
周辺人物検知手段1における人物有無情報検索手段13は、不審行動検出手段3からの指令に従って、指定された期間の指定されたユーザIDに関する情報を人物有無情報格納手段11に格納された情報の中から検索し、該当する情報を不審行動検出手段3へ送信する機能を備えている。
【0043】
操作検出手段2は、情報処理端末の操作ログや、ファイルサーバのファイルアクセスログや、プロキシサーバのWeb閲覧ログや、メールサーバのメール送受信ログや、プリンタサーバの印刷ログから定期的にログを収集することで、情報処理端末に対するユーザの操作を検出する機能を備えている。
【0044】
操作検出手段2における操作ログ更新手段22は、情報処理端末の端末操作ログや、ファイルサーバのファイルアクセスログや、プロキシサーバのWeb閲覧ログや、メールサーバのメール送受信ログや、プリンタサーバの印刷ログなどから定期的にログを収集し、操作ログ格納手段21へ出力する。
【0045】
操作ログ格納手段21は、システムユーザ毎のログ情報を格納する。ログ情報の1レコードは、ユーザを一意に定めるユーザIDと、このユーザが行った操作の種類および操作の関連情報とからなる。
【0046】
図8は、操作ログ格納手段21に格納されているログ情報の一例を示す図である。図8に示すログ情報は、ファイルアクセスに関する操作の内容を示す情報であり、ユーザID、操作時刻、操作種類、ファイル種別、ファイル所有者、アクセス権限、ファイルサイズの各カラム(列)からなる情報である。図8に示す図は、ユーザIDが10番のユーザについて、自分自身、管理者、チームリーダそれぞれが所有するファイルを編集した履歴を示している。ここで、ファイル種別としては、画像ファイル、文書ファイル、暗号化ファイル、などがある。
【0047】
これらのカラムのうち、ユーザIDと操作時刻は必須で、他のカラムも1つ以上は必要である。また、2次的に算出できる情報として、単位時間当たりの操作回数、単位時間当たりに操作したファイルサイズの総量などがある。
【0048】
また、操作ログ格納手段21に格納されるログ情報が、メールサーバのメール送受信ログから得られる、メール送受信に関する操作の内容を示す情報の場合は、ユーザID、操作時刻、送信メール宛先、送信メールサイズ、送信添付ファイル個数、送信添付ファイルのファイルサイズの各カラムからなる情報となる。これらのカラムのうち、人物IDと操作時刻は必須、他のカラムも1つ以上は必要である。2次的に算出できるカラムとして、単位時間当たりの操作回数、単位時間当たりに送受信したメールサイズの総量などがある。このような情報により、ユーザによる不審な電子メール送受信操作を検出することができる。
【0049】
また、操作ログ格納手段21に格納されるログ情報が、プロキシサーバのWeb閲覧ログから得られる、Webサイト閲覧に関する操作の内容を示す情報の場合は、ユーザID,操作時刻,リクエスト種別,閲覧ページのURL,転送データサイズ,ステータスコードの各カラムからなる情報となる。これらのカラムのうち、ユーザIDと操作時刻は必須、他のカラムも1つ以上は必要である。2次的に算出できるカラムとして、単位時間当たりの操作回数、単位時間当たりに転送データサイズの総量などがあげられる。このような情報により、ユーザによる不審なWebサイト閲覧操作を検出することができる。
【0050】
操作検出手段2における操作ログ検索手段23は、不審行動検出手段3からの指令に従って、指定時間帯の指定ユーザIDに対応するログ情報を操作ログ格納手段21から検索し、該当する情報を不審行動検出手段3へ送信する。
【0051】
不審行動検出手段3は、設定領域内に人物がいる場合といない場合とで操作検出手段2に検出された操作の内容に差異があるか否かを統計処理で判定する。
【0052】
不審行動検出手段3における指示入力手段31は、外部入力により不審行動検出の指令を受け付ける。不審行動分析手段32は、指令に応じて、操作検出手段3の操作ログ検索手段33に対して不審行動検出の対象となる操作ログを問合せて該当するユーザIDの該当する期間のログ情報を取得すると共に、この得られた情報の各レコードについて周辺人物検知手段1の人物有無情報検索手段13に対して該当する時間帯の該当する領域内の人物の有無を問合せて、他の人物がいなかった時間帯を示す情報を取得し、他の人物がいた場合といなかった場合とでログ情報を2つの集合に分離し、集合間で分布に差異があるかを比較する。
【0053】
不審行動分析手段32による分析処理について、ログ情報におけるアクセスファイルサイズを分析対象とした場合を説明する。
【0054】
図9は、不審行動検出対象のユーザが操作する情報処理端末の周辺に設定した領域内に、このユーザ以外の他の人物がいたときにこのユーザが情報処理端末を操作してアクセスしたファイルのファイルサイズ分布を示すグラフ101と、いなかったときにアクセスしたファイルのファイルサイズ分布を示すグラフ102とを示している。
【0055】
図9によれば、設定領域内に他の人物がいる場合は比較的小さいサイズのファイルを操作することが多く、設定領域内に他の人物がいない場合は比較的大きいサイズのファイルを操作することが多いことが明らかで、明らかに操作内容に差異が見られることから、この操作ログを残したユーザは不審行動を行っていると判断できる。
【0056】
具体的に不審行動分析手段32は、グラフ101及び102に示す2つの分布の分布間距離をヘリンガ距離として算出して操作内容の差異を定量的に分析し、算出された2分布間距離を閾値と比較し、比較結果に基づいてユーザの不審行動を検出する。ここでは、ファイルサイズという一つのカラムを対象としているが、これを複数カラムについて分析しても一般性は失われない。
【0057】
図10は、不審行動検出手段3の動作を表すフローチャートである。まず、指示入力手段31が、キーボードやマウスなどの入力手段から不審行動検出の指示を受け付ける(図10のステップA1)。その際、特定のユーザに関しての検出指示を受ける場合や、特にユーザの指定を受けることなくシステムユーザ全員に関しての検出指示を受ける場合とがある。また、特定の期間に関しての検出指示を受ける場合や、特に期間の指定を受けることなく操作ログ格納手段21に格納された全データを対象に分析を行うように指示を受ける場合とがある。
【0058】
続いて、不審行動分析手段32が、操作ログ検索手段23に対して分析対象となるログ情報を問合せて、指定のユーザIDの指定期間のログ情報を得る(図10のステップA2)。そして、得られたログ情報の各レコードについて該当する時間帯に指定のユーザの周辺に設定された領域内に他の人物がいたかいなかったかを人物有無情報検索手段13に対して問合せる(図10のステップA3)。
【0059】
設定領域に他の人物がいた場合といなかった場合とでログ情報の各レコードを2つの集合に分離し、集合間に差異があるか否かを統計処理で判定する(図10のステップA4)。差異があると判定された場合、このユーザは不審行動を行っていると判定し、その旨を不審行動検出結果表示手段33に表示する(図10のステップA5)。指定された全てのユーザについて分析が終わったら全体のフローを終了し、そうでなかったら別の指定ユーザについての分析を行う(図10のステップA6)。
【0060】
このように、本実施形態の不審検出システムによれば、就業時間内でも端末への不審行動を検出できる。また、オフィス内に人がいるが端末の近くに第三者がいないときに行われる不審行動を検出できる。例えば、操作者が、背後に第三者がいない隙に端末の画面に秘密情報を表示させて閲覧する行動や、端末の周囲に第三者がいない隙に端末からシステムにアクセスして秘密情報をダウンロードし外部記憶媒体にコピーする行動などが検出可能である。
【0061】
[適用例2]
次に、本実施形態の他の例として、プリンタに対するユーザの不審行動を検出する場合について説明する。
【0062】
プリンタを操作するユーザの不審行動を検出する場合、本実施形態における周辺人物検知手段1は、図11に示すように、プリンタの置かれた机bと情報処理端末を介してプリンタを操作するユーザの机aとを含む領域Cを設定する。これは、秘密ファイルを印刷するといった不正行為を検出するために設定する領域であり、領域C内に他の人物がいなければ、ユーザより先に他の人物がプリンタの印刷物をピックアップすることがないような大きさの領域を領域Cとして設定することが適切である。
【0063】
人物有無情報格納手段11には、特定のユーザを一意に示すユーザIDと、この特定のユーザに対して設定されたプリンタの周辺領域である領域Cに他の人物が検知されなかった時間帯の開始時刻及び終了時刻とが対応付けられた情報が格納されている。
【0064】
操作検出手段2は、プリンタ本体の動作ログやプリンタサーバの印刷ログから定期的にログを収集する。操作検出手段2における操作ログ格納手段21は、印刷ログ情報を格納する。印刷ログ情報の1レコードは、プリンタを識別する機器IDと、プリンタへの操作指令の発信元である情報処理端末に紐付けされたユーザを識別するユーザID、操作の種類および操作の関連情報とからなる。
【0065】
操作ログ格納手段21に格納されているログ情報は、機器ID、ユーザID、操作時刻、印刷ファイル所有者、印刷ファイルサイズの各カラムからなる情報である。これらのカラムのうち、機器IDとユーザID,操作時刻は必須で、他のカラムも1つ以上は必要である。また、2次的に算出できる情報として、単位時間当たりの操作回数、単位時間当たりに印刷したファイルサイズの総量などがある。
【0066】
不審行動検出手段3は、領域C内に人物がいる場合といない場合とで操作検出手段2に検出された操作の内容に差異のあることを統計処理で判定する。不審行動分析手段32は、外部からの指令に応じて、操作検出手段3の操作ログ検索手段33に対して不審行動検出の対象となるプリンタの操作ログを問合せて指定ユーザIDの指定期間の該当機器IDに関するログ情報を取得すると共に、この得られた情報の各レコードについて周辺人物検知手段1の人物有無情報検索手段13に対して該当する時間帯の該当する領域C内の他の人物の有無を問合せて、他の人物がいなかった時間帯を示す情報を取得し、他の人物がいた場合といなかった場合とでログ情報を2つの集合に分離し、集合間で分布に差異があるかを比較し、差異を検出したらプリンタに対してユーザの不審な操作があったと判定する。
【0067】
このように、本実施形態の不審検出システムは、不審操作検出の対象の電子機器が、ユーザによる遠隔操作に従って動作する構成であっても、電子機器の位置とこれに接続された情報処理端末を操作しているユーザの位置とを含む範囲に領域を設定することで、不審な操作を検出することができる。これにより、プリンタを利用した秘密ファイルのプリントアウトなどを抑止することができる。
【0068】
ここで、本実施形態における周辺人物検知手段1,操作検出手段2,不審行動検出手段3については、その機能内容をプログラム化してコンピュータに実行させるように構成してもよい。
【0069】
以上のように、本実施形態の不審行動検出システムによれば、電子機器の周辺にユーザ以外の他の人物がいるかいないかを木目細やかに判断し、周辺に他の人物がいない場合にユーザが通常とは異なった行動をとった場合、それを不審行動として検出するので、操作内容がユーザ毎に異なることや時期によって異なることの影響を受けることなく、ユーザの不審行動を安定的に検出することができ、電子機器の不正使用を効果的に抑止することができる。
【0070】
また、本実施形態の不審行動検出システムは、端末を扱う従業員の操作ログを分析することで、近くに人がいないときに通常の業務と異なる操作を行っているといった従業員の行為を検出できるので、従業員の勤怠管理にも適用可能である。
【図面の簡単な説明】
【0071】
【図1】本発明にかかる一実施形態の不審行動検出システムの構成を示す機能ブロック図である。
【図2】図1に開示した実施形態における周辺人物検知手段の構成を示す機能ブロック図である。
【図3】図1に開示した実施形態における操作検出手段の構成を示す機能ブロック図である。
【図4】図1に開示した実施形態における不審行動検出手段の構成を示す機能ブロック図である。
【図5】図1に開示した実施形態における周辺人物検知手段に設定される人物検知対象の領域の一例を示す図である。
【図6】図1に開示した実施形態における周辺人物検知手段に設定される人物検知対象の領域の他の例を示す図である。
【図7】図1に開示した実施形態における周辺人物検知手段の検知結果を示す情報の一例を示す図である。
【図8】図1に開示した実施形態における操作検出手段に蓄積された操作情報の一例を示す図である。
【図9】図1に開示した実施形態における不審行動検出手段の不審行動検出処理を説明するための図である。
【図10】図1に開示した実施形態における不審行動検出手段の動作を示すフローチャートである。
【図11】図1に開示した実施形態における周辺人物検知手段に設定される人物検知対象の領域の他の例を示す図である。
【符号の説明】
【0072】
1 周辺人物検知手段
2 操作検出手段
3 不審行動検出手段
11 人物有無情報格納手段
12 人物有無情報更新手段
13 人物有無情報検索手段
21 操作ログ格納手段
22 操作ログ更新手段
23 操作ログ検索手段
31 指示入力手段
32 不審行動分析手段
33 検出結果表示手段
【技術分野】
【0001】
本発明は、情報システムにおけるユーザの不審な操作を検出する不審行動検出システム,不審行動検出方法及び不審行動検出プログラムに関する。
【背景技術】
【0002】
情報システムにおいて情報漏洩対策は重要な課題であり、機密情報や個人情報の流出を防止する高性能な技術が広く求められている。これを鑑みて、非特許文献1には、監査ログを分析することでユーザの不審な行為を検出し端末の不正使用を抑止する技術が開示されている。
【0003】
非特許文献1に開示された技術は、情報システムのデータベース監査ログを定期的に分析し、一定条件に合致したログを不審行動として抽出して管理者宛てに通知するというものである。非特許文献1に記載の「表2」に示された各事例によると、早朝、夜間、休日などの就業時間外に大量の顧客情報にアクセスする行為を不審な行為と定義している。
【0004】
また、これに関連して、様々な場における不審な行為を検知する技術が、特許文献1乃至3に開示されている。特許文献1に開示された技術は、遊戯台と、センサユニットと、警告ランプとから構成された監視装置であり、営業時間後に遊戯台の電源が落とされるとセンサユニットが監視モードとなり、その状態で不審者が遊戯台に接近するとセンサユニットに感知履歴が残り、翌日遊戯台に電源を投入する際に感知履歴が残っていれば警告を発する。この監視装置では、遊戯台に対する不審な行為は営業時間外に行われることが前提となっている。
【0005】
特許文献2に開示された技術は、ログデータ取得手段と、ログファイル保存手段と、ログファイル検索手段と、ログデータ比較手段と、監視カメラ制御手段とから構成されたATM監視システムである。このような構成を有するシステムでは、ログデータ取得手段がATMを操作している顧客の操作内容をログデータとして取得し、ログデータ検索手段が同顧客の過去のログデータをログファイル保存手段から読み出し、両データをログデータ比較手段が比較し、両データの差が閾値以上大きなものである場合に注意信号を出力し、さらに、監視カメラ制御手段が監視カメラをその顧客に向け、顔の画像を取得する。この監視システムは、顧客の操作状態から不審行動を検出することと、監視カメラとの連動に特徴がある。
【0006】
特許文献3に開示された技術は、監視カメラと、店舗PCと、監視テーブルとから構成された監視システムである。このような構成を有する監視システムでは、店舗PCが監視カメラに撮影された画像から顧客の特徴を認識して監視対象者を特定し、監視対象者の滞在時間が監視テーブルに設定されている時間を経過したか否かを判別し、経過していれば管理者に通知する。この特許文献3の監視システムは、監視対象者の行動を滞在時間に変換して不審行動を判定するところに特徴がある。
【0007】
【非特許文献1】吉田晃、「中級 情報漏洩を防ぐDBセキュリティ 第3回」、[online]、2006年5月15日、日経BP社、インターネット〈URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20060512/237709/〉
【特許文献1】特開2006−296489号公報
【特許文献2】特開2003−16498号公報
【特許文献3】特開2007−74330号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、上述した従来技術では、不審行動とみなす条件を画一的に定義しているため、システムユーザの操作内容の多様性と変化に対応できず、情報システムに対するユーザの不審な行為を正確に検出できないという問題があった。
【0009】
例えば、非特許文献1に開示された技術は、早朝、夜間、休日などの就業時間外に端末の不正使用が行われることを前提としているが、企業情報システムにおいては、就業時間内でもオフィス内にユーザ以外の第三者がいない場合は端末の不正使用が行われる可能性がある。また、オフィス内にユーザ以外の第三者がいる場合もユーザの近くに第三者がいなければ不正使用を行う可能性がある。ユーザの背後に第三者がいなければ端末の画面に秘密情報を表示させることは可能であり、プリンタの近辺に第三者がいなければ秘密情報を印刷することは可能である。よって、非特許文献1の技術では、勤務時間内の不正な行為を検知できない。
【0010】
また、非特許文献1の技術では、アクセス情報の容量やログインの失敗回数から不審行動を判断し、特許文献1の技術では遊戯台への接近具合から判断し、特許文献2の技術ではATMへのキー入力のスピードや暗証番号不一致回数から判断し、特許文献3の技術では滞在時間の期待値で判断しているなど、上述した従来技術では、ユーザの行動内容から不審行動と判断する条件を画一的に定義している。しかし、情報システムにおいては、端末に対して様々な種類の操作が行われ、各部門や各社員の担当業務で異なる種類の操作が行われ、時間の経過と共に操作の傾向が変化するため、不審行動とみなす条件を操作内容から画一的に定義して実際に不審行為を検出するとなると、膨大な数の条件を設定してそれを定期的に更新する必要があり、システムへの負担が増加してしまう。
【0011】
[目的]
そこで、本発明は、上記従来技術の不都合を改善し、電子機器に対する操作の多様性や操作傾向の変化による影響を受けることなく、電子機器に対するユーザの不審行動を有効に検出する不審行動検出システム,不審行動検出方法及び不審行動検出用プログラムを提供することを、その目的とする。
【課題を解決するための手段】
【0012】
上記目的を達成するため、本発明の不審行動検出システムは、電子機器の周辺に設定した領域内の人物の有無を検知する周辺人物検知手段と、電子機器に対するユーザの操作を検出する操作検出手段とを備え、周辺人物検知手段による検知結果と前記操作検出手段による検出結果とを照合して、電子機器の周辺に前記ユーザ以外の他の人物がいる場合といない場合とで当該ユーザの操作内容に差異があるか否かを判定し、この判定結果に基づいて当該ユーザの不審行動を検出する不審行動検出手段を備えたことを特徴とする。
【0013】
次に、本発明の不審行動検出方法は、電子機器の周辺に設定した領域内の人物の有無を順次検知する周辺人物検知工程と、電子機器に対するユーザの操作を検出する操作検出工程とを設け、電子機器の周辺に前記ユーザ以外の他の人物がいる場合といない場合との当該ユーザの操作内容を比較して差異があるか否かを判定しこの判定結果に基づいてユーザの不審行動の有無を検出する不審行動検出工程を設けたことを特徴とする。
【0014】
さらに、本発明の不審行動検出用プログラムは、電子機器の周辺に設定した領域内の人物の有無を検知する周辺人物検知機能と、電子機器に対する操作を検出する操作検出機能と、電子機器の周辺領域内に人物がいる場合といない場合とで当該電子機器に対する操作の内容に差異があるか否かを判定しこの判定結果に基づいてユーザの不審行動を検出する不審行動検出機能とをコンピュータに実行させることを特徴とする。
【発明の効果】
【0015】
本発明は以上のように構成され機能するため、これにより、電子機器の周辺にユーザ以外の第三者がいる場合といない場合とでの操作内容の差異に基づいてユーザの不審行動の有無を判断するので、電子機器に対する操作内容の多様性や操作傾向の変化による影響を受けることなく、電子機器に対するユーザの不審行動を有効に検出して、機器の不正使用を効果的に抑止することができる。
【発明を実施するための最良の形態】
【0016】
以下、本発明における一実施形態を、図面を参照して説明する。
【0017】
図1は、本実施形態の不審行動検出システムの構成を示す機能ブロック図である。図1に示すように、本実施形態の不審行動検出システムは、情報処理端末,プリンタ,複合機,又は遊技台などの電子機器の周辺に設定した領域内の人物の有無を検知する周辺人物検知手段1と、この電子機器に対するユーザの操作を検出する操作検出手段2と、周辺人物検知手段1による検知結果と操作検出手段2による検出結果とを照合して電子機器の周辺にユーザ以外の他の人物がいる場合といない場合とでユーザの操作内容に差異があるか否かを判定しこの判定結果に基づいてユーザの不審行動を検出する不審行動検出手段3とを備えている。
【0018】
周辺人物検知手段1は、電子機器を操作しているユーザの動作を他の人物が視認できる範囲の領域を設定し、この設定した領域内に他の人物がいるかいないかを検知する機能を備えている。例えば、電子機器の設置位置を中心とした円形領域のユーザの操作位置を除く領域を設定すれば、電子機器の周辺にユーザ以外の第三者がいるか否かを検知することができる。
【0019】
また、周辺人物検知手段1は、例えば、設定領域内に設置されている他の機器と接続して各機器の稼働状況を監視することで他の人物の有無を検知するように構成してもよいし、監視カメラ等で設定領域内を撮影した映像を入力して画像認識し人物の有無とその位置座標を算出するように構成してもよい。また、設定した領域内に在る椅子などに設置された圧力センサの測定値の変化から人物の有無を検知するように構成してもよいし、設定した領域内の赤外線の波長分布をセンシングして人物の有無を検知するように構成してもよい。
【0020】
操作検出手段2は、電子機器に関する操作ログ情報を検出し蓄積する機能を備えている。不審行動検出手段3は、電子機器周辺に設定された領域内に他の人物がいる場合といない場合とで電子機器に関するログ情報の内容に差異があるか否かを統計処理で判定する機能を備えている。
【0021】
図2は、周辺人物検知手段1の内部構成を示す機能ブロック図である。図2に示すように、本実施形態における周辺人物検知手段1は、電子機器の設置位置を基準に設定した領域内の人物の有無を時刻と共に示す情報を格納する人物有無情報格納手段11と、設定領域内の人物の有無を一定時間間隔で検知して人物有無情報格納手段11に格納されている情報を更新する人物有無情報更新手段12と、特定の電子機器周辺の特定の期間での人物の有無を人物有無情報格納手段11に格納された情報の中から検索する人物有無情報検索手段13とから構成されている。
【0022】
人物有無情報格納手段11は、電子機器の周辺に設定した領域内のユーザ以外の他の人物の有無をその時間帯と共に示した情報を格納する機能を備えている。人物有無情報更新手段12は、電子機器周辺に設定した領域内に在る他の機器の稼働状況や、監視カメラ映像や、設定領域内に設置された圧力センサの測定値や、設定領域内の赤外線の波長分布などを基に、電子機器周辺に設定した領域内の人物の有無を判定し、判定結果に基づいて人物有無情報格納手段11に格納されている情報を更新する機能を備えている。
【0023】
人物有無情報検索手段13は、不審行動検出手段3からの指示に従って、指定の期間での設定領域内の他の人物の有無を人物有無情報格納手段11に格納された情報から検索し、該当する情報を不審行動検出手段3へ出力する機能を備えている。
【0024】
図3は、操作検出手段2の内部構成を示す機能ブロック図である。図3に示すように、本実施形態における操作検出手段2は、電子機器に関する操作ログ情報を格納する操作ログ格納手段21と、電子機器に関する操作ログ情報を収集し操作ログ格納手段21に格納されている情報を更新する操作ログ更新手段22と、特定の期間の操作ログ情報を操作ログ格納手段21に格納された情報の中から検索する操作ログ検索手段23とから構成されている。
【0025】
操作ログ格納手段21は、電子機器に対する操作の内容とその操作が行われた時刻とを含む操作ログ情報を格納する機能を備えている。操作ログ更新手段22は、電子機器に係る操作ログ情報を該電子機器などから定期的に収集して操作ログ格納手段21へ出力する機能を備えている。操作ログ検索手段23は、不審行動検出手段3からの指示に従って、指定の期間の操作ログ情報を操作ログ格納手段21に格納された情報から検索し、該当する情報を不審行動検出手段3へ出力する機能を備えている。
【0026】
図4は、本実施形態における不審行動検出手段3の内部構成を示す機能ブロック図である。図4に示すように、本実施形態における不審行動検出手段3は、外部入力により不審行動検出の指令を受け付ける指示入力手段31と、指令に従って指定の電子機器に係るログ情報の内容について電子機器の周辺に他の人物がいる場合といない場合とで差異があるか否かを分析し不審行動の有無を検出する不審行動分析手段32と、不審行動の有無の検出結果を表示する検出結果表示手段33とから構成されている。
【0027】
不審行動分析手段32は、指定の電子機器に係る指定の期間の操作ログ情報を操作検出手段2から取得すると共に、指定の期間における指定の電子機器の周辺の人物の有無を示す情報を周辺人物検知手段1から取得し、指定の電子機器の周辺に他の人物がいるときの操作ログ情報の内容といないときの内容とについて統計処理を実行し、両内容に差異かあるか否かを判定し、判定結果に基づいて指定の電子機器に対するユーザの不審な操作を検出する機能を備えている。
【0028】
次に、本実施形態の動作について説明する。ここで、以下の動作説明は、本発明の不審行動検出方法の実施形態となるので、不審行動検出方法の各工程を対応する動作の記述と共に記す。
【0029】
まず、周辺人物検知手段1における人物有無情報更新手段12が、電子機器の周辺に設定した領域内に当該電子機器を操作するユーザ以外の他の人物がいるかいないかを、領域内の他の機器の稼働状況や設定領域内に設置した圧力センサ,設定領域内を撮影するカメラなどのいずれかを用いて、一定時間ごとに判定して(周辺人物検知工程)、判定結果に基づいて人物状態格納手段11に格納されている情報を更新する(人物有無情報蓄積工程)。
【0030】
また、操作検出手段2における操作ログ更新手段22が、電子機器に係る操作ログ情報を収集し(操作検出工程)、操作ログ格納手段21に格納されているログ情報を更新する(操作情報蓄積工程)。
【0031】
そして、不審行動検出手段3における不審行動分析手段32が、指示入力手段31に入力された指令に従って、指定の電子機器に係る指定期間の操作ログ情報を操作検出手段2から取得すると共に、指定期間内の指定の電子機器の周辺の人物の有無を示す情報を周辺人物検知手段1から取得し、取得した操作ログ情報を設定領域内に他の人物がいた時といない時との2つの集合に分けて、集合間で分布に差異があるか否かを統計処理で判定し、判定結果に基づいて指定の電子機器に対するユーザの不審な操作を検出する(不審行動検出工程)。
【0032】
このような本実施形態の不審行動検出システムによれば、電子機器に対する操作内容によって不審な行為を検出するのではなく、電子機器周辺に他の人物がいる場合といない場合とでの操作内容の差異から不審行動を検出するので、不審行動とみなす操作内容を定義する必要が無く、安定した不審行動検出が可能となる。また、電子機器とそれを操作するユーザとが紐付けされていれば、特定のユーザの不審行動を検出することができる。
【0033】
[適用例1]
次に、本実施形態の一例として、情報処理端末に対するユーザの不審行動を検出する場合について説明する。
【0034】
図5は、情報システムを導入したオフィスのレイアウトの一例を示す平面図である。図5に示す複数の矩形は、オフィス内の机を示しており、この各机の上には情報システムにかかる端末機器の情報処理端末やプリンタなどが設置されている。図5においては、説明の便宜上、不審行動検出の対象となるユーザが操作する情報処理端末の設置されている机aを黒い矩形で示している。
【0035】
机a上に設置された情報処理端末に対するユーザの不審行動を検出する場合、本実施形態における周辺人物検知手段1は、図5に示すように、机a上に設置されている情報処理端末を中心とした円形の領域Aを対象領域に設定し、領域A内に対象ユーザ以外の他の人物がいるか否かを検知する。
【0036】
周辺人物検知手段1は、領域A内に設置されている他の情報処理端末に対してキーボードやマウスからの入力があるかを基に領域A内の他の人物の有無を検知する構成であってよい。またこれに限らず、領域A内にある椅子に加わる圧力や椅子付近の赤外線の波長分布をセンシングして他の人物の有無を検出するように構成してもよく、複数のカメラでオフィス内を撮影し画像認識して人物の有無とその座標を算出し領域A内の人物有無状態を特定する構成でもよい。
【0037】
図5は、不審行動検出対象のユーザが操作する情報処理端末の位置を中心に一定半径の円領域Aを設定した例を示しており、例えば、ユーザがUSBメモリなどの小型の外部記憶媒体を用いて不正なファイルコピーを行う場合、情報処理端末へのUSBメモリの抜き差し行為は一定程度離れた位置からでは観察し難いので、図5に示すような対象領域設定が有効となる。
【0038】
他の人物がユーザの操作を視認できる位置にいるか否かを検知できればよいので、周辺人物検知手段1が設定する領域は、円形の領域に限らず、オフィス内における機器の配置具合に依存した形状に設定してもよい。例えば、机aの隣に大きなサーバ装置や柱などがある場合は、そのサーバ装置等を介して机aの反対側にいる人物はユーザの操作を見ることはできないので、このサーバ装置等を介して机aの反対側に位置する領域を対象領域外に設定するように構成してもよい。
【0039】
また、ユーザが情報処理端末を操作して秘密ファイルを同端末の表示画面に表示する場合を想定して、机a上にある情報処理端末の表示画面を他の人物が視認できる範囲を人物の検知を行う領域に設定してもよい。この場合の設定領域の一例を図6に領域Bとして示す。図6においては、机a上にある情報処理端末の表示画面が図面下を向いているものとする。
【0040】
図7は、周辺人物検知手段1における人物有無情報格納手段11に格納されている情報を示す図である。図7に示すように、人物有無情報格納手段11には、特定の情報処理端末に紐付けされたユーザを一意的に示すユーザIDと、その特定の情報処理端末の周辺領域内に他の人物が検知されなかった時間帯の開始時刻及び終了時刻とを示す情報が格納されている。図7に示す情報は、ユーザIDが10番のユーザについて、9月20日の17時15分から翌日8時30分までと、9月21日の12時から13時までと、9月21日の17時15分以降は対象領域に他の人物がいなかったこと示している。
【0041】
周辺人物検知手段1における人物有無情報更新手段12は、不審行動検出対象のユーザが操作する情報処理端末の周辺として設定された領域内にこのユーザ以外の他の人物がいるかいないかを一定時間毎に検知する。例えば、設定した領域内に設置されている別の機器の稼働状況や、設定した領域内に在る椅子に加わる圧力やこの椅子付近の赤外線の波長分布や、複数のカメラによるオフィス内の撮影画像などに基づいて、一定時間毎に領域内に他の人物がいるか否かを判定し、人物有無情報格納手段11に格納されている情報を更新する。また、情報処理端末の周辺として設定する領域としては、例えば、図5に示す円領域Aや図6に示す領域Bがある。
【0042】
周辺人物検知手段1における人物有無情報検索手段13は、不審行動検出手段3からの指令に従って、指定された期間の指定されたユーザIDに関する情報を人物有無情報格納手段11に格納された情報の中から検索し、該当する情報を不審行動検出手段3へ送信する機能を備えている。
【0043】
操作検出手段2は、情報処理端末の操作ログや、ファイルサーバのファイルアクセスログや、プロキシサーバのWeb閲覧ログや、メールサーバのメール送受信ログや、プリンタサーバの印刷ログから定期的にログを収集することで、情報処理端末に対するユーザの操作を検出する機能を備えている。
【0044】
操作検出手段2における操作ログ更新手段22は、情報処理端末の端末操作ログや、ファイルサーバのファイルアクセスログや、プロキシサーバのWeb閲覧ログや、メールサーバのメール送受信ログや、プリンタサーバの印刷ログなどから定期的にログを収集し、操作ログ格納手段21へ出力する。
【0045】
操作ログ格納手段21は、システムユーザ毎のログ情報を格納する。ログ情報の1レコードは、ユーザを一意に定めるユーザIDと、このユーザが行った操作の種類および操作の関連情報とからなる。
【0046】
図8は、操作ログ格納手段21に格納されているログ情報の一例を示す図である。図8に示すログ情報は、ファイルアクセスに関する操作の内容を示す情報であり、ユーザID、操作時刻、操作種類、ファイル種別、ファイル所有者、アクセス権限、ファイルサイズの各カラム(列)からなる情報である。図8に示す図は、ユーザIDが10番のユーザについて、自分自身、管理者、チームリーダそれぞれが所有するファイルを編集した履歴を示している。ここで、ファイル種別としては、画像ファイル、文書ファイル、暗号化ファイル、などがある。
【0047】
これらのカラムのうち、ユーザIDと操作時刻は必須で、他のカラムも1つ以上は必要である。また、2次的に算出できる情報として、単位時間当たりの操作回数、単位時間当たりに操作したファイルサイズの総量などがある。
【0048】
また、操作ログ格納手段21に格納されるログ情報が、メールサーバのメール送受信ログから得られる、メール送受信に関する操作の内容を示す情報の場合は、ユーザID、操作時刻、送信メール宛先、送信メールサイズ、送信添付ファイル個数、送信添付ファイルのファイルサイズの各カラムからなる情報となる。これらのカラムのうち、人物IDと操作時刻は必須、他のカラムも1つ以上は必要である。2次的に算出できるカラムとして、単位時間当たりの操作回数、単位時間当たりに送受信したメールサイズの総量などがある。このような情報により、ユーザによる不審な電子メール送受信操作を検出することができる。
【0049】
また、操作ログ格納手段21に格納されるログ情報が、プロキシサーバのWeb閲覧ログから得られる、Webサイト閲覧に関する操作の内容を示す情報の場合は、ユーザID,操作時刻,リクエスト種別,閲覧ページのURL,転送データサイズ,ステータスコードの各カラムからなる情報となる。これらのカラムのうち、ユーザIDと操作時刻は必須、他のカラムも1つ以上は必要である。2次的に算出できるカラムとして、単位時間当たりの操作回数、単位時間当たりに転送データサイズの総量などがあげられる。このような情報により、ユーザによる不審なWebサイト閲覧操作を検出することができる。
【0050】
操作検出手段2における操作ログ検索手段23は、不審行動検出手段3からの指令に従って、指定時間帯の指定ユーザIDに対応するログ情報を操作ログ格納手段21から検索し、該当する情報を不審行動検出手段3へ送信する。
【0051】
不審行動検出手段3は、設定領域内に人物がいる場合といない場合とで操作検出手段2に検出された操作の内容に差異があるか否かを統計処理で判定する。
【0052】
不審行動検出手段3における指示入力手段31は、外部入力により不審行動検出の指令を受け付ける。不審行動分析手段32は、指令に応じて、操作検出手段3の操作ログ検索手段33に対して不審行動検出の対象となる操作ログを問合せて該当するユーザIDの該当する期間のログ情報を取得すると共に、この得られた情報の各レコードについて周辺人物検知手段1の人物有無情報検索手段13に対して該当する時間帯の該当する領域内の人物の有無を問合せて、他の人物がいなかった時間帯を示す情報を取得し、他の人物がいた場合といなかった場合とでログ情報を2つの集合に分離し、集合間で分布に差異があるかを比較する。
【0053】
不審行動分析手段32による分析処理について、ログ情報におけるアクセスファイルサイズを分析対象とした場合を説明する。
【0054】
図9は、不審行動検出対象のユーザが操作する情報処理端末の周辺に設定した領域内に、このユーザ以外の他の人物がいたときにこのユーザが情報処理端末を操作してアクセスしたファイルのファイルサイズ分布を示すグラフ101と、いなかったときにアクセスしたファイルのファイルサイズ分布を示すグラフ102とを示している。
【0055】
図9によれば、設定領域内に他の人物がいる場合は比較的小さいサイズのファイルを操作することが多く、設定領域内に他の人物がいない場合は比較的大きいサイズのファイルを操作することが多いことが明らかで、明らかに操作内容に差異が見られることから、この操作ログを残したユーザは不審行動を行っていると判断できる。
【0056】
具体的に不審行動分析手段32は、グラフ101及び102に示す2つの分布の分布間距離をヘリンガ距離として算出して操作内容の差異を定量的に分析し、算出された2分布間距離を閾値と比較し、比較結果に基づいてユーザの不審行動を検出する。ここでは、ファイルサイズという一つのカラムを対象としているが、これを複数カラムについて分析しても一般性は失われない。
【0057】
図10は、不審行動検出手段3の動作を表すフローチャートである。まず、指示入力手段31が、キーボードやマウスなどの入力手段から不審行動検出の指示を受け付ける(図10のステップA1)。その際、特定のユーザに関しての検出指示を受ける場合や、特にユーザの指定を受けることなくシステムユーザ全員に関しての検出指示を受ける場合とがある。また、特定の期間に関しての検出指示を受ける場合や、特に期間の指定を受けることなく操作ログ格納手段21に格納された全データを対象に分析を行うように指示を受ける場合とがある。
【0058】
続いて、不審行動分析手段32が、操作ログ検索手段23に対して分析対象となるログ情報を問合せて、指定のユーザIDの指定期間のログ情報を得る(図10のステップA2)。そして、得られたログ情報の各レコードについて該当する時間帯に指定のユーザの周辺に設定された領域内に他の人物がいたかいなかったかを人物有無情報検索手段13に対して問合せる(図10のステップA3)。
【0059】
設定領域に他の人物がいた場合といなかった場合とでログ情報の各レコードを2つの集合に分離し、集合間に差異があるか否かを統計処理で判定する(図10のステップA4)。差異があると判定された場合、このユーザは不審行動を行っていると判定し、その旨を不審行動検出結果表示手段33に表示する(図10のステップA5)。指定された全てのユーザについて分析が終わったら全体のフローを終了し、そうでなかったら別の指定ユーザについての分析を行う(図10のステップA6)。
【0060】
このように、本実施形態の不審検出システムによれば、就業時間内でも端末への不審行動を検出できる。また、オフィス内に人がいるが端末の近くに第三者がいないときに行われる不審行動を検出できる。例えば、操作者が、背後に第三者がいない隙に端末の画面に秘密情報を表示させて閲覧する行動や、端末の周囲に第三者がいない隙に端末からシステムにアクセスして秘密情報をダウンロードし外部記憶媒体にコピーする行動などが検出可能である。
【0061】
[適用例2]
次に、本実施形態の他の例として、プリンタに対するユーザの不審行動を検出する場合について説明する。
【0062】
プリンタを操作するユーザの不審行動を検出する場合、本実施形態における周辺人物検知手段1は、図11に示すように、プリンタの置かれた机bと情報処理端末を介してプリンタを操作するユーザの机aとを含む領域Cを設定する。これは、秘密ファイルを印刷するといった不正行為を検出するために設定する領域であり、領域C内に他の人物がいなければ、ユーザより先に他の人物がプリンタの印刷物をピックアップすることがないような大きさの領域を領域Cとして設定することが適切である。
【0063】
人物有無情報格納手段11には、特定のユーザを一意に示すユーザIDと、この特定のユーザに対して設定されたプリンタの周辺領域である領域Cに他の人物が検知されなかった時間帯の開始時刻及び終了時刻とが対応付けられた情報が格納されている。
【0064】
操作検出手段2は、プリンタ本体の動作ログやプリンタサーバの印刷ログから定期的にログを収集する。操作検出手段2における操作ログ格納手段21は、印刷ログ情報を格納する。印刷ログ情報の1レコードは、プリンタを識別する機器IDと、プリンタへの操作指令の発信元である情報処理端末に紐付けされたユーザを識別するユーザID、操作の種類および操作の関連情報とからなる。
【0065】
操作ログ格納手段21に格納されているログ情報は、機器ID、ユーザID、操作時刻、印刷ファイル所有者、印刷ファイルサイズの各カラムからなる情報である。これらのカラムのうち、機器IDとユーザID,操作時刻は必須で、他のカラムも1つ以上は必要である。また、2次的に算出できる情報として、単位時間当たりの操作回数、単位時間当たりに印刷したファイルサイズの総量などがある。
【0066】
不審行動検出手段3は、領域C内に人物がいる場合といない場合とで操作検出手段2に検出された操作の内容に差異のあることを統計処理で判定する。不審行動分析手段32は、外部からの指令に応じて、操作検出手段3の操作ログ検索手段33に対して不審行動検出の対象となるプリンタの操作ログを問合せて指定ユーザIDの指定期間の該当機器IDに関するログ情報を取得すると共に、この得られた情報の各レコードについて周辺人物検知手段1の人物有無情報検索手段13に対して該当する時間帯の該当する領域C内の他の人物の有無を問合せて、他の人物がいなかった時間帯を示す情報を取得し、他の人物がいた場合といなかった場合とでログ情報を2つの集合に分離し、集合間で分布に差異があるかを比較し、差異を検出したらプリンタに対してユーザの不審な操作があったと判定する。
【0067】
このように、本実施形態の不審検出システムは、不審操作検出の対象の電子機器が、ユーザによる遠隔操作に従って動作する構成であっても、電子機器の位置とこれに接続された情報処理端末を操作しているユーザの位置とを含む範囲に領域を設定することで、不審な操作を検出することができる。これにより、プリンタを利用した秘密ファイルのプリントアウトなどを抑止することができる。
【0068】
ここで、本実施形態における周辺人物検知手段1,操作検出手段2,不審行動検出手段3については、その機能内容をプログラム化してコンピュータに実行させるように構成してもよい。
【0069】
以上のように、本実施形態の不審行動検出システムによれば、電子機器の周辺にユーザ以外の他の人物がいるかいないかを木目細やかに判断し、周辺に他の人物がいない場合にユーザが通常とは異なった行動をとった場合、それを不審行動として検出するので、操作内容がユーザ毎に異なることや時期によって異なることの影響を受けることなく、ユーザの不審行動を安定的に検出することができ、電子機器の不正使用を効果的に抑止することができる。
【0070】
また、本実施形態の不審行動検出システムは、端末を扱う従業員の操作ログを分析することで、近くに人がいないときに通常の業務と異なる操作を行っているといった従業員の行為を検出できるので、従業員の勤怠管理にも適用可能である。
【図面の簡単な説明】
【0071】
【図1】本発明にかかる一実施形態の不審行動検出システムの構成を示す機能ブロック図である。
【図2】図1に開示した実施形態における周辺人物検知手段の構成を示す機能ブロック図である。
【図3】図1に開示した実施形態における操作検出手段の構成を示す機能ブロック図である。
【図4】図1に開示した実施形態における不審行動検出手段の構成を示す機能ブロック図である。
【図5】図1に開示した実施形態における周辺人物検知手段に設定される人物検知対象の領域の一例を示す図である。
【図6】図1に開示した実施形態における周辺人物検知手段に設定される人物検知対象の領域の他の例を示す図である。
【図7】図1に開示した実施形態における周辺人物検知手段の検知結果を示す情報の一例を示す図である。
【図8】図1に開示した実施形態における操作検出手段に蓄積された操作情報の一例を示す図である。
【図9】図1に開示した実施形態における不審行動検出手段の不審行動検出処理を説明するための図である。
【図10】図1に開示した実施形態における不審行動検出手段の動作を示すフローチャートである。
【図11】図1に開示した実施形態における周辺人物検知手段に設定される人物検知対象の領域の他の例を示す図である。
【符号の説明】
【0072】
1 周辺人物検知手段
2 操作検出手段
3 不審行動検出手段
11 人物有無情報格納手段
12 人物有無情報更新手段
13 人物有無情報検索手段
21 操作ログ格納手段
22 操作ログ更新手段
23 操作ログ検索手段
31 指示入力手段
32 不審行動分析手段
33 検出結果表示手段
【特許請求の範囲】
【請求項1】
電子機器の周辺に設定した領域内の人物の有無を検知する周辺人物検知手段と、前記電子機器に対するユーザの操作を検出する操作検出手段とを備え、
前記周辺人物検知手段による検知結果と前記操作検出手段による検出結果とを照合して、前記電子機器の周辺に前記ユーザ以外の他の人物がいる場合といない場合とで当該ユーザの操作内容に差異があるか否かを判定し、この判定結果に基づいて当該ユーザの不審行動を検出する不審行動検出手段を備えたことを特徴とする不審行動検出システム。
【請求項2】
前記請求項1に記載の不審行動検出システムにおいて、
前記周辺人物検知手段は、検知時刻と検知結果である人物の有無とを示す情報を格納する機能を備えると共に、
前記操作検出手段は、検出した操作の内容とその操作時刻とを示す情報を格納する機能を備え、
前記不審行動検出手段は、前記ユーザの操作内容を前記設定した領域内に他の人物がいた時といない時との2つの集合に分けて、集合間で内容の分布に差異があるか否かを統計処理で判定する機能を備えたことを特徴とする不審行動検出システム。
【請求項3】
前記請求項2に記載の不審行動検出システムにおいて、
前記周辺人物検知手段は、前記電子機器に対する前記ユーザの行為を前記他の人物が視認できる範囲の領域を設定し、この領域内の人物の有無を検知することを特徴とする不審行動検出システム。
【請求項4】
前記請求項2に記載の不審行動検出システムにおいて、
前記周辺人物検知手段は、前記他の人物が前記電子機器の表示画面を視認できる範囲の領域を設定し、この領域内の人物の有無を検知することを特徴とする不審行動検出システム。
【請求項5】
前記請求項2に記載の不審行動検出システムにおいて、
前記電子機器が、ユーザに遠隔操作される構成であり、
前記周辺人物検知手段は、前記電子機器の位置と当該電子機器を遠隔操作しているユーザの位置とを含む1つの領域を設定し、この領域内の人物の有無を検知することを特徴とする不審行動検出システム。
【請求項6】
前記請求項2に記載の不審行動検出システムにおいて、
前記電子機器が、情報処理端末であり、
前記操作検出手段は、ファイルアクセスに関する操作を検出する機能を備え、
前記不審行動検出手段は、操作回数,操作対象ファイルの種別,操作対象ファイルの所有者,操作対象ファイルのアクセス権限,操作対象ファイルのファイルサイズのうちの少なくとも一つを前記対象領域内に他の人物がいた時といない時との2つの集合に分けて、分布に差異があるか否かを統計処理で判別する機能を備えたことを特徴とする不審行動検出システム。
【請求項7】
前記請求項2に記載の不審行動検出システムにおいて、
前記電子機器が、情報処理端末であり、
前記操作検出手段は、メール送受信に関する操作を検出する機能を備え、
前記不審行動検出手段は、送信メール宛先,送信メールのメールサイズ,送信メールの添付ファイル個数,添付ファイルのファイルサイズのうちの少なくとも一つを前記対象領域内に他の人物がいた時といない時との2つの集合に分けて、分布に差異があるか否かを統計処理で判別する機能を備えたことを特徴とする不審行動検出システム。
【請求項8】
前記請求項2に記載の不審行動検出システムにおいて、
前記電子機器が、情報処理端末であり、
前記操作検出手段は、ウェブサイト閲覧に関する操作を検出する機能を備え、
前記不審行動検出手段は、操作回数,閲覧先URL,このURLからの転送データサイズのうちの少なくとも一つを前記対象領域内に他の人物がいた時といない時との2つの集合に分けて、分布に差異があるか否かを統計処理で判別する機能を備えたことを特徴とする不審行動検出システム。
【請求項9】
電子機器の周辺に設定した領域内の人物の有無を順次検知する周辺人物検知工程と、前記電子機器に対するユーザの操作を検出する操作検出工程とを設け、
前記電子機器の周辺に前記ユーザ以外の他の人物がいる場合といない場合との当該ユーザの操作内容を比較して差異があるか否かを判定しこの判定結果に基づいて前記ユーザの不審行動の有無を検出する不審行動検出工程を設けたことを特徴とする不審行動検出方法。
【請求項10】
前記請求項9に記載の不審行動検出方法において、
前記周辺人物検知工程の検知結果である人物の有無と検知時刻とを示す情報を蓄積する人物有無情報蓄積工程を設けると共に、前記操作検出工程で検出された前記ユーザの操作内容とその操作時刻とを示す情報を蓄積する操作情報蓄積工程を設け、
前記不審行動検出工程では、前記ユーザの操作内容を前記設定領域内に他の人物がいた時といない時との2つの集合に分けて、集合間で内容の分布に差異があるか否かを統計処理で判定することを特徴とする不審行動検出方法。
【請求項11】
電子機器の周辺に設定した領域内の人物の有無を検知する周辺人物検知機能と、前記電子機器に対する操作を検出する操作検出機能と、前記電子機器の周辺領域内に人物がいる場合といない場合とで当該電子機器に対する操作の内容に差異があるか否かを判定しこの判定結果に基づいてユーザの不審行動を検出する不審行動検出機能とをコンピュータに実行させることを特徴とする不審行動検出用プログラム。
【請求項12】
前記請求項11に記載の不審行動検出用プログラムにおいて、
前記周辺人物検知機能の検知結果である人物の有無と検知時刻とを示す情報をメモリに格納する機能と、前記操作検出機能に検出された前記ユーザの操作内容とその操作時刻とを示す情報をメモリに格納する機能と共に、
前記不審行動検出機能を、前記ユーザの操作内容を前記設定領域に他の人物がいた時といない時との2つの集合に分けて集合間で内容の分布に差異があるか否かを統計処理で判定する機能として前記コンピュータに実行させることを特徴とする不審行動検出用プログラム。
【請求項1】
電子機器の周辺に設定した領域内の人物の有無を検知する周辺人物検知手段と、前記電子機器に対するユーザの操作を検出する操作検出手段とを備え、
前記周辺人物検知手段による検知結果と前記操作検出手段による検出結果とを照合して、前記電子機器の周辺に前記ユーザ以外の他の人物がいる場合といない場合とで当該ユーザの操作内容に差異があるか否かを判定し、この判定結果に基づいて当該ユーザの不審行動を検出する不審行動検出手段を備えたことを特徴とする不審行動検出システム。
【請求項2】
前記請求項1に記載の不審行動検出システムにおいて、
前記周辺人物検知手段は、検知時刻と検知結果である人物の有無とを示す情報を格納する機能を備えると共に、
前記操作検出手段は、検出した操作の内容とその操作時刻とを示す情報を格納する機能を備え、
前記不審行動検出手段は、前記ユーザの操作内容を前記設定した領域内に他の人物がいた時といない時との2つの集合に分けて、集合間で内容の分布に差異があるか否かを統計処理で判定する機能を備えたことを特徴とする不審行動検出システム。
【請求項3】
前記請求項2に記載の不審行動検出システムにおいて、
前記周辺人物検知手段は、前記電子機器に対する前記ユーザの行為を前記他の人物が視認できる範囲の領域を設定し、この領域内の人物の有無を検知することを特徴とする不審行動検出システム。
【請求項4】
前記請求項2に記載の不審行動検出システムにおいて、
前記周辺人物検知手段は、前記他の人物が前記電子機器の表示画面を視認できる範囲の領域を設定し、この領域内の人物の有無を検知することを特徴とする不審行動検出システム。
【請求項5】
前記請求項2に記載の不審行動検出システムにおいて、
前記電子機器が、ユーザに遠隔操作される構成であり、
前記周辺人物検知手段は、前記電子機器の位置と当該電子機器を遠隔操作しているユーザの位置とを含む1つの領域を設定し、この領域内の人物の有無を検知することを特徴とする不審行動検出システム。
【請求項6】
前記請求項2に記載の不審行動検出システムにおいて、
前記電子機器が、情報処理端末であり、
前記操作検出手段は、ファイルアクセスに関する操作を検出する機能を備え、
前記不審行動検出手段は、操作回数,操作対象ファイルの種別,操作対象ファイルの所有者,操作対象ファイルのアクセス権限,操作対象ファイルのファイルサイズのうちの少なくとも一つを前記対象領域内に他の人物がいた時といない時との2つの集合に分けて、分布に差異があるか否かを統計処理で判別する機能を備えたことを特徴とする不審行動検出システム。
【請求項7】
前記請求項2に記載の不審行動検出システムにおいて、
前記電子機器が、情報処理端末であり、
前記操作検出手段は、メール送受信に関する操作を検出する機能を備え、
前記不審行動検出手段は、送信メール宛先,送信メールのメールサイズ,送信メールの添付ファイル個数,添付ファイルのファイルサイズのうちの少なくとも一つを前記対象領域内に他の人物がいた時といない時との2つの集合に分けて、分布に差異があるか否かを統計処理で判別する機能を備えたことを特徴とする不審行動検出システム。
【請求項8】
前記請求項2に記載の不審行動検出システムにおいて、
前記電子機器が、情報処理端末であり、
前記操作検出手段は、ウェブサイト閲覧に関する操作を検出する機能を備え、
前記不審行動検出手段は、操作回数,閲覧先URL,このURLからの転送データサイズのうちの少なくとも一つを前記対象領域内に他の人物がいた時といない時との2つの集合に分けて、分布に差異があるか否かを統計処理で判別する機能を備えたことを特徴とする不審行動検出システム。
【請求項9】
電子機器の周辺に設定した領域内の人物の有無を順次検知する周辺人物検知工程と、前記電子機器に対するユーザの操作を検出する操作検出工程とを設け、
前記電子機器の周辺に前記ユーザ以外の他の人物がいる場合といない場合との当該ユーザの操作内容を比較して差異があるか否かを判定しこの判定結果に基づいて前記ユーザの不審行動の有無を検出する不審行動検出工程を設けたことを特徴とする不審行動検出方法。
【請求項10】
前記請求項9に記載の不審行動検出方法において、
前記周辺人物検知工程の検知結果である人物の有無と検知時刻とを示す情報を蓄積する人物有無情報蓄積工程を設けると共に、前記操作検出工程で検出された前記ユーザの操作内容とその操作時刻とを示す情報を蓄積する操作情報蓄積工程を設け、
前記不審行動検出工程では、前記ユーザの操作内容を前記設定領域内に他の人物がいた時といない時との2つの集合に分けて、集合間で内容の分布に差異があるか否かを統計処理で判定することを特徴とする不審行動検出方法。
【請求項11】
電子機器の周辺に設定した領域内の人物の有無を検知する周辺人物検知機能と、前記電子機器に対する操作を検出する操作検出機能と、前記電子機器の周辺領域内に人物がいる場合といない場合とで当該電子機器に対する操作の内容に差異があるか否かを判定しこの判定結果に基づいてユーザの不審行動を検出する不審行動検出機能とをコンピュータに実行させることを特徴とする不審行動検出用プログラム。
【請求項12】
前記請求項11に記載の不審行動検出用プログラムにおいて、
前記周辺人物検知機能の検知結果である人物の有無と検知時刻とを示す情報をメモリに格納する機能と、前記操作検出機能に検出された前記ユーザの操作内容とその操作時刻とを示す情報をメモリに格納する機能と共に、
前記不審行動検出機能を、前記ユーザの操作内容を前記設定領域に他の人物がいた時といない時との2つの集合に分けて集合間で内容の分布に差異があるか否かを統計処理で判定する機能として前記コンピュータに実行させることを特徴とする不審行動検出用プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2009−151485(P2009−151485A)
【公開日】平成21年7月9日(2009.7.9)
【国際特許分類】
【出願番号】特願2007−327857(P2007−327857)
【出願日】平成19年12月19日(2007.12.19)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成21年7月9日(2009.7.9)
【国際特許分類】
【出願日】平成19年12月19日(2007.12.19)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]