不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラム
【課題】不正アクセスパターンの管理を必要とせず、目的までも考慮して不正アクセスを検出する。
【解決手段】作業申請サーバ6は、承認された作業内容を示す申請作業内容情報を記憶する。作業者は業務処理を行う際、作業端末3にログオンアカウント、作業ID、作業対象の業務サーバ4を入力する。入力された作業IDを含む申請作業内容情報がある場合、作業端末3は利用制限を解除し、業務サーバ4にアクセスして業務処理を行う。作業端末3は、作業者が入力した情報と利用時間を設定した端末利用情報を生成し、業務サーバ4は、作業端末3との接続時間を設定したログデータを生成する。突合端末8は、端末利用情報とログデータを突合して合致する端末利用情報がないログデータにより不正アクセスを検出し、端末利用情報と申請作業内容情報を突合して合致する申請作業内容情報がない端末利用情報により不正アクセスを検出する。
【解決手段】作業申請サーバ6は、承認された作業内容を示す申請作業内容情報を記憶する。作業者は業務処理を行う際、作業端末3にログオンアカウント、作業ID、作業対象の業務サーバ4を入力する。入力された作業IDを含む申請作業内容情報がある場合、作業端末3は利用制限を解除し、業務サーバ4にアクセスして業務処理を行う。作業端末3は、作業者が入力した情報と利用時間を設定した端末利用情報を生成し、業務サーバ4は、作業端末3との接続時間を設定したログデータを生成する。突合端末8は、端末利用情報とログデータを突合して合致する端末利用情報がないログデータにより不正アクセスを検出し、端末利用情報と申請作業内容情報を突合して合致する申請作業内容情報がない端末利用情報により不正アクセスを検出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラムに関する。
【背景技術】
【0002】
近年、ネットワークに接続されているコンピュータ装置への不正なアクセスが問題となっている。そこで、不正アクセスのパターンを予めデータベースに記憶しておき、このパターンと合致するか否かによってネットワークを介して行なわれる不正アクセスを検出している(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−67279号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上述した従来の技術では、不正アクセスに使われるパケットの特徴的なパターンを記述したパターンデータを予めデータベースに登録しておかなければならない。そのため、新たな不正アクセスのパターンが見つかるたびに、データベースに新たなパターンデータを登録しなければならかった。パターンデータの登録を忘れた場合、不正アクセスを検出することはできない。
また、不正アクセスのパターンに合致しない場合でも、アクセスの目的が許可されているものであるとは限らない。つまり、パターンデータを用いた不正アクセス検出では、アクセスの目的までを判断することはできず、不正目的のアクセスを検出することはできない。
【0005】
本発明は上記事情に鑑みてなされたものであり、不正アクセスパターンの管理を必要とせず、不正な目的のアクセスについても検出することができる不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラムを提供する。
【課題を解決するための手段】
【0006】
本発明は、上記の課題を解決すべくなされたもので、許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得部と、前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部と、前記情報取得部が取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部と、を備えることを特徴とする不正アクセス検出装置である。
なお、上記不正アクセス検出装置において、前記申請作業内容突合部は、前記ログデータ突合部において前記ログデータと合致すると判断された前記端末利用情報及び前記情報取得部が取得した前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する、ことを特徴としてもよい。
なお、上記不正アクセス検出装置において、前記ログデータ突合部は、前記申請作業内容突合部において前記申請作業内容情報と合致すると判断された前記端末利用情報及び前記情報取得部が取得した前記ログデータを突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出する、ことを特徴としてもよい。
【0007】
また本発明は、不正アクセス検出装置と、作業を指示する作業端末と、前記作業端末からの指示を受けて作業の業務処理を実行する業務処理装置とを備えた不正アクセス検出システムであって、前記不正アクセス検出装置は、許可された作業に関する情報を示す申請作業内容情報を記憶する申請作業内容蓄積部と、前記業務処理装置から当該業務処理装置において実行された作業に関する情報を示すログデータを取得するとともに、前記作業端末から作業者により前記作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報を取得する情報取得部と、前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部と、前記情報取得部が取得した前記端末利用情報及び前記申請作業内容蓄積部から読み出した前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部と、を備える、ことを特徴とする不正アクセス検出システムである。
【0008】
また本発明は、上述する不正アクセス検出システムであって、前記申請作業内容情報は、作業対象の前記業務処理装置の識別情報及び前記作業者の識別情報を含み、前記ログデータは、前記業務処理装置に作業を指示した前記作業端末の識別情報と、当該作業端末から当該業務処理装置へのアクセスが開始された時刻及び前記アクセスが終了した時刻を示す作業時間とを含み、前記作業端末は、作業者により前記作業端末に入力された作業対象の前記業務処理装置の識別情報及び前記作業者の識別情報と、前記作業者が当該作業端末の利用を開始した時刻及び前記利用を終了した時刻を示す端末利用時間と、当該作業端末の識別情報とを含んだ端末利用情報を生成して前記不正アクセス検出装置に送信する端末利用情報転送部を備え、前記ログデータ突合部は、前記端末利用情報により示される前記作業端末の識別情報と、前記端末利用情報内の前記業務処理装置の識別情報により特定される業務処理装置の前記ログデータにより示される前記作業端末の識別情報とが一致し、かつ、前記端末利用情報内の前記端末利用時間が示す前記作業端末の利用の開始から終了までの時間帯が前記ログデータ内の前記作業時間が示す前記作業端末からのアクセスの開始から終了までの時間帯を包含している場合に合致と判断し、前記申請作業内容突合部は、前記端末利用情報により示される前記業務処理装置の識別情報及び前記作業者の識別情報と、前記申請作業内容情報により示される前記業務処理装置の識別情報及び前記作業者の識別情報とが一致している場合に合致と判断する、ことを特徴とする。
【0009】
また本発明は、上述する不正アクセス検出システムであって、前記作業端末は、作業者が入力した前記作業に関する情報を前記不正アクセス検出装置に送信する照合要求部と、前記照合要求部が送信した前記作業に関する情報に対応して照合成功を受信した場合、業務処理を許可する規制解除部とを備え、前記不正アクセス検出装置は、前記作業端末から受信した前記作業に関する情報を含んだ前記申請作業内容情報が前記申請作業内容蓄積部に記憶されている場合に、前記作業端末へ照合成功を通知する照合処理部をさらに備える、ことを特徴とする。
【0010】
また本発明は、上述する不正アクセス検出システムであって、前記作業端末は、前記作業に関する情報を入力させるための画面を表示部に全画面表示し、前記入力された作業に関する情報を受信する入力情報受信部をさら備え、前記規制解除部は、前記照合要求部が送信した前記作業に関する情報に対応して前記照合成功を受信した場合、前記全画面表示を解除する、ことを特徴とする。
【0011】
また本発明は、不正アクセス検出装置において実行される不正アクセス検出方法であって、情報取得部が、許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得過程と、ログデータ突合部が、前記情報取得過程において取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合過程と、申請作業内容突合が、前記情報取得過程において取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合過程と、を有することを特徴とする不正アクセス検出方法である。
【0012】
また本発明は、不正アクセス検出装置として用いられるコンピュータを、許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得部、前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部、前記情報取得部が取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部、として機能させることを特徴とするプログラムである。
【発明の効果】
【0013】
本発明によれば、不正アクセスパターンの管理を必要とせず、アクセスの目的までも考慮して不正アクセスを検出することができる。
【図面の簡単な説明】
【0014】
【図1】本発明の一実施形態による不正アクセス検出システムの全体構成を示す図である。
【図2】同実施形態による申請端末の内部構成を示す機能ブロック図である。
【図3】同実施形態による承認端末の内部構成を示す機能ブロック図である。
【図4】同実施形態による作業端末の内部構成を示す機能ブロック図である。
【図5】同実施形態による業務サーバの内部構成を示す機能ブロック図である。
【図6】同実施形態による作業申請サーバの内部構成を示す機能ブロック図である。
【図7】同実施形態による端末利用情報蓄積サーバの内部構成を示す機能ブロック図である。
【図8】同実施形態による突合端末の内部構成を示す機能ブロック図である。
【図9】同実施形態による作業申請内容情報のデータ構成例を示す図である。
【図10】同実施形態によるログデータのデータ構成例を示す図である。
【図11】同実施形態による端末利用情報のデータ構成例を示す図である。
【図12】同実施形態による作業端末の全画面表示イメージを示す図である。
【図13】同実施形態による不正アクセス検出システムのシーケンス図である。
【図14】同実施形態によるデータ突合範囲を示す図である。
【図15】同実施形態によるログデータと端末利用情報の突合例を示す図である。
【図16】同実施形態による端末利用情報と申請作業内容情報との突合例を示す図である。
【図17】同実施形態による突合端末の不正アクセス検出処理フローを示す図である。
【発明を実施するための形態】
【0015】
以下、図面を参照しながら本発明の実施形態を詳細に説明する。
【0016】
図1は、本発明の一実施形態による不正アクセス検出システムの全体構成を示す図である。同図に示すように、不正アクセス検出システムは、IP(Internet Protocol)通信網であるネットワーク9に接続される申請端末1、承認端末2、作業端末3、業務サーバ4及び不正アクセス検出装置5により構成される。同図においては、申請端末1、承認端末2、作業端末3、及び、業務サーバ4を1台のみ示しているが、複数台を備えてもよい。不正アクセス検出装置5は、作業申請サーバ6、端末利用情報蓄積サーバ7、及び、突合端末8により構成される。
【0017】
申請端末1は、維持運用対象の業務サーバ4に対して行う作業を申請するコンピュータ端末である。承認端末2は、申請端末1によって申請された作業を承認するコンピュータ端末である。作業申請サーバ6は、承認端末2によって承認された作業の申請内容を示す申請作業内容情報を蓄積するサーバである。作業端末3は、業務サーバ4へアクセスし、承認された作業についての業務処理を指示するコンピュータ端末であり、作業者が作業前に入力した作業に関する情報や、当該作業端末3が指示した作業に関する情報を示す端末利用情報を生成する。業務サーバ4は、作業端末3から受信した指示に従って業務処理を実行するサーバであり、当該業務サーバ4において実行された作業に関する情報を示すログデータを記録する。端末利用情報蓄積サーバ7は、作業端末3から端末利用情報を受信し、蓄積するサーバである。突合端末8は、業務サーバ4が記録したログデータと、端末利用情報蓄積サーバ7が蓄積している端末利用情報とを突合するとともに、端末利用情報と作業申請サーバ6が蓄積している申請作業内容情報とを突合して、不正アクセスを検出するコンピュータ端末である。
【0018】
上記構成により、本実施形態による不正アクセス検出システムは、作業端末3から業務サーバ4へのアクセスが正しい作業申請に基づいて、すなわち、正当な目的によって実施されたか否かの事後追跡を可能とする。
【0019】
図2は、申請端末1の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。申請端末1は、通信部11、ブラウザ処理部12、表示部13及び入力部14を備えて構成される。通信部11は、ネットワーク9を介して他の装置との間でデータの送受信を行う。表示部13は、LCD(Liquid Crystal Display)などのディスプレイである。入力部14は、キーボードやマウスなどであり、ユーザ操作による情報の入力を受ける。ブラウザ処理部12は、通信部11を介して他の装置から受信した画面データに基づいて表示部13に画面を表示し、表示部13に表示されている画面上で入力部14により入力された情報を通信部11を介してアクセス先のコンピュータ装置に送信する。
【0020】
図3は、承認端末2の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。承認端末2は、通信部21、ブラウザ処理部22、表示部23及び入力部24を備えて構成される。通信部21は、ネットワーク9を介して他の装置との間でデータの送受信を行う。表示部23は、LCDなどのディスプレイである。入力部24は、キーボードやマウスなどであり、ユーザ操作による情報の入力を受ける。ブラウザ処理部22は、通信部21を介して他の装置から受信した画面データに基づいて表示部23に画面を表示し、表示部23に表示されている画面上で入力部24により入力された情報を通信部21を介してアクセス先のコンピュータ装置に送信する。
【0021】
図4は、作業端末3の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。作業端末3は、入力部31、表示部32、通信部33、端末管理部34及び業務処理指示部39を備えて構成される。入力部31は、キーボードやマウスなどであり、ユーザ操作による情報の入力を受ける。表示部32は、LCDなどのディスプレイである。通信部33は、ネットワーク9を介して他の装置との間でデータの送受信を行う。
【0022】
端末管理部34は、ログオン時にCPU(central processing unit)がメモリから端末管理ツールのアプリケーションソフトウェアを読み込んで実行することにより生成される。端末管理部34は、入力情報受信部35、照合要求部36、画面ロック解除部37及び端末利用情報転送部38を備える。入力情報受信部35は、ログオン後最初に表示部32に情報入力画面の全画面表示を行い、情報入力画面上で入力部31により入力された情報を受信する。入力情報受信部35は、必要な情報を全て受信するまで、表示部32に情報入力画面を表示し続ける。照合要求部36は、入力情報受信部35が受信した情報に含まれる申請作業内容情報の一部を設定した照合要求を通信部33を介して作業申請サーバ6に送信する。画面ロック解除部37は、照合要求に対応して作業申請サーバ6から受信した照合結果が照合成功を示している場合に、全画面表示による画面ロックを解除し、表示部32の画面遷移を許可する。端末利用情報転送部38は、作業終了後、端末利用情報を生成し、通信部33を介して端末利用情報蓄積サーバ7へ送信する。
【0023】
業務処理指示部39は、入力部31により入力された業務処理に関する指示を通信部33を介して業務サーバ4に送信し、送信した指示に対応して業務サーバ4から受信した業務処理結果を表示部32に表示させる。
【0024】
図5は、業務サーバ4の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。業務サーバ4は、通信部41、業務処理部42、ログデータ記録部43、ログデータ蓄積部44、及び、ログデータ送信部45を備えて構成される。通信部41は、ネットワーク9を介して他の装置との間でデータの送受信を行う。業務処理部42は、作業端末3から受信した業務処理に関する指示に従って業務処理を実行し、通信部41を介して業務処理の結果を返送する。ログデータ記録部43は、作業端末3からのアクセスに関するログを示すデータであるログデータを生成し、ログデータ蓄積部44に書き込む。ログデータ送信部45は、ログデータ蓄積部44からログデータを読み出し、通信部41を介して突合端末8に送信する。
【0025】
図6は、作業申請サーバ6の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。作業申請サーバ6は、通信部61、申請受付部62、承認処理部63、作業ID発行部64、申請作業内容蓄積部65、照合部66、及び、申請作業内容情報送信部67を備えて構成される。通信部61は、ネットワーク9を介して他の装置との間でデータの送受信を行う。申請受付部62は、申請端末1が送信した作業の申請内容を受信する。承認処理部63は、申請内容を通信部61を介して承認端末2に送信する。作業ID発行部64は、送信した申請内容に対応して承認端末2から承認を示す情報を受信した場合、作業を一意に特定する識別情報である作業IDを発行し、発行した作業IDと作業の申請内容とを設定した申請作業内容情報を申請作業内容蓄積部65に書き込む。照合部66は、作業端末3から受信した照合要求と、申請作業内容蓄積部65に記憶されている申請作業内容情報とを照合し、照合結果を通信部61を介して返送する。申請作業内容情報送信部67は、申請作業内容蓄積部65から申請作業内容情報を読み出し、通信部61を介して突合端末8に送信する。
【0026】
図7は、端末利用情報蓄積サーバ7の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。端末利用情報蓄積サーバ7は、通信部71、端末利用情報受信部72、端末利用情報蓄積部73及び端末利用情報送信部74を備えて構成される。通信部71は、ネットワーク9を介して他の装置との間でデータの送受信を行う。端末利用情報受信部72は、作業端末3から受信した端末利用情報を端末利用情報蓄積部73に書き込む。端末利用情報送信部74は、端末利用情報蓄積部73から端末利用情報を読み出し、通信部71を介して突合端末8に送信する。
【0027】
図8は、突合端末8の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。突合端末8は、通信部81、情報取得部82、情報蓄積部83、入力部84、突合処理部85、及び、出力部88を備えて構成される。通信部81は、ネットワーク9を介して他の装置との間でデータの送受信を行う。入力部84は、キーボードやマウスなどであり、ユーザ操作による情報の入力を受ける。出力部88は、情報を出力する。本実施形態では、出力部88を、情報を表示するディスプレイとして説明するが、情報を印刷するプリンタ、情報を情報記録媒体へ書き込む書き込み装置としてもよい。
【0028】
情報取得部82は、業務サーバ4から受信したログデータ、作業申請サーバ6から受信した申請作業内容情報、及び、端末利用情報蓄積サーバ7から受信した端末利用情報を情報蓄積部83に書き込む。突合処理部85は、ログデータ突合部86と申請作業内容突合部87を備える。ログデータ突合部86は、情報蓄積部83に記憶されている端末利用情報とログデータとの突合処理を行ない、突合結果を出力部88に出力させる。申請作業内容突合部87は、情報蓄積部83に記憶されている端末利用情報と申請作業内容情報との突合を行ない、突合結果を出力部88に出力させる。
【0029】
次に、本実施形態による各種データのデータ構成例を示す。
【0030】
図9は、作業申請内容情報のデータ構成例を示す図である。同図に示すように、申請作業内容情報は、許可された作業に関する情報として、作業ID、アクセス先サーバ名、ログオンアカウント等の情報を含む。アクセス先サーバ名は、作業対象の業務サーバ4の名前であり、業務サーバ4を一意に特定する識別情報である。ログオンアカウントは、作業者が作業端末3にログオンするときに用いるアカウントであり、作業者を一意に特定する識別情報である。
【0031】
図10は、ログデータのデータ構成例を示す図である。同図に示すように、ログデータは、業務サーバ4において実行された作業に関する情報として、PCホスト名、サーバ利用開始日時、サーバ利用終了日時等の情報を含む。PCホスト名は、業務サーバ4がアクセスを受けた、つまり、作業を指示した作業端末3の名前であり、作業端末3を一意に特定する識別情報である。サーバ利用開始日時は、作業端末3の指示による作業を開始した日時を示し、サーバ利用終了日時は、作業端末3の指示による作業を終了した日時を示す。具体的には、サーバ利用開始日時は、作業端末3から業務サーバ4へのアクセスが開始された時刻、すなわち、業務サーバ4が作業端末3との接続状態を確立した日時を示し、サーバ利用終了日時は、作業端末3からの業務サーバ4へのアクセスが終了した時刻、すなわち、業務サーバ4が作業端末3との接続状態を終了した日時を示す。
【0032】
図11は、端末利用情報のデータ構成例を示す図である。端末利用情報は、作業ID、アクセス先サーバ名、ログオンアカウント、PCホスト名、端末利用開始日時、端末利用終了日時等の情報を含む。作業IDは、作業者が作業端末3に入力した作業IDである。アクセス先サーバ名は、作業者が作業端末3に入力したアクセス先の業務サーバ4の名前である。ログオンアカウントは、作業端末3にログオンした作業者のアカウントである。PCホスト名は、当該端末利用情報を生成した作業端末3の名前である。端末利用開始日時は、作業者が作業端末3の利用を開始した日時を示し、端末利用終了日時は、作業者が作業端末3の利用を終了した日時を示す。具体的には、端末利用開始日時は、作業者がログオンした日時であり、端末利用終了日時は、作業者がログオフした日時である。
つまり、作業ID、アクセス先サーバ名、ログオンアカウントは、作業者が作業端末3に入力した作業に関する情報であり、PCホスト名、端末利用開始日時、端末利用終了日時は、作業端末3において実行された作業に関する情報である。
【0033】
図12は、作業端末3の表示部32に表示される情報入力画面の表示イメージを示す図である。同図に示すように、情報入力画面は全画面表示され、ステップS21において作業者がログオンした日時を示す開始日時と、ログオンしたときに入力したログオンアカウントと、作業端末3のホスト名とが表示される。さらに情報入力画面には、利用者氏名、担当業務、作業対象の業務サーバ4のサーバ名(接続先)、作業ID(処理申込番号または作業依頼番号)、作業の依頼元、作業として行う業務処理が操作対象としているデータ(操作テーブル名称)及びそのデータ操作(SQL使用)、作業内容などの情報を入力するフィールドやチェックボックスが表示される。全てのフィールド及びチェックボックスの入力後、OKボタンのクリックが受け付け可能となる。
【0034】
次に、不正アクセス検出システムの動作について説明する。
【0035】
図13は、不正アクセス検出システムのシーケンス図である。
まず、申請者は、申請端末1から作業申請サーバ6にアクセスする。申請端末1の通信部11は作業申請サーバ6から作業申請情報を入力させるための申請入力画面データを受信し、ブラウザ処理部12は、受信した申請入力画面データを表示部13に表示させる。作業者は、申請入力画面上で入力部14により作業申請情報を入力する。作業申請情報には、作業対象の業務サーバ4のサーバ名であるアクセス先サーバ名、作業を行う作業者のアカウントであるログオンアカウント、申請日時、作業件名、作業内容、作業日時、申請者に関する情報(名前、担当、連絡先、所属部署)、管理者に関する情報(名前、担当、連絡先、所属部署)、作業者に関する情報(名前、担当、連絡先、所属部署)、作業と関連する書類の番号などの情報が含まれる。ブラウザ処理部12は、入力された作業申請情報を送信するよう通信部11に指示し、通信部11は、作業申請情報を作業申請サーバ6に送信する(ステップS11)。
【0036】
作業申請サーバ6の通信部61は、申請端末1から作業申請情報を受信して申請受付部62に出力する。申請受付部62は、作業申請情報を受信すると、承認処理部63に承認処理の実行を指示する。承認処理部63は、受信した作業申請情報を表示させる承認要求画面データを承認端末2に送信するよう通信部61に指示し、通信部61は承認要求画面データを承認端末2へ送信する(ステップS12)。承認端末2のブラウザ処理部22は、通信部21が受信した承認要求画面データを表示部23に表示させる。承認者は、表示部23に表示されている作業申請情報を確認し、入力部24により承認を入力する。ブラウザ処理部22は、承認を示す承認結果情報を返送するよう通信部21に指示し、通信部21は、承認結果情報を作業申請サーバ6へ送信する(ステップS13)。
【0037】
作業申請サーバ6の通信部61は承認結果情報を受信し、承認処理部63へ出力する。承認処理部63は、承認を示す承認結果情報を受信すると、作業ID発行部64へ作業IDの発行を指示する。作業ID発行部64は、新たな作業IDを生成し(ステップS14)、生成した作業IDと、ステップS11において受信した作業申請情報とを設定した申請作業内容情報を申請作業内容蓄積部65へ書き込む(ステップS15)。作業ID発行部64は、承認された旨と作業IDとを表示させる申請結果通知画面データを申請端末1に送信するよう通信部61に指示し、通信部61は申請結果通知画面データを申請端末1に送信する(ステップS16)。申請端末1のブラウザ処理部12は、通信部11が受信した申請結果通知画面データを表示部13に表示させる。これにより、申請者は、申請した作業が承認された旨と作業IDを確認する。
【0038】
作業申請の承認後、作業者は、作業端末3の入力部31により、ログオンアカウント及びパスワードを入力する(ステップS21)。作業端末3がログオンアカウント及びパスワードにより正当性を確認すると、入力情報受信部35は、図12に示す情報入力画面を全画面表示により表示部32に表示させ、画面をロックする。作業者は、入力部31により、情報入力画面上に利用者氏名、担当業務、作業対象であるアクセス先の業務サーバ4のサーバ名、作業ID、作業の依頼元、操作テーブル名称、SQL使用、作業内容を入力する。入力情報受信部35は、これら全ての情報が入力されたと判断した場合、情報入力画面上のOKボタンの使用を可能とする。OKボタンがクリックされると、入力情報受信部35は、照合要求部36に照合実行を指示する。
【0039】
照合要求部36は、入力された作業IDを設定した照合要求を送信するよう通信部33に指示し、通信部33は照合要求を作業申請サーバ6に送信する(ステップS23)。作業申請サーバ6の照合部66は、通信部61を介して照合要求を受信すると、申請作業内容蓄積部65を検索し、受信した照合要求と同一の作業IDが設定され、かつ、使用済みを示す情報が対応付けられていない申請作業内容情報があるか否かを判断する(ステップS24)。照合部66は、検索の結果、申請作業内容情報が検出された場合、照合成功と判断する。照合部66は、検出された申請作業内容情報と対応づけて使用済みを示す情報を申請作業内容蓄積部65に書き込み、通信部61に照合成功を示す照合結果を返送するよう指示する。通信部61は、作業端末3へ照合結果を送信する(ステップS25)。作業端末3の画面ロック解除部37は、通信部33を介して受信した照合結果が照合成功を示している場合、全画面表示による画面ロックを解除して画面遷移を許可し、業務処理が可能な操作画面を表示部32に表示させる(ステップS26)。
【0040】
作業者は、作業端末3の入力部31により業務サーバ4への接続指示を入力すると、通信部33は、業務サーバ4に接続要求を送信する。接続要求には、作業端末3の名前が設定される。業務サーバ4の通信部41は、作業端末3から接続要求を受信し、作業端末3の通信部33と接続状態(セッション)を確立する。接続状態の確立後、作業端末3と業務サーバ4の間で業務処理が実行される(ステップS27)。具体的には、作業者が、作業端末3の入力部31により業務処理の指示を入力すると、業務処理指示部39は、通信部33を介して業務処理の指示を業務サーバ4へ送信する。業務処理の指示には、例えば、業務に関する各種データの登録、更新、読出し、削除などがある。業務サーバ4の業務処理部42は、通信部41が受信した業務処理の指示に従って業務処理を実行し、通信部41を介して業務処理の実行結果を作業端末3に送信する。作業端末3の業務処理指示部39は、通信部33が業務サーバ4から受信した業務処理の結果を表示部32に表示させる。
【0041】
業務処理の終了後、作業者が作業端末3の入力部31により業務サーバ4との接続切断指示を入力すると、通信部33は、業務サーバ4に接続切断要求を送信する。業務サーバ4の通信部41は、作業端末3から接続切断要求を受信し、作業端末3の通信部33との接続状態(セッション)を終了する。ログデータ記録部43は、接続要求から取得した作業端末3の名前を設定したPCホスト名、作業端末3と接続状態を確立した時刻を示すサーバ利用開始日時、作業端末3との接続状態を終了した日時を示すサーバ利用終了日時などの情報を設定したログデータを生成し、ログデータ蓄積部44へ書き込む(ステップS28)。
【0042】
複数の業務サーバ4に対して業務処理を行う場合、作業端末3と他の業務サーバ4の間でステップS27及びS28の処理を繰り返す。なお、作業端末3と複数の業務サーバ4との間で同時に接続状態を確立し、業務処理を行うことも可能である。
【0043】
作業を終了すると、作業者は、作業端末3の入力部31によりログオフの指示を入力する(ステップS29)。端末利用情報転送部38は、ステップS21において入力されたログオンアカウント、自作業端末3の名前を示すPCホスト名、ステップS22において情報入力画面上で入力された情報(利用者氏名、担当業務、業務サーバ4のサーバ名、作業ID、作業の依頼元、操作テーブル名称、SQL使用、作業内容)、作業端末3にログオンした日時を示す端末利用開始日時、ログオフした日時を示す端末利用終了日時などを設定した端末利用情報を生成する。通信部33は、端末利用情報転送部38が生成した端末利用情報を端末利用情報蓄積サーバ7に送信する(ステップS30)。端末利用情報蓄積サーバ7の端末利用情報受信部72は、通信部71が受信した端末利用情報を端末利用情報蓄積部73に書き込む(ステップS31)。
【0044】
突合端末8の情報取得部82は、定期的に、あるいは、入力部84により指示が入力された場合に、通信部81を介して端末利用情報蓄積サーバ7に端末利用情報取得要求を送信する(ステップS41)。端末利用情報蓄積サーバ7の端末利用情報送信部74は、通信部71を介して端末利用情報取得要求を受信すると、端末利用情報蓄積部73から突合端末8へ未送信の端末利用情報を読み出す。通信部71は、端末利用情報送信部74が読み出した端末利用情報を突合端末8へ返送する(ステップS42)。突合端末8の情報取得部82は、通信部81が受信した端末利用情報を情報蓄積部83に書き込む。
【0045】
次に、突合端末8の情報取得部82は、通信部81を介して業務サーバ4にログデータ取得要求を送信する(ステップS43)。業務サーバ4のログデータ送信部45は、通信部41を介してログデータ取得要求を受信すると、ログデータ蓄積部44から突合端末8へ未送信のログデータを読み出す。通信部41は、ログデータ蓄積部44が読み出した端末利用情報を突合端末8へ返送する(ステップS44)。突合端末8の情報取得部82は、通信部81が受信したログデータと、ログデータの送信元の業務サーバ4を特定する情報(例えば、サーバ名)とを対応付けて情報蓄積部83に書き込む。
【0046】
続いて、突合端末8の情報取得部82は、通信部81を介して作業申請サーバ6に申請作業内容情報取得要求を送信する(ステップS45)。作業申請サーバ6の申請作業内容情報送信部67は、通信部61を介して申請作業内容情報取得要求を受信すると、申請作業内容蓄積部65から未送信の申請作業内容情報を読み出す。通信部61は、申請作業内容情報送信部67が読み出した申請作業内容情報を突合端末8へ返送する(ステップS46)。突合端末8の情報取得部82は、通信部81が受信した申請作業内容情報を情報蓄積部83に書き込む。
【0047】
突合端末8の突合処理部85は、情報蓄積部83に記憶されている申請作業内容情報、ログデータ、端末利用情報を用いて突合処理を行い、不正アクセスの有無を判断し、判断結果を出力部88に表示させる(ステップS47)。
【0048】
端末利用情報とログデータを突合した結果、いずれの端末利用情報とも合致しないログデータがある場合、そのログデータは、業務サーバ4が作業端末3以外からアクセスされたことを示す。つまり、不正アクセスの発生を示すものである。一方、いずれのログデータとも合致していない端末利用情報がある場合、その端末利用情報は、作業端末3にログオンが行われたものの、業務サーバ4にアクセスすることなくログオフが行われたことを示す。つまり、業務サーバ4にはアクセスしていないため、不正アクセスの発生を示すものではない。
【0049】
また、端末利用情報と申請作業内容情報を突合した結果、いずれの申請作業内容情報とも合致していない端末利用情報がある場合、作業端末3は、申請していない業務サーバ4にアクセスしたことを示す。つまり、不正アクセスの発生を示すものである。一方、いずれの端末利用情報とも合致していない申請作業内容情報がある場合、作業者は申請端末1により申請を行なったものの、申請した業務処理をまだ行なっていないことを示す。つまり、不正アクセスの発生を示すものではない。
そこで、突合処理において、突合端末8の突合処理部85は、いずれの端末利用情報とも合致していないログデータがあるかを検出するとともに、ログデータと合致している端末利用情報の中にいずれの申請作業内容情報とも合致していないものがあるかを検出する。
【0050】
図14は、データ突合範囲を示す図である。同図においては、突合処理に用いる一部の情報のみを記載している。ステップS47の突合処理において、突合端末8のログデータ突合部86は、端末利用情報蓄積サーバ7から取得した端末利用情報のPCホスト名、端末利用開始日時及び端末利用終了日時と、端末利用情報内のアクセス先サーバ名で特定される業務サーバ4から取得したログデータのPCホスト名、サーバ利用開始日時及びサーバ利用終了日時の合致を判断する。突合処理部85は、端末利用情報とログデータに同一のPCホスト名が設定されており、かつ、端末利用情報の端末利用開始日時及び端末利用終了日時で示される時間帯が、ログデータのサーバ利用開始日時及びサーバ利用終了日時で示される時間帯を包含している場合、これらの端末利用情報とログデータが合致していると判断する。
【0051】
また、申請作業内容突合部87は、端末利用情報蓄積サーバ7から取得した端末利用情報と、作業申請サーバ6から取得した申請作業内容情報の作業ID、アクセス先サーバ名、及び、ログオンアカウントの合致を判断する。突合処理部85は、端末利用情報と申請作業内容情報に同一の作業ID及びログオンアカウントが設定されており、かつ、端末利用情報に設定されているアクセス先サーバ名が申請作業内容情報に設定されているアクセス先サーバ名に含まれている場合、これらの端末利用情報と申請作業内容情報が合致していると判断する。
【0052】
図15は、ログデータと端末利用情報の突合例を示す図である。図15(a)は、突合に使用される端末利用情報及びログデータの設定内容の一部を示し、図15(b)は、端末利用情報の端末利用開始日時及び端末利用終了日時が示す時間帯、ログデータのサーバ利用開始日時及びサーバ利用終了日時が示す時間帯を示す。なお、不正アクセス検出システムは業務サーバ4を複数台備えるものとし、それぞれの業務サーバ4を業務サーバ4a、4b、4c、…と記載する。
【0053】
業務サーバ4a、4b、4cのサーバ名がアクセス先サーバ名に設定されている端末利用情報に、図15(a)に示すように、PCホスト名「TerminalA」、端末利用開始日時「20101018,10:00」、端末利用終了日時「20101018,16:00」が設定されている。これは、図15(b)に示すように、作業者は、PCホスト名「TerminalA」の作業端末3を、2010年10月18日10時00分から16時00分まで使用していたことを示す。
【0054】
一方、業務サーバ4aのログデータには、図15(a)に示すように、PCホスト名「TerminalA」、サーバ利用開始日時「20101018,11:15」、サーバ利用終了日時「20101018,13:20」が設定されている。従って、図15(b)に示すように、業務サーバ4aは、PCホスト名「TerminalA」の作業端末3から、2010年10月18日11時15分から13時20分までアクセスされていたことを示す。業務サーバ4aのログデータが示す時間帯は、作業端末3の端末利用情報で示される時間帯に包含されているため、端末利用情報と業務サーバ4aのログデータは合致すると判断される。
【0055】
同様に、業務サーバ4bのログデータは、PCホスト名「TerminalA」の作業端末3から、2010年10月18日13時25分から15時05分までアクセスされていたことを示している。この時間帯は、PCホスト名「TerminalA」の作業端末3において記録された端末利用情報で示される時間帯に包含されているため、端末利用情報と業務サーバ4bのログデータとは合致すると判断される。
【0056】
一方、業務サーバ4cのログデータは、PCホスト名「TerminalA」の作業端末3から、2010年10月18日15時25分から16時25分までアクセスされていたことを示している。この時間帯は、PCホスト名「TerminalA」の作業端末3において記録された端末利用情報で示される時間帯に包含されていない。よって、端末利用情報と業務サーバ4cのログデータは合致しないと判断される。
【0057】
図16は、端末利用情報と申請作業内容情報との突合例を示す図である。
図16(a)に示すように、端末利用情報と申請作業内容情報の両方に、同一の作業ID「NB0G372」、及び、ログオンアカウント「SUGIYAMA」が設定されており、端末利用情報のアクセス先サーバ名「ServerA」は、申請作業内容情報のアクセスサーバ名「ServerA,ServerB」に含まれている。この場合、申請した作業対象の一部の業務サーバ4に対して実際に作業を行ったことを示すため、端末利用情報と申請作業内容情報は合致すると判断される。
一方、図16(b)に示すように、端末利用情報と申請作業内容情報の両方に、作業ID「NB0G372」、アクセス先サーバ名「ServerA,ServerB」が設定されている。しかし、端末利用情報のログオンアカウントには「S.SATO」が設定されており、端末利用情報のログオンアカウントには「SUGIYAMA」が設定されているため、ログオンアカウントは一致しない。この場合、端末利用情報と申請作業内容情報は合致しないと判断される。
【0058】
図17は、図13のステップS47の突合処理において突合端末8が実行する不正アクセス検出処理フローを示す図である。
まず、管理者は、突合端末8の入力部84により、不正アクセス判定処理を行なう対象として指定する業務サーバ4を入力する(ステップS51)。ログデータ突合部86は、指定された業務サーバ4全てに対する不正アクセス判定処理が完了したかを判断する(ステップS52)。まだ不正アクセス判定処理の対象となっていない業務サーバ4がある場合(ステップS52:NO)、ログデータ突合部86は、指定された業務サーバ4のうち、まだ不正アクセス判定処理の対象となっていない業務サーバ4を1つ選択する(ステップS53)。以下、選択された業務サーバを「選択業務サーバ」と記載する。
【0059】
ログデータ突合部86は、選択業務サーバにおいて記録されたログデータ全て、つまり、選択業務サーバを特定する情報と対応付けて情報蓄積部83に記憶されているログデータ全てに対する不正アクセス判定処理が終了したかを判断する(ステップS54)。まだ不正アクセス判定処理の対象となっていないログデータがある場合(ステップS54:NO)、ログデータ突合部86は、選択業務サーバを特定する情報と対応付けて情報蓄積部83に記憶されているログデータのうち、まだ不正アクセス判定処理の対象となっていないログデータを1つ選択する(ステップS55)。以下、選択されたログデータを「選択ログデータ」と記載する。
【0060】
ログデータ突合部86は、選択業務サーバのサーバ名を設定したアクセス先サーバ名と、選択ログデータ内のPCホスト名とを検索条件として情報蓄積部83に記憶されている端末利用情報を検索する(ステップS56)。検索条件で示されるアクセス先サーバ名及びPCホスト名が設定されている端末利用情報が検出されなかった場合(ステップS57:NO)、ログデータ突合部86は、不正アクセスと判断する(ステップS58)。ログデータ突合部86は、不正アクセスである旨と、選択ログデータとを出力部88に表示させ(ステップS59)、突合処理部85は、ステップS54からの処理を繰り返す。
【0061】
ステップS57において、検索条件で示されるアクセス先サーバ名及びPCホスト名が設定されている端末利用情報が検出された場合(ステップS57:YES)、申請作業内容突合部87は、検出された端末利用情報のうち、選択ログデータから得られる時間帯を包含する端末利用開始日時及び端末利用終了日時が設定されている端末利用情報を検索する(ステップS60)。つまり、端末利用情報に設定されている端末利用開始日時及び端末利用終了日時で示される時間帯が、選択ログデータに設定されているサーバ利用開始日時及びサーバ利用終了日時で示される時間帯を包含しているものを検索する。
【0062】
選択ログデータから得られる時間帯を包含する端末利用開始日時及び端末利用終了日時が設定されている端末利用情報が検出された場合(ステップS61:YES)、申請作業内容突合部87は、検出された端末利用情報に設定されている作業ID、アクセス先サーバ名及びログオンアカウントを検索条件として情報蓄積部83に記憶されている申請作業内容情報を検索する(ステップS62)。検索条件で示される作業ID、アクセス先サーバ名及びログオンアカウントが設定されている申請作業内容情報が検出された場合(ステップS63:YES)、ログデータ突合部86は、正常アクセスと判断する(ステップS64)。申請作業内容突合部87は、正常アクセスである旨と、選択ログデータと、ステップS60において検出された端末利用情報を出力部88に表示させ(ステップS65)、突合処理部85は、ステップS54からの処理を繰り返す。
【0063】
一方、ステップS61において、選択ログデータから得られる時間帯を包含する端末利用開始日時及び端末利用終了日時が設定されている端末利用情報が検出されなかった場合(ステップS61:NO)、申請作業内容突合部87は、不正アクセスと判断する(ステップS58)。申請作業内容突合部87は、不正アクセスである旨と、選択ログデータと、ステップS56における検索の結果検出された端末利用情報を出力部88に表示させ(ステップS59)、突合処理部85は、ステップS54からの処理を繰り返す。
【0064】
また、ステップS63において、検索条件で示される作業ID、アクセス先サーバ名及びログオンアカウントの全てが設定されている申請作業内容情報が検出されなかった場合(ステップS61:NO)、申請作業内容突合部87は、不正アクセスと判断する(ステップS58)。申請作業内容突合部87は、不正アクセスである旨と、選択ログデータと、ステップS56における検索の結果検出された端末利用情報を出力部88に表示させ(ステップS59)、突合処理部85は、ステップS54からの処理を繰り返す。
【0065】
ステップS54において、申請作業内容突合部87は、選択業務サーバにおいて記録されたログデータ全てに対する不正アクセス判定処理が終了したと判断した場合(ステップS54:YES)、ステップS52からの処理を繰り返す。
そして、ステップS52において、ログデータ突合部86が、指定された業務サーバ4全てに対する不正アクセス判定処理が完了したと判断した場合(ステップS52:YES)、突合処理部85は、突合処理を終了する。
【0066】
上記実施形態では、図13のステップS23において、作業端末3の照合要求部36は、照合要求に作業に関する情報として作業IDのみを設定しているが、作業IDに加えて、あるいは、作業IDに代えて、申請作業内容情報に含まれる他の情報、例えば、アクセス先サーバ名、ログオンアカウント、申請日時、作業件名、作業内容、作業日時、申請者の名前、申請者の担当、申請者の連絡先、申請者の所属部署、管理者の名前、管理者の担当、管理者の連絡先、管理者の所属部署、作業者の名前、作業者の担当、作業者の連絡先、作業者の所属部署、作業と関連する書類の番号のうち一以上を照合要求に設定してもよい。この場合、作業端末3の入力情報受信部35は、照合要求に設定する情報を入力させるフィールドを含んだ情報入力画面を表示させる。ただし、ログオンアカウントは、ログオン時に入力した情報とする。また、ステップS11において入力される申請情報に、操作テーブル名称、SQL使用の情報を含むことによって、情報入力画面上で入力された操作テーブル名称、SQL使用の情報を照合要求に設定してもよい。
図13のステップS24において、作業申請サーバ6の照合部66は、照合要求に設定されている情報と同一の情報が設定され、かつ、使用済みを示す情報が対応付けられていない申請作業内容情報を検出した場合、照合成功と判断する。
【0067】
また、端末利用情報、申請作業内容情報、及び、ログデータに業務処理の情報を設定し、これらを照合してもよい。例えば、作業申請サーバ6は、操作テーブル名称、及び、操作テーブルに対して行うSQL操作などを示す業務処理情報をさらに含んだ申請情報を申請端末1から受信し、作業IDと受信した申請情報とを設定した申請作業内容情報を生成する。また、業務サーバ4のログデータ記録部43は、作業端末3から受信した業務処理の指示に従って業務処理部42が操作した操作テーブル名称、この操作テーブルに対して行なったSQL操作を示す業務処理情報をさらに含んだログデータを生成する。
そして、図17のステップS60において、申請作業内容突合部87は、検出された端末利用情報のうち、選択ログデータのサーバ利用開始日時及びサーバ利用終了日時が示す時間帯を包含する端末利用開始日時及び端末利用終了日時と、選択ログデータの業務処理情報とが設定されている端末利用情報を検索する。また、図17のステップS62において、申請作業内容突合部87は、検出された端末利用情報に設定されている作業ID、アクセス先サーバ名、ログオンアカウント及び業務処理情報を検索条件として情報蓄積部83に記憶されている申請作業内容情報を検索する。
【0068】
上記実施形態では、突合端末8のログデータ突合部86において、各ログデータがいずれかの端末利用情報と合致するか否かを判断した後、申請作業内容突合部87において、ログデータと合致する端末利用情報がいずれかの申請作業内容情報と合致するかを判断しているが、申請作業内容突合部87の不正アクセス検出処理を先に行なってもよい。つまり、突合端末8の申請作業内容突合部87において、各端末利用情報がいずれかの申請作業内容情報と合致するか否かを判断する。申請作業内容突合部87は、いずれの申請作業内容情報とも合致しない端末利用情報を検出した場合、不正アクセスと判断し、不正アクセスである旨と、いずれの申請作業内容情報とも合致しなかった端末利用情報を出力部88に表示させる。続いて、ログデータ突合部86は、各ログデータが、申請作業内容突合部87においていずれかの申請作業内容情報に合致すると判断された端末利用情報のうちいずれかと合致するか否かを判断する。合致する場合、ログデータ突合部86は、正常アクセスと判断し、合致しない場合、不正アクセスと判断する。ログデータ突合部86は、正常アクセスと判断した場合、正常アクセスである旨と、ログデータと、ログデータに合致する端末利用情報とを出力部88に表示させ、不正アクセスと判断した場合、不正アクセスである旨といずれの端末利用情報にも合致しなかったログデータとを出力部88に表示させる。
【0069】
上述した実施形態では、不正アクセス検出装置5を作業申請サーバ6、端末利用情報蓄積サーバ7、及び、突合端末8により構成しているが、これらのうち任意の2台を1台のコンピュータ装置により実現してもよく、これらの全てを1台のコンピュータ装置により実現してもよい。
【0070】
また、既存の任意の技術によって、申請端末1及び承認端末2から業務サーバ4への接続を規制するようにしてもよい。例えば、申請端末1、承認端末2及び作業申請サーバ6を接続するネットワークと、作業端末3、業務サーバ4、作業申請サーバ6、端末利用情報蓄積サーバ7、及び、突合端末8を接続するネットワークとを分離してもよく、業務サーバ4において、申請端末1及び承認端末2からのアクセスを規制してもよい。
【0071】
以上説明した本実施形態によれば、作業端末3の不正利用を抑制し、作業端末3から業務サーバ4へのアクセスが正しい作業申請に基づいて実施されたか否かを事後追跡することが可能となる。
上述した本実施形態では、作業実施前に作業内容の承認を受け、承認された作業内容を示す申請作業内容情報を作業申請サーバ6に保持しておく。そして、作業端末3の利用時、作業者に申請作業内容情報の一部を入力させ、その入力された情報が作業申請サーバ6に保持されている申請作業内容情報と一致しないと利用できないように制限をかけている。つまり、業務サーバ4へのアクセスが必要となる都度、作業端末3の利用制限を解除する手順としている。これにより、管理者が作業端末3や業務サーバ4についてのアクセス許可管理を行なったり、不正アクセスパターンの管理を行なったりする必要なく、不正なアクセスを検出することができる。従って、アクセス許可や不正アクセスパターンの登録漏れ、削除漏れ等によって、正当なアクセスが誤って不正と判断されたり、不正なアクセスが検出されなかったりするセキュリティ問題の発生を防ぐことが可能となる。
【0072】
また、本実施形態では、作業端末3へのログオン時に、全画面表示を行なって画面をロックすることにより画面遷移を抑止し、利用制限を行なっている。画面ロックを解除するために作業者は必要な情報を全て入力しなければならず、このとき入力された情報を申請作業内容情報と照合するため、成りすましによる不正アクセスを効果的に抑止することができる。また、必要な情報を作業者に全て入力させることができるため、利用許可を判断するために照合する情報だけではなく、不正アクセスが検出されたときの解析情報として用いる情報も入力させ、記録しておくことができる。従って、従来紙の書類によって管理していた作業に関する内容を電子的に記録することも可能である。
また、作業実施後、作業端末3を利用した時に記録される端末利用情報と、作業申請時に登録した申請作業内容情報とを突合することにより、実際の作業内容と申請された作業内容との合致を確認することができるため、不正目的によるアクセスについても検出することができ、不正アクセス判定の精度を向上させることが可能となる。
【0073】
上述したように、本実施形態によれば、不正アクセスパターンの登録を必要とせず、目的までも考慮して不正アクセスを検出することができるため、セキュリティが向上する。
また、作業前に作業申請サーバ6において記録される申請作業内容情報、作業実施の時に作業端末3において記録される端末利用情報、業務サーバ4がアクセスを受けたときに記録されるログデータの3点を突合したチェックにより、不正アクセスを確実に追跡することができる。
また、本実施形態では、SOX(サーベンス・オクスリー法)法の対応のために必要となる意思決定と作業証跡記録の確認手順を電子化することができ、人的リソースの負担が軽減される。
【0074】
なお、上述の申請端末1、承認端末2、作業端末3、業務サーバ4、作業申請サーバ6、端末利用情報蓄積サーバ7及び突合端末8は、内部にコンピュータシステムを有している。そして、申請端末1のブラウザ処理部12、承認端末2のブラウザ処理部22、作業端末3の端末管理部34及び業務処理指示部39、業務サーバ4の業務処理部42、ログデータ記録部43及びログデータ送信部45、作業申請サーバ6の申請受付部62、承認処理部63、作業ID発行部64申請作業内容蓄積部65及び申請作業内容情報送信部67、端末利用情報蓄積サーバ7の端末利用情報受信部72及び端末利用情報蓄積部73、ならびに、突合端末8の情報取得部82及び突合処理部85の動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、CPU及び各種メモリやOS、周辺機器等のハードウェアを含むものである。
【0075】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【符号の説明】
【0076】
1…申請端末
11、21、33、41、61、71、81…通信部
12、22…ブラウザ処理部
13、23、32…表示部
14、24、31、84…入力部
2…承認端末
3…作業端末
34…端末管理部
35…入力情報受信部
36…照合要求部
37…画面ロック解除部(規制解除部)
38…端末利用情報転送部
39…業務処理指示部
4…業務サーバ(業務処理装置)
42…業務処理部
43…ログデータ記録部
44…ログデータ蓄積部
45…ログデータ送信部
5…不正アクセス検出装置
6…作業申請サーバ
62…申請受付部
63…承認処理部
64…作業ID発行部
65…申請作業内容蓄積部
66…照合部
67…申請作業内容情報送信部
7…端末利用情報蓄積サーバ
72…端末利用情報受信部
73…端末利用情報蓄積部
74…端末利用情報送信部
8…突合端末
82…情報取得部
83…情報蓄積部
85…突合処理部
86…ログデータ突合部
87…申請作業内容突合部
88…出力部
9…ネットワーク
【技術分野】
【0001】
本発明は、不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラムに関する。
【背景技術】
【0002】
近年、ネットワークに接続されているコンピュータ装置への不正なアクセスが問題となっている。そこで、不正アクセスのパターンを予めデータベースに記憶しておき、このパターンと合致するか否かによってネットワークを介して行なわれる不正アクセスを検出している(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−67279号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上述した従来の技術では、不正アクセスに使われるパケットの特徴的なパターンを記述したパターンデータを予めデータベースに登録しておかなければならない。そのため、新たな不正アクセスのパターンが見つかるたびに、データベースに新たなパターンデータを登録しなければならかった。パターンデータの登録を忘れた場合、不正アクセスを検出することはできない。
また、不正アクセスのパターンに合致しない場合でも、アクセスの目的が許可されているものであるとは限らない。つまり、パターンデータを用いた不正アクセス検出では、アクセスの目的までを判断することはできず、不正目的のアクセスを検出することはできない。
【0005】
本発明は上記事情に鑑みてなされたものであり、不正アクセスパターンの管理を必要とせず、不正な目的のアクセスについても検出することができる不正アクセス検出装置、不正アクセス検出システム、不正アクセス検出方法及びプログラムを提供する。
【課題を解決するための手段】
【0006】
本発明は、上記の課題を解決すべくなされたもので、許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得部と、前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部と、前記情報取得部が取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部と、を備えることを特徴とする不正アクセス検出装置である。
なお、上記不正アクセス検出装置において、前記申請作業内容突合部は、前記ログデータ突合部において前記ログデータと合致すると判断された前記端末利用情報及び前記情報取得部が取得した前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する、ことを特徴としてもよい。
なお、上記不正アクセス検出装置において、前記ログデータ突合部は、前記申請作業内容突合部において前記申請作業内容情報と合致すると判断された前記端末利用情報及び前記情報取得部が取得した前記ログデータを突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出する、ことを特徴としてもよい。
【0007】
また本発明は、不正アクセス検出装置と、作業を指示する作業端末と、前記作業端末からの指示を受けて作業の業務処理を実行する業務処理装置とを備えた不正アクセス検出システムであって、前記不正アクセス検出装置は、許可された作業に関する情報を示す申請作業内容情報を記憶する申請作業内容蓄積部と、前記業務処理装置から当該業務処理装置において実行された作業に関する情報を示すログデータを取得するとともに、前記作業端末から作業者により前記作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報を取得する情報取得部と、前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部と、前記情報取得部が取得した前記端末利用情報及び前記申請作業内容蓄積部から読み出した前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部と、を備える、ことを特徴とする不正アクセス検出システムである。
【0008】
また本発明は、上述する不正アクセス検出システムであって、前記申請作業内容情報は、作業対象の前記業務処理装置の識別情報及び前記作業者の識別情報を含み、前記ログデータは、前記業務処理装置に作業を指示した前記作業端末の識別情報と、当該作業端末から当該業務処理装置へのアクセスが開始された時刻及び前記アクセスが終了した時刻を示す作業時間とを含み、前記作業端末は、作業者により前記作業端末に入力された作業対象の前記業務処理装置の識別情報及び前記作業者の識別情報と、前記作業者が当該作業端末の利用を開始した時刻及び前記利用を終了した時刻を示す端末利用時間と、当該作業端末の識別情報とを含んだ端末利用情報を生成して前記不正アクセス検出装置に送信する端末利用情報転送部を備え、前記ログデータ突合部は、前記端末利用情報により示される前記作業端末の識別情報と、前記端末利用情報内の前記業務処理装置の識別情報により特定される業務処理装置の前記ログデータにより示される前記作業端末の識別情報とが一致し、かつ、前記端末利用情報内の前記端末利用時間が示す前記作業端末の利用の開始から終了までの時間帯が前記ログデータ内の前記作業時間が示す前記作業端末からのアクセスの開始から終了までの時間帯を包含している場合に合致と判断し、前記申請作業内容突合部は、前記端末利用情報により示される前記業務処理装置の識別情報及び前記作業者の識別情報と、前記申請作業内容情報により示される前記業務処理装置の識別情報及び前記作業者の識別情報とが一致している場合に合致と判断する、ことを特徴とする。
【0009】
また本発明は、上述する不正アクセス検出システムであって、前記作業端末は、作業者が入力した前記作業に関する情報を前記不正アクセス検出装置に送信する照合要求部と、前記照合要求部が送信した前記作業に関する情報に対応して照合成功を受信した場合、業務処理を許可する規制解除部とを備え、前記不正アクセス検出装置は、前記作業端末から受信した前記作業に関する情報を含んだ前記申請作業内容情報が前記申請作業内容蓄積部に記憶されている場合に、前記作業端末へ照合成功を通知する照合処理部をさらに備える、ことを特徴とする。
【0010】
また本発明は、上述する不正アクセス検出システムであって、前記作業端末は、前記作業に関する情報を入力させるための画面を表示部に全画面表示し、前記入力された作業に関する情報を受信する入力情報受信部をさら備え、前記規制解除部は、前記照合要求部が送信した前記作業に関する情報に対応して前記照合成功を受信した場合、前記全画面表示を解除する、ことを特徴とする。
【0011】
また本発明は、不正アクセス検出装置において実行される不正アクセス検出方法であって、情報取得部が、許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得過程と、ログデータ突合部が、前記情報取得過程において取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合過程と、申請作業内容突合が、前記情報取得過程において取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合過程と、を有することを特徴とする不正アクセス検出方法である。
【0012】
また本発明は、不正アクセス検出装置として用いられるコンピュータを、許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得部、前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部、前記情報取得部が取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部、として機能させることを特徴とするプログラムである。
【発明の効果】
【0013】
本発明によれば、不正アクセスパターンの管理を必要とせず、アクセスの目的までも考慮して不正アクセスを検出することができる。
【図面の簡単な説明】
【0014】
【図1】本発明の一実施形態による不正アクセス検出システムの全体構成を示す図である。
【図2】同実施形態による申請端末の内部構成を示す機能ブロック図である。
【図3】同実施形態による承認端末の内部構成を示す機能ブロック図である。
【図4】同実施形態による作業端末の内部構成を示す機能ブロック図である。
【図5】同実施形態による業務サーバの内部構成を示す機能ブロック図である。
【図6】同実施形態による作業申請サーバの内部構成を示す機能ブロック図である。
【図7】同実施形態による端末利用情報蓄積サーバの内部構成を示す機能ブロック図である。
【図8】同実施形態による突合端末の内部構成を示す機能ブロック図である。
【図9】同実施形態による作業申請内容情報のデータ構成例を示す図である。
【図10】同実施形態によるログデータのデータ構成例を示す図である。
【図11】同実施形態による端末利用情報のデータ構成例を示す図である。
【図12】同実施形態による作業端末の全画面表示イメージを示す図である。
【図13】同実施形態による不正アクセス検出システムのシーケンス図である。
【図14】同実施形態によるデータ突合範囲を示す図である。
【図15】同実施形態によるログデータと端末利用情報の突合例を示す図である。
【図16】同実施形態による端末利用情報と申請作業内容情報との突合例を示す図である。
【図17】同実施形態による突合端末の不正アクセス検出処理フローを示す図である。
【発明を実施するための形態】
【0015】
以下、図面を参照しながら本発明の実施形態を詳細に説明する。
【0016】
図1は、本発明の一実施形態による不正アクセス検出システムの全体構成を示す図である。同図に示すように、不正アクセス検出システムは、IP(Internet Protocol)通信網であるネットワーク9に接続される申請端末1、承認端末2、作業端末3、業務サーバ4及び不正アクセス検出装置5により構成される。同図においては、申請端末1、承認端末2、作業端末3、及び、業務サーバ4を1台のみ示しているが、複数台を備えてもよい。不正アクセス検出装置5は、作業申請サーバ6、端末利用情報蓄積サーバ7、及び、突合端末8により構成される。
【0017】
申請端末1は、維持運用対象の業務サーバ4に対して行う作業を申請するコンピュータ端末である。承認端末2は、申請端末1によって申請された作業を承認するコンピュータ端末である。作業申請サーバ6は、承認端末2によって承認された作業の申請内容を示す申請作業内容情報を蓄積するサーバである。作業端末3は、業務サーバ4へアクセスし、承認された作業についての業務処理を指示するコンピュータ端末であり、作業者が作業前に入力した作業に関する情報や、当該作業端末3が指示した作業に関する情報を示す端末利用情報を生成する。業務サーバ4は、作業端末3から受信した指示に従って業務処理を実行するサーバであり、当該業務サーバ4において実行された作業に関する情報を示すログデータを記録する。端末利用情報蓄積サーバ7は、作業端末3から端末利用情報を受信し、蓄積するサーバである。突合端末8は、業務サーバ4が記録したログデータと、端末利用情報蓄積サーバ7が蓄積している端末利用情報とを突合するとともに、端末利用情報と作業申請サーバ6が蓄積している申請作業内容情報とを突合して、不正アクセスを検出するコンピュータ端末である。
【0018】
上記構成により、本実施形態による不正アクセス検出システムは、作業端末3から業務サーバ4へのアクセスが正しい作業申請に基づいて、すなわち、正当な目的によって実施されたか否かの事後追跡を可能とする。
【0019】
図2は、申請端末1の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。申請端末1は、通信部11、ブラウザ処理部12、表示部13及び入力部14を備えて構成される。通信部11は、ネットワーク9を介して他の装置との間でデータの送受信を行う。表示部13は、LCD(Liquid Crystal Display)などのディスプレイである。入力部14は、キーボードやマウスなどであり、ユーザ操作による情報の入力を受ける。ブラウザ処理部12は、通信部11を介して他の装置から受信した画面データに基づいて表示部13に画面を表示し、表示部13に表示されている画面上で入力部14により入力された情報を通信部11を介してアクセス先のコンピュータ装置に送信する。
【0020】
図3は、承認端末2の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。承認端末2は、通信部21、ブラウザ処理部22、表示部23及び入力部24を備えて構成される。通信部21は、ネットワーク9を介して他の装置との間でデータの送受信を行う。表示部23は、LCDなどのディスプレイである。入力部24は、キーボードやマウスなどであり、ユーザ操作による情報の入力を受ける。ブラウザ処理部22は、通信部21を介して他の装置から受信した画面データに基づいて表示部23に画面を表示し、表示部23に表示されている画面上で入力部24により入力された情報を通信部21を介してアクセス先のコンピュータ装置に送信する。
【0021】
図4は、作業端末3の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。作業端末3は、入力部31、表示部32、通信部33、端末管理部34及び業務処理指示部39を備えて構成される。入力部31は、キーボードやマウスなどであり、ユーザ操作による情報の入力を受ける。表示部32は、LCDなどのディスプレイである。通信部33は、ネットワーク9を介して他の装置との間でデータの送受信を行う。
【0022】
端末管理部34は、ログオン時にCPU(central processing unit)がメモリから端末管理ツールのアプリケーションソフトウェアを読み込んで実行することにより生成される。端末管理部34は、入力情報受信部35、照合要求部36、画面ロック解除部37及び端末利用情報転送部38を備える。入力情報受信部35は、ログオン後最初に表示部32に情報入力画面の全画面表示を行い、情報入力画面上で入力部31により入力された情報を受信する。入力情報受信部35は、必要な情報を全て受信するまで、表示部32に情報入力画面を表示し続ける。照合要求部36は、入力情報受信部35が受信した情報に含まれる申請作業内容情報の一部を設定した照合要求を通信部33を介して作業申請サーバ6に送信する。画面ロック解除部37は、照合要求に対応して作業申請サーバ6から受信した照合結果が照合成功を示している場合に、全画面表示による画面ロックを解除し、表示部32の画面遷移を許可する。端末利用情報転送部38は、作業終了後、端末利用情報を生成し、通信部33を介して端末利用情報蓄積サーバ7へ送信する。
【0023】
業務処理指示部39は、入力部31により入力された業務処理に関する指示を通信部33を介して業務サーバ4に送信し、送信した指示に対応して業務サーバ4から受信した業務処理結果を表示部32に表示させる。
【0024】
図5は、業務サーバ4の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。業務サーバ4は、通信部41、業務処理部42、ログデータ記録部43、ログデータ蓄積部44、及び、ログデータ送信部45を備えて構成される。通信部41は、ネットワーク9を介して他の装置との間でデータの送受信を行う。業務処理部42は、作業端末3から受信した業務処理に関する指示に従って業務処理を実行し、通信部41を介して業務処理の結果を返送する。ログデータ記録部43は、作業端末3からのアクセスに関するログを示すデータであるログデータを生成し、ログデータ蓄積部44に書き込む。ログデータ送信部45は、ログデータ蓄積部44からログデータを読み出し、通信部41を介して突合端末8に送信する。
【0025】
図6は、作業申請サーバ6の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。作業申請サーバ6は、通信部61、申請受付部62、承認処理部63、作業ID発行部64、申請作業内容蓄積部65、照合部66、及び、申請作業内容情報送信部67を備えて構成される。通信部61は、ネットワーク9を介して他の装置との間でデータの送受信を行う。申請受付部62は、申請端末1が送信した作業の申請内容を受信する。承認処理部63は、申請内容を通信部61を介して承認端末2に送信する。作業ID発行部64は、送信した申請内容に対応して承認端末2から承認を示す情報を受信した場合、作業を一意に特定する識別情報である作業IDを発行し、発行した作業IDと作業の申請内容とを設定した申請作業内容情報を申請作業内容蓄積部65に書き込む。照合部66は、作業端末3から受信した照合要求と、申請作業内容蓄積部65に記憶されている申請作業内容情報とを照合し、照合結果を通信部61を介して返送する。申請作業内容情報送信部67は、申請作業内容蓄積部65から申請作業内容情報を読み出し、通信部61を介して突合端末8に送信する。
【0026】
図7は、端末利用情報蓄積サーバ7の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。端末利用情報蓄積サーバ7は、通信部71、端末利用情報受信部72、端末利用情報蓄積部73及び端末利用情報送信部74を備えて構成される。通信部71は、ネットワーク9を介して他の装置との間でデータの送受信を行う。端末利用情報受信部72は、作業端末3から受信した端末利用情報を端末利用情報蓄積部73に書き込む。端末利用情報送信部74は、端末利用情報蓄積部73から端末利用情報を読み出し、通信部71を介して突合端末8に送信する。
【0027】
図8は、突合端末8の内部構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみ抽出して示してある。突合端末8は、通信部81、情報取得部82、情報蓄積部83、入力部84、突合処理部85、及び、出力部88を備えて構成される。通信部81は、ネットワーク9を介して他の装置との間でデータの送受信を行う。入力部84は、キーボードやマウスなどであり、ユーザ操作による情報の入力を受ける。出力部88は、情報を出力する。本実施形態では、出力部88を、情報を表示するディスプレイとして説明するが、情報を印刷するプリンタ、情報を情報記録媒体へ書き込む書き込み装置としてもよい。
【0028】
情報取得部82は、業務サーバ4から受信したログデータ、作業申請サーバ6から受信した申請作業内容情報、及び、端末利用情報蓄積サーバ7から受信した端末利用情報を情報蓄積部83に書き込む。突合処理部85は、ログデータ突合部86と申請作業内容突合部87を備える。ログデータ突合部86は、情報蓄積部83に記憶されている端末利用情報とログデータとの突合処理を行ない、突合結果を出力部88に出力させる。申請作業内容突合部87は、情報蓄積部83に記憶されている端末利用情報と申請作業内容情報との突合を行ない、突合結果を出力部88に出力させる。
【0029】
次に、本実施形態による各種データのデータ構成例を示す。
【0030】
図9は、作業申請内容情報のデータ構成例を示す図である。同図に示すように、申請作業内容情報は、許可された作業に関する情報として、作業ID、アクセス先サーバ名、ログオンアカウント等の情報を含む。アクセス先サーバ名は、作業対象の業務サーバ4の名前であり、業務サーバ4を一意に特定する識別情報である。ログオンアカウントは、作業者が作業端末3にログオンするときに用いるアカウントであり、作業者を一意に特定する識別情報である。
【0031】
図10は、ログデータのデータ構成例を示す図である。同図に示すように、ログデータは、業務サーバ4において実行された作業に関する情報として、PCホスト名、サーバ利用開始日時、サーバ利用終了日時等の情報を含む。PCホスト名は、業務サーバ4がアクセスを受けた、つまり、作業を指示した作業端末3の名前であり、作業端末3を一意に特定する識別情報である。サーバ利用開始日時は、作業端末3の指示による作業を開始した日時を示し、サーバ利用終了日時は、作業端末3の指示による作業を終了した日時を示す。具体的には、サーバ利用開始日時は、作業端末3から業務サーバ4へのアクセスが開始された時刻、すなわち、業務サーバ4が作業端末3との接続状態を確立した日時を示し、サーバ利用終了日時は、作業端末3からの業務サーバ4へのアクセスが終了した時刻、すなわち、業務サーバ4が作業端末3との接続状態を終了した日時を示す。
【0032】
図11は、端末利用情報のデータ構成例を示す図である。端末利用情報は、作業ID、アクセス先サーバ名、ログオンアカウント、PCホスト名、端末利用開始日時、端末利用終了日時等の情報を含む。作業IDは、作業者が作業端末3に入力した作業IDである。アクセス先サーバ名は、作業者が作業端末3に入力したアクセス先の業務サーバ4の名前である。ログオンアカウントは、作業端末3にログオンした作業者のアカウントである。PCホスト名は、当該端末利用情報を生成した作業端末3の名前である。端末利用開始日時は、作業者が作業端末3の利用を開始した日時を示し、端末利用終了日時は、作業者が作業端末3の利用を終了した日時を示す。具体的には、端末利用開始日時は、作業者がログオンした日時であり、端末利用終了日時は、作業者がログオフした日時である。
つまり、作業ID、アクセス先サーバ名、ログオンアカウントは、作業者が作業端末3に入力した作業に関する情報であり、PCホスト名、端末利用開始日時、端末利用終了日時は、作業端末3において実行された作業に関する情報である。
【0033】
図12は、作業端末3の表示部32に表示される情報入力画面の表示イメージを示す図である。同図に示すように、情報入力画面は全画面表示され、ステップS21において作業者がログオンした日時を示す開始日時と、ログオンしたときに入力したログオンアカウントと、作業端末3のホスト名とが表示される。さらに情報入力画面には、利用者氏名、担当業務、作業対象の業務サーバ4のサーバ名(接続先)、作業ID(処理申込番号または作業依頼番号)、作業の依頼元、作業として行う業務処理が操作対象としているデータ(操作テーブル名称)及びそのデータ操作(SQL使用)、作業内容などの情報を入力するフィールドやチェックボックスが表示される。全てのフィールド及びチェックボックスの入力後、OKボタンのクリックが受け付け可能となる。
【0034】
次に、不正アクセス検出システムの動作について説明する。
【0035】
図13は、不正アクセス検出システムのシーケンス図である。
まず、申請者は、申請端末1から作業申請サーバ6にアクセスする。申請端末1の通信部11は作業申請サーバ6から作業申請情報を入力させるための申請入力画面データを受信し、ブラウザ処理部12は、受信した申請入力画面データを表示部13に表示させる。作業者は、申請入力画面上で入力部14により作業申請情報を入力する。作業申請情報には、作業対象の業務サーバ4のサーバ名であるアクセス先サーバ名、作業を行う作業者のアカウントであるログオンアカウント、申請日時、作業件名、作業内容、作業日時、申請者に関する情報(名前、担当、連絡先、所属部署)、管理者に関する情報(名前、担当、連絡先、所属部署)、作業者に関する情報(名前、担当、連絡先、所属部署)、作業と関連する書類の番号などの情報が含まれる。ブラウザ処理部12は、入力された作業申請情報を送信するよう通信部11に指示し、通信部11は、作業申請情報を作業申請サーバ6に送信する(ステップS11)。
【0036】
作業申請サーバ6の通信部61は、申請端末1から作業申請情報を受信して申請受付部62に出力する。申請受付部62は、作業申請情報を受信すると、承認処理部63に承認処理の実行を指示する。承認処理部63は、受信した作業申請情報を表示させる承認要求画面データを承認端末2に送信するよう通信部61に指示し、通信部61は承認要求画面データを承認端末2へ送信する(ステップS12)。承認端末2のブラウザ処理部22は、通信部21が受信した承認要求画面データを表示部23に表示させる。承認者は、表示部23に表示されている作業申請情報を確認し、入力部24により承認を入力する。ブラウザ処理部22は、承認を示す承認結果情報を返送するよう通信部21に指示し、通信部21は、承認結果情報を作業申請サーバ6へ送信する(ステップS13)。
【0037】
作業申請サーバ6の通信部61は承認結果情報を受信し、承認処理部63へ出力する。承認処理部63は、承認を示す承認結果情報を受信すると、作業ID発行部64へ作業IDの発行を指示する。作業ID発行部64は、新たな作業IDを生成し(ステップS14)、生成した作業IDと、ステップS11において受信した作業申請情報とを設定した申請作業内容情報を申請作業内容蓄積部65へ書き込む(ステップS15)。作業ID発行部64は、承認された旨と作業IDとを表示させる申請結果通知画面データを申請端末1に送信するよう通信部61に指示し、通信部61は申請結果通知画面データを申請端末1に送信する(ステップS16)。申請端末1のブラウザ処理部12は、通信部11が受信した申請結果通知画面データを表示部13に表示させる。これにより、申請者は、申請した作業が承認された旨と作業IDを確認する。
【0038】
作業申請の承認後、作業者は、作業端末3の入力部31により、ログオンアカウント及びパスワードを入力する(ステップS21)。作業端末3がログオンアカウント及びパスワードにより正当性を確認すると、入力情報受信部35は、図12に示す情報入力画面を全画面表示により表示部32に表示させ、画面をロックする。作業者は、入力部31により、情報入力画面上に利用者氏名、担当業務、作業対象であるアクセス先の業務サーバ4のサーバ名、作業ID、作業の依頼元、操作テーブル名称、SQL使用、作業内容を入力する。入力情報受信部35は、これら全ての情報が入力されたと判断した場合、情報入力画面上のOKボタンの使用を可能とする。OKボタンがクリックされると、入力情報受信部35は、照合要求部36に照合実行を指示する。
【0039】
照合要求部36は、入力された作業IDを設定した照合要求を送信するよう通信部33に指示し、通信部33は照合要求を作業申請サーバ6に送信する(ステップS23)。作業申請サーバ6の照合部66は、通信部61を介して照合要求を受信すると、申請作業内容蓄積部65を検索し、受信した照合要求と同一の作業IDが設定され、かつ、使用済みを示す情報が対応付けられていない申請作業内容情報があるか否かを判断する(ステップS24)。照合部66は、検索の結果、申請作業内容情報が検出された場合、照合成功と判断する。照合部66は、検出された申請作業内容情報と対応づけて使用済みを示す情報を申請作業内容蓄積部65に書き込み、通信部61に照合成功を示す照合結果を返送するよう指示する。通信部61は、作業端末3へ照合結果を送信する(ステップS25)。作業端末3の画面ロック解除部37は、通信部33を介して受信した照合結果が照合成功を示している場合、全画面表示による画面ロックを解除して画面遷移を許可し、業務処理が可能な操作画面を表示部32に表示させる(ステップS26)。
【0040】
作業者は、作業端末3の入力部31により業務サーバ4への接続指示を入力すると、通信部33は、業務サーバ4に接続要求を送信する。接続要求には、作業端末3の名前が設定される。業務サーバ4の通信部41は、作業端末3から接続要求を受信し、作業端末3の通信部33と接続状態(セッション)を確立する。接続状態の確立後、作業端末3と業務サーバ4の間で業務処理が実行される(ステップS27)。具体的には、作業者が、作業端末3の入力部31により業務処理の指示を入力すると、業務処理指示部39は、通信部33を介して業務処理の指示を業務サーバ4へ送信する。業務処理の指示には、例えば、業務に関する各種データの登録、更新、読出し、削除などがある。業務サーバ4の業務処理部42は、通信部41が受信した業務処理の指示に従って業務処理を実行し、通信部41を介して業務処理の実行結果を作業端末3に送信する。作業端末3の業務処理指示部39は、通信部33が業務サーバ4から受信した業務処理の結果を表示部32に表示させる。
【0041】
業務処理の終了後、作業者が作業端末3の入力部31により業務サーバ4との接続切断指示を入力すると、通信部33は、業務サーバ4に接続切断要求を送信する。業務サーバ4の通信部41は、作業端末3から接続切断要求を受信し、作業端末3の通信部33との接続状態(セッション)を終了する。ログデータ記録部43は、接続要求から取得した作業端末3の名前を設定したPCホスト名、作業端末3と接続状態を確立した時刻を示すサーバ利用開始日時、作業端末3との接続状態を終了した日時を示すサーバ利用終了日時などの情報を設定したログデータを生成し、ログデータ蓄積部44へ書き込む(ステップS28)。
【0042】
複数の業務サーバ4に対して業務処理を行う場合、作業端末3と他の業務サーバ4の間でステップS27及びS28の処理を繰り返す。なお、作業端末3と複数の業務サーバ4との間で同時に接続状態を確立し、業務処理を行うことも可能である。
【0043】
作業を終了すると、作業者は、作業端末3の入力部31によりログオフの指示を入力する(ステップS29)。端末利用情報転送部38は、ステップS21において入力されたログオンアカウント、自作業端末3の名前を示すPCホスト名、ステップS22において情報入力画面上で入力された情報(利用者氏名、担当業務、業務サーバ4のサーバ名、作業ID、作業の依頼元、操作テーブル名称、SQL使用、作業内容)、作業端末3にログオンした日時を示す端末利用開始日時、ログオフした日時を示す端末利用終了日時などを設定した端末利用情報を生成する。通信部33は、端末利用情報転送部38が生成した端末利用情報を端末利用情報蓄積サーバ7に送信する(ステップS30)。端末利用情報蓄積サーバ7の端末利用情報受信部72は、通信部71が受信した端末利用情報を端末利用情報蓄積部73に書き込む(ステップS31)。
【0044】
突合端末8の情報取得部82は、定期的に、あるいは、入力部84により指示が入力された場合に、通信部81を介して端末利用情報蓄積サーバ7に端末利用情報取得要求を送信する(ステップS41)。端末利用情報蓄積サーバ7の端末利用情報送信部74は、通信部71を介して端末利用情報取得要求を受信すると、端末利用情報蓄積部73から突合端末8へ未送信の端末利用情報を読み出す。通信部71は、端末利用情報送信部74が読み出した端末利用情報を突合端末8へ返送する(ステップS42)。突合端末8の情報取得部82は、通信部81が受信した端末利用情報を情報蓄積部83に書き込む。
【0045】
次に、突合端末8の情報取得部82は、通信部81を介して業務サーバ4にログデータ取得要求を送信する(ステップS43)。業務サーバ4のログデータ送信部45は、通信部41を介してログデータ取得要求を受信すると、ログデータ蓄積部44から突合端末8へ未送信のログデータを読み出す。通信部41は、ログデータ蓄積部44が読み出した端末利用情報を突合端末8へ返送する(ステップS44)。突合端末8の情報取得部82は、通信部81が受信したログデータと、ログデータの送信元の業務サーバ4を特定する情報(例えば、サーバ名)とを対応付けて情報蓄積部83に書き込む。
【0046】
続いて、突合端末8の情報取得部82は、通信部81を介して作業申請サーバ6に申請作業内容情報取得要求を送信する(ステップS45)。作業申請サーバ6の申請作業内容情報送信部67は、通信部61を介して申請作業内容情報取得要求を受信すると、申請作業内容蓄積部65から未送信の申請作業内容情報を読み出す。通信部61は、申請作業内容情報送信部67が読み出した申請作業内容情報を突合端末8へ返送する(ステップS46)。突合端末8の情報取得部82は、通信部81が受信した申請作業内容情報を情報蓄積部83に書き込む。
【0047】
突合端末8の突合処理部85は、情報蓄積部83に記憶されている申請作業内容情報、ログデータ、端末利用情報を用いて突合処理を行い、不正アクセスの有無を判断し、判断結果を出力部88に表示させる(ステップS47)。
【0048】
端末利用情報とログデータを突合した結果、いずれの端末利用情報とも合致しないログデータがある場合、そのログデータは、業務サーバ4が作業端末3以外からアクセスされたことを示す。つまり、不正アクセスの発生を示すものである。一方、いずれのログデータとも合致していない端末利用情報がある場合、その端末利用情報は、作業端末3にログオンが行われたものの、業務サーバ4にアクセスすることなくログオフが行われたことを示す。つまり、業務サーバ4にはアクセスしていないため、不正アクセスの発生を示すものではない。
【0049】
また、端末利用情報と申請作業内容情報を突合した結果、いずれの申請作業内容情報とも合致していない端末利用情報がある場合、作業端末3は、申請していない業務サーバ4にアクセスしたことを示す。つまり、不正アクセスの発生を示すものである。一方、いずれの端末利用情報とも合致していない申請作業内容情報がある場合、作業者は申請端末1により申請を行なったものの、申請した業務処理をまだ行なっていないことを示す。つまり、不正アクセスの発生を示すものではない。
そこで、突合処理において、突合端末8の突合処理部85は、いずれの端末利用情報とも合致していないログデータがあるかを検出するとともに、ログデータと合致している端末利用情報の中にいずれの申請作業内容情報とも合致していないものがあるかを検出する。
【0050】
図14は、データ突合範囲を示す図である。同図においては、突合処理に用いる一部の情報のみを記載している。ステップS47の突合処理において、突合端末8のログデータ突合部86は、端末利用情報蓄積サーバ7から取得した端末利用情報のPCホスト名、端末利用開始日時及び端末利用終了日時と、端末利用情報内のアクセス先サーバ名で特定される業務サーバ4から取得したログデータのPCホスト名、サーバ利用開始日時及びサーバ利用終了日時の合致を判断する。突合処理部85は、端末利用情報とログデータに同一のPCホスト名が設定されており、かつ、端末利用情報の端末利用開始日時及び端末利用終了日時で示される時間帯が、ログデータのサーバ利用開始日時及びサーバ利用終了日時で示される時間帯を包含している場合、これらの端末利用情報とログデータが合致していると判断する。
【0051】
また、申請作業内容突合部87は、端末利用情報蓄積サーバ7から取得した端末利用情報と、作業申請サーバ6から取得した申請作業内容情報の作業ID、アクセス先サーバ名、及び、ログオンアカウントの合致を判断する。突合処理部85は、端末利用情報と申請作業内容情報に同一の作業ID及びログオンアカウントが設定されており、かつ、端末利用情報に設定されているアクセス先サーバ名が申請作業内容情報に設定されているアクセス先サーバ名に含まれている場合、これらの端末利用情報と申請作業内容情報が合致していると判断する。
【0052】
図15は、ログデータと端末利用情報の突合例を示す図である。図15(a)は、突合に使用される端末利用情報及びログデータの設定内容の一部を示し、図15(b)は、端末利用情報の端末利用開始日時及び端末利用終了日時が示す時間帯、ログデータのサーバ利用開始日時及びサーバ利用終了日時が示す時間帯を示す。なお、不正アクセス検出システムは業務サーバ4を複数台備えるものとし、それぞれの業務サーバ4を業務サーバ4a、4b、4c、…と記載する。
【0053】
業務サーバ4a、4b、4cのサーバ名がアクセス先サーバ名に設定されている端末利用情報に、図15(a)に示すように、PCホスト名「TerminalA」、端末利用開始日時「20101018,10:00」、端末利用終了日時「20101018,16:00」が設定されている。これは、図15(b)に示すように、作業者は、PCホスト名「TerminalA」の作業端末3を、2010年10月18日10時00分から16時00分まで使用していたことを示す。
【0054】
一方、業務サーバ4aのログデータには、図15(a)に示すように、PCホスト名「TerminalA」、サーバ利用開始日時「20101018,11:15」、サーバ利用終了日時「20101018,13:20」が設定されている。従って、図15(b)に示すように、業務サーバ4aは、PCホスト名「TerminalA」の作業端末3から、2010年10月18日11時15分から13時20分までアクセスされていたことを示す。業務サーバ4aのログデータが示す時間帯は、作業端末3の端末利用情報で示される時間帯に包含されているため、端末利用情報と業務サーバ4aのログデータは合致すると判断される。
【0055】
同様に、業務サーバ4bのログデータは、PCホスト名「TerminalA」の作業端末3から、2010年10月18日13時25分から15時05分までアクセスされていたことを示している。この時間帯は、PCホスト名「TerminalA」の作業端末3において記録された端末利用情報で示される時間帯に包含されているため、端末利用情報と業務サーバ4bのログデータとは合致すると判断される。
【0056】
一方、業務サーバ4cのログデータは、PCホスト名「TerminalA」の作業端末3から、2010年10月18日15時25分から16時25分までアクセスされていたことを示している。この時間帯は、PCホスト名「TerminalA」の作業端末3において記録された端末利用情報で示される時間帯に包含されていない。よって、端末利用情報と業務サーバ4cのログデータは合致しないと判断される。
【0057】
図16は、端末利用情報と申請作業内容情報との突合例を示す図である。
図16(a)に示すように、端末利用情報と申請作業内容情報の両方に、同一の作業ID「NB0G372」、及び、ログオンアカウント「SUGIYAMA」が設定されており、端末利用情報のアクセス先サーバ名「ServerA」は、申請作業内容情報のアクセスサーバ名「ServerA,ServerB」に含まれている。この場合、申請した作業対象の一部の業務サーバ4に対して実際に作業を行ったことを示すため、端末利用情報と申請作業内容情報は合致すると判断される。
一方、図16(b)に示すように、端末利用情報と申請作業内容情報の両方に、作業ID「NB0G372」、アクセス先サーバ名「ServerA,ServerB」が設定されている。しかし、端末利用情報のログオンアカウントには「S.SATO」が設定されており、端末利用情報のログオンアカウントには「SUGIYAMA」が設定されているため、ログオンアカウントは一致しない。この場合、端末利用情報と申請作業内容情報は合致しないと判断される。
【0058】
図17は、図13のステップS47の突合処理において突合端末8が実行する不正アクセス検出処理フローを示す図である。
まず、管理者は、突合端末8の入力部84により、不正アクセス判定処理を行なう対象として指定する業務サーバ4を入力する(ステップS51)。ログデータ突合部86は、指定された業務サーバ4全てに対する不正アクセス判定処理が完了したかを判断する(ステップS52)。まだ不正アクセス判定処理の対象となっていない業務サーバ4がある場合(ステップS52:NO)、ログデータ突合部86は、指定された業務サーバ4のうち、まだ不正アクセス判定処理の対象となっていない業務サーバ4を1つ選択する(ステップS53)。以下、選択された業務サーバを「選択業務サーバ」と記載する。
【0059】
ログデータ突合部86は、選択業務サーバにおいて記録されたログデータ全て、つまり、選択業務サーバを特定する情報と対応付けて情報蓄積部83に記憶されているログデータ全てに対する不正アクセス判定処理が終了したかを判断する(ステップS54)。まだ不正アクセス判定処理の対象となっていないログデータがある場合(ステップS54:NO)、ログデータ突合部86は、選択業務サーバを特定する情報と対応付けて情報蓄積部83に記憶されているログデータのうち、まだ不正アクセス判定処理の対象となっていないログデータを1つ選択する(ステップS55)。以下、選択されたログデータを「選択ログデータ」と記載する。
【0060】
ログデータ突合部86は、選択業務サーバのサーバ名を設定したアクセス先サーバ名と、選択ログデータ内のPCホスト名とを検索条件として情報蓄積部83に記憶されている端末利用情報を検索する(ステップS56)。検索条件で示されるアクセス先サーバ名及びPCホスト名が設定されている端末利用情報が検出されなかった場合(ステップS57:NO)、ログデータ突合部86は、不正アクセスと判断する(ステップS58)。ログデータ突合部86は、不正アクセスである旨と、選択ログデータとを出力部88に表示させ(ステップS59)、突合処理部85は、ステップS54からの処理を繰り返す。
【0061】
ステップS57において、検索条件で示されるアクセス先サーバ名及びPCホスト名が設定されている端末利用情報が検出された場合(ステップS57:YES)、申請作業内容突合部87は、検出された端末利用情報のうち、選択ログデータから得られる時間帯を包含する端末利用開始日時及び端末利用終了日時が設定されている端末利用情報を検索する(ステップS60)。つまり、端末利用情報に設定されている端末利用開始日時及び端末利用終了日時で示される時間帯が、選択ログデータに設定されているサーバ利用開始日時及びサーバ利用終了日時で示される時間帯を包含しているものを検索する。
【0062】
選択ログデータから得られる時間帯を包含する端末利用開始日時及び端末利用終了日時が設定されている端末利用情報が検出された場合(ステップS61:YES)、申請作業内容突合部87は、検出された端末利用情報に設定されている作業ID、アクセス先サーバ名及びログオンアカウントを検索条件として情報蓄積部83に記憶されている申請作業内容情報を検索する(ステップS62)。検索条件で示される作業ID、アクセス先サーバ名及びログオンアカウントが設定されている申請作業内容情報が検出された場合(ステップS63:YES)、ログデータ突合部86は、正常アクセスと判断する(ステップS64)。申請作業内容突合部87は、正常アクセスである旨と、選択ログデータと、ステップS60において検出された端末利用情報を出力部88に表示させ(ステップS65)、突合処理部85は、ステップS54からの処理を繰り返す。
【0063】
一方、ステップS61において、選択ログデータから得られる時間帯を包含する端末利用開始日時及び端末利用終了日時が設定されている端末利用情報が検出されなかった場合(ステップS61:NO)、申請作業内容突合部87は、不正アクセスと判断する(ステップS58)。申請作業内容突合部87は、不正アクセスである旨と、選択ログデータと、ステップS56における検索の結果検出された端末利用情報を出力部88に表示させ(ステップS59)、突合処理部85は、ステップS54からの処理を繰り返す。
【0064】
また、ステップS63において、検索条件で示される作業ID、アクセス先サーバ名及びログオンアカウントの全てが設定されている申請作業内容情報が検出されなかった場合(ステップS61:NO)、申請作業内容突合部87は、不正アクセスと判断する(ステップS58)。申請作業内容突合部87は、不正アクセスである旨と、選択ログデータと、ステップS56における検索の結果検出された端末利用情報を出力部88に表示させ(ステップS59)、突合処理部85は、ステップS54からの処理を繰り返す。
【0065】
ステップS54において、申請作業内容突合部87は、選択業務サーバにおいて記録されたログデータ全てに対する不正アクセス判定処理が終了したと判断した場合(ステップS54:YES)、ステップS52からの処理を繰り返す。
そして、ステップS52において、ログデータ突合部86が、指定された業務サーバ4全てに対する不正アクセス判定処理が完了したと判断した場合(ステップS52:YES)、突合処理部85は、突合処理を終了する。
【0066】
上記実施形態では、図13のステップS23において、作業端末3の照合要求部36は、照合要求に作業に関する情報として作業IDのみを設定しているが、作業IDに加えて、あるいは、作業IDに代えて、申請作業内容情報に含まれる他の情報、例えば、アクセス先サーバ名、ログオンアカウント、申請日時、作業件名、作業内容、作業日時、申請者の名前、申請者の担当、申請者の連絡先、申請者の所属部署、管理者の名前、管理者の担当、管理者の連絡先、管理者の所属部署、作業者の名前、作業者の担当、作業者の連絡先、作業者の所属部署、作業と関連する書類の番号のうち一以上を照合要求に設定してもよい。この場合、作業端末3の入力情報受信部35は、照合要求に設定する情報を入力させるフィールドを含んだ情報入力画面を表示させる。ただし、ログオンアカウントは、ログオン時に入力した情報とする。また、ステップS11において入力される申請情報に、操作テーブル名称、SQL使用の情報を含むことによって、情報入力画面上で入力された操作テーブル名称、SQL使用の情報を照合要求に設定してもよい。
図13のステップS24において、作業申請サーバ6の照合部66は、照合要求に設定されている情報と同一の情報が設定され、かつ、使用済みを示す情報が対応付けられていない申請作業内容情報を検出した場合、照合成功と判断する。
【0067】
また、端末利用情報、申請作業内容情報、及び、ログデータに業務処理の情報を設定し、これらを照合してもよい。例えば、作業申請サーバ6は、操作テーブル名称、及び、操作テーブルに対して行うSQL操作などを示す業務処理情報をさらに含んだ申請情報を申請端末1から受信し、作業IDと受信した申請情報とを設定した申請作業内容情報を生成する。また、業務サーバ4のログデータ記録部43は、作業端末3から受信した業務処理の指示に従って業務処理部42が操作した操作テーブル名称、この操作テーブルに対して行なったSQL操作を示す業務処理情報をさらに含んだログデータを生成する。
そして、図17のステップS60において、申請作業内容突合部87は、検出された端末利用情報のうち、選択ログデータのサーバ利用開始日時及びサーバ利用終了日時が示す時間帯を包含する端末利用開始日時及び端末利用終了日時と、選択ログデータの業務処理情報とが設定されている端末利用情報を検索する。また、図17のステップS62において、申請作業内容突合部87は、検出された端末利用情報に設定されている作業ID、アクセス先サーバ名、ログオンアカウント及び業務処理情報を検索条件として情報蓄積部83に記憶されている申請作業内容情報を検索する。
【0068】
上記実施形態では、突合端末8のログデータ突合部86において、各ログデータがいずれかの端末利用情報と合致するか否かを判断した後、申請作業内容突合部87において、ログデータと合致する端末利用情報がいずれかの申請作業内容情報と合致するかを判断しているが、申請作業内容突合部87の不正アクセス検出処理を先に行なってもよい。つまり、突合端末8の申請作業内容突合部87において、各端末利用情報がいずれかの申請作業内容情報と合致するか否かを判断する。申請作業内容突合部87は、いずれの申請作業内容情報とも合致しない端末利用情報を検出した場合、不正アクセスと判断し、不正アクセスである旨と、いずれの申請作業内容情報とも合致しなかった端末利用情報を出力部88に表示させる。続いて、ログデータ突合部86は、各ログデータが、申請作業内容突合部87においていずれかの申請作業内容情報に合致すると判断された端末利用情報のうちいずれかと合致するか否かを判断する。合致する場合、ログデータ突合部86は、正常アクセスと判断し、合致しない場合、不正アクセスと判断する。ログデータ突合部86は、正常アクセスと判断した場合、正常アクセスである旨と、ログデータと、ログデータに合致する端末利用情報とを出力部88に表示させ、不正アクセスと判断した場合、不正アクセスである旨といずれの端末利用情報にも合致しなかったログデータとを出力部88に表示させる。
【0069】
上述した実施形態では、不正アクセス検出装置5を作業申請サーバ6、端末利用情報蓄積サーバ7、及び、突合端末8により構成しているが、これらのうち任意の2台を1台のコンピュータ装置により実現してもよく、これらの全てを1台のコンピュータ装置により実現してもよい。
【0070】
また、既存の任意の技術によって、申請端末1及び承認端末2から業務サーバ4への接続を規制するようにしてもよい。例えば、申請端末1、承認端末2及び作業申請サーバ6を接続するネットワークと、作業端末3、業務サーバ4、作業申請サーバ6、端末利用情報蓄積サーバ7、及び、突合端末8を接続するネットワークとを分離してもよく、業務サーバ4において、申請端末1及び承認端末2からのアクセスを規制してもよい。
【0071】
以上説明した本実施形態によれば、作業端末3の不正利用を抑制し、作業端末3から業務サーバ4へのアクセスが正しい作業申請に基づいて実施されたか否かを事後追跡することが可能となる。
上述した本実施形態では、作業実施前に作業内容の承認を受け、承認された作業内容を示す申請作業内容情報を作業申請サーバ6に保持しておく。そして、作業端末3の利用時、作業者に申請作業内容情報の一部を入力させ、その入力された情報が作業申請サーバ6に保持されている申請作業内容情報と一致しないと利用できないように制限をかけている。つまり、業務サーバ4へのアクセスが必要となる都度、作業端末3の利用制限を解除する手順としている。これにより、管理者が作業端末3や業務サーバ4についてのアクセス許可管理を行なったり、不正アクセスパターンの管理を行なったりする必要なく、不正なアクセスを検出することができる。従って、アクセス許可や不正アクセスパターンの登録漏れ、削除漏れ等によって、正当なアクセスが誤って不正と判断されたり、不正なアクセスが検出されなかったりするセキュリティ問題の発生を防ぐことが可能となる。
【0072】
また、本実施形態では、作業端末3へのログオン時に、全画面表示を行なって画面をロックすることにより画面遷移を抑止し、利用制限を行なっている。画面ロックを解除するために作業者は必要な情報を全て入力しなければならず、このとき入力された情報を申請作業内容情報と照合するため、成りすましによる不正アクセスを効果的に抑止することができる。また、必要な情報を作業者に全て入力させることができるため、利用許可を判断するために照合する情報だけではなく、不正アクセスが検出されたときの解析情報として用いる情報も入力させ、記録しておくことができる。従って、従来紙の書類によって管理していた作業に関する内容を電子的に記録することも可能である。
また、作業実施後、作業端末3を利用した時に記録される端末利用情報と、作業申請時に登録した申請作業内容情報とを突合することにより、実際の作業内容と申請された作業内容との合致を確認することができるため、不正目的によるアクセスについても検出することができ、不正アクセス判定の精度を向上させることが可能となる。
【0073】
上述したように、本実施形態によれば、不正アクセスパターンの登録を必要とせず、目的までも考慮して不正アクセスを検出することができるため、セキュリティが向上する。
また、作業前に作業申請サーバ6において記録される申請作業内容情報、作業実施の時に作業端末3において記録される端末利用情報、業務サーバ4がアクセスを受けたときに記録されるログデータの3点を突合したチェックにより、不正アクセスを確実に追跡することができる。
また、本実施形態では、SOX(サーベンス・オクスリー法)法の対応のために必要となる意思決定と作業証跡記録の確認手順を電子化することができ、人的リソースの負担が軽減される。
【0074】
なお、上述の申請端末1、承認端末2、作業端末3、業務サーバ4、作業申請サーバ6、端末利用情報蓄積サーバ7及び突合端末8は、内部にコンピュータシステムを有している。そして、申請端末1のブラウザ処理部12、承認端末2のブラウザ処理部22、作業端末3の端末管理部34及び業務処理指示部39、業務サーバ4の業務処理部42、ログデータ記録部43及びログデータ送信部45、作業申請サーバ6の申請受付部62、承認処理部63、作業ID発行部64申請作業内容蓄積部65及び申請作業内容情報送信部67、端末利用情報蓄積サーバ7の端末利用情報受信部72及び端末利用情報蓄積部73、ならびに、突合端末8の情報取得部82及び突合処理部85の動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、CPU及び各種メモリやOS、周辺機器等のハードウェアを含むものである。
【0075】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【符号の説明】
【0076】
1…申請端末
11、21、33、41、61、71、81…通信部
12、22…ブラウザ処理部
13、23、32…表示部
14、24、31、84…入力部
2…承認端末
3…作業端末
34…端末管理部
35…入力情報受信部
36…照合要求部
37…画面ロック解除部(規制解除部)
38…端末利用情報転送部
39…業務処理指示部
4…業務サーバ(業務処理装置)
42…業務処理部
43…ログデータ記録部
44…ログデータ蓄積部
45…ログデータ送信部
5…不正アクセス検出装置
6…作業申請サーバ
62…申請受付部
63…承認処理部
64…作業ID発行部
65…申請作業内容蓄積部
66…照合部
67…申請作業内容情報送信部
7…端末利用情報蓄積サーバ
72…端末利用情報受信部
73…端末利用情報蓄積部
74…端末利用情報送信部
8…突合端末
82…情報取得部
83…情報蓄積部
85…突合処理部
86…ログデータ突合部
87…申請作業内容突合部
88…出力部
9…ネットワーク
【特許請求の範囲】
【請求項1】
許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得部と、
前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部と、
前記情報取得部が取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部と、
を備えることを特徴とする不正アクセス検出装置。
【請求項2】
不正アクセス検出装置と、作業を指示する作業端末と、前記作業端末からの指示を受けて作業の業務処理を実行する業務処理装置とを備えた不正アクセス検出システムであって、
前記不正アクセス検出装置は、
許可された作業に関する情報を示す申請作業内容情報を記憶する申請作業内容蓄積部と、
前記業務処理装置から当該業務処理装置において実行された作業に関する情報を示すログデータを取得するとともに、前記作業端末から作業者により前記作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報を取得する情報取得部と、
前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部と、
前記情報取得部が取得した前記端末利用情報及び前記申請作業内容蓄積部から読み出した前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部と、
を備える、
ことを特徴とする不正アクセス検出システム。
【請求項3】
前記申請作業内容情報は、作業対象の前記業務処理装置の識別情報及び前記作業者の識別情報を含み、
前記ログデータは、前記業務処理装置に作業を指示した前記作業端末の識別情報と、当該作業端末から当該業務処理装置へのアクセスが開始された時刻及び前記アクセスが終了した時刻を示す作業時間とを含み、
前記作業端末は、
作業者により前記作業端末に入力された作業対象の前記業務処理装置の識別情報及び前記作業者の識別情報と、前記作業者が当該作業端末の利用を開始した時刻及び前記利用を終了した時刻を示す端末利用時間と、当該作業端末の識別情報とを含んだ端末利用情報を生成して前記不正アクセス検出装置に送信する端末利用情報転送部を備え、
前記ログデータ突合部は、前記端末利用情報により示される前記作業端末の識別情報と、前記端末利用情報内の前記業務処理装置の識別情報により特定される業務処理装置の前記ログデータにより示される前記作業端末の識別情報とが一致し、かつ、前記端末利用情報内の前記端末利用時間が示す前記作業端末の利用の開始から終了までの時間帯が前記ログデータ内の前記作業時間が示す前記作業端末からのアクセスの開始から終了までの時間帯を包含している場合に合致と判断し、
前記申請作業内容突合部は、前記端末利用情報により示される前記業務処理装置の識別情報及び前記作業者の識別情報と、前記申請作業内容情報により示される前記業務処理装置の識別情報及び前記作業者の識別情報とが一致している場合に合致と判断する、
ことを特徴とする請求項2に記載の不正アクセス検出システム。
【請求項4】
前記作業端末は、
作業者が入力した前記作業に関する情報を前記不正アクセス検出装置に送信する照合要求部と、
前記照合要求部が送信した前記作業に関する情報に対応して照合成功を受信した場合、業務処理を許可する規制解除部とを備え、
前記不正アクセス検出装置は、
前記作業端末から受信した前記作業に関する情報を含んだ前記申請作業内容情報が前記申請作業内容蓄積部に記憶されている場合に、前記作業端末へ照合成功を通知する照合処理部をさらに備える、
ことを特徴とする請求項2または請求項3に記載の不正アクセス検出システム。
【請求項5】
前記作業端末は、
前記作業に関する情報を入力させるための画面を表示部に全画面表示し、前記入力された作業に関する情報を受信する入力情報受信部をさら備え、
前記規制解除部は、前記照合要求部が送信した前記作業に関する情報に対応して前記照合成功を受信した場合、前記全画面表示を解除する、
ことを特徴とする請求項4に記載の不正アクセス検出システム。
【請求項6】
不正アクセス検出装置において実行される不正アクセス検出方法であって、
情報取得部が、許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得過程と、
ログデータ突合部が、前記情報取得過程において取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合過程と、
申請作業内容突合が、前記情報取得過程において取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合過程と、
を有することを特徴とする不正アクセス検出方法。
【請求項7】
不正アクセス検出装置として用いられるコンピュータを、
許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得部、
前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部、
前記情報取得部が取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部、
として機能させることを特徴とするプログラム。
【請求項1】
許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得部と、
前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部と、
前記情報取得部が取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部と、
を備えることを特徴とする不正アクセス検出装置。
【請求項2】
不正アクセス検出装置と、作業を指示する作業端末と、前記作業端末からの指示を受けて作業の業務処理を実行する業務処理装置とを備えた不正アクセス検出システムであって、
前記不正アクセス検出装置は、
許可された作業に関する情報を示す申請作業内容情報を記憶する申請作業内容蓄積部と、
前記業務処理装置から当該業務処理装置において実行された作業に関する情報を示すログデータを取得するとともに、前記作業端末から作業者により前記作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報を取得する情報取得部と、
前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部と、
前記情報取得部が取得した前記端末利用情報及び前記申請作業内容蓄積部から読み出した前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部と、
を備える、
ことを特徴とする不正アクセス検出システム。
【請求項3】
前記申請作業内容情報は、作業対象の前記業務処理装置の識別情報及び前記作業者の識別情報を含み、
前記ログデータは、前記業務処理装置に作業を指示した前記作業端末の識別情報と、当該作業端末から当該業務処理装置へのアクセスが開始された時刻及び前記アクセスが終了した時刻を示す作業時間とを含み、
前記作業端末は、
作業者により前記作業端末に入力された作業対象の前記業務処理装置の識別情報及び前記作業者の識別情報と、前記作業者が当該作業端末の利用を開始した時刻及び前記利用を終了した時刻を示す端末利用時間と、当該作業端末の識別情報とを含んだ端末利用情報を生成して前記不正アクセス検出装置に送信する端末利用情報転送部を備え、
前記ログデータ突合部は、前記端末利用情報により示される前記作業端末の識別情報と、前記端末利用情報内の前記業務処理装置の識別情報により特定される業務処理装置の前記ログデータにより示される前記作業端末の識別情報とが一致し、かつ、前記端末利用情報内の前記端末利用時間が示す前記作業端末の利用の開始から終了までの時間帯が前記ログデータ内の前記作業時間が示す前記作業端末からのアクセスの開始から終了までの時間帯を包含している場合に合致と判断し、
前記申請作業内容突合部は、前記端末利用情報により示される前記業務処理装置の識別情報及び前記作業者の識別情報と、前記申請作業内容情報により示される前記業務処理装置の識別情報及び前記作業者の識別情報とが一致している場合に合致と判断する、
ことを特徴とする請求項2に記載の不正アクセス検出システム。
【請求項4】
前記作業端末は、
作業者が入力した前記作業に関する情報を前記不正アクセス検出装置に送信する照合要求部と、
前記照合要求部が送信した前記作業に関する情報に対応して照合成功を受信した場合、業務処理を許可する規制解除部とを備え、
前記不正アクセス検出装置は、
前記作業端末から受信した前記作業に関する情報を含んだ前記申請作業内容情報が前記申請作業内容蓄積部に記憶されている場合に、前記作業端末へ照合成功を通知する照合処理部をさらに備える、
ことを特徴とする請求項2または請求項3に記載の不正アクセス検出システム。
【請求項5】
前記作業端末は、
前記作業に関する情報を入力させるための画面を表示部に全画面表示し、前記入力された作業に関する情報を受信する入力情報受信部をさら備え、
前記規制解除部は、前記照合要求部が送信した前記作業に関する情報に対応して前記照合成功を受信した場合、前記全画面表示を解除する、
ことを特徴とする請求項4に記載の不正アクセス検出システム。
【請求項6】
不正アクセス検出装置において実行される不正アクセス検出方法であって、
情報取得部が、許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得過程と、
ログデータ突合部が、前記情報取得過程において取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合過程と、
申請作業内容突合が、前記情報取得過程において取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合過程と、
を有することを特徴とする不正アクセス検出方法。
【請求項7】
不正アクセス検出装置として用いられるコンピュータを、
許可された作業に関する情報を示す申請作業内容情報と、業務処理装置において生成され、当該業務処理装置において実行された作業に関する情報を示すログデータと、作業端末において生成され、作業者により当該作業端末に入力された作業に関する情報及び当該作業端末において前記業務処理装置に対して指示した作業に関する情報を示す端末利用情報とを取得する情報取得部、
前記情報取得部が取得した前記ログデータ及び前記端末利用情報を突合して、前記ログデータにより示される前記作業に関する情報と前記端末利用情報により示される前記作業に関する情報とが合致しているかを判断し、合致する前記端末利用情報がないと判断された前記ログデータによって不正アクセスを検出するログデータ突合部、
前記情報取得部が取得した前記端末利用情報及び前記申請作業内容情報を突合して、前記端末利用情報により示される前記入力された作業に関する情報と、前記申請作業内容情報により示される前記許可された作業に関する情報とが合致しているかを判断し、合致する前記申請作業内容情報がないと判断された前記端末利用情報によって不正アクセスを検出する申請作業内容突合部、
として機能させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2012−133407(P2012−133407A)
【公開日】平成24年7月12日(2012.7.12)
【国際特許分類】
【出願番号】特願2010−282361(P2010−282361)
【出願日】平成22年12月17日(2010.12.17)
【出願人】(397065480)エヌ・ティ・ティ・コムウェア株式会社 (187)
【Fターム(参考)】
【公開日】平成24年7月12日(2012.7.12)
【国際特許分類】
【出願日】平成22年12月17日(2010.12.17)
【出願人】(397065480)エヌ・ティ・ティ・コムウェア株式会社 (187)
【Fターム(参考)】
[ Back to top ]