不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法
【課題】閲覧を制限すべき情報への不正アクセス行為があったことを事後的に、迅速に認識することができる不正アクセス検出装置を提供する。
【解決手段】閲覧を制限すべき制限情報を複数保持するサーバ2のアクセスログを取得し、ログファイルとして保持するログ保持部10と、各制限情報と、各制限情報の閲覧を許可された権限ユーザと、を対応付けた閲覧許可情報を保持する閲覧許可情報保持部20と、閲覧許可情報に基づいて、閲覧を許可されていないユーザによる不許可閲覧が行われたアクセスログを検出する不許可閲覧検出部30と、その不許可閲覧の内容を示したポリシ違反ログを生成し、ログファイルに記録するポリシ違反ログ記録部40と、権限ユーザから不許可閲覧の事後承認を受付ける事後承認受付部50と、受付けた事後承認の内容をログファイルに記録する書込部60と、を有する不正アクセス検出装置。
【解決手段】閲覧を制限すべき制限情報を複数保持するサーバ2のアクセスログを取得し、ログファイルとして保持するログ保持部10と、各制限情報と、各制限情報の閲覧を許可された権限ユーザと、を対応付けた閲覧許可情報を保持する閲覧許可情報保持部20と、閲覧許可情報に基づいて、閲覧を許可されていないユーザによる不許可閲覧が行われたアクセスログを検出する不許可閲覧検出部30と、その不許可閲覧の内容を示したポリシ違反ログを生成し、ログファイルに記録するポリシ違反ログ記録部40と、権限ユーザから不許可閲覧の事後承認を受付ける事後承認受付部50と、受付けた事後承認の内容をログファイルに記録する書込部60と、を有する不正アクセス検出装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法に関する。
【背景技術】
【0002】
近年、ネットワークの普及により、あらゆる情報の共有化が図られている。しかし、個人情報保護等の観点から、自由な閲覧を制限すべき情報もある。
【0003】
ネットワーク上におかれた情報の閲覧を制限する手段としては、その情報へのアクセスを特定のユーザだけに制限するアクセス制限が考えられる。しかし、緊急時の対応を考えると、アクセス制限を厳格に設けることができないケースがある。
【0004】
医療分野を例に考えてみる。個人情報保護の観点からは、患者のカルテ等を含む個人情報は担当の医師のみが閲覧できるように厳格にアクセス制限を設けるのが望ましい。しかし、ある患者が担当外の医師に診てもらわなければならない緊急事態が発生した際に、その担当外の医師がその患者のカルテ等を含む個人情報を閲覧することができなければ、適切な処置を施せないという不都合が生じる恐れがある。このため、医療分野においては、患者の個人情報を担当の医師のみならず、担当外の医師も閲覧できるようにしておく必要がある。
【0005】
上述のように、閲覧を制限すべき情報へのアクセス制限を厳格に設けることができないケース(例:医療分野)が存在するが、この場合においても、個人情報保護等の観点から、目的外の閲覧や使用等を厳格に取り締まる手段を設ける必要がある。
【0006】
ここで、特許文献1には、閲覧を制限すべき情報へのアクセス制限を厳格には設けず、簡易に不正アクセスを検出するシステムが記載されている。具体的には、あるユーザが患者情報を記録する患者情報データベースにアクセスすると、そのアクセスログを取得し、このアクセスログに記載されている内容を用いて、そのアクセスが目的外の閲覧等の可能性のある不正アクセスであるか否かを判断する。そして、そのアクセスが不正アクセスであると判断すると、その旨を示す警告をアクセスしてきたユーザに対して報知する技術が記載されている。不正アクセスであるか否かを判断する手段としては、患者情報へアクセスする回数の傾向を職種別(放射線科医師、薬剤師等)に分析し、この分析結果を基に、職種別に患者情報へアクセスする回数の閾値を定める。そして、アクセスログを用いて、患者情報にアクセスしてきたユーザの職種およびそのユーザの患者情報へのアクセス回数の累積数を把握すると、その累積数がそのユーザの職種に定められた閾値を超えていないか判断する。判断の結果、閾値を超えている場合には、そのアクセスは不正アクセスであると判断する技術が記載されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2009−48410号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
確かに、特許文献1に記載の技術によれば、不正アクセスである可能性のあるユーザからのアクセスを検出し、そのユーザに対して警告を報知することができる。しかし、特許文献1に記載の技術は、不正アクセスでないユーザからのアクセスをも、不正アクセスとして検出し、警告を報知する可能性がある。このような警告は、緊急時に正当な理由でアクセスするユーザにとってわずらわしく感じられるほか、緊急の業務を円滑に処理する妨げになる恐れがある。
【0009】
また、特許文献1に記載の技術は、あるユーザからのある患者情報へのアクセスを不正アクセスと判断し、そのユーザに警告を発した後に、そのユーザからその患者情報へのアクセスの続行を指示する入力を受付けると、その患者情報へのアクセスを続行するよう構成されている。すなわち、ユーザへの警告は有名無実化している。さらに、特許文献1に記載の技術には、不正アクセスと判断したアクセスを、他のユーザ(例:患者情報に不正アクセスされた患者の担当医師)が認識する技術が設けられていない。このような特許文献1に記載の技術の場合、不正アクセス行為を厳格に取り締まることはできない。
【0010】
ここで、本発明者は、閲覧を制限すべき情報を保持するサーバのアクセスログを用いて不正アクセスがあったか否かを事後的に判断することで、事後的に不正アクセス行為があったことを認識し、事後的にその行為を取り締まる手段を考えた。しかし、アクセスログが膨大な量である場合、多量のアクセスログを記録したログファイルから、不正アクセスの可能性のあるアクセスログを見つけ出すのは容易でない。
【0011】
本発明は、閲覧を制限すべき情報への不正アクセス行為があったことを事後的に、迅速に認識することができる不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法を提供することを課題とする。
【課題を解決するための手段】
【0012】
本発明によれば、閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持するログ保持部と、前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報を保持する閲覧許可情報保持部と、前記閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出する不許可閲覧検出部と、前記不許可閲覧検出部で検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録するポリシ違反ログ記録部と、前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付ける事後承認受付部と、前記事後承認受付部の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録する書込部と、を有する不正アクセス検出装置が提供される。
【0013】
本発明では、前記ポリシ違反ログには、前記書込部が事後承認を受付けた旨を示す情報を記録するための事後承認用領域が設けられてもよい。
【0014】
本発明では、前記事後承認受付部は、前記サーバにアクセスしてきた前記権限ユーザからのみ、不許可閲覧の事後承認を受付け、前記書込部は、前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログと、そのポリシ違反ログと、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録してもよい。
【0015】
本発明では、前記ログファイルの各アクセスログおよび各ポリシ違反ログには、第二ハッシュ値が記録されており、前記書込部は、前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログに記録されている前記第二ハッシュ値と、そのポリシ違反ログに記録されている前記第二ハッシュ値と、を用いて算出された前記第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録してもよい。
【0016】
本発明では、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出する不正閲覧抽出部を有し、前記不正閲覧抽出部は、前記ログファイルの中から前記ポリシ違反ログを抽出する第一抽出部と、前記第一抽出部に抽出された前記ポリシ違反ログの中から、前記事後承認を受けた旨を示す情報を記録されていない前記ポリシ違反ログを抽出する第二抽出部と、を有してもよい。
【0017】
本発明では、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出する不正閲覧抽出部を有し、前記不正閲覧抽出部は、前記ログファイルの中から前記ポリシ違反ログを抽出する第一抽出部と、前記第一抽出部に抽出された前記ポリシ違反ログの中から、事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログを抽出する第二抽出部と、事後承認用領域に前記第一ハッシュ値が記録されている前記ポリシ違反ログそれぞれの前記第一ハッシュ値を用いて、それぞれの前記ポリシ違反ログの前記第一ハッシュ値の記録が不正になされたものか否かを判断する不正判断部と、前記不正判断部により事後承認用領域の記録は不正になされたものと判断された前記ポリシ違反ログを抽出する第三抽出部と、前記第二抽出部と前記第三抽出部により抽出された前記ポリシ違反ログを、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログとして抽出する第四抽出部と、を有してもよい。
【0018】
本発明では、前記権限ユーザのアドレス情報を保持するアドレス情報保持部と、前記不許可閲覧検出部により不許可閲覧が行われた前記アクセスログが検出されるとその旨を、その不許可閲覧された制限情報の閲覧を許可されている前記権限ユーザに、前記アドレス情報を用いて通知する通知部と、を有してもよい。
【0019】
本発明によれば、閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持するステップと、前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出するステップと、不許可閲覧が行われた前記アクセスログとして検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録するステップと、前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付けるステップと、前記事後承認の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録するステップと、をコンピュータに実行させる不正アクセス検出プログラムが提供される。
【0020】
本発明では、前記ポリシ違反ログを生成し、記録するステップは、前記事後承認を受付けた旨を示す情報を記録するための事後承認用領域が設けられている前記ポリシ違反ログを生成し、前記ログファイルに記録するステップであり、前記事後承認を受付けるステップは、前記サーバにアクセスしてきた前記権限ユーザからのみ、不許可閲覧の事後承認を受付けるステップであり、前記事後承認を受けた旨を示す情報を記録するステップは、前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログと、そのポリシ違反ログと、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録するステップでもよい。
【0021】
本発明では、前記ログファイルの各アクセスログおよび各ポリシ違反ログには、第二ハッシュ値が記録されており、前記事後承認を受けた旨を示す情報を記録するステップは、前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログに記録されている前記第二ハッシュ値と、そのポリシ違反ログに記録されている前記第二ハッシュ値と、を用いて算出された前記第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録するステップでもよい。
【0022】
本発明では、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出するステップを有し、前記事後承認を受けていない前記ポリシ違反ログを抽出するステップは、前記ログファイルの中から前記ポリシ違反ログを抽出するステップと、前記抽出された前記ポリシ違反ログの中から、前記事後承認を受けた旨を示す情報が記録されていない前記ポリシ違反ログを抽出するステップと、を有してもよい。
【0023】
本発明では、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出するステップを有し、前記事後承認を受けていない前記ポリシ違反ログを抽出するステップは、前記ログファイルの中から前記ポリシ違反ログを抽出するステップと、前記抽出された前記ポリシ違反ログの中から、事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログを抽出するステップと、事後承認用領域に前記第一ハッシュ値が記録されている前記ポリシ違反ログそれぞれの前記第一ハッシュ値を用いて、それぞれの前記ポリシ違反ログの前記第一ハッシュ値の記録が不正になされたものか否かを判断するステップと、事後承認用領域の記録は不正になされたものと判断された前記ポリシ違反ログを抽出するステップと、事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログ、および、事後承認用領域に不正に前記第一ハッシュ値が記録されている前記ポリシ違反ログ、を前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログとして抽出するステップと、を有してもよい。
【0024】
本発明によれば、閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持する工程と、前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出する工程と、不許可閲覧が行われた前記アクセスログとして検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録する工程と、前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付ける工程と、前記事後承認の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録する工程と、を有する不正アクセス検出方法が提供される。
【0025】
本発明では、閲覧を制限すべき情報である制限情報へのアクセスに対して、何らかのアクセス制限を設ける必要がない。このため、各ユーザは、何らの影響を及ぼされることなく制限情報を閲覧することができ、自己の業務を円滑に進めることが可能となる。
【0026】
しかし、上述の場合、制限情報への不正アクセスが自由に行われてしまう恐れがある。そこで、本発明では、制限情報を複数保持するサーバのアクセスログを利用して、前記複数のアクセスログの中から、不正アクセスである可能性のある不許可閲覧を行ったアクセスログを、事後的に検出する。この構成によれば、事後的に不正アクセスである可能性のある不許可閲覧を特定でき、事後的に不正アクセスを取り締まることが可能となる。
【0027】
なお、通常、アクセスログは膨大な量である場合が多く、多量のアクセスログを記録したログファイルから、不正アクセスである可能性のある不許可閲覧を行ったアクセスログを見つけ出すのは容易でない。
【0028】
そこで、本発明では、不正アクセスである可能性のある不許可閲覧を行ったアクセスログを検出すると、その旨を示す情報(ポリシ違反ログ)を新たに生成し、ログファイルに記録する。この構成によれば、ログファイルの中からポリシ違反ログを抽出することで、容易に、不正アクセスである可能性のある不許可閲覧の内容を知ることができる。すなわち、ログファイルを用いての不正アクセス行為の監査などを、迅速に行うことが可能となる。
【0029】
また、本発明では、権限あるユーザがポリシ違反ログとして記録されている不許可閲覧を事後的に不正アクセスでないと承認すると、ログファイルにその旨を示す情報が記録される。例えば、ログファイルの中の各ポリシ違反ログにその旨を示す情報が記録されてもよい。この構成によれば、ポリシ違反ログとして記録されている不許可閲覧の中の、権限あるユーザから事後的に承認を受けていない不許可閲覧のみを抽出することができる。しかも、この抽出は、ログファイルのみを用いて実現することができる。すなわち、不正アクセス行為の監査などにおいて取り扱うデータ量を少なくすることが可能となり、コンピュータの処理速度の向上、および、人的作業の処理効率の向上を実現することができる。
【0030】
また、本発明では、ハッシュ関数を用いることで、前記ログファイルに記録される事後承認を示す情報を改ざん等ができないような構成とすることもできる。このような構成によれば、ログファイルを用いての不正アクセス行為の検出を、厳密に行うことが可能となる。
【発明の効果】
【0031】
本発明によれば、閲覧を制限すべき情報への不正アクセス行為があったことを事後的に、迅速に認識することが可能となる。
【図面の簡単な説明】
【0032】
【図1】実施形態1の不正アクセス検出装置の構成の一例を表すブロック図である。
【図2】実施形態1の不正アクセス検出装置の構成の一例を表すブロック図である。
【図3】実施形態1の不正アクセス検出装置の構成の一例を表すブロック図である。
【図4】アクセスログ(閲覧ログ)の一例を模式的に示した図である。
【図5】ポリシ違反ログの一例を模式的に示した図である。
【図6】アクセスログ(承認ログ)の一例を模式的に示した図である。
【図7】制限情報サーバの処理の流れの一例を示したフローチャート図である。
【図8】実施形態1の不正アクセス検出装置の処理の流れの一例を示したフローチャート図である。
【図9】実施形態2の不正アクセス検出装置の構成の一例を表すブロック図である。
【図10】実施形態2のログファイルの一例を模式的に示した図である。
【図11】実施形態2の第一ハッシュ値の一例を模式的に示した図である。
【発明を実施するための形態】
【0033】
以下、本発明の実施の形態について、図面を用いて説明する。すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。
【0034】
なお、各実施形態の不正アクセス検出装置を構成する各部は、任意のコンピュータのCPU、メモリ、メモリにロードされたプログラム(あらかじめ装置を出荷する段階からメモリ内に格納されているプログラムのほか、CDなどの記憶媒体やインターネット上のサーバなどからダウンロードされたプログラムも含む)、そのプログラムを格納するハードディスクなどの記憶ユニット、ネットワーク接続用インタフェースを中心にハードウエアとソフトウエアの任意の組合せによって実現される。そして、その実現方法、装置にはいろいろな変形例があることは、当業者には理解されるところである。
【0035】
また、各実施形態の説明において利用する図1、2、3、9の機能ブロック図は、ハードウエア単位の構成ではなく、機能単位のブロックを示している。本実施形態の不正アクセス検出装置は一つの物理的に分離した装置により実現されてもよいし、または、二つ以上の物理的に分離した装置を有線または無線で接続し、これら複数の装置により実現されてもよい。
<実施形態1>
【0036】
図1に本実施形態の不正アクセス検出装置1の機能ブロック図を示す。図に示すように、本実施形態の不正アクセス検出装置1は、ログ保持部10と、閲覧許可情報保持部20と、不許可閲覧検出部30と、ポリシ違反ログ記録部40と、事後承認受付部50と、書込部60と、を有する。なお、不正閲覧抽出部70を有してもよい。または、アドレス情報保持部80および通知部90を有してもよい。または、不正閲覧抽出部70およびアドレス情報保持部80および通知部90を有してもよい。不正閲覧抽出部70は、第一抽出部71と第二抽出部72を有する。
【0037】
ここで、図1においては、不正アクセス検出装置1と、閲覧を制限すべき情報である制限情報を複数保持する制限情報サーバ2と、を物理的に分離した別の装置として構成し、互いに、有線または無線での通信ができるように構成した例を示している。しかし、本実施形態の不正アクセス検出装置1はこのような構成に限定されない。例えば、図2に示すように、不正アクセス検出装置1が制限情報サーバ2内に構成されてもよい。この構成は、例えば、本発明の不正アクセス検出プログラムを、制限情報サーバ2内で実行可能にインストールすることで実現してもよい。
【0038】
また、その他の例としては、図3に示すように、物理的に分離した二つの装置(第一不正アクセス検出装置1Aおよび第二不正アクセス検出装置1B)を有線または無線での通信ができるように構成し、これら二つの装置により不正アクセス検出装置を構成するようにしてもよい。なお、図1〜3の例はあくまで一例であり、その他の構成とすることも可能である。
【0039】
次に、本実施形態の不正アクセス検出装置1を構成する各部について説明する。
【0040】
ログ保持部10は、閲覧を制限すべき情報である制限情報を複数保持するサーバ2(以下、単に「制限情報サーバ2」という)のアクセスログを取得し、ログファイルとして保持するよう構成されている。「制限情報」は、閲覧を制限する必要のあるあらゆる情報が該当し、その種類は特段制限されない。例えば、医療の分野において活用される、患者のカルテ等を含む患者情報であってもよい。この制限情報は、電子データとして、制限情報サーバ2に保持される。
【0041】
制限情報サーバ2は、コンピュータネットワーク(図示せず)上におかれる。コンピュータネットワークとしては特段制限されず、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネット等が考えられる。この構成により、ユーザは、制限情報サーバ2に保持されている制限情報を閲覧することが可能となる。なお、制限情報サーバ2への厳格なアクセス制限は設けないが、一定のアクセス制限は設けるのが望ましい。この一定のアクセス制限により、制限情報サーバ2が保持する制限情報を閲覧する必要性を全く有さないユーザのアクセスを制限することが可能となる。このアクセス制限は、例えば、「ユーザID」および「パスワード」を入力させる手法で、実現してもよい。
【0042】
ここで、制限情報サーバ2は、アクセスログを生成するアクセスログ生成部100を有する。このアクセスログ生成部100は、ユーザが制限情報にアクセスしたアクセスログ(以下、「閲覧ログ」という)、を生成する。なお、アクセスログ生成部100は他の内容のアクセスログを生成してもよい。閲覧ログの内容としては特段制限されないが、「アクセスしたユーザを特定する情報」、「アクセスされた制限情報を特定する情報」を最低限含むよう構成される。さらに、「アクセスされた日時」、および/または、「アクセスされた制限情報の閲覧を許可されているユーザを特定する情報」を含んでもよい。さらに、他の内容を含んでもよい。
【0043】
図4に、閲覧ログの一例を示す。図中、「ログの種類を識別するID」は、ログの種類を識別するためのIDである。図に示されている「A1」の「A」は、閲覧ログ(制限情報にアクセスしたアクセスログ)である旨を示すIDである。「1」は、時系列順に、閲覧ログに付されている通し番号である。「アクセス日時」は、制限情報にアクセスした日時である。「アクセスしたユーザを特定する情報」および「アクセスされた制限情報の閲覧を許可されているユーザを特定する情報」は、例えば、制限情報サーバ2にアクセスするユーザごとに割り振られたユーザIDであってもよい。「アクセスされた制限情報を特定する情報」は、例えば、あらかじめ制限情報ごとに割り振られた制限情報IDであってもよい。
【0044】
アクセスログ生成部100が閲覧ログを生成するために「アクセスしたユーザを特定する情報」を取得する手段としては、例えば、制限情報サーバ2にアクセスするユーザに対して「ユーザID」の入力を義務付け、入力を受付けたユーザIDを取得することで実現してもよい。なお、なりすまし防止の観点からは、「ユーザID」のみならず、「パスワード」等もあわせて入力させるのが望ましい。次に、「アクセスされた制限情報を特定する情報」を取得する手段しては、アクセスされた制限情報にあらかじめ割り振られた制限情報IDを、その制限情報のファイル名としておき、アクセスされたファイル名を取得することで実現してもよい。「アクセスされた日時」を取得する手段としては、制限情報へのアクセスを受付けたのをトリガに、例えばサーバ内に内蔵された時計から、その時の日時情報を取得することで実現してもよい。「アクセスされた制限情報の閲覧を許可されているユーザを特定する情報」を取得する手段としては、以下で説明する閲覧許可情報保持部20が保持する閲覧許可情報(制限情報と、各制限情報の閲覧を許可された権限ユーザと、を対応付けた情報)から、所望の情報を取得することで実現してもよい。なお、上述の例はあくまで一例であり、その他の手段で各情報を取得するよう構成されてもよい。
【0045】
不正アクセス検出装置1は、制限情報サーバ2と有線または無線での通信ができるよう構成される。そして、ログ保持部10は、制限情報サーバ2のアクセスログ生成部100が生成したアクセスログを取得すると、取得したアクセスログを時系列順に蓄積し、ログファイルとして保持する。なお、ログ保持部10が制限情報サーバ2からアクセスログを取得するタイミングとしては特段制限されず、一定時間ごとに取得してもよいし(バッチ処理)、または、アクセスログ生成部100がアクセスログを生成するごとに取得してもよい(リアルタイム処理)。
【0046】
閲覧許可情報保持部20は、制限情報サーバ2が保持する複数の制限情報それぞれを特定する情報と、それぞれの制限情報の閲覧を許可されたユーザである権限ユーザを特定する情報と、を対応付けた閲覧許可情報を保持するよう構成されている。「複数の制限情報それぞれを特定する情報」は、例えば、あらかじめ制限情報ごとに割り振られた制限情報IDであってもよい。また、「権限ユーザを特定する情報」は、あらかじめ、制限情報サーバ2にアクセスするユーザごとに割り振られたユーザIDであってもよい。すなわち、閲覧許可情報は、複数の制限情報それぞれの制限情報IDと、それぞれの制限情報の閲覧を許可された権限ユーザのユーザIDと、を対応付けたテーブルであってもよい。なお、閲覧許可情報は、前記テーブル形式の情報でなく、各制限情報のメタデータに権限ユーザを特定する情報を書き込んだ形式の情報であってもよい。この閲覧許可情報保持部20は、制限情報を保持する制限情報サーバ2内に構成されてもよい。
【0047】
不許可閲覧検出部30は、閲覧許可情報保持部20が保持する閲覧許可情報に基づいて、ログ保持部10が保持する複数のアクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われたアクセスログを検出するよう構成されている。検出の具体的処理としては特段制限されないが、以下のような処理であってもよい。
【0048】
例えば、閲覧許可情報に基づいて、図4に示すような、「アクセスしたユーザを特定する情報」および「アクセスされた制限情報の閲覧を許可されているユーザを特定する情報」のいずれをも含む閲覧ログを生成するよう構成している場合には、不許可閲覧検出部30は、ログ保持部10が保持するアクセスログの中から閲覧ログを抽出すると、各閲覧ログの「アクセスしたユーザを特定する情報」および「アクセスされた制限情報の閲覧を許可されているユーザを特定する情報」を比較し、これらの情報が一致しない閲覧ログを、閲覧を許可されていないユーザによる不許可閲覧が行われたアクセスログとして検出してもよい。
【0049】
その他には、例えば、不許可閲覧検出部30は、ログ保持部10が保持するアクセスログの中から閲覧ログを抽出すると、閲覧ログごとに、ログの内容に含まれる「アクセスしたユーザを特定する情報(例:ユーザID)」と「アクセスされた制限情報を特定する情報(例:制限情報ID)」とを取得する(図4参照)。そして、取得した情報の組合せが、「権限ユーザを特定する情報(例:ユーザID)」と「その権限ユーザが閲覧を許可されている制限情報を特定する情報(例:制限情報ID)」を対応付けた閲覧許可情報内に存在するか否かを判断し、存在しないと判断された組合せを内容に含む閲覧ログを、閲覧を許可されていないユーザによる不許可閲覧が行われたアクセスログとして検出してもよい。
【0050】
不許可閲覧検出部30による不許可閲覧が行われたアクセスログを検出する処理は、一定時間ごとに行われてもよいし(バッチ処理)、または、ログ保持部10がアクセスログをリアルタイム処理で取得する場合には、ログ保持部10がアクセスログを取得するごとに行われてもよい(リアルタイム処理)。
【0051】
ポリシ違反ログ記録部40は、不許可閲覧検出部30で不許可閲覧が行われたアクセスログとして検出されたアクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、ログ保持部10が保持するログファイルに記録するよう構成されている。
【0052】
図5に、ポリシ違反ログの一例を示す。図中、「ログの種類を識別するID」は、ログの種類を識別するためのIDであり、図に示されている「P1」の「P」は、ポリシ違反ログである旨を示すIDである。このポリシ違反ログには、「不許可閲覧したユーザを特定する情報(ユーザID)」、「不許可閲覧された制限情報を特定する情報(例:制限情報ID)」、「不許可閲覧された日時」、「不許可閲覧された制限情報の閲覧を許可されているユーザを特定する情報(例:ユーザID)」、「ポリシ違反番号」が含まれている。「ポリシ違反番号」は、時系列順に、不許可閲覧行為に対して付されている通し番号である。なお、このログの内容はあくまで一例であり、不許可閲覧の内容を示す情報としてどのような内容を含めるかは任意の設計事項である。なお、図に示すように、ポリシ違反ログには、以下で説明する書込部60が、権限ユーザから事後承認を受付けた旨を示す情報を記録するための事後承認用領域が設けられていてもよい。本実施形態の事後承認用領域のビット数は特段制限されず、例えば1ビットであってもよい。かかる場合、事後承認を受付ける前は「0」、事後承認を受付けると「1」が記録されるよう構成されてもよい。
【0053】
事後承認受付部50は、ポリシ違反ログに示される不許可閲覧をされた制限情報の権限ユーザから、その不許可閲覧の事後承認を受付けるよう構成されている。「制限情報の権限ユーザ」とは、その制限情報の閲覧を許可された権限ユーザのことである。「事後承認」とは、その不許可閲覧は、不正な目的での閲覧(不正閲覧)でないことを、事後的に承認することである。権限ユーザは、不許可閲覧を行ったユーザ、不許可閲覧された制限情報、不許可閲覧された日時などを基に、その不許可閲覧を承認するか否か判断することができる。
【0054】
権限ユーザから事後承認を受付ける手段としては特段制限されず、例えば、不正アクセス検出装置1に入力ボタン、キーボード、タッチパネルディスプレイ、マウス、などの入力デバイスを設けておき、事後承認受付部50はこの入力デバイスを介して、事後承認する不許可閲覧を特定する情報(ポリシ違反ログを特定する情報、ポリシ違反番号等)、および、事後承認する旨の入力を受付けてもよい。かかる手段の場合、事後承認受付部50は受付けた事後承認の内容を記載したログを生成し、ログ保持部10が保持するログファイル内に記録してもよい。
【0055】
その他の手段としては、例えば、制限情報サーバ2が、当該制限情報サーバ2にアクセスしてきた権限ユーザから、上述の手段等を用いて事後承認の入力を受付けるよう構成し、アクセスログ生成部100は、この事後承認の内容を示したアクセスログ(以下、「承認ログ」という)を生成するよう構成する。そして、事後承認受付部50は、アクセスログ生成部100からアクセスログを取得し、ログファイルとして保持しているログ保持部10から、上述の承認ログを取得することで、権限ユーザからの事後承認を受付けてもよい。
【0056】
図6に、承認ログの一例を示す。図中、「ログの種類を識別するID」は、ログの種類を識別するためのIDであり、図に示されている「S1」の「S」は、承認ログ(事後承認の内容を示したアクセスログ)である旨を示すIDである。「アクセス日時」は、権限ユーザが事後承認の入力を行った日時である。アクセスログに含まれる「事後承認されたポリシ違反番号」は、制限情報サーバ2にアクセスしてきた権限ユーザが、事後承認する不許可閲覧を特定するために入力したポリシ違反番号に従い、記載される。なお、制限情報サーバ2にアクセスしてきた権限ユーザが、事後承認する不許可閲覧を特定する情報として、ポリシ違反ログIDを入力するよう構成した場合には、「事後承認されたポリシ違反番号」の代わりに、「事後承認されたポリシ違反ログID」が記載されてもよい。
【0057】
書込部60は、事後承認受付部50の受付に応じて、ログファイルに、不許可閲覧は事後承認を受けた旨を示す情報を記録するよう構成されている。具体的には、本実施形態の書込部60は、事後承認受付部50から、事後承認された不許可閲覧を特定する情報(例:ポリシ違反番号、ポリシ違反ログID)を取得すると、ログファイルに、いずれのポリシ違反ログで示される不許可閲覧が事後承認されたかを識別可能な情報を記録する。例えば、各ポリシ違反ログに事後承認用領域が設けられている場合には、事後承認された不許可閲覧を特定する情報を用いてログファイル中の事後承認された不許可閲覧を示すポリシ違反ログを検出し、そのポリシ違反ログの事後承認用領域に、事後承認された旨の記録を行う。
【0058】
不正閲覧抽出部70は、権限ユーザの事後承認を受けていない不許可閲覧を示すポリシ違反ログを抽出するよう構成されている。この構成を実現するため、不正閲覧抽出部70は、第一抽出部71と第二抽出部72を有する。
【0059】
第一抽出部71は、ログファイルの中からポリシ違反ログを抽出するよう構成されている。この処理は、例えば、ポリシ違反ログであることを示す「ログの種類を識別するID」をキーとしてログファイル内を検索することで実現してもよい。
【0060】
第二抽出部72は、第一抽出部71に抽出されたポリシ違反ログの中から、事後承認を受けた旨を示す情報を記録されていないポリシ違反ログを抽出するよう構成されている。この処理は、例えば、ポリシ違反ログに含まれる事後承認用領域の記載内容を判別することで実現してもよい。
【0061】
上述の構成により、本実施形態の不正アクセス検出装置は、閲覧を制限すべき情報への不正アクセス行為である可能性のある不許可閲覧行為があったことを事後的に、迅速に認識することが可能となる。
【0062】
また、権限ユーザにより事後承認された不許可閲覧行為は除いて、事後承認されていない不許可閲覧行為のみを事後的に、迅速に認識することも可能となる。かかる場合、不許可閲覧として扱うデータ数を真に必要なものに絞り込むことが可能となるので、コンピュータ上のデータ処理速度の向上が図られるほか、不正アクセスを監査する人間の作業効率も向上させることが可能となる。
【0063】
ここで、本実施形態の不正アクセス検出装置は、権限ユーザが、自己が閲覧を許可されている制限情報を不許可閲覧された事実を認識する手段を備えてもよい。この手段は、アドレス情報保持部80、および、通知部90により実現される。
【0064】
アドレス情報保持部80は、権限ユーザのアドレス情報を保持するよう構成されている。すなわち、アドレス情報保持部80は、権限ユーザを特定する情報(例:ユーザID)と、その権限ユーザのアドレス情報と、を対応付けたデータを保持する。アドレス情報としては、例えば、メールアドレス、電話番号、FAX番号などが考えられる。
【0065】
通知部90は、不許可閲覧検出部30により不許可閲覧が行われたアクセスログが検出されるとその旨を、その不許可閲覧された制限情報の閲覧を許可されている権限ユーザに通知するよう構成されている。この通知は、アドレス情報保持部80が保持するアドレス情報を用いて実現される。通知の手段としては、Eメール、FAX、電話などが考えられる。通知内容としては特段制限されず、単に、不許可閲覧されたことを通知するものであってもよいし、不許可閲覧の内容(不許可閲覧したユーザ、不許可閲覧された制限情報を識別する情報等)をも併せて通知するものであってもよい。なお、不許可閲覧の内容をも併せて通知する場合には、通知部90は、通知を行うための雛型データをあらかじめ保持しておき、この雛型データに、必要な情報(不許可閲覧の内容)を埋め込んで通知を行うための通知データを作成し、通知を行ってもよい。雛型データは、通知手段に応じて、テキストデータ、音声データ等、適宜選択できる。
【0066】
通知すべき権限ユーザを特定する手段としては、不許可閲覧検出部30により検出されたアクセスログ(図4参照)、または、そのアクセスログをもとに生成されたポリシ違反ログ(図5参照)を用いて実現してもよい。または、不許可閲覧検出部30により検出されたアクセスログ(図4参照)および閲覧許可情報を用いて実現してもよい。なお、権限ユーザによる事後承認は、制限情報サーバ2にアクセスして行われるよう構成する場合には、あわせて制限情報サーバ2のアドレス情報(URL等)も通知してもよい。
【0067】
上述のアドレス情報法保持部80および通知部90の構成によれば、自己が閲覧を許可されている制限情報を不許可閲覧された権限ユーザに、その事実を認識させることが可能となり、その結果、事後承認の処理を促すことができる。
【0068】
ここで、図3に示す構成について説明する。図3では、不正アクセス検出装置を物理的に分離した二つの装置(第一不正アクセス検出装置1Aおよび第二不正アクセス検出装置1B)で構成し、また、不正アクセス検出装置と制限情報サーバ2とを物理的に分離した別の装置として構成している。このような構成の適用例としては、例えば、以下のようなものが考えられる。制限情報サーバ2で生成したアクセスログを長期的に保存するためのログサーバとして第二不正アクセス検出装置1Bを利用する。そして、制限情報サーバ2とログサーバ(第二不正アクセス検出装置1B)との間に、アクセスログを編集する装置(第一不正アクセス検出装置1A)を設ける。なお、図3の第二不正アクセス検出装置1Bに記載されている記憶部110は、電子データを長期的に記憶するよう構成されている。
【0069】
次に、本実施形態の処理の流れの一例について、図7、8のフローチャート図を用いて説明する。ここでは、図1に示すように不正アクセス検出装置1および制限情報サーバ2を構成した場合を例に、バッチ処理する処理の流れを説明する。なお、図1以外の構成にした場合も、以下で説明する処理の流れに準じて、処理を実行することができる。
【0070】
図7は制限情報サーバの処理の流れの一例を示す。
【0071】
まず、ユーザからのアクセス待機状態の制限情報サーバは、制限情報へのアクセスを検知すると(S701のYes)、その旨を示すアクセスログ(閲覧ログ:図4参照)を生成し、蓄積する(S702)。また、ユーザからのアクセス待機状態の制限情報サーバは、自己が閲覧を許可されている制限情報を不許可閲覧された権限ユーザが、その不許可閲覧を事後承認するために制限情報サーバにアクセスし、事後承認を行ったことを検知すると(S703のYes)、その旨を示すアクセスログ(承認ログ:図6参照)を生成し、蓄積する(S704)。
【0072】
その後、蓄積したアクセスログを不正アクセス検出装置に送信する所定のタイミングになるまで、上述の処理を繰り返す(S705のNo)。そして、蓄積したアクセスログを不正アクセス検出装置に送信する所定のタイミングになると(S705のYes)、制限情報サーバは、蓄積したアクセスログを不正アクセス検出装置に送信する(S706)。この送信後、制限情報サーバに蓄積されている送信されたアクセスログは消去されてもよい。
【0073】
図8は、不正アクセス検出装置の処理の流れの一例を示す。
【0074】
不正アクセス検出装置は、制限情報サーバからアクセスログを受信すると(S801のYes)、受信したアクセスログをログファイルとして蓄積する(S802)。
【0075】
その後、蓄積されているログファイルの中の、ステップS801で新たに受信したアクセスログの中から、閲覧ログを抽出する(S803)。そして、ステップS803で抽出した閲覧ログの中に、不許可閲覧したことを示すアクセスログがないか検索する(S804)。
【0076】
ステップS804での検索の結果、不許可閲覧したことを示すアクセスログがある場合には(S805のYes)、そのアクセスログに記載されている内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、ログファイルに記録する。この処理は、ステップS804で検出されたすべての不許可閲覧したことを示すアクセスログに対して行われる(S806)。
【0077】
その後、蓄積されているログファイルの中の、ステップS801で新たに受信したアクセスログの中から、承認ログがないか検索する(S807)。
【0078】
ステップS807での検索の結果、承認ログがある場合には(S808のYes)、そのアクセスログに記載されている内容を利用して、事後承認された不許可閲覧を示すポリシ違反ログを特定し(S809)、特定したポリシ違反ログの事後承認用領域に、事後承認されたことを示す情報を記録する。この処理は、ステップS807で検出されたすべての事後承認したことを示すアクセスログに対して行われる(S810)。
<実施形態2>
【0079】
図9に本実施形態の不正アクセス検出装置1の機能ブロック図を示す。図に示すように、本実施形態の不正アクセス検出装置1は、ログ保持部10と、閲覧許可情報保持部20と、不許可閲覧検出部30と、ポリシ違反ログ記録部40と、事後承認受付部50と、書込部60と、を有する。なお、不正閲覧抽出部70を有してもよい。または、アドレス情報保持部80および通知部90を有してもよい。または、不正閲覧抽出部70およびアドレス情報保持部80および通知部90を有してもよい。不正閲覧抽出部70は、第一抽出部71と第二抽出部72と第三抽出部73と第四抽出部74と不正判断部75とを有する。
【0080】
なお、本実施形態の不正アクセス検出装置1の構成は図9に示すものに限定されず、実施形態1と同様、その他の構成とすることも可能である。ここでの他の構成の例示は省略する。
【0081】
本実施形態の不正アクセス検出装置1は、実施形態1の不正アクセス検出装置1を基本とし、以下の点で異なる。なお、本実施形態の制限情報サーバ2は、実施形態1の制限情報サーバ2と同様であるので、ここでの説明は省略する。
【0082】
本実施形態の事後承認受付部50は、制限情報サーバ2にアクセスしてきた権限ユーザからのみ、不許可閲覧の事後承認を受付けるよう構成される。具体的構成例については、実施形態1で説明したので、ここでの詳細な説明は省略する。
【0083】
本実施形態の書込部60は、ポリシ違反ログに示される不許可閲覧を事後承認したアクセスログ(承認ログ:図6参照)と、そのポリシ違反ログ(図5参照)と、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録するよう構成される。ハッシュ値とは、任意に定められたハッシュ関数から算出される値のことである。第一ハッシュ値は、任意に定められたハッシュ関数(h(x、y))に、承認ログおよびポリシ違反ログ、の内容を示すデータとしてそれぞれのログに記録されている値を代入して求められる値である。
【0084】
なお、本実施形態の不正アクセス検出装置1は、ログファイルの各アクセスログ(制限情報にアクセスしたログおよび承認ログ)および各ポリシ違反ログに第二ハッシュ値が記録されていてもよい。そして、本実施形態の書込部60は、承認ログに記録されている第二ハッシュ値と、事後承認された不許可閲覧を示すポリシ違反ログに記録されている第二ハッシュ値と、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの事後承認用領域に記録するよう構成されてもよい。第二ハッシュ値は、例えば、任意に定められたハッシュ関数(h(x、y))に、そのログ、および、ログファイルの中のそのログの一つ前のログ、の内容を示すデータとしてそれぞれのログに記録されている値を代入して求められる値であってもよい。第二ハッシュ値を算出するためのハッシュ関数と第一ハッシュ値を算出するためのハッシュ関数は、同一であってもよいし、異なっていてもよい。
【0085】
図10に、本実施形態のログファイルの一例を模式的に示す。この例の場合、各ログには、ログの内容を記載した領域(図4、5、6参照)の隣に、第二ハッシュ値を記載する領域が設けられている。そしてこの領域には、各ログおよびそのログの一つ前のログの内容(各ログの「ログの内容を記載した領域」に記録されている値)をハッシュ関数(h(x、y))に代入して求められた第二ハッシュ値が記録されている。また、図10の例では、ポリシ違反ログ(Pで始まるログ)に、事後承認用領域が設けられている。無許可閲覧を事後承認されていないポリシ違反ログ(図中、P18ではじまるログ)の場合、事後承認用領域には、事後承認されていないことを示す情報、例えば「0」が並んでいる(ビット数は任意の設計事項)。そして、無許可閲覧を事後承認されたポリシ違反ログ(図中、P1ではじまるログ)の場合、事後承認用領域には、そのポリシ違反ログ(図中、P1ではじまるログ)およびその無許可閲覧を事後承認した承認ログ(図中、S1ではじまるログ)の内容(各ログの「ログの内容を記載した領域」に記録されている値)をハッシュ関数(h(x、y))に代入して求められた第一ハッシュ値が記録されている。なお、この第一ハッシュ値は、図11に示すように、そのポリシ違反ログ(図中、P1ではじまるログ)およびその無許可閲覧を事後承認した承認ログ(図中、S1ではじまるログ)の第二ハッシュ値をハッシュ関数(h(x、y))に代入して求められた値であってもよい。
【0086】
本実施形態の不正閲覧抽出部70は、権限ユーザの事後承認を受けていない不許可閲覧を示すポリシ違反ログを抽出するよう構成されている。この構成を実現するため、本実施形態の不正閲覧抽出部70は、第一抽出部71と第二抽出部72と第三抽出部73と第四抽出部74と不正判断部75とを有する。
【0087】
第一抽出部71は、ログファイルの中からポリシ違反ログを抽出するよう構成されている。この処理は、例えば、ポリシ違反ログであることを示す「ログの種類を識別するID」をキーとしてログファイル内を検索することで実現してもよい。
【0088】
第二抽出部72は、第一抽出部71に抽出されたポリシ違反ログの中から、事後承認を受けた旨を示す情報を記録されていないポリシ違反ログ、すなわち事後承認用領域に第一ハッシュ値が記録されていないポリシ違反ログを抽出するよう構成されている。なお、この抽出を実現するため、事後承認されていないポリシ違反ログの事後承認用領域には、事後承認されていない旨を示す情報(例:「000000」)が記録されている。そして、第二抽出部72は、事後承認用領域に、事後承認されていない旨を示す情報(例:「000000」)が記録されているポリシ違反ログを抽出することで、事後承認用領域に第一ハッシュ値が記録されていないポリシ違反ログを抽出する。
【0089】
不正判断部75は、事後承認用領域に第一ハッシュ値が記録されているポリシ違反ログそれぞれの第一ハッシュ値を用いて、それぞれのポリシ違反ログの第一ハッシュ値の記録が不正になされたものか否かを判断するよう構成されている。
【0090】
すなわち、不正判断部75は、まず、事後承認用領域に、事後承認されていない旨を示す情報(例:「000000」)が記録されていないポリシ違反ログを抽出する。そして、次に、各ポリシ違反ログに示される不許可閲覧を事後承認した承認ログを抽出する。この承認ログの抽出は、例えば、承認ログ(図6参照)およびポリシ違反ログ(図5参照)に記録されているポリシ違反番号をキーとして、ログファイルを検索することで実現してもよい。なお、ポリシ違反番号をキーとした抽出例はあくまで一例であり、任意に設計可能なログの内容に応じ、他の情報をキーとした検索で実現してもよい。
【0091】
その後、不正判断部75は、そのポリシ違反ログ(図10中、P1ではじまるログ)およびその無許可閲覧を事後承認した承認ログ(図10中、S1ではじまるログ)の内容(各ログの「ログの内容を記載した領域」に記録されている値)をハッシュ関数(h(x、y))に代入して、第一ハッシュ値を算出する。そして、算出した第一ハッシュ値と、そのポリシ違反ログの事後承認用領域に記録されている第一ハッシュ値とを比較する。比較の結果、同一であれば、そのポリシ違反ログの事後承認用領域に記録されている第一ハッシュ値は正当な記録であると判断する。一方、同一でなければ、そのポリシ違反ログの事後承認用領域に記録されている第一ハッシュ値は不正な記録であると判断する。
【0092】
なお、事後承認用領域に、ポリシ違反ログ(図10中、P1ではじまるログ)およびその無許可閲覧を事後承認した承認ログ(図10中、S1ではじまるログ)の第二ハッシュ値をハッシュ関数(h(x、y))に代入して求められた値が記録されるよう構成した場合も、上述の処理に準じて、不正判断部75は、各ポリシ違反ログの第二ハッシュ値の記録が不正になされたものか否か判断する。
【0093】
第三抽出部73は、不正判断部75により事後承認用領域の記録は不正になされたものと判断されたポリシ違反ログを抽出するよう構成されている。
【0094】
第四抽出部74は、第二抽出部72と第三抽出部73により抽出されたポリシ違反ログを、権限ユーザの事後承認を受けていない不許可閲覧を示すポリシ違反ログとして抽出するよう構成されている。
【0095】
本実施形態の不正アクセス検出装置によれば、事後承認用領域に不正な手段により何らかの値が記録されたり改ざんされたりしても、その不正行為を検知することができる。その結果、ログファイルを用いての不正アクセス行為の検出を、厳密に行うことが可能となる。
【0096】
上述の実施形態1および2の説明により、本発明の不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法の開示がなされた。
【符号の説明】
【0097】
1 不正アクセス検出装置
1A 第一不正アクセス検出装置
1B 第二不正アクセス検出装置
2 制限情報サーバ
10 ログ保持部
20 閲覧許可情報保持部
30 不許可閲覧検出部
40 ポリシ違反ログ記録部
50 事後承認受付部
60 書込部
70 不正閲覧抽出部
71 第一抽出部
72 第二抽出部
73 第三抽出部
74 第四抽出部
75 不正判断部
80 アドレス情報保持部
90 通知部
100 アクセスログ生成部
110 記憶部
【技術分野】
【0001】
本発明は、不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法に関する。
【背景技術】
【0002】
近年、ネットワークの普及により、あらゆる情報の共有化が図られている。しかし、個人情報保護等の観点から、自由な閲覧を制限すべき情報もある。
【0003】
ネットワーク上におかれた情報の閲覧を制限する手段としては、その情報へのアクセスを特定のユーザだけに制限するアクセス制限が考えられる。しかし、緊急時の対応を考えると、アクセス制限を厳格に設けることができないケースがある。
【0004】
医療分野を例に考えてみる。個人情報保護の観点からは、患者のカルテ等を含む個人情報は担当の医師のみが閲覧できるように厳格にアクセス制限を設けるのが望ましい。しかし、ある患者が担当外の医師に診てもらわなければならない緊急事態が発生した際に、その担当外の医師がその患者のカルテ等を含む個人情報を閲覧することができなければ、適切な処置を施せないという不都合が生じる恐れがある。このため、医療分野においては、患者の個人情報を担当の医師のみならず、担当外の医師も閲覧できるようにしておく必要がある。
【0005】
上述のように、閲覧を制限すべき情報へのアクセス制限を厳格に設けることができないケース(例:医療分野)が存在するが、この場合においても、個人情報保護等の観点から、目的外の閲覧や使用等を厳格に取り締まる手段を設ける必要がある。
【0006】
ここで、特許文献1には、閲覧を制限すべき情報へのアクセス制限を厳格には設けず、簡易に不正アクセスを検出するシステムが記載されている。具体的には、あるユーザが患者情報を記録する患者情報データベースにアクセスすると、そのアクセスログを取得し、このアクセスログに記載されている内容を用いて、そのアクセスが目的外の閲覧等の可能性のある不正アクセスであるか否かを判断する。そして、そのアクセスが不正アクセスであると判断すると、その旨を示す警告をアクセスしてきたユーザに対して報知する技術が記載されている。不正アクセスであるか否かを判断する手段としては、患者情報へアクセスする回数の傾向を職種別(放射線科医師、薬剤師等)に分析し、この分析結果を基に、職種別に患者情報へアクセスする回数の閾値を定める。そして、アクセスログを用いて、患者情報にアクセスしてきたユーザの職種およびそのユーザの患者情報へのアクセス回数の累積数を把握すると、その累積数がそのユーザの職種に定められた閾値を超えていないか判断する。判断の結果、閾値を超えている場合には、そのアクセスは不正アクセスであると判断する技術が記載されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2009−48410号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
確かに、特許文献1に記載の技術によれば、不正アクセスである可能性のあるユーザからのアクセスを検出し、そのユーザに対して警告を報知することができる。しかし、特許文献1に記載の技術は、不正アクセスでないユーザからのアクセスをも、不正アクセスとして検出し、警告を報知する可能性がある。このような警告は、緊急時に正当な理由でアクセスするユーザにとってわずらわしく感じられるほか、緊急の業務を円滑に処理する妨げになる恐れがある。
【0009】
また、特許文献1に記載の技術は、あるユーザからのある患者情報へのアクセスを不正アクセスと判断し、そのユーザに警告を発した後に、そのユーザからその患者情報へのアクセスの続行を指示する入力を受付けると、その患者情報へのアクセスを続行するよう構成されている。すなわち、ユーザへの警告は有名無実化している。さらに、特許文献1に記載の技術には、不正アクセスと判断したアクセスを、他のユーザ(例:患者情報に不正アクセスされた患者の担当医師)が認識する技術が設けられていない。このような特許文献1に記載の技術の場合、不正アクセス行為を厳格に取り締まることはできない。
【0010】
ここで、本発明者は、閲覧を制限すべき情報を保持するサーバのアクセスログを用いて不正アクセスがあったか否かを事後的に判断することで、事後的に不正アクセス行為があったことを認識し、事後的にその行為を取り締まる手段を考えた。しかし、アクセスログが膨大な量である場合、多量のアクセスログを記録したログファイルから、不正アクセスの可能性のあるアクセスログを見つけ出すのは容易でない。
【0011】
本発明は、閲覧を制限すべき情報への不正アクセス行為があったことを事後的に、迅速に認識することができる不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法を提供することを課題とする。
【課題を解決するための手段】
【0012】
本発明によれば、閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持するログ保持部と、前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報を保持する閲覧許可情報保持部と、前記閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出する不許可閲覧検出部と、前記不許可閲覧検出部で検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録するポリシ違反ログ記録部と、前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付ける事後承認受付部と、前記事後承認受付部の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録する書込部と、を有する不正アクセス検出装置が提供される。
【0013】
本発明では、前記ポリシ違反ログには、前記書込部が事後承認を受付けた旨を示す情報を記録するための事後承認用領域が設けられてもよい。
【0014】
本発明では、前記事後承認受付部は、前記サーバにアクセスしてきた前記権限ユーザからのみ、不許可閲覧の事後承認を受付け、前記書込部は、前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログと、そのポリシ違反ログと、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録してもよい。
【0015】
本発明では、前記ログファイルの各アクセスログおよび各ポリシ違反ログには、第二ハッシュ値が記録されており、前記書込部は、前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログに記録されている前記第二ハッシュ値と、そのポリシ違反ログに記録されている前記第二ハッシュ値と、を用いて算出された前記第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録してもよい。
【0016】
本発明では、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出する不正閲覧抽出部を有し、前記不正閲覧抽出部は、前記ログファイルの中から前記ポリシ違反ログを抽出する第一抽出部と、前記第一抽出部に抽出された前記ポリシ違反ログの中から、前記事後承認を受けた旨を示す情報を記録されていない前記ポリシ違反ログを抽出する第二抽出部と、を有してもよい。
【0017】
本発明では、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出する不正閲覧抽出部を有し、前記不正閲覧抽出部は、前記ログファイルの中から前記ポリシ違反ログを抽出する第一抽出部と、前記第一抽出部に抽出された前記ポリシ違反ログの中から、事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログを抽出する第二抽出部と、事後承認用領域に前記第一ハッシュ値が記録されている前記ポリシ違反ログそれぞれの前記第一ハッシュ値を用いて、それぞれの前記ポリシ違反ログの前記第一ハッシュ値の記録が不正になされたものか否かを判断する不正判断部と、前記不正判断部により事後承認用領域の記録は不正になされたものと判断された前記ポリシ違反ログを抽出する第三抽出部と、前記第二抽出部と前記第三抽出部により抽出された前記ポリシ違反ログを、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログとして抽出する第四抽出部と、を有してもよい。
【0018】
本発明では、前記権限ユーザのアドレス情報を保持するアドレス情報保持部と、前記不許可閲覧検出部により不許可閲覧が行われた前記アクセスログが検出されるとその旨を、その不許可閲覧された制限情報の閲覧を許可されている前記権限ユーザに、前記アドレス情報を用いて通知する通知部と、を有してもよい。
【0019】
本発明によれば、閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持するステップと、前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出するステップと、不許可閲覧が行われた前記アクセスログとして検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録するステップと、前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付けるステップと、前記事後承認の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録するステップと、をコンピュータに実行させる不正アクセス検出プログラムが提供される。
【0020】
本発明では、前記ポリシ違反ログを生成し、記録するステップは、前記事後承認を受付けた旨を示す情報を記録するための事後承認用領域が設けられている前記ポリシ違反ログを生成し、前記ログファイルに記録するステップであり、前記事後承認を受付けるステップは、前記サーバにアクセスしてきた前記権限ユーザからのみ、不許可閲覧の事後承認を受付けるステップであり、前記事後承認を受けた旨を示す情報を記録するステップは、前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログと、そのポリシ違反ログと、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録するステップでもよい。
【0021】
本発明では、前記ログファイルの各アクセスログおよび各ポリシ違反ログには、第二ハッシュ値が記録されており、前記事後承認を受けた旨を示す情報を記録するステップは、前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログに記録されている前記第二ハッシュ値と、そのポリシ違反ログに記録されている前記第二ハッシュ値と、を用いて算出された前記第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録するステップでもよい。
【0022】
本発明では、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出するステップを有し、前記事後承認を受けていない前記ポリシ違反ログを抽出するステップは、前記ログファイルの中から前記ポリシ違反ログを抽出するステップと、前記抽出された前記ポリシ違反ログの中から、前記事後承認を受けた旨を示す情報が記録されていない前記ポリシ違反ログを抽出するステップと、を有してもよい。
【0023】
本発明では、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出するステップを有し、前記事後承認を受けていない前記ポリシ違反ログを抽出するステップは、前記ログファイルの中から前記ポリシ違反ログを抽出するステップと、前記抽出された前記ポリシ違反ログの中から、事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログを抽出するステップと、事後承認用領域に前記第一ハッシュ値が記録されている前記ポリシ違反ログそれぞれの前記第一ハッシュ値を用いて、それぞれの前記ポリシ違反ログの前記第一ハッシュ値の記録が不正になされたものか否かを判断するステップと、事後承認用領域の記録は不正になされたものと判断された前記ポリシ違反ログを抽出するステップと、事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログ、および、事後承認用領域に不正に前記第一ハッシュ値が記録されている前記ポリシ違反ログ、を前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログとして抽出するステップと、を有してもよい。
【0024】
本発明によれば、閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持する工程と、前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出する工程と、不許可閲覧が行われた前記アクセスログとして検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録する工程と、前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付ける工程と、前記事後承認の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録する工程と、を有する不正アクセス検出方法が提供される。
【0025】
本発明では、閲覧を制限すべき情報である制限情報へのアクセスに対して、何らかのアクセス制限を設ける必要がない。このため、各ユーザは、何らの影響を及ぼされることなく制限情報を閲覧することができ、自己の業務を円滑に進めることが可能となる。
【0026】
しかし、上述の場合、制限情報への不正アクセスが自由に行われてしまう恐れがある。そこで、本発明では、制限情報を複数保持するサーバのアクセスログを利用して、前記複数のアクセスログの中から、不正アクセスである可能性のある不許可閲覧を行ったアクセスログを、事後的に検出する。この構成によれば、事後的に不正アクセスである可能性のある不許可閲覧を特定でき、事後的に不正アクセスを取り締まることが可能となる。
【0027】
なお、通常、アクセスログは膨大な量である場合が多く、多量のアクセスログを記録したログファイルから、不正アクセスである可能性のある不許可閲覧を行ったアクセスログを見つけ出すのは容易でない。
【0028】
そこで、本発明では、不正アクセスである可能性のある不許可閲覧を行ったアクセスログを検出すると、その旨を示す情報(ポリシ違反ログ)を新たに生成し、ログファイルに記録する。この構成によれば、ログファイルの中からポリシ違反ログを抽出することで、容易に、不正アクセスである可能性のある不許可閲覧の内容を知ることができる。すなわち、ログファイルを用いての不正アクセス行為の監査などを、迅速に行うことが可能となる。
【0029】
また、本発明では、権限あるユーザがポリシ違反ログとして記録されている不許可閲覧を事後的に不正アクセスでないと承認すると、ログファイルにその旨を示す情報が記録される。例えば、ログファイルの中の各ポリシ違反ログにその旨を示す情報が記録されてもよい。この構成によれば、ポリシ違反ログとして記録されている不許可閲覧の中の、権限あるユーザから事後的に承認を受けていない不許可閲覧のみを抽出することができる。しかも、この抽出は、ログファイルのみを用いて実現することができる。すなわち、不正アクセス行為の監査などにおいて取り扱うデータ量を少なくすることが可能となり、コンピュータの処理速度の向上、および、人的作業の処理効率の向上を実現することができる。
【0030】
また、本発明では、ハッシュ関数を用いることで、前記ログファイルに記録される事後承認を示す情報を改ざん等ができないような構成とすることもできる。このような構成によれば、ログファイルを用いての不正アクセス行為の検出を、厳密に行うことが可能となる。
【発明の効果】
【0031】
本発明によれば、閲覧を制限すべき情報への不正アクセス行為があったことを事後的に、迅速に認識することが可能となる。
【図面の簡単な説明】
【0032】
【図1】実施形態1の不正アクセス検出装置の構成の一例を表すブロック図である。
【図2】実施形態1の不正アクセス検出装置の構成の一例を表すブロック図である。
【図3】実施形態1の不正アクセス検出装置の構成の一例を表すブロック図である。
【図4】アクセスログ(閲覧ログ)の一例を模式的に示した図である。
【図5】ポリシ違反ログの一例を模式的に示した図である。
【図6】アクセスログ(承認ログ)の一例を模式的に示した図である。
【図7】制限情報サーバの処理の流れの一例を示したフローチャート図である。
【図8】実施形態1の不正アクセス検出装置の処理の流れの一例を示したフローチャート図である。
【図9】実施形態2の不正アクセス検出装置の構成の一例を表すブロック図である。
【図10】実施形態2のログファイルの一例を模式的に示した図である。
【図11】実施形態2の第一ハッシュ値の一例を模式的に示した図である。
【発明を実施するための形態】
【0033】
以下、本発明の実施の形態について、図面を用いて説明する。すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。
【0034】
なお、各実施形態の不正アクセス検出装置を構成する各部は、任意のコンピュータのCPU、メモリ、メモリにロードされたプログラム(あらかじめ装置を出荷する段階からメモリ内に格納されているプログラムのほか、CDなどの記憶媒体やインターネット上のサーバなどからダウンロードされたプログラムも含む)、そのプログラムを格納するハードディスクなどの記憶ユニット、ネットワーク接続用インタフェースを中心にハードウエアとソフトウエアの任意の組合せによって実現される。そして、その実現方法、装置にはいろいろな変形例があることは、当業者には理解されるところである。
【0035】
また、各実施形態の説明において利用する図1、2、3、9の機能ブロック図は、ハードウエア単位の構成ではなく、機能単位のブロックを示している。本実施形態の不正アクセス検出装置は一つの物理的に分離した装置により実現されてもよいし、または、二つ以上の物理的に分離した装置を有線または無線で接続し、これら複数の装置により実現されてもよい。
<実施形態1>
【0036】
図1に本実施形態の不正アクセス検出装置1の機能ブロック図を示す。図に示すように、本実施形態の不正アクセス検出装置1は、ログ保持部10と、閲覧許可情報保持部20と、不許可閲覧検出部30と、ポリシ違反ログ記録部40と、事後承認受付部50と、書込部60と、を有する。なお、不正閲覧抽出部70を有してもよい。または、アドレス情報保持部80および通知部90を有してもよい。または、不正閲覧抽出部70およびアドレス情報保持部80および通知部90を有してもよい。不正閲覧抽出部70は、第一抽出部71と第二抽出部72を有する。
【0037】
ここで、図1においては、不正アクセス検出装置1と、閲覧を制限すべき情報である制限情報を複数保持する制限情報サーバ2と、を物理的に分離した別の装置として構成し、互いに、有線または無線での通信ができるように構成した例を示している。しかし、本実施形態の不正アクセス検出装置1はこのような構成に限定されない。例えば、図2に示すように、不正アクセス検出装置1が制限情報サーバ2内に構成されてもよい。この構成は、例えば、本発明の不正アクセス検出プログラムを、制限情報サーバ2内で実行可能にインストールすることで実現してもよい。
【0038】
また、その他の例としては、図3に示すように、物理的に分離した二つの装置(第一不正アクセス検出装置1Aおよび第二不正アクセス検出装置1B)を有線または無線での通信ができるように構成し、これら二つの装置により不正アクセス検出装置を構成するようにしてもよい。なお、図1〜3の例はあくまで一例であり、その他の構成とすることも可能である。
【0039】
次に、本実施形態の不正アクセス検出装置1を構成する各部について説明する。
【0040】
ログ保持部10は、閲覧を制限すべき情報である制限情報を複数保持するサーバ2(以下、単に「制限情報サーバ2」という)のアクセスログを取得し、ログファイルとして保持するよう構成されている。「制限情報」は、閲覧を制限する必要のあるあらゆる情報が該当し、その種類は特段制限されない。例えば、医療の分野において活用される、患者のカルテ等を含む患者情報であってもよい。この制限情報は、電子データとして、制限情報サーバ2に保持される。
【0041】
制限情報サーバ2は、コンピュータネットワーク(図示せず)上におかれる。コンピュータネットワークとしては特段制限されず、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネット等が考えられる。この構成により、ユーザは、制限情報サーバ2に保持されている制限情報を閲覧することが可能となる。なお、制限情報サーバ2への厳格なアクセス制限は設けないが、一定のアクセス制限は設けるのが望ましい。この一定のアクセス制限により、制限情報サーバ2が保持する制限情報を閲覧する必要性を全く有さないユーザのアクセスを制限することが可能となる。このアクセス制限は、例えば、「ユーザID」および「パスワード」を入力させる手法で、実現してもよい。
【0042】
ここで、制限情報サーバ2は、アクセスログを生成するアクセスログ生成部100を有する。このアクセスログ生成部100は、ユーザが制限情報にアクセスしたアクセスログ(以下、「閲覧ログ」という)、を生成する。なお、アクセスログ生成部100は他の内容のアクセスログを生成してもよい。閲覧ログの内容としては特段制限されないが、「アクセスしたユーザを特定する情報」、「アクセスされた制限情報を特定する情報」を最低限含むよう構成される。さらに、「アクセスされた日時」、および/または、「アクセスされた制限情報の閲覧を許可されているユーザを特定する情報」を含んでもよい。さらに、他の内容を含んでもよい。
【0043】
図4に、閲覧ログの一例を示す。図中、「ログの種類を識別するID」は、ログの種類を識別するためのIDである。図に示されている「A1」の「A」は、閲覧ログ(制限情報にアクセスしたアクセスログ)である旨を示すIDである。「1」は、時系列順に、閲覧ログに付されている通し番号である。「アクセス日時」は、制限情報にアクセスした日時である。「アクセスしたユーザを特定する情報」および「アクセスされた制限情報の閲覧を許可されているユーザを特定する情報」は、例えば、制限情報サーバ2にアクセスするユーザごとに割り振られたユーザIDであってもよい。「アクセスされた制限情報を特定する情報」は、例えば、あらかじめ制限情報ごとに割り振られた制限情報IDであってもよい。
【0044】
アクセスログ生成部100が閲覧ログを生成するために「アクセスしたユーザを特定する情報」を取得する手段としては、例えば、制限情報サーバ2にアクセスするユーザに対して「ユーザID」の入力を義務付け、入力を受付けたユーザIDを取得することで実現してもよい。なお、なりすまし防止の観点からは、「ユーザID」のみならず、「パスワード」等もあわせて入力させるのが望ましい。次に、「アクセスされた制限情報を特定する情報」を取得する手段しては、アクセスされた制限情報にあらかじめ割り振られた制限情報IDを、その制限情報のファイル名としておき、アクセスされたファイル名を取得することで実現してもよい。「アクセスされた日時」を取得する手段としては、制限情報へのアクセスを受付けたのをトリガに、例えばサーバ内に内蔵された時計から、その時の日時情報を取得することで実現してもよい。「アクセスされた制限情報の閲覧を許可されているユーザを特定する情報」を取得する手段としては、以下で説明する閲覧許可情報保持部20が保持する閲覧許可情報(制限情報と、各制限情報の閲覧を許可された権限ユーザと、を対応付けた情報)から、所望の情報を取得することで実現してもよい。なお、上述の例はあくまで一例であり、その他の手段で各情報を取得するよう構成されてもよい。
【0045】
不正アクセス検出装置1は、制限情報サーバ2と有線または無線での通信ができるよう構成される。そして、ログ保持部10は、制限情報サーバ2のアクセスログ生成部100が生成したアクセスログを取得すると、取得したアクセスログを時系列順に蓄積し、ログファイルとして保持する。なお、ログ保持部10が制限情報サーバ2からアクセスログを取得するタイミングとしては特段制限されず、一定時間ごとに取得してもよいし(バッチ処理)、または、アクセスログ生成部100がアクセスログを生成するごとに取得してもよい(リアルタイム処理)。
【0046】
閲覧許可情報保持部20は、制限情報サーバ2が保持する複数の制限情報それぞれを特定する情報と、それぞれの制限情報の閲覧を許可されたユーザである権限ユーザを特定する情報と、を対応付けた閲覧許可情報を保持するよう構成されている。「複数の制限情報それぞれを特定する情報」は、例えば、あらかじめ制限情報ごとに割り振られた制限情報IDであってもよい。また、「権限ユーザを特定する情報」は、あらかじめ、制限情報サーバ2にアクセスするユーザごとに割り振られたユーザIDであってもよい。すなわち、閲覧許可情報は、複数の制限情報それぞれの制限情報IDと、それぞれの制限情報の閲覧を許可された権限ユーザのユーザIDと、を対応付けたテーブルであってもよい。なお、閲覧許可情報は、前記テーブル形式の情報でなく、各制限情報のメタデータに権限ユーザを特定する情報を書き込んだ形式の情報であってもよい。この閲覧許可情報保持部20は、制限情報を保持する制限情報サーバ2内に構成されてもよい。
【0047】
不許可閲覧検出部30は、閲覧許可情報保持部20が保持する閲覧許可情報に基づいて、ログ保持部10が保持する複数のアクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われたアクセスログを検出するよう構成されている。検出の具体的処理としては特段制限されないが、以下のような処理であってもよい。
【0048】
例えば、閲覧許可情報に基づいて、図4に示すような、「アクセスしたユーザを特定する情報」および「アクセスされた制限情報の閲覧を許可されているユーザを特定する情報」のいずれをも含む閲覧ログを生成するよう構成している場合には、不許可閲覧検出部30は、ログ保持部10が保持するアクセスログの中から閲覧ログを抽出すると、各閲覧ログの「アクセスしたユーザを特定する情報」および「アクセスされた制限情報の閲覧を許可されているユーザを特定する情報」を比較し、これらの情報が一致しない閲覧ログを、閲覧を許可されていないユーザによる不許可閲覧が行われたアクセスログとして検出してもよい。
【0049】
その他には、例えば、不許可閲覧検出部30は、ログ保持部10が保持するアクセスログの中から閲覧ログを抽出すると、閲覧ログごとに、ログの内容に含まれる「アクセスしたユーザを特定する情報(例:ユーザID)」と「アクセスされた制限情報を特定する情報(例:制限情報ID)」とを取得する(図4参照)。そして、取得した情報の組合せが、「権限ユーザを特定する情報(例:ユーザID)」と「その権限ユーザが閲覧を許可されている制限情報を特定する情報(例:制限情報ID)」を対応付けた閲覧許可情報内に存在するか否かを判断し、存在しないと判断された組合せを内容に含む閲覧ログを、閲覧を許可されていないユーザによる不許可閲覧が行われたアクセスログとして検出してもよい。
【0050】
不許可閲覧検出部30による不許可閲覧が行われたアクセスログを検出する処理は、一定時間ごとに行われてもよいし(バッチ処理)、または、ログ保持部10がアクセスログをリアルタイム処理で取得する場合には、ログ保持部10がアクセスログを取得するごとに行われてもよい(リアルタイム処理)。
【0051】
ポリシ違反ログ記録部40は、不許可閲覧検出部30で不許可閲覧が行われたアクセスログとして検出されたアクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、ログ保持部10が保持するログファイルに記録するよう構成されている。
【0052】
図5に、ポリシ違反ログの一例を示す。図中、「ログの種類を識別するID」は、ログの種類を識別するためのIDであり、図に示されている「P1」の「P」は、ポリシ違反ログである旨を示すIDである。このポリシ違反ログには、「不許可閲覧したユーザを特定する情報(ユーザID)」、「不許可閲覧された制限情報を特定する情報(例:制限情報ID)」、「不許可閲覧された日時」、「不許可閲覧された制限情報の閲覧を許可されているユーザを特定する情報(例:ユーザID)」、「ポリシ違反番号」が含まれている。「ポリシ違反番号」は、時系列順に、不許可閲覧行為に対して付されている通し番号である。なお、このログの内容はあくまで一例であり、不許可閲覧の内容を示す情報としてどのような内容を含めるかは任意の設計事項である。なお、図に示すように、ポリシ違反ログには、以下で説明する書込部60が、権限ユーザから事後承認を受付けた旨を示す情報を記録するための事後承認用領域が設けられていてもよい。本実施形態の事後承認用領域のビット数は特段制限されず、例えば1ビットであってもよい。かかる場合、事後承認を受付ける前は「0」、事後承認を受付けると「1」が記録されるよう構成されてもよい。
【0053】
事後承認受付部50は、ポリシ違反ログに示される不許可閲覧をされた制限情報の権限ユーザから、その不許可閲覧の事後承認を受付けるよう構成されている。「制限情報の権限ユーザ」とは、その制限情報の閲覧を許可された権限ユーザのことである。「事後承認」とは、その不許可閲覧は、不正な目的での閲覧(不正閲覧)でないことを、事後的に承認することである。権限ユーザは、不許可閲覧を行ったユーザ、不許可閲覧された制限情報、不許可閲覧された日時などを基に、その不許可閲覧を承認するか否か判断することができる。
【0054】
権限ユーザから事後承認を受付ける手段としては特段制限されず、例えば、不正アクセス検出装置1に入力ボタン、キーボード、タッチパネルディスプレイ、マウス、などの入力デバイスを設けておき、事後承認受付部50はこの入力デバイスを介して、事後承認する不許可閲覧を特定する情報(ポリシ違反ログを特定する情報、ポリシ違反番号等)、および、事後承認する旨の入力を受付けてもよい。かかる手段の場合、事後承認受付部50は受付けた事後承認の内容を記載したログを生成し、ログ保持部10が保持するログファイル内に記録してもよい。
【0055】
その他の手段としては、例えば、制限情報サーバ2が、当該制限情報サーバ2にアクセスしてきた権限ユーザから、上述の手段等を用いて事後承認の入力を受付けるよう構成し、アクセスログ生成部100は、この事後承認の内容を示したアクセスログ(以下、「承認ログ」という)を生成するよう構成する。そして、事後承認受付部50は、アクセスログ生成部100からアクセスログを取得し、ログファイルとして保持しているログ保持部10から、上述の承認ログを取得することで、権限ユーザからの事後承認を受付けてもよい。
【0056】
図6に、承認ログの一例を示す。図中、「ログの種類を識別するID」は、ログの種類を識別するためのIDであり、図に示されている「S1」の「S」は、承認ログ(事後承認の内容を示したアクセスログ)である旨を示すIDである。「アクセス日時」は、権限ユーザが事後承認の入力を行った日時である。アクセスログに含まれる「事後承認されたポリシ違反番号」は、制限情報サーバ2にアクセスしてきた権限ユーザが、事後承認する不許可閲覧を特定するために入力したポリシ違反番号に従い、記載される。なお、制限情報サーバ2にアクセスしてきた権限ユーザが、事後承認する不許可閲覧を特定する情報として、ポリシ違反ログIDを入力するよう構成した場合には、「事後承認されたポリシ違反番号」の代わりに、「事後承認されたポリシ違反ログID」が記載されてもよい。
【0057】
書込部60は、事後承認受付部50の受付に応じて、ログファイルに、不許可閲覧は事後承認を受けた旨を示す情報を記録するよう構成されている。具体的には、本実施形態の書込部60は、事後承認受付部50から、事後承認された不許可閲覧を特定する情報(例:ポリシ違反番号、ポリシ違反ログID)を取得すると、ログファイルに、いずれのポリシ違反ログで示される不許可閲覧が事後承認されたかを識別可能な情報を記録する。例えば、各ポリシ違反ログに事後承認用領域が設けられている場合には、事後承認された不許可閲覧を特定する情報を用いてログファイル中の事後承認された不許可閲覧を示すポリシ違反ログを検出し、そのポリシ違反ログの事後承認用領域に、事後承認された旨の記録を行う。
【0058】
不正閲覧抽出部70は、権限ユーザの事後承認を受けていない不許可閲覧を示すポリシ違反ログを抽出するよう構成されている。この構成を実現するため、不正閲覧抽出部70は、第一抽出部71と第二抽出部72を有する。
【0059】
第一抽出部71は、ログファイルの中からポリシ違反ログを抽出するよう構成されている。この処理は、例えば、ポリシ違反ログであることを示す「ログの種類を識別するID」をキーとしてログファイル内を検索することで実現してもよい。
【0060】
第二抽出部72は、第一抽出部71に抽出されたポリシ違反ログの中から、事後承認を受けた旨を示す情報を記録されていないポリシ違反ログを抽出するよう構成されている。この処理は、例えば、ポリシ違反ログに含まれる事後承認用領域の記載内容を判別することで実現してもよい。
【0061】
上述の構成により、本実施形態の不正アクセス検出装置は、閲覧を制限すべき情報への不正アクセス行為である可能性のある不許可閲覧行為があったことを事後的に、迅速に認識することが可能となる。
【0062】
また、権限ユーザにより事後承認された不許可閲覧行為は除いて、事後承認されていない不許可閲覧行為のみを事後的に、迅速に認識することも可能となる。かかる場合、不許可閲覧として扱うデータ数を真に必要なものに絞り込むことが可能となるので、コンピュータ上のデータ処理速度の向上が図られるほか、不正アクセスを監査する人間の作業効率も向上させることが可能となる。
【0063】
ここで、本実施形態の不正アクセス検出装置は、権限ユーザが、自己が閲覧を許可されている制限情報を不許可閲覧された事実を認識する手段を備えてもよい。この手段は、アドレス情報保持部80、および、通知部90により実現される。
【0064】
アドレス情報保持部80は、権限ユーザのアドレス情報を保持するよう構成されている。すなわち、アドレス情報保持部80は、権限ユーザを特定する情報(例:ユーザID)と、その権限ユーザのアドレス情報と、を対応付けたデータを保持する。アドレス情報としては、例えば、メールアドレス、電話番号、FAX番号などが考えられる。
【0065】
通知部90は、不許可閲覧検出部30により不許可閲覧が行われたアクセスログが検出されるとその旨を、その不許可閲覧された制限情報の閲覧を許可されている権限ユーザに通知するよう構成されている。この通知は、アドレス情報保持部80が保持するアドレス情報を用いて実現される。通知の手段としては、Eメール、FAX、電話などが考えられる。通知内容としては特段制限されず、単に、不許可閲覧されたことを通知するものであってもよいし、不許可閲覧の内容(不許可閲覧したユーザ、不許可閲覧された制限情報を識別する情報等)をも併せて通知するものであってもよい。なお、不許可閲覧の内容をも併せて通知する場合には、通知部90は、通知を行うための雛型データをあらかじめ保持しておき、この雛型データに、必要な情報(不許可閲覧の内容)を埋め込んで通知を行うための通知データを作成し、通知を行ってもよい。雛型データは、通知手段に応じて、テキストデータ、音声データ等、適宜選択できる。
【0066】
通知すべき権限ユーザを特定する手段としては、不許可閲覧検出部30により検出されたアクセスログ(図4参照)、または、そのアクセスログをもとに生成されたポリシ違反ログ(図5参照)を用いて実現してもよい。または、不許可閲覧検出部30により検出されたアクセスログ(図4参照)および閲覧許可情報を用いて実現してもよい。なお、権限ユーザによる事後承認は、制限情報サーバ2にアクセスして行われるよう構成する場合には、あわせて制限情報サーバ2のアドレス情報(URL等)も通知してもよい。
【0067】
上述のアドレス情報法保持部80および通知部90の構成によれば、自己が閲覧を許可されている制限情報を不許可閲覧された権限ユーザに、その事実を認識させることが可能となり、その結果、事後承認の処理を促すことができる。
【0068】
ここで、図3に示す構成について説明する。図3では、不正アクセス検出装置を物理的に分離した二つの装置(第一不正アクセス検出装置1Aおよび第二不正アクセス検出装置1B)で構成し、また、不正アクセス検出装置と制限情報サーバ2とを物理的に分離した別の装置として構成している。このような構成の適用例としては、例えば、以下のようなものが考えられる。制限情報サーバ2で生成したアクセスログを長期的に保存するためのログサーバとして第二不正アクセス検出装置1Bを利用する。そして、制限情報サーバ2とログサーバ(第二不正アクセス検出装置1B)との間に、アクセスログを編集する装置(第一不正アクセス検出装置1A)を設ける。なお、図3の第二不正アクセス検出装置1Bに記載されている記憶部110は、電子データを長期的に記憶するよう構成されている。
【0069】
次に、本実施形態の処理の流れの一例について、図7、8のフローチャート図を用いて説明する。ここでは、図1に示すように不正アクセス検出装置1および制限情報サーバ2を構成した場合を例に、バッチ処理する処理の流れを説明する。なお、図1以外の構成にした場合も、以下で説明する処理の流れに準じて、処理を実行することができる。
【0070】
図7は制限情報サーバの処理の流れの一例を示す。
【0071】
まず、ユーザからのアクセス待機状態の制限情報サーバは、制限情報へのアクセスを検知すると(S701のYes)、その旨を示すアクセスログ(閲覧ログ:図4参照)を生成し、蓄積する(S702)。また、ユーザからのアクセス待機状態の制限情報サーバは、自己が閲覧を許可されている制限情報を不許可閲覧された権限ユーザが、その不許可閲覧を事後承認するために制限情報サーバにアクセスし、事後承認を行ったことを検知すると(S703のYes)、その旨を示すアクセスログ(承認ログ:図6参照)を生成し、蓄積する(S704)。
【0072】
その後、蓄積したアクセスログを不正アクセス検出装置に送信する所定のタイミングになるまで、上述の処理を繰り返す(S705のNo)。そして、蓄積したアクセスログを不正アクセス検出装置に送信する所定のタイミングになると(S705のYes)、制限情報サーバは、蓄積したアクセスログを不正アクセス検出装置に送信する(S706)。この送信後、制限情報サーバに蓄積されている送信されたアクセスログは消去されてもよい。
【0073】
図8は、不正アクセス検出装置の処理の流れの一例を示す。
【0074】
不正アクセス検出装置は、制限情報サーバからアクセスログを受信すると(S801のYes)、受信したアクセスログをログファイルとして蓄積する(S802)。
【0075】
その後、蓄積されているログファイルの中の、ステップS801で新たに受信したアクセスログの中から、閲覧ログを抽出する(S803)。そして、ステップS803で抽出した閲覧ログの中に、不許可閲覧したことを示すアクセスログがないか検索する(S804)。
【0076】
ステップS804での検索の結果、不許可閲覧したことを示すアクセスログがある場合には(S805のYes)、そのアクセスログに記載されている内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、ログファイルに記録する。この処理は、ステップS804で検出されたすべての不許可閲覧したことを示すアクセスログに対して行われる(S806)。
【0077】
その後、蓄積されているログファイルの中の、ステップS801で新たに受信したアクセスログの中から、承認ログがないか検索する(S807)。
【0078】
ステップS807での検索の結果、承認ログがある場合には(S808のYes)、そのアクセスログに記載されている内容を利用して、事後承認された不許可閲覧を示すポリシ違反ログを特定し(S809)、特定したポリシ違反ログの事後承認用領域に、事後承認されたことを示す情報を記録する。この処理は、ステップS807で検出されたすべての事後承認したことを示すアクセスログに対して行われる(S810)。
<実施形態2>
【0079】
図9に本実施形態の不正アクセス検出装置1の機能ブロック図を示す。図に示すように、本実施形態の不正アクセス検出装置1は、ログ保持部10と、閲覧許可情報保持部20と、不許可閲覧検出部30と、ポリシ違反ログ記録部40と、事後承認受付部50と、書込部60と、を有する。なお、不正閲覧抽出部70を有してもよい。または、アドレス情報保持部80および通知部90を有してもよい。または、不正閲覧抽出部70およびアドレス情報保持部80および通知部90を有してもよい。不正閲覧抽出部70は、第一抽出部71と第二抽出部72と第三抽出部73と第四抽出部74と不正判断部75とを有する。
【0080】
なお、本実施形態の不正アクセス検出装置1の構成は図9に示すものに限定されず、実施形態1と同様、その他の構成とすることも可能である。ここでの他の構成の例示は省略する。
【0081】
本実施形態の不正アクセス検出装置1は、実施形態1の不正アクセス検出装置1を基本とし、以下の点で異なる。なお、本実施形態の制限情報サーバ2は、実施形態1の制限情報サーバ2と同様であるので、ここでの説明は省略する。
【0082】
本実施形態の事後承認受付部50は、制限情報サーバ2にアクセスしてきた権限ユーザからのみ、不許可閲覧の事後承認を受付けるよう構成される。具体的構成例については、実施形態1で説明したので、ここでの詳細な説明は省略する。
【0083】
本実施形態の書込部60は、ポリシ違反ログに示される不許可閲覧を事後承認したアクセスログ(承認ログ:図6参照)と、そのポリシ違反ログ(図5参照)と、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録するよう構成される。ハッシュ値とは、任意に定められたハッシュ関数から算出される値のことである。第一ハッシュ値は、任意に定められたハッシュ関数(h(x、y))に、承認ログおよびポリシ違反ログ、の内容を示すデータとしてそれぞれのログに記録されている値を代入して求められる値である。
【0084】
なお、本実施形態の不正アクセス検出装置1は、ログファイルの各アクセスログ(制限情報にアクセスしたログおよび承認ログ)および各ポリシ違反ログに第二ハッシュ値が記録されていてもよい。そして、本実施形態の書込部60は、承認ログに記録されている第二ハッシュ値と、事後承認された不許可閲覧を示すポリシ違反ログに記録されている第二ハッシュ値と、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの事後承認用領域に記録するよう構成されてもよい。第二ハッシュ値は、例えば、任意に定められたハッシュ関数(h(x、y))に、そのログ、および、ログファイルの中のそのログの一つ前のログ、の内容を示すデータとしてそれぞれのログに記録されている値を代入して求められる値であってもよい。第二ハッシュ値を算出するためのハッシュ関数と第一ハッシュ値を算出するためのハッシュ関数は、同一であってもよいし、異なっていてもよい。
【0085】
図10に、本実施形態のログファイルの一例を模式的に示す。この例の場合、各ログには、ログの内容を記載した領域(図4、5、6参照)の隣に、第二ハッシュ値を記載する領域が設けられている。そしてこの領域には、各ログおよびそのログの一つ前のログの内容(各ログの「ログの内容を記載した領域」に記録されている値)をハッシュ関数(h(x、y))に代入して求められた第二ハッシュ値が記録されている。また、図10の例では、ポリシ違反ログ(Pで始まるログ)に、事後承認用領域が設けられている。無許可閲覧を事後承認されていないポリシ違反ログ(図中、P18ではじまるログ)の場合、事後承認用領域には、事後承認されていないことを示す情報、例えば「0」が並んでいる(ビット数は任意の設計事項)。そして、無許可閲覧を事後承認されたポリシ違反ログ(図中、P1ではじまるログ)の場合、事後承認用領域には、そのポリシ違反ログ(図中、P1ではじまるログ)およびその無許可閲覧を事後承認した承認ログ(図中、S1ではじまるログ)の内容(各ログの「ログの内容を記載した領域」に記録されている値)をハッシュ関数(h(x、y))に代入して求められた第一ハッシュ値が記録されている。なお、この第一ハッシュ値は、図11に示すように、そのポリシ違反ログ(図中、P1ではじまるログ)およびその無許可閲覧を事後承認した承認ログ(図中、S1ではじまるログ)の第二ハッシュ値をハッシュ関数(h(x、y))に代入して求められた値であってもよい。
【0086】
本実施形態の不正閲覧抽出部70は、権限ユーザの事後承認を受けていない不許可閲覧を示すポリシ違反ログを抽出するよう構成されている。この構成を実現するため、本実施形態の不正閲覧抽出部70は、第一抽出部71と第二抽出部72と第三抽出部73と第四抽出部74と不正判断部75とを有する。
【0087】
第一抽出部71は、ログファイルの中からポリシ違反ログを抽出するよう構成されている。この処理は、例えば、ポリシ違反ログであることを示す「ログの種類を識別するID」をキーとしてログファイル内を検索することで実現してもよい。
【0088】
第二抽出部72は、第一抽出部71に抽出されたポリシ違反ログの中から、事後承認を受けた旨を示す情報を記録されていないポリシ違反ログ、すなわち事後承認用領域に第一ハッシュ値が記録されていないポリシ違反ログを抽出するよう構成されている。なお、この抽出を実現するため、事後承認されていないポリシ違反ログの事後承認用領域には、事後承認されていない旨を示す情報(例:「000000」)が記録されている。そして、第二抽出部72は、事後承認用領域に、事後承認されていない旨を示す情報(例:「000000」)が記録されているポリシ違反ログを抽出することで、事後承認用領域に第一ハッシュ値が記録されていないポリシ違反ログを抽出する。
【0089】
不正判断部75は、事後承認用領域に第一ハッシュ値が記録されているポリシ違反ログそれぞれの第一ハッシュ値を用いて、それぞれのポリシ違反ログの第一ハッシュ値の記録が不正になされたものか否かを判断するよう構成されている。
【0090】
すなわち、不正判断部75は、まず、事後承認用領域に、事後承認されていない旨を示す情報(例:「000000」)が記録されていないポリシ違反ログを抽出する。そして、次に、各ポリシ違反ログに示される不許可閲覧を事後承認した承認ログを抽出する。この承認ログの抽出は、例えば、承認ログ(図6参照)およびポリシ違反ログ(図5参照)に記録されているポリシ違反番号をキーとして、ログファイルを検索することで実現してもよい。なお、ポリシ違反番号をキーとした抽出例はあくまで一例であり、任意に設計可能なログの内容に応じ、他の情報をキーとした検索で実現してもよい。
【0091】
その後、不正判断部75は、そのポリシ違反ログ(図10中、P1ではじまるログ)およびその無許可閲覧を事後承認した承認ログ(図10中、S1ではじまるログ)の内容(各ログの「ログの内容を記載した領域」に記録されている値)をハッシュ関数(h(x、y))に代入して、第一ハッシュ値を算出する。そして、算出した第一ハッシュ値と、そのポリシ違反ログの事後承認用領域に記録されている第一ハッシュ値とを比較する。比較の結果、同一であれば、そのポリシ違反ログの事後承認用領域に記録されている第一ハッシュ値は正当な記録であると判断する。一方、同一でなければ、そのポリシ違反ログの事後承認用領域に記録されている第一ハッシュ値は不正な記録であると判断する。
【0092】
なお、事後承認用領域に、ポリシ違反ログ(図10中、P1ではじまるログ)およびその無許可閲覧を事後承認した承認ログ(図10中、S1ではじまるログ)の第二ハッシュ値をハッシュ関数(h(x、y))に代入して求められた値が記録されるよう構成した場合も、上述の処理に準じて、不正判断部75は、各ポリシ違反ログの第二ハッシュ値の記録が不正になされたものか否か判断する。
【0093】
第三抽出部73は、不正判断部75により事後承認用領域の記録は不正になされたものと判断されたポリシ違反ログを抽出するよう構成されている。
【0094】
第四抽出部74は、第二抽出部72と第三抽出部73により抽出されたポリシ違反ログを、権限ユーザの事後承認を受けていない不許可閲覧を示すポリシ違反ログとして抽出するよう構成されている。
【0095】
本実施形態の不正アクセス検出装置によれば、事後承認用領域に不正な手段により何らかの値が記録されたり改ざんされたりしても、その不正行為を検知することができる。その結果、ログファイルを用いての不正アクセス行為の検出を、厳密に行うことが可能となる。
【0096】
上述の実施形態1および2の説明により、本発明の不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法の開示がなされた。
【符号の説明】
【0097】
1 不正アクセス検出装置
1A 第一不正アクセス検出装置
1B 第二不正アクセス検出装置
2 制限情報サーバ
10 ログ保持部
20 閲覧許可情報保持部
30 不許可閲覧検出部
40 ポリシ違反ログ記録部
50 事後承認受付部
60 書込部
70 不正閲覧抽出部
71 第一抽出部
72 第二抽出部
73 第三抽出部
74 第四抽出部
75 不正判断部
80 アドレス情報保持部
90 通知部
100 アクセスログ生成部
110 記憶部
【特許請求の範囲】
【請求項1】
閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持するログ保持部と、
前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報を保持する閲覧許可情報保持部と、
前記閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出する不許可閲覧検出部と、
前記不許可閲覧検出部で検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録するポリシ違反ログ記録部と、
前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付ける事後承認受付部と、
前記事後承認受付部の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録する書込部と、
を有する不正アクセス検出装置。
【請求項2】
請求項1に記載の不正アクセス検出装置において、
前記ポリシ違反ログには、前記書込部が事後承認を受付けた旨を示す情報を記録するための事後承認用領域が設けられている不正アクセス検出装置。
【請求項3】
請求項2に記載の不正アクセス検出装置において、
前記事後承認受付部は、
前記サーバにアクセスしてきた前記権限ユーザからのみ、不許可閲覧の事後承認を受付け、
前記書込部は、
前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログと、そのポリシ違反ログと、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録する不正アクセス検出装置。
【請求項4】
請求項3に記載の不正アクセス検出装置において、
前記ログファイルの各アクセスログおよび各ポリシ違反ログには、第二ハッシュ値が記録されており、
前記書込部は、
前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログに記録されている前記第二ハッシュ値と、そのポリシ違反ログに記録されている前記第二ハッシュ値と、を用いて算出された前記第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録する不正アクセス検出装置。
【請求項5】
請求項1から4のいずれか一に記載の不正アクセス検出装置において、さらに、
前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出する不正閲覧抽出部を有し、
前記不正閲覧抽出部は、
前記ログファイルの中から前記ポリシ違反ログを抽出する第一抽出部と、
前記第一抽出部に抽出された前記ポリシ違反ログの中から、前記事後承認を受けた旨を示す情報を記録されていない前記ポリシ違反ログを抽出する第二抽出部と、
を有する不正アクセス検出装置。
【請求項6】
請求項3または4に記載の不正アクセス検出装置において、さらに、
前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出する不正閲覧抽出部を有し、
前記不正閲覧抽出部は、
前記ログファイルの中から前記ポリシ違反ログを抽出する第一抽出部と、
前記第一抽出部に抽出された前記ポリシ違反ログの中から、事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログを抽出する第二抽出部と、
事後承認用領域に前記第一ハッシュ値が記録されている前記ポリシ違反ログそれぞれの前記第一ハッシュ値を用いて、それぞれの前記ポリシ違反ログの前記第一ハッシュ値の記録が不正になされたものか否かを判断する不正判断部と、
前記不正判断部により事後承認用領域の記録は不正になされたものと判断された前記ポリシ違反ログを抽出する第三抽出部と、
前記第二抽出部と前記第三抽出部により抽出された前記ポリシ違反ログを、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログとして抽出する第四抽出部と、
を有する不正アクセス検出装置。
【請求項7】
請求項1から6のいずれか一に記載の不正アクセス検出装置において、さらに、
前記権限ユーザのアドレス情報を保持するアドレス情報保持部と、
前記不許可閲覧検出部により不許可閲覧が行われた前記アクセスログが検出されるとその旨を、その不許可閲覧された制限情報の閲覧を許可されている前記権限ユーザに、前記アドレス情報を用いて通知する通知部と、
を有する不正アクセス検出装置。
【請求項8】
閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持するステップと、
前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出するステップと、
不許可閲覧が行われた前記アクセスログとして検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録するステップと、
前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付けるステップと、
前記事後承認の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録するステップと、
をコンピュータに実行させる不正アクセス検出プログラム。
【請求項9】
請求項8に記載の不正アクセス検出プログラムにおいて、
前記ポリシ違反ログを生成し、記録するステップは、
前記事後承認を受付けた旨を示す情報を記録するための事後承認用領域が設けられている前記ポリシ違反ログを生成し、前記ログファイルに記録するステップであり、
前記事後承認を受付けるステップは、
前記サーバにアクセスしてきた前記権限ユーザからのみ、不許可閲覧の事後承認を受付けるステップであり、
前記事後承認を受けた旨を示す情報を記録するステップは、
前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログと、そのポリシ違反ログと、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録するステップである不正アクセス検出プログラム。
【請求項10】
請求項9に記載の不正アクセス検出プログラムにおいて、
前記ログファイルの各アクセスログおよび各ポリシ違反ログには、第二ハッシュ値が記録されており、
前記事後承認を受けた旨を示す情報を記録するステップは、
前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログに記録されている前記第二ハッシュ値と、そのポリシ違反ログに記録されている前記第二ハッシュ値と、を用いて算出された前記第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録するステップである不正アクセス検出プログラム。
【請求項11】
請求項8から10のいずれか一に記載の不正アクセス検出プログラムにおいて、さらに、
前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出するステップを有し、
前記事後承認を受けていない前記ポリシ違反ログを抽出するステップは、
前記ログファイルの中から前記ポリシ違反ログを抽出するステップと、
前記抽出された前記ポリシ違反ログの中から、前記事後承認を受けた旨を示す情報が記録されていない前記ポリシ違反ログを抽出するステップと、
を有する不正アクセス検出プログラム。
【請求項12】
請求項9または10に記載の不正アクセス検出プログラムにおいて、さらに、
前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出するステップを有し、
前記事後承認を受けていない前記ポリシ違反ログを抽出するステップは、
前記ログファイルの中から前記ポリシ違反ログを抽出するステップと、
前記抽出された前記ポリシ違反ログの中から、事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログを抽出するステップと、
事後承認用領域に前記第一ハッシュ値が記録されている前記ポリシ違反ログそれぞれの前記第一ハッシュ値を用いて、それぞれの前記ポリシ違反ログの前記第一ハッシュ値の記録が不正になされたものか否かを判断するステップと、
事後承認用領域の記録は不正になされたものと判断された前記ポリシ違反ログを抽出するステップと、
事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログ、および、事後承認用領域に不正に前記第一ハッシュ値が記録されている前記ポリシ違反ログ、を前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログとして抽出するステップと、
を有する不正アクセス検出プログラム。
【請求項13】
閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持する工程と、
前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出する工程と、
不許可閲覧が行われた前記アクセスログとして検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録する工程と、
前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付ける工程と、
前記事後承認の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録する工程と、
を有する不正アクセス検出方法。
【請求項1】
閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持するログ保持部と、
前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報を保持する閲覧許可情報保持部と、
前記閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出する不許可閲覧検出部と、
前記不許可閲覧検出部で検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録するポリシ違反ログ記録部と、
前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付ける事後承認受付部と、
前記事後承認受付部の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録する書込部と、
を有する不正アクセス検出装置。
【請求項2】
請求項1に記載の不正アクセス検出装置において、
前記ポリシ違反ログには、前記書込部が事後承認を受付けた旨を示す情報を記録するための事後承認用領域が設けられている不正アクセス検出装置。
【請求項3】
請求項2に記載の不正アクセス検出装置において、
前記事後承認受付部は、
前記サーバにアクセスしてきた前記権限ユーザからのみ、不許可閲覧の事後承認を受付け、
前記書込部は、
前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログと、そのポリシ違反ログと、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録する不正アクセス検出装置。
【請求項4】
請求項3に記載の不正アクセス検出装置において、
前記ログファイルの各アクセスログおよび各ポリシ違反ログには、第二ハッシュ値が記録されており、
前記書込部は、
前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログに記録されている前記第二ハッシュ値と、そのポリシ違反ログに記録されている前記第二ハッシュ値と、を用いて算出された前記第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録する不正アクセス検出装置。
【請求項5】
請求項1から4のいずれか一に記載の不正アクセス検出装置において、さらに、
前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出する不正閲覧抽出部を有し、
前記不正閲覧抽出部は、
前記ログファイルの中から前記ポリシ違反ログを抽出する第一抽出部と、
前記第一抽出部に抽出された前記ポリシ違反ログの中から、前記事後承認を受けた旨を示す情報を記録されていない前記ポリシ違反ログを抽出する第二抽出部と、
を有する不正アクセス検出装置。
【請求項6】
請求項3または4に記載の不正アクセス検出装置において、さらに、
前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出する不正閲覧抽出部を有し、
前記不正閲覧抽出部は、
前記ログファイルの中から前記ポリシ違反ログを抽出する第一抽出部と、
前記第一抽出部に抽出された前記ポリシ違反ログの中から、事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログを抽出する第二抽出部と、
事後承認用領域に前記第一ハッシュ値が記録されている前記ポリシ違反ログそれぞれの前記第一ハッシュ値を用いて、それぞれの前記ポリシ違反ログの前記第一ハッシュ値の記録が不正になされたものか否かを判断する不正判断部と、
前記不正判断部により事後承認用領域の記録は不正になされたものと判断された前記ポリシ違反ログを抽出する第三抽出部と、
前記第二抽出部と前記第三抽出部により抽出された前記ポリシ違反ログを、前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログとして抽出する第四抽出部と、
を有する不正アクセス検出装置。
【請求項7】
請求項1から6のいずれか一に記載の不正アクセス検出装置において、さらに、
前記権限ユーザのアドレス情報を保持するアドレス情報保持部と、
前記不許可閲覧検出部により不許可閲覧が行われた前記アクセスログが検出されるとその旨を、その不許可閲覧された制限情報の閲覧を許可されている前記権限ユーザに、前記アドレス情報を用いて通知する通知部と、
を有する不正アクセス検出装置。
【請求項8】
閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持するステップと、
前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出するステップと、
不許可閲覧が行われた前記アクセスログとして検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録するステップと、
前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付けるステップと、
前記事後承認の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録するステップと、
をコンピュータに実行させる不正アクセス検出プログラム。
【請求項9】
請求項8に記載の不正アクセス検出プログラムにおいて、
前記ポリシ違反ログを生成し、記録するステップは、
前記事後承認を受付けた旨を示す情報を記録するための事後承認用領域が設けられている前記ポリシ違反ログを生成し、前記ログファイルに記録するステップであり、
前記事後承認を受付けるステップは、
前記サーバにアクセスしてきた前記権限ユーザからのみ、不許可閲覧の事後承認を受付けるステップであり、
前記事後承認を受けた旨を示す情報を記録するステップは、
前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログと、そのポリシ違反ログと、を用いて算出された第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録するステップである不正アクセス検出プログラム。
【請求項10】
請求項9に記載の不正アクセス検出プログラムにおいて、
前記ログファイルの各アクセスログおよび各ポリシ違反ログには、第二ハッシュ値が記録されており、
前記事後承認を受けた旨を示す情報を記録するステップは、
前記ポリシ違反ログに示される不許可閲覧を事後承認した前記アクセスログに記録されている前記第二ハッシュ値と、そのポリシ違反ログに記録されている前記第二ハッシュ値と、を用いて算出された前記第一ハッシュ値を、当該ポリシ違反ログの前記事後承認用領域に記録するステップである不正アクセス検出プログラム。
【請求項11】
請求項8から10のいずれか一に記載の不正アクセス検出プログラムにおいて、さらに、
前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出するステップを有し、
前記事後承認を受けていない前記ポリシ違反ログを抽出するステップは、
前記ログファイルの中から前記ポリシ違反ログを抽出するステップと、
前記抽出された前記ポリシ違反ログの中から、前記事後承認を受けた旨を示す情報が記録されていない前記ポリシ違反ログを抽出するステップと、
を有する不正アクセス検出プログラム。
【請求項12】
請求項9または10に記載の不正アクセス検出プログラムにおいて、さらに、
前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログを抽出するステップを有し、
前記事後承認を受けていない前記ポリシ違反ログを抽出するステップは、
前記ログファイルの中から前記ポリシ違反ログを抽出するステップと、
前記抽出された前記ポリシ違反ログの中から、事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログを抽出するステップと、
事後承認用領域に前記第一ハッシュ値が記録されている前記ポリシ違反ログそれぞれの前記第一ハッシュ値を用いて、それぞれの前記ポリシ違反ログの前記第一ハッシュ値の記録が不正になされたものか否かを判断するステップと、
事後承認用領域の記録は不正になされたものと判断された前記ポリシ違反ログを抽出するステップと、
事後承認用領域に前記第一ハッシュ値が記録されていない前記ポリシ違反ログ、および、事後承認用領域に不正に前記第一ハッシュ値が記録されている前記ポリシ違反ログ、を前記権限ユーザの事後承認を受けていない不許可閲覧を示す前記ポリシ違反ログとして抽出するステップと、
を有する不正アクセス検出プログラム。
【請求項13】
閲覧を制限すべき情報である制限情報を複数保持するサーバのアクセスログを取得し、ログファイルとして保持する工程と、
前記複数の制限情報それぞれを特定する情報と、それぞれの前記制限情報の閲覧を許可された権限ユーザを特定する情報と、を対応付けた閲覧許可情報に基づいて、前記アクセスログの中から、閲覧を許可されていないユーザによる不許可閲覧が行われた前記アクセスログを検出する工程と、
不許可閲覧が行われた前記アクセスログとして検出された前記アクセスログの記載内容を利用して、その不許可閲覧の内容を示したポリシ違反ログを生成し、前記ログファイルに記録する工程と、
前記ポリシ違反ログに示される不許可閲覧をされた前記制限情報の前記権限ユーザから、その不許可閲覧の事後承認を受付ける工程と、
前記事後承認の受付に応じて、前記ログファイルに、その不許可閲覧は事後承認を受けた旨を示す情報を記録する工程と、
を有する不正アクセス検出方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2011−65397(P2011−65397A)
【公開日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願番号】特願2009−215192(P2009−215192)
【出願日】平成21年9月17日(2009.9.17)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願日】平成21年9月17日(2009.9.17)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]