不正利用検知システム
【課題】本発明の目的は、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することである。
【解決手段】不正利用検知システムは、アクセス情報管理部と期間決定部と時間差算出部と不正利用判定部とを備える。アクセス情報管理部は、サーバがアクセスされた時に、ユーザ識別子と、クライアント装置の位置情報と、アクセス時刻とを取得し、対応付けて記憶する。期間決定部は、ユーザ識別子に対応する複数のアクセス時刻の内、最新のアクセス時刻に対応する位置情報と、2番目に新しいアクセス時刻に対応する位置情報とに基づいて判定期間を決定する。時間差算出部は、最新のアクセス時刻と2番目に新しいアクセス時刻との差であるアクセス時間差を算出する。不正利用判定部は、アクセス時間差が判定期間よりも短い場合に、システムが不正利用されたと判定する。
【解決手段】不正利用検知システムは、アクセス情報管理部と期間決定部と時間差算出部と不正利用判定部とを備える。アクセス情報管理部は、サーバがアクセスされた時に、ユーザ識別子と、クライアント装置の位置情報と、アクセス時刻とを取得し、対応付けて記憶する。期間決定部は、ユーザ識別子に対応する複数のアクセス時刻の内、最新のアクセス時刻に対応する位置情報と、2番目に新しいアクセス時刻に対応する位置情報とに基づいて判定期間を決定する。時間差算出部は、最新のアクセス時刻と2番目に新しいアクセス時刻との差であるアクセス時間差を算出する。不正利用判定部は、アクセス時間差が判定期間よりも短い場合に、システムが不正利用されたと判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正利用検知システムに関する。
【背景技術】
【0002】
従来、特許文献1(特開2009−110091号公報)に開示されているように、クライアントサーバシステムにおいてユーザにシステムの利用許可を与えるための認証方法として、ユーザ識別子(ユーザID)とパスワードが用いられている。
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかし、ユーザ識別子とパスワードによる認証では、あるユーザのユーザ識別子とパスワードが流出した場合、当該ユーザ以外の者が当該ユーザになりすますことでシステムを不正に利用することができる。その結果、一部のユーザのみがアクセス可能な機密性の高いデータが、不特定多数に知られるおそれがある。しかし、ユーザのセキュリティ意識が高くない場合、ユーザ識別子とパスワードの流出を完全に防ぐことは不可能である。そこで、ユーザ識別子とパスワードが流出してしまった場合に、システムの不正な利用をできるだけ早期に検知するシステムが求められている。
【0004】
本発明の目的は、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することである。
【課題を解決するための手段】
【0005】
本発明の第1観点に係る不正利用検知システムは、複数のクライアント装置と、クライアント装置からアクセス可能なサーバとを有するクライアントサーバシステムの不正利用を検知する。不正利用検知システムは、アクセス情報管理部と、期間決定部と、時間差算出部と、不正利用判定部とを備える。アクセス情報管理部は、サーバがアクセスされた時に、アクセス認証に使用されたユーザ識別子と、ユーザ識別子によるアクセスに使用されたクライアント装置の位置情報と、ユーザ識別子によるアクセス時刻と、を取得し、かつ、対応付けて記憶する。期間決定部は、第1アクセス時刻に対応する位置情報である第1位置情報と、第2アクセス時刻に対応する位置情報である第2位置情報とが異なる場合に、第1位置情報および第2位置情報に基づいて判定期間を決定する。第1アクセス時刻は、アクセス情報管理部に記憶されたユーザ識別子に対応する複数のアクセス時刻の内、最新のアクセス時刻である。第2アクセス時刻は、アクセス情報管理部に記憶されたユーザ識別子に対応する複数のアクセス時刻の内、2番目に新しいアクセス時刻である。時間差算出部は、第1アクセス時刻と第2アクセス時刻との差であるアクセス時間差を算出する。不正利用判定部は、時間差算出部によって算出されたアクセス時間差が、期間決定部によって決定された判定期間よりも短い場合に、クライアントサーバシステムが不正利用されたと判定する。
【0006】
第1観点に係る不正利用検知システムは、クライアントサーバシステムにおいて、同一のユーザ識別子によってサーバが複数回アクセスされた場合に、アクセスに使用されたクライアント装置の位置情報とアクセス時刻とに基づいて、システムが不正利用されたか否かを判定する。以下、第1観点に係る不正利用検知システムの動作について、具体例を挙げて説明する。不正利用検知システムは、ユーザAのユーザ識別子が、クライアント装置Aからのアクセスに使用された場合に、クライアント装置Aの位置情報およびアクセス時刻を取得する。次に、不正利用検知システムは、ユーザAのユーザ識別子が、クライアント装置Aと異なるクライアント装置Bからのアクセスに使用された場合に、クライアント装置Bの位置情報およびアクセス時刻を取得する。次に、不正利用検知システムは、クライアント装置Aの位置情報とクライアント装置Bの位置情報とに基づいて、判定期間を決定する。判定期間は、通常、クライアント装置Aの設置場所からクライアント装置Bの設置場所までの距離が長いほど、長く設定される。次に、不正利用検知システムは、クライアント装置Aのアクセス時刻とクライアント装置Bのアクセス時刻との差であるアクセス時間差を算出する。次に、不正利用検知システムは、アクセス時間差が判定期間よりも短い場合に、ユーザAのユーザ識別子が使用されたクライアント装置Bからのアクセスは不正であると判定する。すなわち、不正利用検知システムは、ユーザAのユーザ識別子がクライアント装置Aからのアクセスに使用された後、所定の期間内に、ユーザAのユーザ識別子がクライアント装置Aと異なるクライアント装置Bからのアクセスに使用された場合に、システムが不正利用されたと判定する。
【0007】
第1観点に係る不正利用検知システムは、サーバへのアクセスのために使用されるユーザ識別子が流出してしまった場合でも、サーバへのアクセスに使用された端末の位置情報およびアクセス時刻に基づいて、システムの不正利用を検知することができる。従って、第1観点に係る不正利用検知システムは、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することができる。
【0008】
本発明の第2観点に係る不正利用検知システムは、第1観点に係る不正利用検知システムにおいて、アクセス情報管理部は、クライアント装置の固有情報に基づいて、位置情報を取得する。
【0009】
第2観点に係る不正利用検知システムは、各クライアント装置を一意に識別するための情報を用いて、クライアント装置の位置情報を取得する。不正利用検知システムは、例えば、各クライアント装置の固有情報と、各クライアント装置の位置情報とを対応付けて記憶し、サーバへのアクセスに使用されたクライアント装置の固有情報から、当該クライアント装置の位置情報を取得する。
【0010】
本発明の第3観点に係る不正利用検知システムは、第2観点に係る不正利用検知システムにおいて、固有情報は、クライアント装置に割り当てられたIPアドレスである。
【0011】
本発明の第4観点に係る不正利用検知システムは、第2観点に係る不正利用検知システムにおいて、固有情報は、クライアント装置のMACアドレスである。
【0012】
本発明の第5観点に係る不正利用検知システムは、第1観点に係る不正利用検知システムにおいて、クライアント装置は、GPS受信機を有し、かつ、アクセス情報管理部は、GPS受信機を用いて位置情報を取得する。
【0013】
第5観点に係る不正利用検知システムは、各クライアント装置に取り付けられたGPS受信機を用いて、各クライアント装置の位置情報を取得する。
【0014】
本発明の第6観点に係る不正利用検知システムは、第1観点乃至第5観点のいずれか1つに係る不正利用検知システムにおいて、警告報知部をさらに備える。警告報知部は、不正利用判定部によってクライアントサーバシステムが不正利用されたと判定された場合に、クライアント装置およびサーバの少なくとも一方に対して、その旨の警告を報知する。
【0015】
第6観点に係る不正利用検知システムは、システムの不正利用を検知した場合に、例えば、システムの管理者に対して、システムの不正利用を検知した旨の警告メールを送信し、アクセスログを管理者用端末の画面に表示する。
【0016】
本発明の第7観点に係る不正利用検知システムは、第1観点乃至第6観点のいずれか1つに係る不正利用検知システムにおいて、アクセス制限部をさらに備える。アクセス制限部は、不正利用判定部によってクライアントサーバシステムが不正利用されたと判定された場合に、クライアント装置からサーバへのアクセスを制限する。
【0017】
第7観点に係る不正利用検知システムは、システムの不正利用を検知した場合に、例えば、システムの不正利用が行われたクライアント装置からのサーバへのアクセスを禁止する。
【発明の効果】
【0018】
本発明に係る不正利用検知システムは、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することができる。
【図面の簡単な説明】
【0019】
【図1】本発明の第1実施形態における、不正利用検知システムの全体構成図である。
【図2】本発明の第1実施形態における、サーバのブロック構成図である。
【図3】本発明の第1実施形態における、アクセス情報テーブルの構成図である。
【図4】本発明の第1実施形態における、位置情報テーブルの構成図である。
【図5】本発明の第1実施形態における、判定期間テーブルの構成図である。
【図6A】本発明の第1実施形態における、不正利用検知のフローチャートである。
【図6B】本発明の第1実施形態における、不正利用検知のフローチャートである。図6Aのフローチャートの続きを表す図である。
【図7】本発明の変形例Aにおける、アクセス情報テーブルの構成図の一例である。
【図8】本発明の変形例Aにおける、アクセス情報テーブルの構成図の一例である。
【図9】本発明の変形例Bおよび変形例Cにおける、不正利用検知システムの全体構成図である。
【図10】本発明の変形例Bおよび変形例Cにおける、サーバのブロック構成図である。
【発明を実施するための形態】
【0020】
(1)全体構成
本発明の実施形態に係る不正利用検知システム10について、図面を参照しながら説明する。図1は、不正利用検知システム10の全体構成を例示するシステム構成図である。不正利用検知システム10は、サーバ20と、複数のクライアント装置30とを備えるクライアントサーバシステム(以下、単に「システム」と呼ぶ。)である。
【0021】
サーバ20は、デスクトップPCおよびワークステーション等の固定端末である。サーバ20には、入力装置25aおよび出力装置26aが接続されている。システムの管理者(以下、単に「管理者」と呼ぶ。)は、サーバ20を用いて、システムの設定および監視等、システムの管理を行う。
【0022】
クライアント装置30は、デスクトップPCおよびワークステーション等の固定端末である。クライアント装置30は、ネットワーク90を介してサーバ20に接続されている。ネットワーク90は、例えば、社内ネットワークとして用いられるLAN、広域イーサネット(登録商標)、VPN等である。システムのユーザ(以下、単に「ユーザ」と呼ぶ。)は、クライアント装置30を用いて、サーバ20にアクセスしてシステムを利用することができる。
【0023】
以下、説明を簡略化するために、本実施形態において、不正利用検知システム10は、図1に示されるように、東京、大阪およびロンドンの3箇所にオフィスを有する企業によって使用されるシステムであると仮定する。各オフィスには、クライアント装置30が3台ずつ設置され、システム全体では合計9台のクライアント装置30が設置されている。それぞれのクライアント装置30には、自身を識別するための符号(後述する「クライアント識別子」)が付与されている。
【0024】
(2)サーバの構成
図2は、サーバ20の構成を例示するブロック構成図である。サーバ20は、CPU21と、記憶装置22と、メモリ23と、ネットワークインターフェイス24と、入力インターフェイス25と、出力インターフェイス26と、内部時計27とを備える。以下、サーバ20の各構成要素について説明する。
【0025】
(2−1)CPU
CPU21は、不正利用検知システム10に必要な機能を実現する。CPU21は、記憶装置22に記憶されているプログラムおよびデータをメモリ23に一時的に読み出し、読み出したプログラムを実行して読み出したデータを処理する。その後、CPU21は、処理したデータを記憶装置22に書き込み、読み出したプログラムおよびデータをメモリ23から消去する。
【0026】
(2−2)記憶装置
記憶装置22は、ハードディスクドライブおよびリムーバブルメディア等の、大容量かつ不揮発性の補助記憶装置である。記憶装置22には、CPU21によってメモリ23に読み出されるプログラムおよびデータが半永続的に記憶される。記憶装置22は、アクセス情報テーブルT1と、位置情報テーブルT2と、判定期間テーブルT3とを記憶する。
【0027】
(2−2−1)アクセス情報テーブル
アクセス情報テーブルT1の構成を図3に示す。アクセス情報テーブルT1の各レコードは、ユーザ識別子F11、クライアント識別子F12およびアクセス時刻F13の3つのフィールドを格納する。
【0028】
ユーザ識別子F11は、ユーザを一意に識別するために、各ユーザに付与された符号である。本実施形態において、ユーザ識別子F11は、「U1234」のように、文字「U」の後に4桁の数値が結合された符号で表される。各ユーザは、任意のクライアント装置30のログイン画面に、自身のユーザ識別子F11およびログイン用パスワードを入力することによって、サーバ20にアクセスすることができる。
【0029】
クライアント識別子F12は、クライアント装置30を一意に識別するために、各クライアント装置30に付与された符号である。本実施形態において、クライアント識別子F12は、「C1234」のように、文字「C」の後に4桁の数値が結合された符号で表される。図1に示されるように、本実施形態において、東京オフィスの3台のクライアント装置30にはクライアント識別子「C0101」・「C0102」・「C0103」がそれぞれ付与され、大阪オフィスの3台のクライアント装置30にはクライアント識別子「C0201」・「C0202」・「C0203」がそれぞれ付与され、ロンドンオフィスの3台のクライアント装置30にはクライアント識別子「C0301」・「C0302」・「C0303」がそれぞれ付与される。
【0030】
アクセス時刻F13は、ユーザがクライアント装置30を用いてサーバ20にアクセスした日時を表す。本実施形態において、アクセス時刻F13は、「yyyyMMddHHmmss」形式の14桁の数値で表される。例えば、アクセス時刻「20110323183240」は、2011年3月23日18時32分40秒にサーバ20がアクセスされたことを意味する。
【0031】
アクセス情報テーブルT1は、クライアント装置30からサーバ20がアクセスされる度に更新される。アクセス情報テーブルT1の各レコードは、アクセス時刻F13の降順に自動的に整列される。すなわち、図3において、アクセス情報テーブルT1は、各レコードを、アクセス時刻F13が新しい順に上から下に並べて格納する。
【0032】
例として、図3に示されるアクセス情報テーブルT1の一番上のレコードは、ユーザ識別子F11「U0011」を用いて、クライアント識別子F12「C0103」が付与されたクライアント装置30から、2011年1月10日9時50分00秒にサーバ20がアクセスされたことを表す。
【0033】
(2−2−2)位置情報テーブル
位置情報テーブルT2の構成を図4に示す。位置情報テーブルT2の各レコードは、クライアント識別子F21および位置情報F22の2つのフィールドを格納する。
【0034】
クライアント識別子F21は、アクセス情報テーブルT1に格納されるクライアント識別子F12と同様に、クライアント装置30を一意に識別するために、各クライアント装置30に付与された符号である。位置情報F22は、クライアント識別子F12が付与されたクライアント装置30が設置されている場所に関する情報である。本実施形態では、位置情報F22は、各クライアント装置30が設置されているオフィスがある都市の名前を表す英文字列である。
【0035】
例として、図4に示される位置情報テーブルT2は、クライアント識別子F21「C0102」が付与されたクライアント装置30は、東京(Tokyo)に設置され、クライアント識別子F21「C0301」が付与されたクライアント装置30は、ロンドン(London)に設置されていることを表す。
【0036】
管理者は、各クライアント装置30に対応する位置情報F22を、位置情報テーブルT2に予め入力する。管理者のみが、位置情報テーブルT2を修正および更新するための権限を有する。
【0037】
(2−2−3)判定期間テーブル
判定期間テーブルT3の構成を図5に示す。判定期間テーブルT3は、位置情報テーブルT2の位置情報F22に格納される文字列、および、「判定期間」を格納する。本実施形態において、判定期間は、システムの不正利用を検知するために使用される情報であり、位置情報F22で表される任意の2地点に関する所定期間を表す。判定期間は、「HHmm」形式の4桁の数値で表される。例えば、判定期間「0630」は、6時間30分を表す。
【0038】
例として、図5に示される判定期間テーブルT3において、「Osaka(大阪)」のフィールドと「Tokyo(東京)」のレコードが交差するセルに格納されている値は、「0200」である。すなわち、大阪と東京に関する判定期間は、2時間である。また、「Tokyo(東京)」のフィールドと「London(ロンドン)」のレコードが交差するセルに格納されている値は、「1200」である。すなわち、東京とロンドンに関する判定期間は、12時間である。通常、任意の2地点の間の移動時間が長いほど、当該2地点に関する判定期間は長く設定される。任意の2地点が同一の場合、判定期間は0時間である。
【0039】
管理者は、判定期間を、判定期間テーブルT3に予め入力する。管理者のみが、判定期間テーブルT3を修正および更新するための権限を有する。
【0040】
(2−3)メモリ
メモリ23は、DRAMやSRAM等の、低容量かつ揮発性の主記憶装置である。メモリ23は、プログラムおよびデータを一時的に記憶して、プログラムの実行およびデータの処理を行うために、CPU21が使用する作業領域である。メモリ23は、図2に示されるように、アクセス情報管理部31と、期間決定部32と、時間差算出部33と、不正利用判定部34と、警告表示部35と、アクセス制限部36とを有する。CPU21は、記憶装置22から所定のプログラムをメモリ23に読み出して実行することで、メモリ23が有する各構成要素が持つ機能を実現する。
【0041】
(2−3−1)アクセス情報管理部
アクセス情報管理部31は、クライアント装置30からサーバ20へのアクセスが発生した時に、当該アクセスを検知して、アクセス情報テーブルT1を更新する。
【0042】
アクセス情報管理部31は、後述するネットワークインターフェイス40を通過するパケットを監視して、クライアント装置30からサーバ20へのアクセスを検知する。アクセス情報管理部31は、サーバ20へのアクセスを検知した場合に、アクセスに使用されたユーザ識別子F11およびクライアント識別子F12を取得し、かつ、アクセスが発生した時刻であるアクセス時刻F13を取得する。アクセス時刻F13の値は、サーバ20の内部時計27が示す現在時刻に基づいて決定される。
【0043】
次に、アクセス情報管理部31は、取得したユーザ識別子F11、クライアント識別子F12およびアクセス時刻F13に基づいて、アクセス情報テーブルT1を更新する。
【0044】
(2−3−2)期間決定部
期間決定部32は、アクセス情報テーブルT1、位置情報テーブルT2および判定期間テーブルT3に格納されたデータに基づいて、判定期間を決定する。
【0045】
最初に、期間決定部32は、クライアント装置30からサーバ20へのアクセスが発生した時に、当該アクセスに関する情報がアクセス情報管理部31によって追加されたアクセス情報テーブルT1から、当該アクセスに関するレコードである第1レコードR1を取得する。第1レコードR1は、図3において、アクセス情報テーブルT1の一番上方に格納されているレコードである。
【0046】
次に、期間決定部32は、アクセス情報テーブルT1が第2レコードR2を有すると判定した場合に、第2レコードR2を取得する。第2レコードR2は、第1レコードR1に格納されているユーザ識別子F11と同じユーザ識別子F11を有し、第1レコードR1に格納されているクライアント識別子F12と異なるクライアント識別子F12を有するレコードの内、アクセス時刻F13が最新のレコードである。
【0047】
次に、期間決定部32は、位置情報テーブルT2を用いて、第1レコードR1に格納されているクライアント識別子F12に対応する位置情報F22である第1位置情報と、第2レコードR2に格納されているクライアント識別子F12に対応する位置情報F22である第2位置情報とを取得する。
【0048】
次に、期間決定部32は、判定期間テーブルT3を用いて、第1位置情報と第2位置情報とから判定期間を決定する。
【0049】
(2−3−3)時間差算出部
時間差算出部33は、アクセス情報テーブルT1に基づいて、アクセス時間差を算出する。アクセス時間差は、第1レコードR1に格納されているアクセス時刻F13である第1アクセス時刻と、第2レコードR2に格納されているアクセス時刻F13である第2アクセス時刻との差である。
【0050】
(2−3−4)不正利用判定部
不正利用判定部34は、時間差算出部33によって算出されたアクセス時間差が、期間決定部32によって決定された判定期間より短い場合に、システムが不正利用されたと判定する。具体的には、不正利用判定部34は、第1レコードR1に格納されているユーザ識別子F11を用いて、当該ユーザ識別子F11を付与されたユーザ以外の者が、第1レコードR1に格納されているクライアント識別子F12に対応するクライアント装置30から、サーバ20に不正にアクセスしたと判断する。
【0051】
(2−3−5)警告表示部
警告表示部35は、不正利用判定部34によってシステムが不正利用されたと判定された場合に、管理者に対して警告をする。例えば、システムが不正利用された旨や、不正なアクセスのために使用されたクライアント装置30のクライアント識別子F12や、不正なアクセスが行われた時刻等を、サーバ20の出力装置26aに表示する。
【0052】
(2−3−6)アクセス制限部
アクセス制限部36は、不正利用判定部34によってシステムが不正利用されたと判定された場合に、クライアント装置30からサーバ20へのアクセスを制限する。例えば、不正なアクセスのために使用されたクライアント装置30からサーバ20へのアクセスを、禁止あるいは制限する。なお、アクセス制限部36によるアクセス制限の具体的な内容は、管理者によって予め設定されて、記憶装置22に記憶される。
【0053】
(2−4)ネットワークインターフェイス
ネットワークインターフェイス24は、ネットワーク内でコンピュータ間の通信を行うために必要な、LANカード等のハードウェアである。ネットワークインターフェイス24は、ネットワーク90をサーバ20に接続する。
【0054】
(2−5)入力インターフェイス
入力インターフェイス25は、PS/2、USB、IEEE1394およびRS−232C等のインターフェイス規格に対応する接続端子を備える機器である。入力インターフェイス25は、入力装置25aをサーバ20に接続する。入力装置25aは、例えば、キーボード、マウスおよびスキャナである。管理者は、入力装置25aを用いて、位置情報テーブルT2および判定期間テーブルT3を修正および更新し、および、アクセス制限部36によるクライアント装置30からサーバ20へのアクセス制限の設定を行うことができる。
【0055】
(2−6)出力インターフェイス
出力インターフェイス26は、AGP、PCI ExpressおよびRS−232C等のインターフェイス規格に対応する接続端子を備える機器である。出力インターフェイス26は、出力装置26aをサーバ20に接続する。出力装置26aは、例えば、CRTディスプレイおよび液晶ディスプレイ等である。管理者は、出力装置26aを用いて、警告表示部35から警告を受け取ることができる。
【0056】
(2−7)内部時計
内部時計27は、サーバ20が設置されている場所が属するタイムゾーンの現在時刻を取得する。CPU21は、内部時計27が取得した現在時刻に基づいて、メモリ23が有する各機能を実行する。内部時計27は、定期的に、FTPサーバにアクセスして時刻補正を行う。
【0057】
(3)動作
本実施形態に係る不正利用検知システム10においてシステムの不正利用を検知する「不正利用検知ルーチン」について、図6Aおよび図6Bに示されるフローチャートに従って説明する。その際、図3乃至図5に示されるアクセス情報テーブルT1、位置情報テーブルT2および判定期間テーブルT3を用いて、ステップS101乃至S110の動作を具体的に説明する。図4に示される位置情報テーブルT2および図5に示される判定期間テーブルT3は、管理者によって予め作成され、記憶装置22に記憶されている。なお、この不正利用検知ルーチンは、サーバ20によって、バックグラウンドで繰り返し実行される。
【0058】
ステップS101において、アクセス情報管理部31は、クライアント装置30からサーバ20がアクセスされているか否かを判定する。サーバ20がアクセスされている場合、ステップS102に移行する。サーバ20がアクセスされていない場合、不正利用検知ルーチンは終了する。
【0059】
ステップS102において、アクセス情報管理部31は、アクセス情報テーブルT1を更新する。具体的には、アクセス情報管理部31は、ステップS101で判定されたアクセス(以下、「本アクセス」と呼ぶ。)に関するユーザ識別子F11、クライアント識別子F12およびアクセス時刻F13を取得して、第1レコードR1としてアクセス情報テーブルT1に追加する。この時点において、記憶装置22には、図3に示されるアクセス情報テーブルT1が記憶されている。本アクセスは、第1レコードR1に示されるように、ユーザ識別子F11「U0011」を用いて、クライアント識別子F12「C0103」を有するクライアント装置30から、2011年1月10日9時50分00秒に行われたアクセスである。次に、ステップS103に移行する。
【0060】
ステップS103において、期間決定部32は、アクセス情報テーブルT1が第2レコードR2を有しているか否かを判定する。アクセス情報テーブルT1が第2レコードR2を有している場合、ステップS104に移行する。アクセス情報テーブルT1が第2レコードR2を有していない場合、不正利用検知ルーチンは終了する。本アクセスにおいて、図3に示されるアクセス情報テーブルT1には、第1レコードR1のユーザ識別子F11「U0011」と同じユーザ識別子F11を有し、かつ、第1レコードR1のクライアント識別子F12「C0103」と異なるクライアント識別子F12を有する2個のレコードが存在する。当該2個のレコードの内、アクセス時刻F13が最新のレコードが、第2レコードR2である。図3に示されるアクセス情報テーブルT1において、第2レコードR2に関するアクセスは、ユーザ識別子F11「U0011」を用いて、クライアント識別子F12「C0201」を有するクライアント装置30から、2011年1月10日8時20分00秒に行われたアクセスである。次に、ステップS104に移行する。
【0061】
ステップS104において、期間決定部32は、第1位置情報および第2位置情報を取得する。本アクセスにおいて、図4に示される位置情報テーブルT2に示されるように、第1レコードR1のクライアント識別子F12「C0103」に対応する位置情報F22である第1位置情報は「Tokyo(東京)」であり、第2レコードR2のクライアント識別子F12「C0201」に対応する位置情報F22である第2位置情報は「Osaka(大阪)」である。次に、ステップS105に移行する。
【0062】
ステップS105において、期間決定部32は、第1位置情報および第2位置情報に基づいて、判定期間を決定する。本アクセスにおいて、図5に示される判定期間テーブルT3に示されるように、「Tokyo(東京)」および「Osaka(大阪)」に関する判定期間は、2時間と決定される。次に、ステップS106に移行する。
【0063】
ステップS106において、時間差算出部33は、アクセス時間差を算出する。本アクセスにおいて、図3に示されるアクセス情報テーブルT1に示されるように、第1レコードR1のアクセス時刻F13は2011年1月10日9時50分00秒であり、第2レコードR2のアクセス時刻F13は2011年1月10日8時20分00秒である。従って、アクセス時間差は、これらの2つのアクセス時刻の差である1時間30分と算出される。次に、ステップS107に移行する。
【0064】
ステップS107において、不正利用判定部34は、アクセス時間差が判定期間より短いか否かを判定する。アクセス時間差が判定期間より短い場合、ステップS108に移行する。アクセス時間差が判定期間と等しいか、または、判定期間より長い場合、不正利用検知ルーチンは終了する。本アクセスにおいて、ステップS106において算出されたアクセス時間差は1時間30分であり、ステップS105において決定された判定期間は2時間である。従って、アクセス時間差が判定期間より短いので、ステップS108に移行する。
【0065】
ステップS108において、不正利用判定部34は、システムの不正利用を検知する。本アクセスにおいて、不正利用判定部34は、第1レコードR1に関するアクセスは、サーバ20への不正なアクセスであると判断する。すなわち、不正利用判定部34は、第1レコードR1に関するアクセスは、ユーザ識別子F11「U0011」が付与されたユーザ以外の者によって、ユーザ識別子F11「U0011」が不正に使用されたアクセスであると判断する。次に、ステップS109に移行する。
【0066】
ステップS109において、警告表示部35は、管理者に対して、システムが不正利用された旨の警告をする。本アクセスにおいて、警告表示部35は、ユーザ識別子F11「U0011」を用いてシステムが不正利用された旨の警告、および、システムの不正利用に使用されたクライアント端末30のクライアント識別子F12「C0103」等を出力装置26aに表示する。次に、ステップS110に移行する。
【0067】
ステップS110において、アクセス制限部36は、クライアント装置30からサーバ20へのアクセスを制限する。本アクセスにおいて、アクセス制限部36は、システムの不正利用に使用されたユーザ識別子F11「U0011」を用いたサーバ20へのアクセスを一時的に禁止する。
【0068】
ステップS110の実行後、不正利用検知ルーチンは終了する。不正利用検知ルーチンは、バックグラウンドで繰り返し実行されるので、ステップS110の実行後、ステップS101が再度実行される。
【0069】
(4)特徴
(4−1)
本実施形態に係る不正利用検知システム10では、アクセス情報テーブルT1、位置情報テーブルT2および判定期間テーブルT3を用いて、アクセスに使用されたクライアント装置30の位置情報とアクセス時刻とに基づいて、システムの不正利用を検知する。
【0070】
本実施形態では、あるユーザAが、ユーザAに付与された正規なユーザ識別子を用いてクライアント装置Aからサーバにアクセスし、その後、所定の期間内に、ユーザBが、ユーザAのユーザ識別子を用いてクライアント装置Aと異なるクライアント装置Bからサーバにアクセスした場合に、ユーザBによるアクセスをシステムの不正利用と判定する。このケースにおいて、クライアント装置Bが、クライアント装置Aの設置場所から最低2時間は移動に要する場所に設置されていると仮定すると、ユーザAが、クライアント装置Aからサーバにアクセスし、ユーザAが、1時間後にクライアント装置Bからサーバにアクセスすることは、物理的に不可能である。そこで、クライアント装置Bからのアクセスは、ユーザA以外の者が、ユーザAに付与されたユーザ識別子を用いて行ったアクセスであると判断する。すなわち、本実施形態では、クライアント装置Bからサーバへのアクセスが行われた時点で、システムの不正利用を検知することができる。
【0071】
従って、本実施形態では、サーバへのアクセスのために使用されるユーザ識別子が流出してしまった場合でも、サーバへのアクセスに使用されたクライアント装置の位置情報と、サーバへのアクセス時刻とに基づいて、システムの不正利用を早期に検知することができる。これにより、本実施形態に係る不正利用検知システムは、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することができる。
【0072】
(4−2)
本実施形態に係る不正利用検知システム10では、不正利用判定部34によってシステムが不正利用されたと判定された場合に、警告表示部35は、管理者に対して警告して不正なアクセスに関する情報を提供し、アクセス制限部36は、不正なアクセスに使用されたクライアント装置30からサーバ20へのアクセスを制限する。
【0073】
従って、本実施形態では、システムの不正利用が検知された場合に、管理者は、不正なアクセスに使用されたクライアント装置からのアクセスを一定期間禁止することや、不正なアクセスに使用されたユーザ識別子の正規の所有者であるユーザに対してパスワードを直ちに変更する指示を与える等、システムの不正利用の対応策を速やかに取ることができる。これにより、本実施形態に係る不正利用検知システムは、システムを利用するための情報が流出してシステムが不正に利用された場合であっても、システムを正常な状態に早期に回復させることができる。
【0074】
(5)変形例
以上、本発明の実施形態について図面を参照しながら説明したが、本発明の具体的構成は、本発明の要旨を逸脱しない範囲内で変更可能である。本発明の実施形態に係る不正利用検知システム10は、種種の規模のネットワーク内で使用されるクライアントサーバシステムにも適用することができる。
【0075】
以下、本発明の実施形態に係る不正利用検知システム10に対する適用可能な変形例について説明する。
【0076】
(5−1)変形例A
本実施形態に係る不正利用検知システム10では、アクセス情報テーブルT1は、クライアント装置30に付与されたクライアント識別子F12を格納し、かつ、期間決定部32は、アクセス情報テーブルT1および位置情報テーブルT2に基づいて、クライアント装置30の位置情報F22を取得する。しかし、アクセス情報テーブルT1は、クライアント装置30を一意に識別することができる情報であれば、例えば、クライアント装置30のIPアドレスおよびMACアドレス等を格納してもよい。
【0077】
本変形例におけるアクセス情報テーブルの一つの例を図7に示す。図7に示されるアクセス情報テーブルT11の各レコードには、ユーザ識別子F111、IPアドレスF112およびアクセス時刻F113の3つのフィールドが格納される。ユーザ識別子F111およびアクセス時刻F113は、それぞれ、本実施形態におけるユーザ識別子F11およびアクセス時刻F13と同一である。IPアドレスF112は、ネットワーク90内の各クライアント装置30に割り当てられたIPアドレスである。クライアント装置30のIPアドレスは、ネットワーク90内において各クライアント装置30に固有であるため、各クライアント装置30を一意に識別することができる符号として使用することができる。
【0078】
また、本変形例におけるアクセス情報テーブルの他の例を図8に示す。図8に示されるアクセス情報テーブルT21の各レコードには、ユーザ識別子F211、MACアドレスF212およびアクセス時刻F213の3つのフィールドが格納される。ユーザ識別子F211およびアクセス時刻F213は、それぞれ、本実施形態におけるユーザ識別子F11およびアクセス時刻F13と同一である。MACアドレスF212は、ネットワーク90内の各クライアント装置30が備えるネットワークインターフェイス24に割り当てられたMACアドレスである。ネットワークインターフェイス24のMACアドレスは、各ネットワークインターフェイス24に固有であるため、各クライアント装置30を一意に識別することができる情報として使用することができる。
【0079】
(5−2)変形例B
本実施形態に係る不正利用検知システム10では、管理者は、位置情報テーブルT2に、各クライアント装置30の位置情報F22を予め入力する必要がある。しかし、各クライアント装置30に取り付けられたGPS受信機30aから送信された情報に基づいて、位置情報テーブルT2が自動的に更新されてもよい。この場合、管理者は、位置情報テーブルT2に、各クライアント装置30の位置情報F22を予め入力する必要がない。
【0080】
本変形例における不正利用検知システム110の全体構成図を図9に示し、不正利用検知システム110が備えるサーバ120のブロック構成図を図10に示す。(図10には、後述する変形例Cで使用される「判定期間更新部38」も示されている。)本変形例では、各クライアント装置30にはGPS受信機30aが取り付けられる。GPS受信機30aは、GPS衛星30bからの信号を受信して、クライアント装置30の現在位置に関する情報を取得することができる。現在位置に関する情報は、例えば、経緯度および地名等である。
【0081】
本変形例において、サーバ120のメモリ23は、位置情報更新部37をさらに有する。位置情報更新部37は、各クライアント装置30に取り付けられたGPS受信機30aに対して、クライアント装置30の現在位置に関する情報の送信を要求する。次に、位置情報更新部37は、各GPS受信機30aから、クライアント装置30の現在位置に関する情報を受信して、当該情報に基づいて位置情報テーブルT2を更新する。すなわち、位置情報更新部37は、GPS受信機30aによって、クライアント装置30の現在位置をリアルタイムに把握することができる。
【0082】
本変形例に係る不正利用検知システム110では、管理者は、クライアント装置30の現在位置が変更された場合でも、位置情報テーブルT2を更新する必要がない。従って、本変形例では、クライアント装置30が持ち運び可能な端末であっても、システムの不正利用を検知することができる。例えば、クライアント装置30は、ラップトップPCおよびスマートフォン等の携帯端末であってもよい。
【0083】
(5−3)変形例C
変形例Bに係る不正利用検知システム110では、サーバ120のメモリ23は、位置情報テーブルT2を自動的に更新する位置情報更新部37を有するが、判定期間テーブルT3を自動的に更新する判定期間更新部38をさらに備えてもよい。
【0084】
本変形例における不正利用検知システム110の全体構成図を図9に示し、不正利用検知システム110が備えるサーバ120のブロック構成図を図10に示す。本変形例では、判定期間更新部38は、位置情報更新部37が取得したクライアント装置30の現在位置を表す経緯度に基づいて、判定期間テーブルT3を自動的に更新する。地球上のある2地点の経度および緯度が取得できれば、当該2地点間の距離を算出することができる。判定期間更新部38は、各クライアント装置30の現在位置の経緯度から、任意の2個のクライアント装置30間の距離を算出する。次に、判定期間更新部38は、算出した距離に基づいて判定期間を算出し、判定期間テーブルT3を更新する。例えば、判定期間更新部38は、任意の2個のクライアント装置30間の距離(単位はkm)を200で除した値を、判定期間(単位は時間)として使用する。この場合、判定期間更新部38は、ある2個のクライアント装置30間の距離が500kmである場合、判定期間は2時間30分(2.5時間)であると算出する。
【0085】
本変形例に係る不正利用検知システム110では、管理者は、クライアント装置30の現在位置が変更された場合でも、位置情報テーブルT2を更新する必要がなく、かつ、判定期間テーブルT3に格納される判定期間を予め設定しておく必要がない。
【0086】
(5−4)変形例D
本実施形態に係る不正利用検知システム10では、アクセス制限部36は、システムの不正利用に使用されたユーザ識別子F11「U0011」を用いたサーバ20へのアクセスを一時的に禁止するが、アクセス制限部36は、システムの不正利用に使用されたクライアント識別子F12「C0103」を有するクライアント装置30からのサーバ20へのアクセスを一時的に禁止してもよい。また、アクセス制限部36は、サーバ20へのアクセスを禁止する代わりに、サーバ20へのアクセス権限を制限してもよい。例えば、アクセス制限部36は、システムの不正利用に使用されたユーザ識別子F11「U0011」を用いたサーバ20へのアクセスに関して、サーバ20に保持されているデータの読み込みを許可し、かつ、書き込みを禁止してもよい。
【産業上の利用可能性】
【0087】
本発明に係る不正利用検知システムは、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することができる。
【符号の説明】
【0088】
10,110 不正利用検知システム
20 サーバ
30 クライアント装置
30a GPS受信機
31 アクセス情報管理部
32 期間決定部
33 時間差算出部
34 不正利用判定部
35 警告報知部
36 アクセス制限部
【先行技術文献】
【特許文献】
【0089】
【特許文献1】特開2009−110091号公報
【技術分野】
【0001】
本発明は、不正利用検知システムに関する。
【背景技術】
【0002】
従来、特許文献1(特開2009−110091号公報)に開示されているように、クライアントサーバシステムにおいてユーザにシステムの利用許可を与えるための認証方法として、ユーザ識別子(ユーザID)とパスワードが用いられている。
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかし、ユーザ識別子とパスワードによる認証では、あるユーザのユーザ識別子とパスワードが流出した場合、当該ユーザ以外の者が当該ユーザになりすますことでシステムを不正に利用することができる。その結果、一部のユーザのみがアクセス可能な機密性の高いデータが、不特定多数に知られるおそれがある。しかし、ユーザのセキュリティ意識が高くない場合、ユーザ識別子とパスワードの流出を完全に防ぐことは不可能である。そこで、ユーザ識別子とパスワードが流出してしまった場合に、システムの不正な利用をできるだけ早期に検知するシステムが求められている。
【0004】
本発明の目的は、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することである。
【課題を解決するための手段】
【0005】
本発明の第1観点に係る不正利用検知システムは、複数のクライアント装置と、クライアント装置からアクセス可能なサーバとを有するクライアントサーバシステムの不正利用を検知する。不正利用検知システムは、アクセス情報管理部と、期間決定部と、時間差算出部と、不正利用判定部とを備える。アクセス情報管理部は、サーバがアクセスされた時に、アクセス認証に使用されたユーザ識別子と、ユーザ識別子によるアクセスに使用されたクライアント装置の位置情報と、ユーザ識別子によるアクセス時刻と、を取得し、かつ、対応付けて記憶する。期間決定部は、第1アクセス時刻に対応する位置情報である第1位置情報と、第2アクセス時刻に対応する位置情報である第2位置情報とが異なる場合に、第1位置情報および第2位置情報に基づいて判定期間を決定する。第1アクセス時刻は、アクセス情報管理部に記憶されたユーザ識別子に対応する複数のアクセス時刻の内、最新のアクセス時刻である。第2アクセス時刻は、アクセス情報管理部に記憶されたユーザ識別子に対応する複数のアクセス時刻の内、2番目に新しいアクセス時刻である。時間差算出部は、第1アクセス時刻と第2アクセス時刻との差であるアクセス時間差を算出する。不正利用判定部は、時間差算出部によって算出されたアクセス時間差が、期間決定部によって決定された判定期間よりも短い場合に、クライアントサーバシステムが不正利用されたと判定する。
【0006】
第1観点に係る不正利用検知システムは、クライアントサーバシステムにおいて、同一のユーザ識別子によってサーバが複数回アクセスされた場合に、アクセスに使用されたクライアント装置の位置情報とアクセス時刻とに基づいて、システムが不正利用されたか否かを判定する。以下、第1観点に係る不正利用検知システムの動作について、具体例を挙げて説明する。不正利用検知システムは、ユーザAのユーザ識別子が、クライアント装置Aからのアクセスに使用された場合に、クライアント装置Aの位置情報およびアクセス時刻を取得する。次に、不正利用検知システムは、ユーザAのユーザ識別子が、クライアント装置Aと異なるクライアント装置Bからのアクセスに使用された場合に、クライアント装置Bの位置情報およびアクセス時刻を取得する。次に、不正利用検知システムは、クライアント装置Aの位置情報とクライアント装置Bの位置情報とに基づいて、判定期間を決定する。判定期間は、通常、クライアント装置Aの設置場所からクライアント装置Bの設置場所までの距離が長いほど、長く設定される。次に、不正利用検知システムは、クライアント装置Aのアクセス時刻とクライアント装置Bのアクセス時刻との差であるアクセス時間差を算出する。次に、不正利用検知システムは、アクセス時間差が判定期間よりも短い場合に、ユーザAのユーザ識別子が使用されたクライアント装置Bからのアクセスは不正であると判定する。すなわち、不正利用検知システムは、ユーザAのユーザ識別子がクライアント装置Aからのアクセスに使用された後、所定の期間内に、ユーザAのユーザ識別子がクライアント装置Aと異なるクライアント装置Bからのアクセスに使用された場合に、システムが不正利用されたと判定する。
【0007】
第1観点に係る不正利用検知システムは、サーバへのアクセスのために使用されるユーザ識別子が流出してしまった場合でも、サーバへのアクセスに使用された端末の位置情報およびアクセス時刻に基づいて、システムの不正利用を検知することができる。従って、第1観点に係る不正利用検知システムは、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することができる。
【0008】
本発明の第2観点に係る不正利用検知システムは、第1観点に係る不正利用検知システムにおいて、アクセス情報管理部は、クライアント装置の固有情報に基づいて、位置情報を取得する。
【0009】
第2観点に係る不正利用検知システムは、各クライアント装置を一意に識別するための情報を用いて、クライアント装置の位置情報を取得する。不正利用検知システムは、例えば、各クライアント装置の固有情報と、各クライアント装置の位置情報とを対応付けて記憶し、サーバへのアクセスに使用されたクライアント装置の固有情報から、当該クライアント装置の位置情報を取得する。
【0010】
本発明の第3観点に係る不正利用検知システムは、第2観点に係る不正利用検知システムにおいて、固有情報は、クライアント装置に割り当てられたIPアドレスである。
【0011】
本発明の第4観点に係る不正利用検知システムは、第2観点に係る不正利用検知システムにおいて、固有情報は、クライアント装置のMACアドレスである。
【0012】
本発明の第5観点に係る不正利用検知システムは、第1観点に係る不正利用検知システムにおいて、クライアント装置は、GPS受信機を有し、かつ、アクセス情報管理部は、GPS受信機を用いて位置情報を取得する。
【0013】
第5観点に係る不正利用検知システムは、各クライアント装置に取り付けられたGPS受信機を用いて、各クライアント装置の位置情報を取得する。
【0014】
本発明の第6観点に係る不正利用検知システムは、第1観点乃至第5観点のいずれか1つに係る不正利用検知システムにおいて、警告報知部をさらに備える。警告報知部は、不正利用判定部によってクライアントサーバシステムが不正利用されたと判定された場合に、クライアント装置およびサーバの少なくとも一方に対して、その旨の警告を報知する。
【0015】
第6観点に係る不正利用検知システムは、システムの不正利用を検知した場合に、例えば、システムの管理者に対して、システムの不正利用を検知した旨の警告メールを送信し、アクセスログを管理者用端末の画面に表示する。
【0016】
本発明の第7観点に係る不正利用検知システムは、第1観点乃至第6観点のいずれか1つに係る不正利用検知システムにおいて、アクセス制限部をさらに備える。アクセス制限部は、不正利用判定部によってクライアントサーバシステムが不正利用されたと判定された場合に、クライアント装置からサーバへのアクセスを制限する。
【0017】
第7観点に係る不正利用検知システムは、システムの不正利用を検知した場合に、例えば、システムの不正利用が行われたクライアント装置からのサーバへのアクセスを禁止する。
【発明の効果】
【0018】
本発明に係る不正利用検知システムは、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することができる。
【図面の簡単な説明】
【0019】
【図1】本発明の第1実施形態における、不正利用検知システムの全体構成図である。
【図2】本発明の第1実施形態における、サーバのブロック構成図である。
【図3】本発明の第1実施形態における、アクセス情報テーブルの構成図である。
【図4】本発明の第1実施形態における、位置情報テーブルの構成図である。
【図5】本発明の第1実施形態における、判定期間テーブルの構成図である。
【図6A】本発明の第1実施形態における、不正利用検知のフローチャートである。
【図6B】本発明の第1実施形態における、不正利用検知のフローチャートである。図6Aのフローチャートの続きを表す図である。
【図7】本発明の変形例Aにおける、アクセス情報テーブルの構成図の一例である。
【図8】本発明の変形例Aにおける、アクセス情報テーブルの構成図の一例である。
【図9】本発明の変形例Bおよび変形例Cにおける、不正利用検知システムの全体構成図である。
【図10】本発明の変形例Bおよび変形例Cにおける、サーバのブロック構成図である。
【発明を実施するための形態】
【0020】
(1)全体構成
本発明の実施形態に係る不正利用検知システム10について、図面を参照しながら説明する。図1は、不正利用検知システム10の全体構成を例示するシステム構成図である。不正利用検知システム10は、サーバ20と、複数のクライアント装置30とを備えるクライアントサーバシステム(以下、単に「システム」と呼ぶ。)である。
【0021】
サーバ20は、デスクトップPCおよびワークステーション等の固定端末である。サーバ20には、入力装置25aおよび出力装置26aが接続されている。システムの管理者(以下、単に「管理者」と呼ぶ。)は、サーバ20を用いて、システムの設定および監視等、システムの管理を行う。
【0022】
クライアント装置30は、デスクトップPCおよびワークステーション等の固定端末である。クライアント装置30は、ネットワーク90を介してサーバ20に接続されている。ネットワーク90は、例えば、社内ネットワークとして用いられるLAN、広域イーサネット(登録商標)、VPN等である。システムのユーザ(以下、単に「ユーザ」と呼ぶ。)は、クライアント装置30を用いて、サーバ20にアクセスしてシステムを利用することができる。
【0023】
以下、説明を簡略化するために、本実施形態において、不正利用検知システム10は、図1に示されるように、東京、大阪およびロンドンの3箇所にオフィスを有する企業によって使用されるシステムであると仮定する。各オフィスには、クライアント装置30が3台ずつ設置され、システム全体では合計9台のクライアント装置30が設置されている。それぞれのクライアント装置30には、自身を識別するための符号(後述する「クライアント識別子」)が付与されている。
【0024】
(2)サーバの構成
図2は、サーバ20の構成を例示するブロック構成図である。サーバ20は、CPU21と、記憶装置22と、メモリ23と、ネットワークインターフェイス24と、入力インターフェイス25と、出力インターフェイス26と、内部時計27とを備える。以下、サーバ20の各構成要素について説明する。
【0025】
(2−1)CPU
CPU21は、不正利用検知システム10に必要な機能を実現する。CPU21は、記憶装置22に記憶されているプログラムおよびデータをメモリ23に一時的に読み出し、読み出したプログラムを実行して読み出したデータを処理する。その後、CPU21は、処理したデータを記憶装置22に書き込み、読み出したプログラムおよびデータをメモリ23から消去する。
【0026】
(2−2)記憶装置
記憶装置22は、ハードディスクドライブおよびリムーバブルメディア等の、大容量かつ不揮発性の補助記憶装置である。記憶装置22には、CPU21によってメモリ23に読み出されるプログラムおよびデータが半永続的に記憶される。記憶装置22は、アクセス情報テーブルT1と、位置情報テーブルT2と、判定期間テーブルT3とを記憶する。
【0027】
(2−2−1)アクセス情報テーブル
アクセス情報テーブルT1の構成を図3に示す。アクセス情報テーブルT1の各レコードは、ユーザ識別子F11、クライアント識別子F12およびアクセス時刻F13の3つのフィールドを格納する。
【0028】
ユーザ識別子F11は、ユーザを一意に識別するために、各ユーザに付与された符号である。本実施形態において、ユーザ識別子F11は、「U1234」のように、文字「U」の後に4桁の数値が結合された符号で表される。各ユーザは、任意のクライアント装置30のログイン画面に、自身のユーザ識別子F11およびログイン用パスワードを入力することによって、サーバ20にアクセスすることができる。
【0029】
クライアント識別子F12は、クライアント装置30を一意に識別するために、各クライアント装置30に付与された符号である。本実施形態において、クライアント識別子F12は、「C1234」のように、文字「C」の後に4桁の数値が結合された符号で表される。図1に示されるように、本実施形態において、東京オフィスの3台のクライアント装置30にはクライアント識別子「C0101」・「C0102」・「C0103」がそれぞれ付与され、大阪オフィスの3台のクライアント装置30にはクライアント識別子「C0201」・「C0202」・「C0203」がそれぞれ付与され、ロンドンオフィスの3台のクライアント装置30にはクライアント識別子「C0301」・「C0302」・「C0303」がそれぞれ付与される。
【0030】
アクセス時刻F13は、ユーザがクライアント装置30を用いてサーバ20にアクセスした日時を表す。本実施形態において、アクセス時刻F13は、「yyyyMMddHHmmss」形式の14桁の数値で表される。例えば、アクセス時刻「20110323183240」は、2011年3月23日18時32分40秒にサーバ20がアクセスされたことを意味する。
【0031】
アクセス情報テーブルT1は、クライアント装置30からサーバ20がアクセスされる度に更新される。アクセス情報テーブルT1の各レコードは、アクセス時刻F13の降順に自動的に整列される。すなわち、図3において、アクセス情報テーブルT1は、各レコードを、アクセス時刻F13が新しい順に上から下に並べて格納する。
【0032】
例として、図3に示されるアクセス情報テーブルT1の一番上のレコードは、ユーザ識別子F11「U0011」を用いて、クライアント識別子F12「C0103」が付与されたクライアント装置30から、2011年1月10日9時50分00秒にサーバ20がアクセスされたことを表す。
【0033】
(2−2−2)位置情報テーブル
位置情報テーブルT2の構成を図4に示す。位置情報テーブルT2の各レコードは、クライアント識別子F21および位置情報F22の2つのフィールドを格納する。
【0034】
クライアント識別子F21は、アクセス情報テーブルT1に格納されるクライアント識別子F12と同様に、クライアント装置30を一意に識別するために、各クライアント装置30に付与された符号である。位置情報F22は、クライアント識別子F12が付与されたクライアント装置30が設置されている場所に関する情報である。本実施形態では、位置情報F22は、各クライアント装置30が設置されているオフィスがある都市の名前を表す英文字列である。
【0035】
例として、図4に示される位置情報テーブルT2は、クライアント識別子F21「C0102」が付与されたクライアント装置30は、東京(Tokyo)に設置され、クライアント識別子F21「C0301」が付与されたクライアント装置30は、ロンドン(London)に設置されていることを表す。
【0036】
管理者は、各クライアント装置30に対応する位置情報F22を、位置情報テーブルT2に予め入力する。管理者のみが、位置情報テーブルT2を修正および更新するための権限を有する。
【0037】
(2−2−3)判定期間テーブル
判定期間テーブルT3の構成を図5に示す。判定期間テーブルT3は、位置情報テーブルT2の位置情報F22に格納される文字列、および、「判定期間」を格納する。本実施形態において、判定期間は、システムの不正利用を検知するために使用される情報であり、位置情報F22で表される任意の2地点に関する所定期間を表す。判定期間は、「HHmm」形式の4桁の数値で表される。例えば、判定期間「0630」は、6時間30分を表す。
【0038】
例として、図5に示される判定期間テーブルT3において、「Osaka(大阪)」のフィールドと「Tokyo(東京)」のレコードが交差するセルに格納されている値は、「0200」である。すなわち、大阪と東京に関する判定期間は、2時間である。また、「Tokyo(東京)」のフィールドと「London(ロンドン)」のレコードが交差するセルに格納されている値は、「1200」である。すなわち、東京とロンドンに関する判定期間は、12時間である。通常、任意の2地点の間の移動時間が長いほど、当該2地点に関する判定期間は長く設定される。任意の2地点が同一の場合、判定期間は0時間である。
【0039】
管理者は、判定期間を、判定期間テーブルT3に予め入力する。管理者のみが、判定期間テーブルT3を修正および更新するための権限を有する。
【0040】
(2−3)メモリ
メモリ23は、DRAMやSRAM等の、低容量かつ揮発性の主記憶装置である。メモリ23は、プログラムおよびデータを一時的に記憶して、プログラムの実行およびデータの処理を行うために、CPU21が使用する作業領域である。メモリ23は、図2に示されるように、アクセス情報管理部31と、期間決定部32と、時間差算出部33と、不正利用判定部34と、警告表示部35と、アクセス制限部36とを有する。CPU21は、記憶装置22から所定のプログラムをメモリ23に読み出して実行することで、メモリ23が有する各構成要素が持つ機能を実現する。
【0041】
(2−3−1)アクセス情報管理部
アクセス情報管理部31は、クライアント装置30からサーバ20へのアクセスが発生した時に、当該アクセスを検知して、アクセス情報テーブルT1を更新する。
【0042】
アクセス情報管理部31は、後述するネットワークインターフェイス40を通過するパケットを監視して、クライアント装置30からサーバ20へのアクセスを検知する。アクセス情報管理部31は、サーバ20へのアクセスを検知した場合に、アクセスに使用されたユーザ識別子F11およびクライアント識別子F12を取得し、かつ、アクセスが発生した時刻であるアクセス時刻F13を取得する。アクセス時刻F13の値は、サーバ20の内部時計27が示す現在時刻に基づいて決定される。
【0043】
次に、アクセス情報管理部31は、取得したユーザ識別子F11、クライアント識別子F12およびアクセス時刻F13に基づいて、アクセス情報テーブルT1を更新する。
【0044】
(2−3−2)期間決定部
期間決定部32は、アクセス情報テーブルT1、位置情報テーブルT2および判定期間テーブルT3に格納されたデータに基づいて、判定期間を決定する。
【0045】
最初に、期間決定部32は、クライアント装置30からサーバ20へのアクセスが発生した時に、当該アクセスに関する情報がアクセス情報管理部31によって追加されたアクセス情報テーブルT1から、当該アクセスに関するレコードである第1レコードR1を取得する。第1レコードR1は、図3において、アクセス情報テーブルT1の一番上方に格納されているレコードである。
【0046】
次に、期間決定部32は、アクセス情報テーブルT1が第2レコードR2を有すると判定した場合に、第2レコードR2を取得する。第2レコードR2は、第1レコードR1に格納されているユーザ識別子F11と同じユーザ識別子F11を有し、第1レコードR1に格納されているクライアント識別子F12と異なるクライアント識別子F12を有するレコードの内、アクセス時刻F13が最新のレコードである。
【0047】
次に、期間決定部32は、位置情報テーブルT2を用いて、第1レコードR1に格納されているクライアント識別子F12に対応する位置情報F22である第1位置情報と、第2レコードR2に格納されているクライアント識別子F12に対応する位置情報F22である第2位置情報とを取得する。
【0048】
次に、期間決定部32は、判定期間テーブルT3を用いて、第1位置情報と第2位置情報とから判定期間を決定する。
【0049】
(2−3−3)時間差算出部
時間差算出部33は、アクセス情報テーブルT1に基づいて、アクセス時間差を算出する。アクセス時間差は、第1レコードR1に格納されているアクセス時刻F13である第1アクセス時刻と、第2レコードR2に格納されているアクセス時刻F13である第2アクセス時刻との差である。
【0050】
(2−3−4)不正利用判定部
不正利用判定部34は、時間差算出部33によって算出されたアクセス時間差が、期間決定部32によって決定された判定期間より短い場合に、システムが不正利用されたと判定する。具体的には、不正利用判定部34は、第1レコードR1に格納されているユーザ識別子F11を用いて、当該ユーザ識別子F11を付与されたユーザ以外の者が、第1レコードR1に格納されているクライアント識別子F12に対応するクライアント装置30から、サーバ20に不正にアクセスしたと判断する。
【0051】
(2−3−5)警告表示部
警告表示部35は、不正利用判定部34によってシステムが不正利用されたと判定された場合に、管理者に対して警告をする。例えば、システムが不正利用された旨や、不正なアクセスのために使用されたクライアント装置30のクライアント識別子F12や、不正なアクセスが行われた時刻等を、サーバ20の出力装置26aに表示する。
【0052】
(2−3−6)アクセス制限部
アクセス制限部36は、不正利用判定部34によってシステムが不正利用されたと判定された場合に、クライアント装置30からサーバ20へのアクセスを制限する。例えば、不正なアクセスのために使用されたクライアント装置30からサーバ20へのアクセスを、禁止あるいは制限する。なお、アクセス制限部36によるアクセス制限の具体的な内容は、管理者によって予め設定されて、記憶装置22に記憶される。
【0053】
(2−4)ネットワークインターフェイス
ネットワークインターフェイス24は、ネットワーク内でコンピュータ間の通信を行うために必要な、LANカード等のハードウェアである。ネットワークインターフェイス24は、ネットワーク90をサーバ20に接続する。
【0054】
(2−5)入力インターフェイス
入力インターフェイス25は、PS/2、USB、IEEE1394およびRS−232C等のインターフェイス規格に対応する接続端子を備える機器である。入力インターフェイス25は、入力装置25aをサーバ20に接続する。入力装置25aは、例えば、キーボード、マウスおよびスキャナである。管理者は、入力装置25aを用いて、位置情報テーブルT2および判定期間テーブルT3を修正および更新し、および、アクセス制限部36によるクライアント装置30からサーバ20へのアクセス制限の設定を行うことができる。
【0055】
(2−6)出力インターフェイス
出力インターフェイス26は、AGP、PCI ExpressおよびRS−232C等のインターフェイス規格に対応する接続端子を備える機器である。出力インターフェイス26は、出力装置26aをサーバ20に接続する。出力装置26aは、例えば、CRTディスプレイおよび液晶ディスプレイ等である。管理者は、出力装置26aを用いて、警告表示部35から警告を受け取ることができる。
【0056】
(2−7)内部時計
内部時計27は、サーバ20が設置されている場所が属するタイムゾーンの現在時刻を取得する。CPU21は、内部時計27が取得した現在時刻に基づいて、メモリ23が有する各機能を実行する。内部時計27は、定期的に、FTPサーバにアクセスして時刻補正を行う。
【0057】
(3)動作
本実施形態に係る不正利用検知システム10においてシステムの不正利用を検知する「不正利用検知ルーチン」について、図6Aおよび図6Bに示されるフローチャートに従って説明する。その際、図3乃至図5に示されるアクセス情報テーブルT1、位置情報テーブルT2および判定期間テーブルT3を用いて、ステップS101乃至S110の動作を具体的に説明する。図4に示される位置情報テーブルT2および図5に示される判定期間テーブルT3は、管理者によって予め作成され、記憶装置22に記憶されている。なお、この不正利用検知ルーチンは、サーバ20によって、バックグラウンドで繰り返し実行される。
【0058】
ステップS101において、アクセス情報管理部31は、クライアント装置30からサーバ20がアクセスされているか否かを判定する。サーバ20がアクセスされている場合、ステップS102に移行する。サーバ20がアクセスされていない場合、不正利用検知ルーチンは終了する。
【0059】
ステップS102において、アクセス情報管理部31は、アクセス情報テーブルT1を更新する。具体的には、アクセス情報管理部31は、ステップS101で判定されたアクセス(以下、「本アクセス」と呼ぶ。)に関するユーザ識別子F11、クライアント識別子F12およびアクセス時刻F13を取得して、第1レコードR1としてアクセス情報テーブルT1に追加する。この時点において、記憶装置22には、図3に示されるアクセス情報テーブルT1が記憶されている。本アクセスは、第1レコードR1に示されるように、ユーザ識別子F11「U0011」を用いて、クライアント識別子F12「C0103」を有するクライアント装置30から、2011年1月10日9時50分00秒に行われたアクセスである。次に、ステップS103に移行する。
【0060】
ステップS103において、期間決定部32は、アクセス情報テーブルT1が第2レコードR2を有しているか否かを判定する。アクセス情報テーブルT1が第2レコードR2を有している場合、ステップS104に移行する。アクセス情報テーブルT1が第2レコードR2を有していない場合、不正利用検知ルーチンは終了する。本アクセスにおいて、図3に示されるアクセス情報テーブルT1には、第1レコードR1のユーザ識別子F11「U0011」と同じユーザ識別子F11を有し、かつ、第1レコードR1のクライアント識別子F12「C0103」と異なるクライアント識別子F12を有する2個のレコードが存在する。当該2個のレコードの内、アクセス時刻F13が最新のレコードが、第2レコードR2である。図3に示されるアクセス情報テーブルT1において、第2レコードR2に関するアクセスは、ユーザ識別子F11「U0011」を用いて、クライアント識別子F12「C0201」を有するクライアント装置30から、2011年1月10日8時20分00秒に行われたアクセスである。次に、ステップS104に移行する。
【0061】
ステップS104において、期間決定部32は、第1位置情報および第2位置情報を取得する。本アクセスにおいて、図4に示される位置情報テーブルT2に示されるように、第1レコードR1のクライアント識別子F12「C0103」に対応する位置情報F22である第1位置情報は「Tokyo(東京)」であり、第2レコードR2のクライアント識別子F12「C0201」に対応する位置情報F22である第2位置情報は「Osaka(大阪)」である。次に、ステップS105に移行する。
【0062】
ステップS105において、期間決定部32は、第1位置情報および第2位置情報に基づいて、判定期間を決定する。本アクセスにおいて、図5に示される判定期間テーブルT3に示されるように、「Tokyo(東京)」および「Osaka(大阪)」に関する判定期間は、2時間と決定される。次に、ステップS106に移行する。
【0063】
ステップS106において、時間差算出部33は、アクセス時間差を算出する。本アクセスにおいて、図3に示されるアクセス情報テーブルT1に示されるように、第1レコードR1のアクセス時刻F13は2011年1月10日9時50分00秒であり、第2レコードR2のアクセス時刻F13は2011年1月10日8時20分00秒である。従って、アクセス時間差は、これらの2つのアクセス時刻の差である1時間30分と算出される。次に、ステップS107に移行する。
【0064】
ステップS107において、不正利用判定部34は、アクセス時間差が判定期間より短いか否かを判定する。アクセス時間差が判定期間より短い場合、ステップS108に移行する。アクセス時間差が判定期間と等しいか、または、判定期間より長い場合、不正利用検知ルーチンは終了する。本アクセスにおいて、ステップS106において算出されたアクセス時間差は1時間30分であり、ステップS105において決定された判定期間は2時間である。従って、アクセス時間差が判定期間より短いので、ステップS108に移行する。
【0065】
ステップS108において、不正利用判定部34は、システムの不正利用を検知する。本アクセスにおいて、不正利用判定部34は、第1レコードR1に関するアクセスは、サーバ20への不正なアクセスであると判断する。すなわち、不正利用判定部34は、第1レコードR1に関するアクセスは、ユーザ識別子F11「U0011」が付与されたユーザ以外の者によって、ユーザ識別子F11「U0011」が不正に使用されたアクセスであると判断する。次に、ステップS109に移行する。
【0066】
ステップS109において、警告表示部35は、管理者に対して、システムが不正利用された旨の警告をする。本アクセスにおいて、警告表示部35は、ユーザ識別子F11「U0011」を用いてシステムが不正利用された旨の警告、および、システムの不正利用に使用されたクライアント端末30のクライアント識別子F12「C0103」等を出力装置26aに表示する。次に、ステップS110に移行する。
【0067】
ステップS110において、アクセス制限部36は、クライアント装置30からサーバ20へのアクセスを制限する。本アクセスにおいて、アクセス制限部36は、システムの不正利用に使用されたユーザ識別子F11「U0011」を用いたサーバ20へのアクセスを一時的に禁止する。
【0068】
ステップS110の実行後、不正利用検知ルーチンは終了する。不正利用検知ルーチンは、バックグラウンドで繰り返し実行されるので、ステップS110の実行後、ステップS101が再度実行される。
【0069】
(4)特徴
(4−1)
本実施形態に係る不正利用検知システム10では、アクセス情報テーブルT1、位置情報テーブルT2および判定期間テーブルT3を用いて、アクセスに使用されたクライアント装置30の位置情報とアクセス時刻とに基づいて、システムの不正利用を検知する。
【0070】
本実施形態では、あるユーザAが、ユーザAに付与された正規なユーザ識別子を用いてクライアント装置Aからサーバにアクセスし、その後、所定の期間内に、ユーザBが、ユーザAのユーザ識別子を用いてクライアント装置Aと異なるクライアント装置Bからサーバにアクセスした場合に、ユーザBによるアクセスをシステムの不正利用と判定する。このケースにおいて、クライアント装置Bが、クライアント装置Aの設置場所から最低2時間は移動に要する場所に設置されていると仮定すると、ユーザAが、クライアント装置Aからサーバにアクセスし、ユーザAが、1時間後にクライアント装置Bからサーバにアクセスすることは、物理的に不可能である。そこで、クライアント装置Bからのアクセスは、ユーザA以外の者が、ユーザAに付与されたユーザ識別子を用いて行ったアクセスであると判断する。すなわち、本実施形態では、クライアント装置Bからサーバへのアクセスが行われた時点で、システムの不正利用を検知することができる。
【0071】
従って、本実施形態では、サーバへのアクセスのために使用されるユーザ識別子が流出してしまった場合でも、サーバへのアクセスに使用されたクライアント装置の位置情報と、サーバへのアクセス時刻とに基づいて、システムの不正利用を早期に検知することができる。これにより、本実施形態に係る不正利用検知システムは、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することができる。
【0072】
(4−2)
本実施形態に係る不正利用検知システム10では、不正利用判定部34によってシステムが不正利用されたと判定された場合に、警告表示部35は、管理者に対して警告して不正なアクセスに関する情報を提供し、アクセス制限部36は、不正なアクセスに使用されたクライアント装置30からサーバ20へのアクセスを制限する。
【0073】
従って、本実施形態では、システムの不正利用が検知された場合に、管理者は、不正なアクセスに使用されたクライアント装置からのアクセスを一定期間禁止することや、不正なアクセスに使用されたユーザ識別子の正規の所有者であるユーザに対してパスワードを直ちに変更する指示を与える等、システムの不正利用の対応策を速やかに取ることができる。これにより、本実施形態に係る不正利用検知システムは、システムを利用するための情報が流出してシステムが不正に利用された場合であっても、システムを正常な状態に早期に回復させることができる。
【0074】
(5)変形例
以上、本発明の実施形態について図面を参照しながら説明したが、本発明の具体的構成は、本発明の要旨を逸脱しない範囲内で変更可能である。本発明の実施形態に係る不正利用検知システム10は、種種の規模のネットワーク内で使用されるクライアントサーバシステムにも適用することができる。
【0075】
以下、本発明の実施形態に係る不正利用検知システム10に対する適用可能な変形例について説明する。
【0076】
(5−1)変形例A
本実施形態に係る不正利用検知システム10では、アクセス情報テーブルT1は、クライアント装置30に付与されたクライアント識別子F12を格納し、かつ、期間決定部32は、アクセス情報テーブルT1および位置情報テーブルT2に基づいて、クライアント装置30の位置情報F22を取得する。しかし、アクセス情報テーブルT1は、クライアント装置30を一意に識別することができる情報であれば、例えば、クライアント装置30のIPアドレスおよびMACアドレス等を格納してもよい。
【0077】
本変形例におけるアクセス情報テーブルの一つの例を図7に示す。図7に示されるアクセス情報テーブルT11の各レコードには、ユーザ識別子F111、IPアドレスF112およびアクセス時刻F113の3つのフィールドが格納される。ユーザ識別子F111およびアクセス時刻F113は、それぞれ、本実施形態におけるユーザ識別子F11およびアクセス時刻F13と同一である。IPアドレスF112は、ネットワーク90内の各クライアント装置30に割り当てられたIPアドレスである。クライアント装置30のIPアドレスは、ネットワーク90内において各クライアント装置30に固有であるため、各クライアント装置30を一意に識別することができる符号として使用することができる。
【0078】
また、本変形例におけるアクセス情報テーブルの他の例を図8に示す。図8に示されるアクセス情報テーブルT21の各レコードには、ユーザ識別子F211、MACアドレスF212およびアクセス時刻F213の3つのフィールドが格納される。ユーザ識別子F211およびアクセス時刻F213は、それぞれ、本実施形態におけるユーザ識別子F11およびアクセス時刻F13と同一である。MACアドレスF212は、ネットワーク90内の各クライアント装置30が備えるネットワークインターフェイス24に割り当てられたMACアドレスである。ネットワークインターフェイス24のMACアドレスは、各ネットワークインターフェイス24に固有であるため、各クライアント装置30を一意に識別することができる情報として使用することができる。
【0079】
(5−2)変形例B
本実施形態に係る不正利用検知システム10では、管理者は、位置情報テーブルT2に、各クライアント装置30の位置情報F22を予め入力する必要がある。しかし、各クライアント装置30に取り付けられたGPS受信機30aから送信された情報に基づいて、位置情報テーブルT2が自動的に更新されてもよい。この場合、管理者は、位置情報テーブルT2に、各クライアント装置30の位置情報F22を予め入力する必要がない。
【0080】
本変形例における不正利用検知システム110の全体構成図を図9に示し、不正利用検知システム110が備えるサーバ120のブロック構成図を図10に示す。(図10には、後述する変形例Cで使用される「判定期間更新部38」も示されている。)本変形例では、各クライアント装置30にはGPS受信機30aが取り付けられる。GPS受信機30aは、GPS衛星30bからの信号を受信して、クライアント装置30の現在位置に関する情報を取得することができる。現在位置に関する情報は、例えば、経緯度および地名等である。
【0081】
本変形例において、サーバ120のメモリ23は、位置情報更新部37をさらに有する。位置情報更新部37は、各クライアント装置30に取り付けられたGPS受信機30aに対して、クライアント装置30の現在位置に関する情報の送信を要求する。次に、位置情報更新部37は、各GPS受信機30aから、クライアント装置30の現在位置に関する情報を受信して、当該情報に基づいて位置情報テーブルT2を更新する。すなわち、位置情報更新部37は、GPS受信機30aによって、クライアント装置30の現在位置をリアルタイムに把握することができる。
【0082】
本変形例に係る不正利用検知システム110では、管理者は、クライアント装置30の現在位置が変更された場合でも、位置情報テーブルT2を更新する必要がない。従って、本変形例では、クライアント装置30が持ち運び可能な端末であっても、システムの不正利用を検知することができる。例えば、クライアント装置30は、ラップトップPCおよびスマートフォン等の携帯端末であってもよい。
【0083】
(5−3)変形例C
変形例Bに係る不正利用検知システム110では、サーバ120のメモリ23は、位置情報テーブルT2を自動的に更新する位置情報更新部37を有するが、判定期間テーブルT3を自動的に更新する判定期間更新部38をさらに備えてもよい。
【0084】
本変形例における不正利用検知システム110の全体構成図を図9に示し、不正利用検知システム110が備えるサーバ120のブロック構成図を図10に示す。本変形例では、判定期間更新部38は、位置情報更新部37が取得したクライアント装置30の現在位置を表す経緯度に基づいて、判定期間テーブルT3を自動的に更新する。地球上のある2地点の経度および緯度が取得できれば、当該2地点間の距離を算出することができる。判定期間更新部38は、各クライアント装置30の現在位置の経緯度から、任意の2個のクライアント装置30間の距離を算出する。次に、判定期間更新部38は、算出した距離に基づいて判定期間を算出し、判定期間テーブルT3を更新する。例えば、判定期間更新部38は、任意の2個のクライアント装置30間の距離(単位はkm)を200で除した値を、判定期間(単位は時間)として使用する。この場合、判定期間更新部38は、ある2個のクライアント装置30間の距離が500kmである場合、判定期間は2時間30分(2.5時間)であると算出する。
【0085】
本変形例に係る不正利用検知システム110では、管理者は、クライアント装置30の現在位置が変更された場合でも、位置情報テーブルT2を更新する必要がなく、かつ、判定期間テーブルT3に格納される判定期間を予め設定しておく必要がない。
【0086】
(5−4)変形例D
本実施形態に係る不正利用検知システム10では、アクセス制限部36は、システムの不正利用に使用されたユーザ識別子F11「U0011」を用いたサーバ20へのアクセスを一時的に禁止するが、アクセス制限部36は、システムの不正利用に使用されたクライアント識別子F12「C0103」を有するクライアント装置30からのサーバ20へのアクセスを一時的に禁止してもよい。また、アクセス制限部36は、サーバ20へのアクセスを禁止する代わりに、サーバ20へのアクセス権限を制限してもよい。例えば、アクセス制限部36は、システムの不正利用に使用されたユーザ識別子F11「U0011」を用いたサーバ20へのアクセスに関して、サーバ20に保持されているデータの読み込みを許可し、かつ、書き込みを禁止してもよい。
【産業上の利用可能性】
【0087】
本発明に係る不正利用検知システムは、システムを利用するための情報が流出した場合に、システムの不正な利用を早期に検知することができる。
【符号の説明】
【0088】
10,110 不正利用検知システム
20 サーバ
30 クライアント装置
30a GPS受信機
31 アクセス情報管理部
32 期間決定部
33 時間差算出部
34 不正利用判定部
35 警告報知部
36 アクセス制限部
【先行技術文献】
【特許文献】
【0089】
【特許文献1】特開2009−110091号公報
【特許請求の範囲】
【請求項1】
複数のクライアント装置(30)と、前記クライアント装置からアクセス可能なサーバ(20)とを有するクライアントサーバシステムの不正利用を検知する不正利用検知システム(10,110)であって、
前記サーバがアクセスされた時に、アクセス認証に使用されたユーザ識別子と、前記ユーザ識別子によるアクセスに使用された前記クライアント装置の位置情報と、前記ユーザ識別子によるアクセス時刻と、を取得し、かつ、対応付けて記憶するアクセス情報管理部(31)と、
前記アクセス情報管理部に記憶された前記ユーザ識別子に対応する複数の前記アクセス時刻の内、最新の前記アクセス時刻である第1アクセス時刻、および、2番目に新しい前記アクセス時刻である第2アクセス時刻に関して、前記第1アクセス時刻に対応する前記位置情報である第1位置情報と、前記第2アクセス時刻に対応する前記位置情報である第2位置情報とが異なる場合に、前記第1位置情報および前記第2位置情報に基づいて判定期間を決定する期間決定部(32)と、
前記第1アクセス時刻と前記第2アクセス時刻との差であるアクセス時間差を算出する時間差算出部(33)と、
前記時間差算出部によって算出された前記アクセス時間差が、前記期間決定部によって決定された前記判定期間よりも短い場合に、前記クライアントサーバシステムが不正利用されたと判定する不正利用判定部(34)と、
を備える、
不正利用検知システム。
【請求項2】
前記アクセス情報管理部は、前記クライアント装置の固有情報に基づいて、前記位置情報を取得する、
請求項1に記載の不正利用検知システム。
【請求項3】
前記固有情報は、前記クライアント装置に割り当てられたIPアドレスである、
請求項2に記載の不正利用検知システム。
【請求項4】
前記固有情報は、前記クライアント装置のMACアドレスである、
請求項2に記載の不正利用検知システム。
【請求項5】
前記クライアント装置は、GPS受信機(30a)を有し、
前記アクセス情報管理部は、前記GPS受信機を用いて前記位置情報を取得する、
請求項1に記載の不正利用検知システム。
【請求項6】
前記不正利用判定部によって前記クライアントサーバシステムが不正利用されたと判定された場合に、前記クライアント装置および前記サーバの少なくとも一方に対して、その旨の警告を報知する警告報知部(35)をさらに備える、
請求項1から5のいずれか1項に記載の不正利用検知システム。
【請求項7】
前記不正利用判定部によって前記クライアントサーバシステムが不正利用されたと判定された場合に、前記クライアント装置から前記サーバへのアクセスを制限するアクセス制限部(36)をさらに備える、
請求項1から6のいずれか1項に記載の不正利用検知システム。
【請求項1】
複数のクライアント装置(30)と、前記クライアント装置からアクセス可能なサーバ(20)とを有するクライアントサーバシステムの不正利用を検知する不正利用検知システム(10,110)であって、
前記サーバがアクセスされた時に、アクセス認証に使用されたユーザ識別子と、前記ユーザ識別子によるアクセスに使用された前記クライアント装置の位置情報と、前記ユーザ識別子によるアクセス時刻と、を取得し、かつ、対応付けて記憶するアクセス情報管理部(31)と、
前記アクセス情報管理部に記憶された前記ユーザ識別子に対応する複数の前記アクセス時刻の内、最新の前記アクセス時刻である第1アクセス時刻、および、2番目に新しい前記アクセス時刻である第2アクセス時刻に関して、前記第1アクセス時刻に対応する前記位置情報である第1位置情報と、前記第2アクセス時刻に対応する前記位置情報である第2位置情報とが異なる場合に、前記第1位置情報および前記第2位置情報に基づいて判定期間を決定する期間決定部(32)と、
前記第1アクセス時刻と前記第2アクセス時刻との差であるアクセス時間差を算出する時間差算出部(33)と、
前記時間差算出部によって算出された前記アクセス時間差が、前記期間決定部によって決定された前記判定期間よりも短い場合に、前記クライアントサーバシステムが不正利用されたと判定する不正利用判定部(34)と、
を備える、
不正利用検知システム。
【請求項2】
前記アクセス情報管理部は、前記クライアント装置の固有情報に基づいて、前記位置情報を取得する、
請求項1に記載の不正利用検知システム。
【請求項3】
前記固有情報は、前記クライアント装置に割り当てられたIPアドレスである、
請求項2に記載の不正利用検知システム。
【請求項4】
前記固有情報は、前記クライアント装置のMACアドレスである、
請求項2に記載の不正利用検知システム。
【請求項5】
前記クライアント装置は、GPS受信機(30a)を有し、
前記アクセス情報管理部は、前記GPS受信機を用いて前記位置情報を取得する、
請求項1に記載の不正利用検知システム。
【請求項6】
前記不正利用判定部によって前記クライアントサーバシステムが不正利用されたと判定された場合に、前記クライアント装置および前記サーバの少なくとも一方に対して、その旨の警告を報知する警告報知部(35)をさらに備える、
請求項1から5のいずれか1項に記載の不正利用検知システム。
【請求項7】
前記不正利用判定部によって前記クライアントサーバシステムが不正利用されたと判定された場合に、前記クライアント装置から前記サーバへのアクセスを制限するアクセス制限部(36)をさらに備える、
請求項1から6のいずれか1項に記載の不正利用検知システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2012−212354(P2012−212354A)
【公開日】平成24年11月1日(2012.11.1)
【国際特許分類】
【出願番号】特願2011−78178(P2011−78178)
【出願日】平成23年3月31日(2011.3.31)
【出願人】(000002853)ダイキン工業株式会社 (7,604)
【Fターム(参考)】
【公開日】平成24年11月1日(2012.11.1)
【国際特許分類】
【出願日】平成23年3月31日(2011.3.31)
【出願人】(000002853)ダイキン工業株式会社 (7,604)
【Fターム(参考)】
[ Back to top ]