不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム
【課題】 コンピュータに対する不正操作を監視するために、コンピュータを操作するユーザの一連の操作経過から示される不審値を反映して不正スコアを算出する不正操作監視プログラムを提供することを目的とする。
【解決手段】 本発明においては、対象イベントについて不正操作の確率を示す不正スコアを算出すると、算出された不正スコアの水準に対応した不審値(PSV)を設定する。次回に新たなイベントが発生した場合には、新たなイベントについて算出したスコア(原スコア)に対して、前回イベントで設定されたPSVを反映した不正スコアを算出することによって、不審値が高い操作が繰り返される場合には、不正スコアとして通常に算出した場合のスコア値より高いスコアが算出されるよう構成されている。
【解決手段】 本発明においては、対象イベントについて不正操作の確率を示す不正スコアを算出すると、算出された不正スコアの水準に対応した不審値(PSV)を設定する。次回に新たなイベントが発生した場合には、新たなイベントについて算出したスコア(原スコア)に対して、前回イベントで設定されたPSVを反映した不正スコアを算出することによって、不審値が高い操作が繰り返される場合には、不正スコアとして通常に算出した場合のスコア値より高いスコアが算出されるよう構成されている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータに対する不正操作を監視するために、コンピュータを操作するユーザの一連の操作経過から示される不審値を反映して不正スコアを算出する不正操作監視プログラム、不正操作監視方法、及び不正操作監視システムに関するものである。
【背景技術】
【0002】
企業等においてコンピュータを使用する場合、インターネット等のネットワークを通じて外部から不正なデータが侵入を防止することと合わせて、コンピュータの不正操作によって内部からのデータ流出や情報漏洩を防止することが重要な課題となっている。出願人は、このような内部からの情報漏洩を防止するために、コンピュータへの不正操作を自動的に検出して対策を講ずる内部情報漏洩対策システムを提供している(http://www.iwi.co.jp/japanese/CWAT/index.html)。
【0003】
上記の内部情報漏洩対策システムにおいては、コンピュータのユーザによる通常とは異なる特異挙動を監視して、各々の操作についての不正の可能性を判定し、不正行為である可能性が高いと判断される場合には、プリンタへの出力や外部ディスクへの書出しを停止するなどの(例えば、特許文献1参照。)、情報漏洩を防止するための所定の動作を実行する。不正の可能性の判定においては、不正行為の一般的なルールと対照させる他に、ユーザ毎のプロファイルを参照して日常的な操作と異なる特異挙動を検出したり、ユーザ毎のみでなくノード単位でのプロファイルを参照したりするなど(例えば、特許文献2参照。)、様々な判定方法を採用することができる
【0004】
【特許文献1】特開2005−149243号公報
【特許文献2】国際公開第05/048119号パンフレット
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記のように、コンピュータに対する操作を監視して不正操作の可能性を判定する場合には、個々に行われた操作に対して、一般的なルールやユーザ毎の行動パターンと対照させることによって、一般的に不正行為であることが多い場合(例えば、大容量のデータの書出しを行う場合)や操作を行ったユーザにとって特異挙動と認められる場合(例えば、通常はコンピュータを操作しないユーザの休日にデータの出力操作を行う場合)に該当すると、不正操作の可能性が高いと判定している。つまり、不正操作の判定は、個々の操作について各々行われることとなっている。
【0006】
しかしながら、同じ不正操作の可能性が高いと判定される操作であっても、その以前に行われた一連の操作の手順によって、不正操作である可能性は異なることが通常である。例えば、同じ大容量のデータの書出しという操作であっても、通常の業務時間中にコンピュータが起動され、文書の作成等が行われた後に書出しが行われる場合と、業務時間外である深夜にコンピュータが起動され、大容量のデータのコピーから連続して書出しが行われる場合とであれば、一連の操作として捉えた場合には明らかに後者の挙動のほうが不審の度合いが高いものと考えられる。
【0007】
従って、コンピュータに対する操作を監視して、不正操作である可能性をより精緻に判定するためには、コンピュータに対して行われた操作の不審の度合を個々に捉えて判定するよりも、ユーザの一連の連続操作の流れを反映した不審の度合を示す不審値を用いて判定を行うことが好ましい。
【0008】
本発明は、このような課題に対応するためになされたものであり、コンピュータに対する不正操作を監視するために、コンピュータを操作するユーザの一連の操作経過から示される不審値を反映して不正スコアを算出する不正操作監視プログラム、不正操作監視方法、及び不正操作監視システムに関するものである。
【課題を解決するための手段】
【0009】
本発明においては、ユーザの操作が不正操作である可能性を示す不正スコアを算出すると、算出された不正スコアの水準に対応した不審値を設定する。次回に新たな操作が行われた場合には、該操作について算出した新たなスコアに対して、前回の操作で設定された不審値を反映して不正スコアを算出することによって、不正操作の可能性が高い操作が連続して行われる場合や、より不審値が高い操作が繰り返される場合には、不正スコアとしてより高いスコアが算出されるよう構成されている。
【0010】
本発明にかかる不正操作監視プログラムは、コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視プログラムであって、前記コンピュータのメモリには、前記ユーザの操作によって発生したn−1回目のイベントにおける不正スコアを反映して設定した不審値が一時記憶されていて、前記コンピュータに、前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付ステップと、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記イベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納部、若しくは前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納部の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出ステップと、n−1回目のイベントを受け付けた時間と、n回目のイベントを受け付けた時間との時間差を算出する時間差算出ステップと、前記原スコアに、前記時間差と、前記コンピュータのメモリ領域から読み出した前記不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出ステップと、前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止ステップと、前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させる不審値更新ステップと、を実行させることを特徴とする不正操作監視プログラムである。
【0011】
また、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータには、不正スコアのレベルに対応する乗算値を定めて記憶した乗算値記憶部が備えられていて、前記不審値更新ステップにおいては、前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアに対応する乗算値を前記乗算値記憶部から取得し、前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値に前記乗算値を乗じることによって、n回目のイベントにおける不正スコアを反映して設定した不審値に更新することを特徴とすることもできる。
【0012】
さらに、前記コンピュータに、前記ユーザからのログインを受け付けると、前記不審値を初期値にセットして前記コンピュータのメモリに一時記憶させる初期値記憶ステップを実行させ、前記イベント受付ステップにおいて受け付けるイベントが、前記ユーザの操作により発生した1回目のイベントである場合には、前記不正スコア算出ステップにおいては、前記原スコア算出ステップで算出した原スコアを不正スコアとして特定し、前記不審値更新ステップにおいては、前記コンピュータのメモリに一時記憶された前記初期値を、前記初期値に前記不正スコア算出ステップで特定された1回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させることを特徴としてもよい。
【0013】
本発明にかかる不正操作監視方法は、コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視方法であって、前記コンピュータのメモリには、前記ユーザの操作によって発生したn−1回目のイベントにおける不正スコアを反映して設定した不審値が一時記憶されていて、前記コンピュータが、前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付ステップと、前記コンピュータが、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記イベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納部、若しくは前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納部の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出ステップと、前記コンピュータが、n−1回目のイベントを受け付けた時間と、n回目のイベントを受け付けた時間との時間差を算出する時間差算出ステップと、前記コンピュータが、前記原スコアに、前記時間差と、前記コンピュータのメモリ領域から読み出した前記不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出ステップと、前記コンピュータが、前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止ステップと、前記コンピュータが、前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させる不審値更新ステップと、を有することを特徴とする不正操作監視方法である。
【0014】
また、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータには、不正スコアのレベルに対応する乗算値を定めて記憶した乗算値記憶部が備えられていて、前記不審値更新ステップにおいては、前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアに対応する乗算値を前記乗算値記憶部から取得し、前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値に前記乗算値を乗じることによって、n回目のイベントにおける不正スコアを反映して設定した不審値に更新することを特徴とすることもできる。
【0015】
さらに、前記コンピュータが、前記ユーザからのログインを受け付けると、前記不審値を初期値にセットして前記コンピュータのメモリに一時記憶させる初期値記憶ステップを有していて、前記イベント受付ステップにおいて受け付けるイベントが、前記ユーザの操作により発生した1回目のイベントである場合には、前記不正スコア算出ステップにおいては、前記原スコア算出ステップで算出した原スコアを不正スコアとして特定し、前記不審値更新ステップにおいては、前記コンピュータのメモリに一時記憶された前記初期値を、前記初期値に前記不正スコア算出ステップで特定された1回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させることを特徴としてもよい。
【0016】
本発明にかかる不正操作監視システムは、コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視システムであって、前記ユーザの操作によって発生したイベントにおける不正スコアを反映して設定した不審値を一時記憶する不審値記憶手段と、前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付手段と、前記イベント受付手段が受け付けたイベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納手段と、前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納手段と、前記不正ルール格納手段、又は前記プロファイル格納手段の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出手段と、n−1回目のイベントを受け付けた時間と、n回目のイベントを受け付けた時間との時間差を算出する時間差算出手段と、前記原スコアに、前記時間差と、前記不審値記憶手段から読み出したn−1回目のイベントにおける不正スコアを反映して設定した不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出手段と、前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止手段と、前記不審値記憶手段に記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出手段が算出した不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新する不審値更新手段と、を備えることを特徴とする不正操作監視システムである。
【0017】
また、前記不正スコア算出手段の算出した不正スコアのレベルに対応する乗算値を定めて記憶した乗算値記憶手段が備えられていて、前記不審値更新手段は、前記不正スコア算出手段が算出したn回目のイベントにおける不正スコアに対応する乗算値を前記乗算値記憶手段から取得し、前記不審値記憶手段に一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値に前記乗算値を乗じることによって、n回目のイベントにおける不正スコアを反映して設定した不審値に更新することを特徴とすることもできる。
【0018】
さらに、ユーザからのログインを受け付けると、前記不審値記憶手段に記憶する不審値を初期値にセットする不審値初期化手段を備えていて、前記不正スコア算出手段は、前記イベント受付手段が受け付けたイベントが前記ユーザの操作により発生した1回目のイベントである場合には、前記原スコア算出手段が算出した原スコアを不正スコアとして特定し、前記不審値更新手段が1回目のイベントにおける不正スコアを反映して設定した不審値を更新する際には、前記不審値記憶手段に記憶された前記初期値を、前記初期値に前記不正スコア算出手段において特定された不正スコアを反映した不審値に更新することを特徴としてもよい。
【発明の効果】
【0019】
本発明によると、コンピュータに対する不正操作を監視する際に、コンピュータに対する個々の操作についての不審の度合のみでなく、ユーザの一連の操作経過から示される不審の度合を反映して不正スコアを算出することによって、不審の度合をより精緻に反映したスコア値を算出することが可能になる。より精緻に算出されたスコア値に基づいて不正操作の可能性を判定して対処を行うことによって、内部情報漏洩等に対する安全性を高めることができる。
【発明を実施するための最良の形態】
【0020】
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下に説明する実施形態において例示する不正スコアの算出式や乗算値の設定などの具体例は本発明の一例であって、本発明はかかる実施形態に限定されるものではない。
【0021】
図1は、本発明にかかる不正操作監視システムの利用形態を示す図である。図2は、本発明にかかる不正操作監視システムの構成を示すブロック図である。図3は、本発明にかかる不正操作監視システムによる不正スコアの算出方法を示す図である。図4は、本発明にかかる不正操作監視システムにおけるPSV演算テーブルの一例を示す図である。図5は、本発明にかかる不正操作監視システムにおいて原スコアに乗算する値の時間差による変化の例を示す図である。図6〜図14は、本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す、それぞれ第1〜第9の図である。図15、図16は、本発明にかかる不正操作監視システムにおける不正スコア監視のフローを示す、それぞれ第1、第2のフローチャートである。
【0022】
図1を用いて、本発明にかかる不正操作監視システムの利用形態について説明する。本発明にかかる不正操作監視システムは、主として企業内等における内部情報漏洩対策として導入されるものなので、通常は企業内LAN等に接続されるコンピュータにおいて用いられるが、スタンドアローンで設置されるコンピュータにおいて用いることとしてもよい。図1では、企業内LAN等のネットワークに接続された一般社員等が利用するユーザ端末におけるオペレーションの監視に用いられる例を示しているが、ユーザ端末には監視用のプログラムが備えられ、各々の端末において不正の可能性が高いと判定されたオペレーションにより実行される動作を停止させるための処理を行う。
【0023】
また、本発明にかかる不正操作監視システムは、ユーザ端末に対するオペレーションの他にも、監視用サーバにおいてネットワークを流れるデータをセグメント単位又はネットワーク全体で監視する場合や、メールサーバから送受信されるメールの監視、ゲートウェイを経由するデータの監視などにも適用することが可能である。これらの監視において、監視対象となるのはコンピュータに対して実行されるオペレーションに限られず、ネットワークから取得するデータやサーバに書き込まれたデータを監視することになるが、これらのデータにルール等を適用して不正スコアを算出する点においては、オペレーションを対象に不正スコアを算出する場合と異なるものではないため、本発明による不正スコアの演算方式を同様に適用することが可能である。
【0024】
尚、不正スコアを算出するための一般的なルールや特異挙動を判断するためのユーザ毎のプロファイルは、監視用プログラムが備えられる各々のコンピュータに格納されるのが通常であるが、ネットワーク内の不正監視サーバ等に格納しておいて、不正スコアの算出時には不正監視サーバにアクセスして、ルールやプロファイルを参照するよう構成してもよい。
【0025】
図2において、本発明にかかる不正操作監視システムは、LANに接続されたコンピュータ10に備えられている。コンピュータ10において、HDD14に格納されたアプリケーションプログラムによって所定の処理を実行するためには、ROM13に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動し、RAM12をアプリケーションプログラムのワークエリアとして機能させながら、CPU11が演算処理を行う。
【0026】
HDD14には、コンピュータ10が受け付けたオペレーションが不正でないかを判定する不正判定プログラム141、不正判定の一部に用いられる、一連の操作経過の不審の度合を示す不審値(以下の説明においては、Previous Status Valueの略から「PSV」と称する。)を算出するPSV演算プログラム142が格納されている。また、不正判定プログラム141により算出された不正スコアから、次回の判定に用いられるPSVを算出する際に参照されるPSV演算テーブル143が記憶されている。
【0027】
RAM12にはPSVを記憶させるための領域であるPSV記憶部121が設けられ、PSV演算プログラム142によって算出されたPSVは、PSV記憶部121に一時記憶される。一時記憶されたPSVは次回の不正スコア算出の際に読み出され、次回の不正スコアが算出された際には該不正スコアを反映した新たなPSVに更新されて、PSV記憶部121に一時記憶される。尚、PSV記憶部121は、HDD14の仮想メモリ領域に設けられるものであってもよい。
【0028】
さらに、HDD14には、コンピュータ10が受け付けたオペレーションの内容と受付時間等に関する情報を蓄積するオペレーションログ格納部144が備えられている。不正判定プログラム141によって不正スコアを算出するために、スコア算出の基準として用いられるユーザ毎の挙動パターンを定めたユーザプロファイル格納部145、不正操作に関する一般的なパターンをルール化した不正判定ルール格納部146等が備えられているが、これらの一部又は全部を不正監視サーバ50に備えて、不正スコアの算出毎にLANを介して参照することとしてもよい。また、不正判定ルール格納部146をコンピュータ10のHDD14に備える場合には、不正監視サーバ50から新たに設定されたルールを送信して、不正判定ルール格納部146に格納されたルールを随時更新することとしてもよい。
【0029】
不正判定プログラム141によって、受け付けたオペレーションが不正である可能性が高いと判定された場合には、不正判定プログラム141は該オペレーションを停止させるための動作を実行する。例えば、LANを通じて外部にデータを送信するオペレーションが不正と判定された場合には、NIC15にデータの送信を停止する命令を発信し、出力装置30や外部記憶装置40にデータの出力や書出しを行うオペレーションが不正と判定された場合には、外部接続バス16に送信された出力命令や書出命令を停止させる命令を発信する。
【0030】
ここで、PSVを用いて一連の操作経過の不審の度合を反映した不正スコアを算出する方法について、図3を用いて説明する。コンピュータが、ユーザが行ったオペレーションにより発生した不正スコアの算出対象となるイベントを受け付けると、従来の不正判定システムと同様に、不正判定のためのルールやユーザの通常の挙動パターンを記録したユーザプロファイルを参照して、不正である可能性を示す原スコア(以下、Direct Score=「DS」とする。)を算出する。従来の不正判定システムにおいては、ここで算出された原スコアがそのまま不正スコアとして採用される。
【0031】
これに対して本発明では、原スコアに対して直前のイベントまでの操作経過の不審の度合をスコアに反映するために、所定の数値を用いて調整した不正スコア(以下、Modified Score=「MS」とする。)を算出する。具体的には、前回イベントから対象イベントまでの時間差に関する数値(以下、「Term%」とする。)と、直前のイベントまでの不審の度合を反映したPSVを、不正スコアの調整に用いる。
【0032】
前回イベントから対象イベントまでの時間差については、一般に時間差が短いほど不審の度合が高いと考えられる。そこで、例えば、
Term%=1.00−{(対象イベント発生時間−前回イベント発生時間)÷100}
(発生時間の単位は分)
により算出することとする。
【0033】
PSVについては、同じオペレーションであっても、不正の可能性が高いオペレーションが連続して行われるほど、より高い不正スコアが算出されるように設定することが好ましい。なぜならば、例えば不正の可能性が高い大量なファイルの書き出しというオペレーションであっても、通常の勤務時間中に文書ファイルの作成等の一般的なオペレーションの後に実行される場合と、勤務時間外の夜間にコンピュータが立ち上げられ、普段はアクセスすることが少ないファイルにアクセスした後に実行される場合を比較すれば、後者のほうが明らかに不正である可能性が高いと考えられるからである。
【0034】
そこで、PSVの設定には、例えば図4の例に示したようなPSV演算テーブルを用いて、対象イベントにより算出された不正スコアのレベルに応じて、対応する乗算値を前回イベントにより設定されたPSVに乗じていくことによって、不正の可能性が高いオペレーションが連続して行われるほど、PSVの値を高く設定することが可能になる。尚、PSVは、対象となるユーザがコンピュータにログインした段階で初期値(=1.00)に設定し、ログオフされるまでの間は、随時更新されることとする。
【0035】
つまり、ログイン時には、
PSV=1.00
と設定され、初回のイベントの不正スコアから乗算値が1.30と特定された場合、
PSV=1.00×1.30=1.30
に更新される。さらに、次回イベントの不正スコアからも乗算値が1.30と特定された場合は、
PSV=1.30×1.30=1.69
となり、高い不正スコアが連続して算出された場合には、PSVの値も順次増加していくことになる。
【0036】
これまで説明したように、Term%、PSVを算出することとすると、不正スコア(MS)は、例えば、
MS=DS×{(PSV−1.00)×Term%+1.00}
によって算出するものと定義することができる。このような算出式によると、オペレーションが短時間に連続するほど(=Term%の値が大きいほど)、不正の可能性が高いオペレーションが連続するほど(=PSVが高いほど)、対象イベントのみから算出した原スコア(DS)より、実態を精緻に反映した不正スコア(MS)を算出することができる。
【0037】
上記のように、不正スコア(MS)は、原スコア(DS)に
(PSV−1.00)×Term%+1.00
を乗算することによって求められるが、対象イベント発生時間と前回イベント発生時間の時間差が100分となれば
Term%=0
となるので、原スコア(DS)に乗算する値は0ということになる。この関係を例示したものが図5で、点線はPSV=1.30の場合に時間差によって乗算する値が変化する様子を、破線はPSV=0.90の場合に時間差によって乗算する値が変化する様子を示している。つまり、不審な挙動が連続してPSVが高くなっている場合であっても、前回イベントとの間の時間差が拡大するにつれて、前回イベントとの関連性が低いものと判断して、乗算する値は1.00に収束することになる。正常な挙動が連続してPSVが低くなっている場合でも同様に、前回イベントとの間の時間差が拡大するにつれて、前回イベントとの関連性が低いものと判断して、乗算する値は1.00に収束することになる。
【0038】
続いて、図6〜図14を用いて、本発明にかかる不正操作監視システムにおける不正スコア監視のための動作について説明する。尚、図6〜図14に示すメインメモリは、コンピュータに備えられたメインメモリの他に、ハードディスク上の仮想メモリも含むものとする。
【0039】
まず、図6に示したようにユーザがコンピュータにログインを行うと、PSVの初期値である1.00が、メインメモリの所定の記憶領域(図2であればPSV記憶部121)に一時記憶される。
【0040】
図7に示したように、ログインしたユーザが最初のオペレーションを行うと、該オペレーションにより発生したイベント1を受け付けて、イベント1が不正なオペレーションによるものかを判定するために、ハードディスクからメインメモリに不正判定プログラム(図2であれば不正判定プログラム141)が読み出される。読み出された不正判定プログラムによって、イベント1が不正である可能性を示す原スコアが算出されるが、原スコアを算出するためのスコアリングモデルについては特に限定されるものではない。
【0041】
例えば、イベント1をユーザの通常の挙動パターンを定めたユーザプロファイルと対比して、該ユーザについて特異挙動に該当しないかから不正である可能性を判断してもよいし、イベント1を一般的な不正のパターンを定義した不正判定ルールと対比して、経験則的に不正であることが多いパターンに該当しないかから不正である可能性を判断することとしてもよい。
【0042】
さらに、図8に示したように、受け付けたイベント1に関する情報を、ハードディスクの所定の記憶領域(図2であればオペレーションログ格納部144)に、ログとして記録する。記録する情報には、イベント1が発生した時間(受け付けた時間でもよい)が含まれる。
【0043】
初回のイベントについての不正スコアを算出する際には、ログイン後については前回イベントが存在しないため、前回イベントとの時間差を算出することができない。また、PSVは初期値である1.00と設定されている。従って、初回の不正スコアについては、図8に示したように先に算出された原スコアがそのまま採用される。
【0044】
このようにしてイベント1についての不正スコアが算出されると、不正スコアが所定の閾値を超えるか否かによって、イベント1を発生させたオペレーションが不正であるか否かを判定する。閾値を超える場合には、図9に示したように、イベント1を発生させたオペレーションを停止させるためのコマンド、例えばプリンタへの出力や外部ディスクへの書き出しの停止処理、ネットワークとの接続を切断する処理や電子メールの送信停止処理などを実行する。閾値を超えない場合には、イベント1による処理がそのまま実行される。
【0045】
イベント1についての不正判定が終了すると、算出した不正スコアを反映してPSVを更新するために、図10に示したように、ハードディスクからメインメモリにPSV演算プログラム(図2であればPSV演算プログラム142)が読み出される。読み出されたPSV演算プログラムによって、イベント1について算出された不正スコアを反映した新たなPSVが算出され、メインメモリに一時記憶されたPSVの値が更新される。
【0046】
新たなPSVの算出は、ハードディスクに記憶されたPSV演算テーブル(図2であればPSV演算テーブル143)を参照し、イベント1について算出された不正スコアに対応する乗算値を取得して、PSVの初期値として記憶されている1.00に取得した乗算値を乗じることによって算出される。メインメモリの所定の記憶領域に一時記憶されたPSVの初期値は、算出された新たなPSV(図10の「1.××」)に更新される。
【0047】
次に、図11に示したように、同一のユーザが2回目のオペレーションを行うと、該オペレーションにより発生したイベント2を受け付けて、イベント2が不正なオペレーションによるものかを判定するために、ハードディスクからメインメモリに不正判定プログラムが読み出される。読み出された不正判定プログラムによって、イベント2が不正である可能性を示す原スコアが算出される。
【0048】
また、図12に示したように、受け付けたイベント2に関する情報を、ハードディスクの所定の記憶領域に、ログとして記録する。記録する情報には、イベント2が発生した時間(受け付けた時間でもよい)が含まれる。さらに、記録されたログから前回イベントであるイベント1が発生した時間を取得して、イベント2が発生した時間との時間差を算出する。
【0049】
イベント2についての不正スコアを算出する際には、算出した時間差と、メインメモリに一時記憶されているPSVが用いられる。不正スコアの算出式に時間差とPSVをどのように用いるかは特に限定されるものではないが、PSVが高い値であるほど不正スコアが高い値となるように、時間差が長いほどPSVによる影響を緩和させるように用いることが好ましい。原スコアにかかる算出式を適用して、図12に示したようにイベント2についての不正スコアが算出される。
【0050】
このようにしてイベント2についての不正スコアが算出されると、不正スコアが所定の閾値を超えるか否かによって、イベント2を発生させたオペレーションが不正であるか否かを判定する。閾値を超える場合には、図13に示したように、イベント2を発生させたオペレーションを停止させるためのコマンドを実行する。閾値を超えない場合には、イベント2による処理がそのまま実行される。
【0051】
イベント2についての不正判定が終了すると、算出した不正スコアを反映してPSVを更新するために、図14に示したように、ハードディスクからメインメモリにPSV演算プログラムが読み出される。読み出されたPSV演算プログラムによって、イベント2について算出された不正スコアを反映した新たなPSVが算出され、メインメモリに記憶されたPSVの値が更新される。
【0052】
新たなPSVの算出は、ハードディスクに記憶されたPSV演算テーブルを参照し、イベント2について算出された不正スコアに対応する乗算値を取得して、前回イベントであるイベント1の不正スコアを反映した値として一時記憶されているPSV=1.××に、取得した乗算値を乗じることによって算出される。メインメモリの所定の記憶領域に一時記憶されたPSV=1.××は、算出された新たなPSV(図14の「1.△△」)に更新される。
【0053】
さらに、続いて同一のユーザが3回目以降のオペレーションを連続して行うと、各回のオペレーション毎に、図11〜図14によって説明したのと同様の処理が繰り返される。PSVは同一のユーザのログインからログオフまでの間は更新が継続され、メインメモリにおいて保持される。
【0054】
尚、図6〜図14においては、コンピュータに対してユーザが実行するオペレーションが不正でないかを判定する例について説明したが、ここで説明したPSVや時間差を用いた不正スコアの算出方法については、不正操作の監視はコンピュータに実行されたオペレーションを直接監視する場合に限られず、例えばLAN等のネットワークを流れるデータによって不正なデータの送受信等を監視したり、ゲートウェイを通過するデータによって不正なデータ送受信等を監視したりする場合の、不正スコアの算出に適用することも可能である。この場合、受け付けるイベントに換えて、監視用のサーバがネットワークから取得したデータや、ゲートウェイを通過するデータが、原スコアを算出する対象になる。
【0055】
図15、図16を用いて、本発明にかかる不正操作監視システムにおける不正スコア監視のフローについて説明する。まず、コンピュータが対象となるイベントを受け付けると(S01)、不正判定ルールやユーザプロファイルを参照して(S02、S03)、対象イベントの内容のみを反映した原スコアを算出する(S04)。
【0056】
対象イベントが初回のイベントでない場合には(S05)、前回受け付けたイベントの発生時間をログから読み出して(S06)、今回受け付けた対象イベントの発生時間との時間差を算出する(S07)。対象イベントが初回のイベントである場合には、ステップ06、ステップ07の処理は実行されない。
【0057】
次に、一時記憶されているPSVを読み出して(S08)、原スコアに時間差とPSVを適用して、ユーザの一連の操作経過から示される不審の度合を反映した不正スコアを算出する(S09)。算出された不正スコアが、不正と判断するための基準値を超過していないかを確認し(S10)、基準値を超過している場合には、対象イベントを発生させたオペレーションによる処理を停止させるための処理を実行する(S11)。基準値を超過していない場合には、該オペレーションによる処理は停止されないため、そのまま実行される。以上の図15に示したフローにより、対象イベントについての不正判定が終了する。
【0058】
このようにして対象イベントについての不正判定が終了すると、図16のフローに示したPSV更新の処理が行われる。不正判定の処理が終了すると、PSV演算テーブルを参照して(S12)、対象イベントについて算出された不正スコアに対応する乗算値を特定する(S13)。特定した乗算値を一時記憶されたPSVに乗じて新たなPSVを算出し(S14)、一時記憶されたPSVを算出されたPSVに更新することによって、PSV更新の処理を終了する。
【0059】
尚、図15及び図16に示した、不正スコアが基準値を超過するかによってオペレーションの停止を実行する処理(S10〜S11)と、PSV更新の処理(S12〜S15)の処理順序については特に限定されるのではなく、先の説明とは逆に、PSV更新の後に不正スコアと基準値の対比を行うこととしてもよい。
【図面の簡単な説明】
【0060】
【図1】本発明にかかる不正操作監視システムの利用形態を示す図である。
【図2】本発明にかかる不正操作監視システムの構成を示すブロック図である。
【図3】本発明にかかる不正操作監視システムによる不正スコアの算出方法を示す図である。
【図4】本発明にかかる不正操作監視システムにおけるPSV演算テーブルの一例を示す図である。
【図5】本発明にかかる不正操作監視システムにおいて原スコアに乗算する値の時間差による変化の例を示す図である。
【図6】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第1の図である。
【図7】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第2の図である。
【図8】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第3の図である。
【図9】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第4の図である。
【図10】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第5の図である。
【図11】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第6の図である。
【図12】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第7の図である。
【図13】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第8の図である。
【図14】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第9の図である。
【図15】本発明にかかる不正操作監視システムにおける不正スコア監視のフローを示す第1のフローチャートである。
【図16】本発明にかかる不正操作監視システムにおける不正スコア監視のフローを示す第2のフローチャートである。
【符号の説明】
【0061】
10 コンピュータ
11 CPU
12 RAM
121 PSV記憶部
13 ROM
14 HDD
141 不正判定プログラム
142 PSV演算プログラム
143 PSV演算テーブル
144 オペレーションログ格納部
145 ユーザプロファイル格納部
146 不正判定ルール格納部
15 NIC
16 外部接続バス
20 入力装置
30 出力装置
40 外部記憶装置
50 不正監視サーバ
【技術分野】
【0001】
本発明は、コンピュータに対する不正操作を監視するために、コンピュータを操作するユーザの一連の操作経過から示される不審値を反映して不正スコアを算出する不正操作監視プログラム、不正操作監視方法、及び不正操作監視システムに関するものである。
【背景技術】
【0002】
企業等においてコンピュータを使用する場合、インターネット等のネットワークを通じて外部から不正なデータが侵入を防止することと合わせて、コンピュータの不正操作によって内部からのデータ流出や情報漏洩を防止することが重要な課題となっている。出願人は、このような内部からの情報漏洩を防止するために、コンピュータへの不正操作を自動的に検出して対策を講ずる内部情報漏洩対策システムを提供している(http://www.iwi.co.jp/japanese/CWAT/index.html)。
【0003】
上記の内部情報漏洩対策システムにおいては、コンピュータのユーザによる通常とは異なる特異挙動を監視して、各々の操作についての不正の可能性を判定し、不正行為である可能性が高いと判断される場合には、プリンタへの出力や外部ディスクへの書出しを停止するなどの(例えば、特許文献1参照。)、情報漏洩を防止するための所定の動作を実行する。不正の可能性の判定においては、不正行為の一般的なルールと対照させる他に、ユーザ毎のプロファイルを参照して日常的な操作と異なる特異挙動を検出したり、ユーザ毎のみでなくノード単位でのプロファイルを参照したりするなど(例えば、特許文献2参照。)、様々な判定方法を採用することができる
【0004】
【特許文献1】特開2005−149243号公報
【特許文献2】国際公開第05/048119号パンフレット
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記のように、コンピュータに対する操作を監視して不正操作の可能性を判定する場合には、個々に行われた操作に対して、一般的なルールやユーザ毎の行動パターンと対照させることによって、一般的に不正行為であることが多い場合(例えば、大容量のデータの書出しを行う場合)や操作を行ったユーザにとって特異挙動と認められる場合(例えば、通常はコンピュータを操作しないユーザの休日にデータの出力操作を行う場合)に該当すると、不正操作の可能性が高いと判定している。つまり、不正操作の判定は、個々の操作について各々行われることとなっている。
【0006】
しかしながら、同じ不正操作の可能性が高いと判定される操作であっても、その以前に行われた一連の操作の手順によって、不正操作である可能性は異なることが通常である。例えば、同じ大容量のデータの書出しという操作であっても、通常の業務時間中にコンピュータが起動され、文書の作成等が行われた後に書出しが行われる場合と、業務時間外である深夜にコンピュータが起動され、大容量のデータのコピーから連続して書出しが行われる場合とであれば、一連の操作として捉えた場合には明らかに後者の挙動のほうが不審の度合いが高いものと考えられる。
【0007】
従って、コンピュータに対する操作を監視して、不正操作である可能性をより精緻に判定するためには、コンピュータに対して行われた操作の不審の度合を個々に捉えて判定するよりも、ユーザの一連の連続操作の流れを反映した不審の度合を示す不審値を用いて判定を行うことが好ましい。
【0008】
本発明は、このような課題に対応するためになされたものであり、コンピュータに対する不正操作を監視するために、コンピュータを操作するユーザの一連の操作経過から示される不審値を反映して不正スコアを算出する不正操作監視プログラム、不正操作監視方法、及び不正操作監視システムに関するものである。
【課題を解決するための手段】
【0009】
本発明においては、ユーザの操作が不正操作である可能性を示す不正スコアを算出すると、算出された不正スコアの水準に対応した不審値を設定する。次回に新たな操作が行われた場合には、該操作について算出した新たなスコアに対して、前回の操作で設定された不審値を反映して不正スコアを算出することによって、不正操作の可能性が高い操作が連続して行われる場合や、より不審値が高い操作が繰り返される場合には、不正スコアとしてより高いスコアが算出されるよう構成されている。
【0010】
本発明にかかる不正操作監視プログラムは、コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視プログラムであって、前記コンピュータのメモリには、前記ユーザの操作によって発生したn−1回目のイベントにおける不正スコアを反映して設定した不審値が一時記憶されていて、前記コンピュータに、前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付ステップと、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記イベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納部、若しくは前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納部の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出ステップと、n−1回目のイベントを受け付けた時間と、n回目のイベントを受け付けた時間との時間差を算出する時間差算出ステップと、前記原スコアに、前記時間差と、前記コンピュータのメモリ領域から読み出した前記不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出ステップと、前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止ステップと、前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させる不審値更新ステップと、を実行させることを特徴とする不正操作監視プログラムである。
【0011】
また、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータには、不正スコアのレベルに対応する乗算値を定めて記憶した乗算値記憶部が備えられていて、前記不審値更新ステップにおいては、前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアに対応する乗算値を前記乗算値記憶部から取得し、前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値に前記乗算値を乗じることによって、n回目のイベントにおける不正スコアを反映して設定した不審値に更新することを特徴とすることもできる。
【0012】
さらに、前記コンピュータに、前記ユーザからのログインを受け付けると、前記不審値を初期値にセットして前記コンピュータのメモリに一時記憶させる初期値記憶ステップを実行させ、前記イベント受付ステップにおいて受け付けるイベントが、前記ユーザの操作により発生した1回目のイベントである場合には、前記不正スコア算出ステップにおいては、前記原スコア算出ステップで算出した原スコアを不正スコアとして特定し、前記不審値更新ステップにおいては、前記コンピュータのメモリに一時記憶された前記初期値を、前記初期値に前記不正スコア算出ステップで特定された1回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させることを特徴としてもよい。
【0013】
本発明にかかる不正操作監視方法は、コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視方法であって、前記コンピュータのメモリには、前記ユーザの操作によって発生したn−1回目のイベントにおける不正スコアを反映して設定した不審値が一時記憶されていて、前記コンピュータが、前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付ステップと、前記コンピュータが、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記イベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納部、若しくは前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納部の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出ステップと、前記コンピュータが、n−1回目のイベントを受け付けた時間と、n回目のイベントを受け付けた時間との時間差を算出する時間差算出ステップと、前記コンピュータが、前記原スコアに、前記時間差と、前記コンピュータのメモリ領域から読み出した前記不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出ステップと、前記コンピュータが、前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止ステップと、前記コンピュータが、前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させる不審値更新ステップと、を有することを特徴とする不正操作監視方法である。
【0014】
また、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータには、不正スコアのレベルに対応する乗算値を定めて記憶した乗算値記憶部が備えられていて、前記不審値更新ステップにおいては、前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアに対応する乗算値を前記乗算値記憶部から取得し、前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値に前記乗算値を乗じることによって、n回目のイベントにおける不正スコアを反映して設定した不審値に更新することを特徴とすることもできる。
【0015】
さらに、前記コンピュータが、前記ユーザからのログインを受け付けると、前記不審値を初期値にセットして前記コンピュータのメモリに一時記憶させる初期値記憶ステップを有していて、前記イベント受付ステップにおいて受け付けるイベントが、前記ユーザの操作により発生した1回目のイベントである場合には、前記不正スコア算出ステップにおいては、前記原スコア算出ステップで算出した原スコアを不正スコアとして特定し、前記不審値更新ステップにおいては、前記コンピュータのメモリに一時記憶された前記初期値を、前記初期値に前記不正スコア算出ステップで特定された1回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させることを特徴としてもよい。
【0016】
本発明にかかる不正操作監視システムは、コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視システムであって、前記ユーザの操作によって発生したイベントにおける不正スコアを反映して設定した不審値を一時記憶する不審値記憶手段と、前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付手段と、前記イベント受付手段が受け付けたイベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納手段と、前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納手段と、前記不正ルール格納手段、又は前記プロファイル格納手段の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出手段と、n−1回目のイベントを受け付けた時間と、n回目のイベントを受け付けた時間との時間差を算出する時間差算出手段と、前記原スコアに、前記時間差と、前記不審値記憶手段から読み出したn−1回目のイベントにおける不正スコアを反映して設定した不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出手段と、前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止手段と、前記不審値記憶手段に記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出手段が算出した不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新する不審値更新手段と、を備えることを特徴とする不正操作監視システムである。
【0017】
また、前記不正スコア算出手段の算出した不正スコアのレベルに対応する乗算値を定めて記憶した乗算値記憶手段が備えられていて、前記不審値更新手段は、前記不正スコア算出手段が算出したn回目のイベントにおける不正スコアに対応する乗算値を前記乗算値記憶手段から取得し、前記不審値記憶手段に一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値に前記乗算値を乗じることによって、n回目のイベントにおける不正スコアを反映して設定した不審値に更新することを特徴とすることもできる。
【0018】
さらに、ユーザからのログインを受け付けると、前記不審値記憶手段に記憶する不審値を初期値にセットする不審値初期化手段を備えていて、前記不正スコア算出手段は、前記イベント受付手段が受け付けたイベントが前記ユーザの操作により発生した1回目のイベントである場合には、前記原スコア算出手段が算出した原スコアを不正スコアとして特定し、前記不審値更新手段が1回目のイベントにおける不正スコアを反映して設定した不審値を更新する際には、前記不審値記憶手段に記憶された前記初期値を、前記初期値に前記不正スコア算出手段において特定された不正スコアを反映した不審値に更新することを特徴としてもよい。
【発明の効果】
【0019】
本発明によると、コンピュータに対する不正操作を監視する際に、コンピュータに対する個々の操作についての不審の度合のみでなく、ユーザの一連の操作経過から示される不審の度合を反映して不正スコアを算出することによって、不審の度合をより精緻に反映したスコア値を算出することが可能になる。より精緻に算出されたスコア値に基づいて不正操作の可能性を判定して対処を行うことによって、内部情報漏洩等に対する安全性を高めることができる。
【発明を実施するための最良の形態】
【0020】
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下に説明する実施形態において例示する不正スコアの算出式や乗算値の設定などの具体例は本発明の一例であって、本発明はかかる実施形態に限定されるものではない。
【0021】
図1は、本発明にかかる不正操作監視システムの利用形態を示す図である。図2は、本発明にかかる不正操作監視システムの構成を示すブロック図である。図3は、本発明にかかる不正操作監視システムによる不正スコアの算出方法を示す図である。図4は、本発明にかかる不正操作監視システムにおけるPSV演算テーブルの一例を示す図である。図5は、本発明にかかる不正操作監視システムにおいて原スコアに乗算する値の時間差による変化の例を示す図である。図6〜図14は、本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す、それぞれ第1〜第9の図である。図15、図16は、本発明にかかる不正操作監視システムにおける不正スコア監視のフローを示す、それぞれ第1、第2のフローチャートである。
【0022】
図1を用いて、本発明にかかる不正操作監視システムの利用形態について説明する。本発明にかかる不正操作監視システムは、主として企業内等における内部情報漏洩対策として導入されるものなので、通常は企業内LAN等に接続されるコンピュータにおいて用いられるが、スタンドアローンで設置されるコンピュータにおいて用いることとしてもよい。図1では、企業内LAN等のネットワークに接続された一般社員等が利用するユーザ端末におけるオペレーションの監視に用いられる例を示しているが、ユーザ端末には監視用のプログラムが備えられ、各々の端末において不正の可能性が高いと判定されたオペレーションにより実行される動作を停止させるための処理を行う。
【0023】
また、本発明にかかる不正操作監視システムは、ユーザ端末に対するオペレーションの他にも、監視用サーバにおいてネットワークを流れるデータをセグメント単位又はネットワーク全体で監視する場合や、メールサーバから送受信されるメールの監視、ゲートウェイを経由するデータの監視などにも適用することが可能である。これらの監視において、監視対象となるのはコンピュータに対して実行されるオペレーションに限られず、ネットワークから取得するデータやサーバに書き込まれたデータを監視することになるが、これらのデータにルール等を適用して不正スコアを算出する点においては、オペレーションを対象に不正スコアを算出する場合と異なるものではないため、本発明による不正スコアの演算方式を同様に適用することが可能である。
【0024】
尚、不正スコアを算出するための一般的なルールや特異挙動を判断するためのユーザ毎のプロファイルは、監視用プログラムが備えられる各々のコンピュータに格納されるのが通常であるが、ネットワーク内の不正監視サーバ等に格納しておいて、不正スコアの算出時には不正監視サーバにアクセスして、ルールやプロファイルを参照するよう構成してもよい。
【0025】
図2において、本発明にかかる不正操作監視システムは、LANに接続されたコンピュータ10に備えられている。コンピュータ10において、HDD14に格納されたアプリケーションプログラムによって所定の処理を実行するためには、ROM13に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動し、RAM12をアプリケーションプログラムのワークエリアとして機能させながら、CPU11が演算処理を行う。
【0026】
HDD14には、コンピュータ10が受け付けたオペレーションが不正でないかを判定する不正判定プログラム141、不正判定の一部に用いられる、一連の操作経過の不審の度合を示す不審値(以下の説明においては、Previous Status Valueの略から「PSV」と称する。)を算出するPSV演算プログラム142が格納されている。また、不正判定プログラム141により算出された不正スコアから、次回の判定に用いられるPSVを算出する際に参照されるPSV演算テーブル143が記憶されている。
【0027】
RAM12にはPSVを記憶させるための領域であるPSV記憶部121が設けられ、PSV演算プログラム142によって算出されたPSVは、PSV記憶部121に一時記憶される。一時記憶されたPSVは次回の不正スコア算出の際に読み出され、次回の不正スコアが算出された際には該不正スコアを反映した新たなPSVに更新されて、PSV記憶部121に一時記憶される。尚、PSV記憶部121は、HDD14の仮想メモリ領域に設けられるものであってもよい。
【0028】
さらに、HDD14には、コンピュータ10が受け付けたオペレーションの内容と受付時間等に関する情報を蓄積するオペレーションログ格納部144が備えられている。不正判定プログラム141によって不正スコアを算出するために、スコア算出の基準として用いられるユーザ毎の挙動パターンを定めたユーザプロファイル格納部145、不正操作に関する一般的なパターンをルール化した不正判定ルール格納部146等が備えられているが、これらの一部又は全部を不正監視サーバ50に備えて、不正スコアの算出毎にLANを介して参照することとしてもよい。また、不正判定ルール格納部146をコンピュータ10のHDD14に備える場合には、不正監視サーバ50から新たに設定されたルールを送信して、不正判定ルール格納部146に格納されたルールを随時更新することとしてもよい。
【0029】
不正判定プログラム141によって、受け付けたオペレーションが不正である可能性が高いと判定された場合には、不正判定プログラム141は該オペレーションを停止させるための動作を実行する。例えば、LANを通じて外部にデータを送信するオペレーションが不正と判定された場合には、NIC15にデータの送信を停止する命令を発信し、出力装置30や外部記憶装置40にデータの出力や書出しを行うオペレーションが不正と判定された場合には、外部接続バス16に送信された出力命令や書出命令を停止させる命令を発信する。
【0030】
ここで、PSVを用いて一連の操作経過の不審の度合を反映した不正スコアを算出する方法について、図3を用いて説明する。コンピュータが、ユーザが行ったオペレーションにより発生した不正スコアの算出対象となるイベントを受け付けると、従来の不正判定システムと同様に、不正判定のためのルールやユーザの通常の挙動パターンを記録したユーザプロファイルを参照して、不正である可能性を示す原スコア(以下、Direct Score=「DS」とする。)を算出する。従来の不正判定システムにおいては、ここで算出された原スコアがそのまま不正スコアとして採用される。
【0031】
これに対して本発明では、原スコアに対して直前のイベントまでの操作経過の不審の度合をスコアに反映するために、所定の数値を用いて調整した不正スコア(以下、Modified Score=「MS」とする。)を算出する。具体的には、前回イベントから対象イベントまでの時間差に関する数値(以下、「Term%」とする。)と、直前のイベントまでの不審の度合を反映したPSVを、不正スコアの調整に用いる。
【0032】
前回イベントから対象イベントまでの時間差については、一般に時間差が短いほど不審の度合が高いと考えられる。そこで、例えば、
Term%=1.00−{(対象イベント発生時間−前回イベント発生時間)÷100}
(発生時間の単位は分)
により算出することとする。
【0033】
PSVについては、同じオペレーションであっても、不正の可能性が高いオペレーションが連続して行われるほど、より高い不正スコアが算出されるように設定することが好ましい。なぜならば、例えば不正の可能性が高い大量なファイルの書き出しというオペレーションであっても、通常の勤務時間中に文書ファイルの作成等の一般的なオペレーションの後に実行される場合と、勤務時間外の夜間にコンピュータが立ち上げられ、普段はアクセスすることが少ないファイルにアクセスした後に実行される場合を比較すれば、後者のほうが明らかに不正である可能性が高いと考えられるからである。
【0034】
そこで、PSVの設定には、例えば図4の例に示したようなPSV演算テーブルを用いて、対象イベントにより算出された不正スコアのレベルに応じて、対応する乗算値を前回イベントにより設定されたPSVに乗じていくことによって、不正の可能性が高いオペレーションが連続して行われるほど、PSVの値を高く設定することが可能になる。尚、PSVは、対象となるユーザがコンピュータにログインした段階で初期値(=1.00)に設定し、ログオフされるまでの間は、随時更新されることとする。
【0035】
つまり、ログイン時には、
PSV=1.00
と設定され、初回のイベントの不正スコアから乗算値が1.30と特定された場合、
PSV=1.00×1.30=1.30
に更新される。さらに、次回イベントの不正スコアからも乗算値が1.30と特定された場合は、
PSV=1.30×1.30=1.69
となり、高い不正スコアが連続して算出された場合には、PSVの値も順次増加していくことになる。
【0036】
これまで説明したように、Term%、PSVを算出することとすると、不正スコア(MS)は、例えば、
MS=DS×{(PSV−1.00)×Term%+1.00}
によって算出するものと定義することができる。このような算出式によると、オペレーションが短時間に連続するほど(=Term%の値が大きいほど)、不正の可能性が高いオペレーションが連続するほど(=PSVが高いほど)、対象イベントのみから算出した原スコア(DS)より、実態を精緻に反映した不正スコア(MS)を算出することができる。
【0037】
上記のように、不正スコア(MS)は、原スコア(DS)に
(PSV−1.00)×Term%+1.00
を乗算することによって求められるが、対象イベント発生時間と前回イベント発生時間の時間差が100分となれば
Term%=0
となるので、原スコア(DS)に乗算する値は0ということになる。この関係を例示したものが図5で、点線はPSV=1.30の場合に時間差によって乗算する値が変化する様子を、破線はPSV=0.90の場合に時間差によって乗算する値が変化する様子を示している。つまり、不審な挙動が連続してPSVが高くなっている場合であっても、前回イベントとの間の時間差が拡大するにつれて、前回イベントとの関連性が低いものと判断して、乗算する値は1.00に収束することになる。正常な挙動が連続してPSVが低くなっている場合でも同様に、前回イベントとの間の時間差が拡大するにつれて、前回イベントとの関連性が低いものと判断して、乗算する値は1.00に収束することになる。
【0038】
続いて、図6〜図14を用いて、本発明にかかる不正操作監視システムにおける不正スコア監視のための動作について説明する。尚、図6〜図14に示すメインメモリは、コンピュータに備えられたメインメモリの他に、ハードディスク上の仮想メモリも含むものとする。
【0039】
まず、図6に示したようにユーザがコンピュータにログインを行うと、PSVの初期値である1.00が、メインメモリの所定の記憶領域(図2であればPSV記憶部121)に一時記憶される。
【0040】
図7に示したように、ログインしたユーザが最初のオペレーションを行うと、該オペレーションにより発生したイベント1を受け付けて、イベント1が不正なオペレーションによるものかを判定するために、ハードディスクからメインメモリに不正判定プログラム(図2であれば不正判定プログラム141)が読み出される。読み出された不正判定プログラムによって、イベント1が不正である可能性を示す原スコアが算出されるが、原スコアを算出するためのスコアリングモデルについては特に限定されるものではない。
【0041】
例えば、イベント1をユーザの通常の挙動パターンを定めたユーザプロファイルと対比して、該ユーザについて特異挙動に該当しないかから不正である可能性を判断してもよいし、イベント1を一般的な不正のパターンを定義した不正判定ルールと対比して、経験則的に不正であることが多いパターンに該当しないかから不正である可能性を判断することとしてもよい。
【0042】
さらに、図8に示したように、受け付けたイベント1に関する情報を、ハードディスクの所定の記憶領域(図2であればオペレーションログ格納部144)に、ログとして記録する。記録する情報には、イベント1が発生した時間(受け付けた時間でもよい)が含まれる。
【0043】
初回のイベントについての不正スコアを算出する際には、ログイン後については前回イベントが存在しないため、前回イベントとの時間差を算出することができない。また、PSVは初期値である1.00と設定されている。従って、初回の不正スコアについては、図8に示したように先に算出された原スコアがそのまま採用される。
【0044】
このようにしてイベント1についての不正スコアが算出されると、不正スコアが所定の閾値を超えるか否かによって、イベント1を発生させたオペレーションが不正であるか否かを判定する。閾値を超える場合には、図9に示したように、イベント1を発生させたオペレーションを停止させるためのコマンド、例えばプリンタへの出力や外部ディスクへの書き出しの停止処理、ネットワークとの接続を切断する処理や電子メールの送信停止処理などを実行する。閾値を超えない場合には、イベント1による処理がそのまま実行される。
【0045】
イベント1についての不正判定が終了すると、算出した不正スコアを反映してPSVを更新するために、図10に示したように、ハードディスクからメインメモリにPSV演算プログラム(図2であればPSV演算プログラム142)が読み出される。読み出されたPSV演算プログラムによって、イベント1について算出された不正スコアを反映した新たなPSVが算出され、メインメモリに一時記憶されたPSVの値が更新される。
【0046】
新たなPSVの算出は、ハードディスクに記憶されたPSV演算テーブル(図2であればPSV演算テーブル143)を参照し、イベント1について算出された不正スコアに対応する乗算値を取得して、PSVの初期値として記憶されている1.00に取得した乗算値を乗じることによって算出される。メインメモリの所定の記憶領域に一時記憶されたPSVの初期値は、算出された新たなPSV(図10の「1.××」)に更新される。
【0047】
次に、図11に示したように、同一のユーザが2回目のオペレーションを行うと、該オペレーションにより発生したイベント2を受け付けて、イベント2が不正なオペレーションによるものかを判定するために、ハードディスクからメインメモリに不正判定プログラムが読み出される。読み出された不正判定プログラムによって、イベント2が不正である可能性を示す原スコアが算出される。
【0048】
また、図12に示したように、受け付けたイベント2に関する情報を、ハードディスクの所定の記憶領域に、ログとして記録する。記録する情報には、イベント2が発生した時間(受け付けた時間でもよい)が含まれる。さらに、記録されたログから前回イベントであるイベント1が発生した時間を取得して、イベント2が発生した時間との時間差を算出する。
【0049】
イベント2についての不正スコアを算出する際には、算出した時間差と、メインメモリに一時記憶されているPSVが用いられる。不正スコアの算出式に時間差とPSVをどのように用いるかは特に限定されるものではないが、PSVが高い値であるほど不正スコアが高い値となるように、時間差が長いほどPSVによる影響を緩和させるように用いることが好ましい。原スコアにかかる算出式を適用して、図12に示したようにイベント2についての不正スコアが算出される。
【0050】
このようにしてイベント2についての不正スコアが算出されると、不正スコアが所定の閾値を超えるか否かによって、イベント2を発生させたオペレーションが不正であるか否かを判定する。閾値を超える場合には、図13に示したように、イベント2を発生させたオペレーションを停止させるためのコマンドを実行する。閾値を超えない場合には、イベント2による処理がそのまま実行される。
【0051】
イベント2についての不正判定が終了すると、算出した不正スコアを反映してPSVを更新するために、図14に示したように、ハードディスクからメインメモリにPSV演算プログラムが読み出される。読み出されたPSV演算プログラムによって、イベント2について算出された不正スコアを反映した新たなPSVが算出され、メインメモリに記憶されたPSVの値が更新される。
【0052】
新たなPSVの算出は、ハードディスクに記憶されたPSV演算テーブルを参照し、イベント2について算出された不正スコアに対応する乗算値を取得して、前回イベントであるイベント1の不正スコアを反映した値として一時記憶されているPSV=1.××に、取得した乗算値を乗じることによって算出される。メインメモリの所定の記憶領域に一時記憶されたPSV=1.××は、算出された新たなPSV(図14の「1.△△」)に更新される。
【0053】
さらに、続いて同一のユーザが3回目以降のオペレーションを連続して行うと、各回のオペレーション毎に、図11〜図14によって説明したのと同様の処理が繰り返される。PSVは同一のユーザのログインからログオフまでの間は更新が継続され、メインメモリにおいて保持される。
【0054】
尚、図6〜図14においては、コンピュータに対してユーザが実行するオペレーションが不正でないかを判定する例について説明したが、ここで説明したPSVや時間差を用いた不正スコアの算出方法については、不正操作の監視はコンピュータに実行されたオペレーションを直接監視する場合に限られず、例えばLAN等のネットワークを流れるデータによって不正なデータの送受信等を監視したり、ゲートウェイを通過するデータによって不正なデータ送受信等を監視したりする場合の、不正スコアの算出に適用することも可能である。この場合、受け付けるイベントに換えて、監視用のサーバがネットワークから取得したデータや、ゲートウェイを通過するデータが、原スコアを算出する対象になる。
【0055】
図15、図16を用いて、本発明にかかる不正操作監視システムにおける不正スコア監視のフローについて説明する。まず、コンピュータが対象となるイベントを受け付けると(S01)、不正判定ルールやユーザプロファイルを参照して(S02、S03)、対象イベントの内容のみを反映した原スコアを算出する(S04)。
【0056】
対象イベントが初回のイベントでない場合には(S05)、前回受け付けたイベントの発生時間をログから読み出して(S06)、今回受け付けた対象イベントの発生時間との時間差を算出する(S07)。対象イベントが初回のイベントである場合には、ステップ06、ステップ07の処理は実行されない。
【0057】
次に、一時記憶されているPSVを読み出して(S08)、原スコアに時間差とPSVを適用して、ユーザの一連の操作経過から示される不審の度合を反映した不正スコアを算出する(S09)。算出された不正スコアが、不正と判断するための基準値を超過していないかを確認し(S10)、基準値を超過している場合には、対象イベントを発生させたオペレーションによる処理を停止させるための処理を実行する(S11)。基準値を超過していない場合には、該オペレーションによる処理は停止されないため、そのまま実行される。以上の図15に示したフローにより、対象イベントについての不正判定が終了する。
【0058】
このようにして対象イベントについての不正判定が終了すると、図16のフローに示したPSV更新の処理が行われる。不正判定の処理が終了すると、PSV演算テーブルを参照して(S12)、対象イベントについて算出された不正スコアに対応する乗算値を特定する(S13)。特定した乗算値を一時記憶されたPSVに乗じて新たなPSVを算出し(S14)、一時記憶されたPSVを算出されたPSVに更新することによって、PSV更新の処理を終了する。
【0059】
尚、図15及び図16に示した、不正スコアが基準値を超過するかによってオペレーションの停止を実行する処理(S10〜S11)と、PSV更新の処理(S12〜S15)の処理順序については特に限定されるのではなく、先の説明とは逆に、PSV更新の後に不正スコアと基準値の対比を行うこととしてもよい。
【図面の簡単な説明】
【0060】
【図1】本発明にかかる不正操作監視システムの利用形態を示す図である。
【図2】本発明にかかる不正操作監視システムの構成を示すブロック図である。
【図3】本発明にかかる不正操作監視システムによる不正スコアの算出方法を示す図である。
【図4】本発明にかかる不正操作監視システムにおけるPSV演算テーブルの一例を示す図である。
【図5】本発明にかかる不正操作監視システムにおいて原スコアに乗算する値の時間差による変化の例を示す図である。
【図6】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第1の図である。
【図7】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第2の図である。
【図8】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第3の図である。
【図9】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第4の図である。
【図10】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第5の図である。
【図11】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第6の図である。
【図12】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第7の図である。
【図13】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第8の図である。
【図14】本発明にかかる不正操作監視システムにおける不正スコア監視のための動作を示す第9の図である。
【図15】本発明にかかる不正操作監視システムにおける不正スコア監視のフローを示す第1のフローチャートである。
【図16】本発明にかかる不正操作監視システムにおける不正スコア監視のフローを示す第2のフローチャートである。
【符号の説明】
【0061】
10 コンピュータ
11 CPU
12 RAM
121 PSV記憶部
13 ROM
14 HDD
141 不正判定プログラム
142 PSV演算プログラム
143 PSV演算テーブル
144 オペレーションログ格納部
145 ユーザプロファイル格納部
146 不正判定ルール格納部
15 NIC
16 外部接続バス
20 入力装置
30 出力装置
40 外部記憶装置
50 不正監視サーバ
【特許請求の範囲】
【請求項1】
コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視プログラムであって、前記コンピュータのメモリには、前記ユーザの操作によって発生したn−1回目のイベントにおける不正スコアを反映して設定した不審値が一時記憶されていて、前記コンピュータに、
前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付ステップと、
前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記イベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納部、若しくは前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納部の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出ステップと、
前記原スコアに、前記コンピュータのメモリ領域から読み出した前記不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出ステップと、
前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止ステップと、
前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させる不審値更新ステップと、
を実行させることを特徴とする不正操作監視プログラム。
【請求項2】
コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視方法であって、前記コンピュータのメモリには、前記ユーザの操作によって発生したn−1回目のイベントにおける不正スコアを反映して設定した不審値が一時記憶されていて、
前記コンピュータが、前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付ステップと、
前記コンピュータが、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記イベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納部、若しくは前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納部の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出ステップと、
前記コンピュータが、前記原スコアに、前記コンピュータのメモリ領域から読み出した前記不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出ステップと、
前記コンピュータが、前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止ステップと、
前記コンピュータが、前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させる不審値更新ステップと、
を有することを特徴とする不正操作監視方法。
【請求項3】
コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視システムであって、
前記ユーザの操作によって発生したイベントにおける不正スコアを反映して設定した不審値を一時記憶する不審値記憶手段と、
前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付手段と、
前記イベント受付手段が受け付けたイベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納手段と、
前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納手段と、
前記不正ルール格納手段、又は前記プロファイル格納手段の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出手段と、
前記原スコアに、前記不審値記憶手段から読み出したn−1回目のイベントにおける不正スコアを反映して設定した不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出手段と、
前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止手段と、
前記不審値記憶手段に記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出手段が算出した不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新する不審値更新手段と、
を備えることを特徴とする不正操作監視システム。
【請求項1】
コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視プログラムであって、前記コンピュータのメモリには、前記ユーザの操作によって発生したn−1回目のイベントにおける不正スコアを反映して設定した不審値が一時記憶されていて、前記コンピュータに、
前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付ステップと、
前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記イベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納部、若しくは前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納部の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出ステップと、
前記原スコアに、前記コンピュータのメモリ領域から読み出した前記不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出ステップと、
前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止ステップと、
前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させる不審値更新ステップと、
を実行させることを特徴とする不正操作監視プログラム。
【請求項2】
コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視方法であって、前記コンピュータのメモリには、前記ユーザの操作によって発生したn−1回目のイベントにおける不正スコアを反映して設定した不審値が一時記憶されていて、
前記コンピュータが、前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付ステップと、
前記コンピュータが、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記イベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納部、若しくは前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納部の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出ステップと、
前記コンピュータが、前記原スコアに、前記コンピュータのメモリ領域から読み出した前記不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出ステップと、
前記コンピュータが、前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止ステップと、
前記コンピュータが、前記コンピュータのメモリに一時記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出ステップで算出したn回目のイベントにおける不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させる不審値更新ステップと、
を有することを特徴とする不正操作監視方法。
【請求項3】
コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前記ユーザの操作によって発生したn回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視システムであって、
前記ユーザの操作によって発生したイベントにおける不正スコアを反映して設定した不審値を一時記憶する不審値記憶手段と、
前記ユーザの操作により発生したn回目のイベントを受け付けるイベント受付手段と、
前記イベント受付手段が受け付けたイベントが不正操作に該当するかを判断するためのルールを格納する不正ルール格納手段と、
前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納手段と、
前記不正ルール格納手段、又は前記プロファイル格納手段の少なくとも一つを参照して、n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコアを算出する原スコア算出手段と、
前記原スコアに、前記不審値記憶手段から読み出したn−1回目のイベントにおける不正スコアを反映して設定した不審値を反映して、n回目のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出手段と、
前記不正スコアが所定の基準値を超過する場合には、n回目のイベントを発生させた操作により実行される動作を停止させるためのコマンドを実行する不正操作停止手段と、
前記不審値記憶手段に記憶されたn−1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算出手段が算出した不正スコアを反映して、n回目のイベントにおける不正スコアを反映して設定した不審値に更新する不審値更新手段と、
を備えることを特徴とする不正操作監視システム。
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図1】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図1】
【公開番号】特開2007−183911(P2007−183911A)
【公開日】平成19年7月19日(2007.7.19)
【国際特許分類】
【出願番号】特願2006−222228(P2006−222228)
【出願日】平成18年8月17日(2006.8.17)
【分割の表示】特願2006−525970(P2006−525970)の分割
【原出願日】平成18年1月5日(2006.1.5)
【出願人】(397067853)株式会社インテリジェントウェイブ (20)
【Fターム(参考)】
【公開日】平成19年7月19日(2007.7.19)
【国際特許分類】
【出願日】平成18年8月17日(2006.8.17)
【分割の表示】特願2006−525970(P2006−525970)の分割
【原出願日】平成18年1月5日(2006.1.5)
【出願人】(397067853)株式会社インテリジェントウェイブ (20)
【Fターム(参考)】
[ Back to top ]