説明

情報処理方法、プログラム、情報処理装置、及び、情報処理システム

【課題】危険性の増減情報に応じて適切に異常を検出することが可能な情報処理方法等を提供する。
【解決手段】サーバコンピュータ1の制御部により入力情報に基づく値が記憶部に記憶した第1閾範囲を越えるか否か判断する。制御部により第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部に記憶した第2閾範囲を越えるか否か判断する。制御部により、危険性の増減情報をセキュリティサーバ4から取得する。取得した危険性の増減情報に基づき、制御部により第1閾範囲または第2閾範囲を補正する。制御部により第2閾範囲を越えると判断した場合に、異常を示す異常情報を管理コンピュータ3へ出力する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、制御部を有する情報処理装置に入力された入力情報を処理する情報処理方法、プログラム、情報処理装置、及び、情報処理システムに関する。
【背景技術】
【0002】
行動パターンと予めデータベースに登録したパターンとを比較し、異常を検出する方法が開示されている(例えば、特許文献1乃至3参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2000−306177号公報
【特許文献2】特開2005−96674号公報
【特許文献3】特開2006−31706号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、従来の技術では、単に予めデータベースに登録したパターンと行動パターンとを比較するに過ぎず、状況の変化に応じた異常の検出が出来ないという問題があった。
【0005】
本発明は斯かる事情に鑑みてなされたものである。その目的は、危険性の増減に応じて適切に異常を検出することが可能な情報処理方法等を提供することにある。
【課題を解決するための手段】
【0006】
本願に開示する情報処理方法は、制御部を有する情報処理装置に入力された入力情報を処理する情報処理方法において、前記制御部により、危険性の増減情報を取得し、前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、前記制御部により入力情報に基づく値が前記第1閾範囲を越えるか否か判断し、前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する。
【発明の効果】
【0007】
本願の一観点によれば、状態の変化に応じて適切に異常を検出することが可能となる。
【図面の簡単な説明】
【0008】
【図1】情報処理システムの概要を示す模式図である。
【図2】パーソナルコンピュータのハードウェア群を示すブロック図である。
【図3】指紋認証装置のハードウェア群を示すブロック図である。
【図4】管理コンピュータのハードウェア群を示すブロック図である。
【図5】サーバコンピュータのハードウェア群を示すブロック図である。
【図6】履歴DBのレコードレイアウトを示す説明図である。
【図7】セキュリティポリシーテーブルのレコードレイアウトを示す説明図である。
【図8】分散テーブルのレコードレイアウトを示す説明図である。
【図9】範囲テーブルのレコードレイアウトを示す説明図である。
【図10】第1閾範囲、第2閾範囲及びアプリ操作命令数の変化を示すグラフである。
【図11】第1閾範囲、第2閾範囲及びアプリ操作命令累積数の変化を示すグラフである。
【図12】異常情報を出力する際のイメージ図である。
【図13】基準値算出処理の手順を示すフローチャートである。
【図14】第1閾範囲及び第2閾範囲の決定処理手順を示すフローチャートである。
【図15】第1閾範囲及び第2閾範囲の決定処理手順を示すフローチャートである。
【図16】環境ファイルのレコードレイアウトを示す説明図である。
【図17】第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。
【図18】第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。
【図19】第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。
【図20】第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。
【図21】第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。
【図22】第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。
【図23】異常判断処理の手順を示すフローチャートである。
【図24】異常判断処理の手順を示すフローチャートである。
【図25】アプリ操作命令数の変化率の時間的な変化を示すグラフである。
【図26】実施の形態2に係る異常判断処理の手順を示すフローチャートである。
【図27】実施の形態2に係る異常判断処理の手順を示すフローチャートである。
【図28】実施の形態3のサーバコンピュータのハードウェア群を示すブロック図である。
【図29】対応情報の入力イメージを示す説明図である。
【図30】異常履歴DBのレコードレイアウトを示す説明図である。
【図31】対応情報の記憶処理手順を示すフローチャートである。
【図32】対応情報の記憶処理手順を示すフローチャートである。
【図33】第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。
【図34】第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。
【図35】第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。
【図36】第1閾範囲ファイルのレコードレイアウトを示す説明図である。
【図37】第2閾範囲ファイルのレコードレイアウトを示す説明図である。
【図38】変更量の算出処理手順を示すフローチャートである。
【図39】変更量の算出処理手順を示すフローチャートである。
【図40】変更量の算出処理手順を示すフローチャートである。
【図41】変更量の算出処理手順を示すフローチャートである。
【図42】第2閾範囲の調整処理の手順を示すフローチャートである。
【図43】実施の形態6に係る情報処理システムの概要を示す模式図である。
【図44】上述した形態のサーバコンピュータまたはパーソナルコンピュータの動作を示す機能ブロック図である。
【図45】実施の形態7に係るサーバコンピュータのハードウェア群を示すブロック図である。
【発明を実施するための形態】
【0009】
実施の形態1
以下実施の形態を、図面を参照して説明する。図1は情報処理システムの概要を示す模式図である。情報処理システムは中央装置(情報処理装置)1、端末装置2A〜2D(以下、場合により2で代表する)、管理装置3及び通知装置4等を含む。中央装置1は例えばサーバコンピュータまたはパーソナルコンピュータ等である。以下では中央装置1が一例として、サーバコンピュータ1であるものとして説明する。端末装置2A〜2Cは例えばパーソナルコンピュータ、PDA(Personal Digital Assistance)、携帯電話機またはブックリーダ等である。本実施形態では端末装置2A〜2Cは一例としてパーソナルコンピュータであるものとする。以下では端末装置2A〜2Cをパーソナルコンピュータ2という。
【0010】
端末装置2Dは端末装置2A〜2Cが設置された部屋またはビル等の施設入口に設けられる入退室管理装置である。端末装置2DはIC(integrated circuit)カード、磁気カード等を通じた認証、または、指紋、声紋、手の平の静脈等の生体情報を用いた認証を行う。認証に成功した場合、端末装置2Dはロックを解除し施設内への入室を許可する。端末装置2Dの一例として指紋認証装置を用いた例を挙げて説明する。以下では端末装置2Dを指紋認証装置2Dという。
【0011】
管理装置3は例えばパーソナルコンピュータ、PDA(Personal Digital Assistance)、携帯電話機、サーバコンピュータまたはブックリーダ等である。本実施形態では管理装置3は一例としてパーソナルコンピュータであるものとする。以下では管理装置3を管理コンピュータ3という。通知装置4は例えば、コンピュータウィルス(以下、ウィルスという)の情報、ウィルスに対するワクチンの情報等を提供する企業のサーバコンピュータである。また通知装置4は、OS(operating system)またはブラウザの脆弱性に関する情報を提供する企業、または、脆弱性を克服するためのパッチを提供する企業のサーバコンピュータ等である。その他、通知装置4は各パーソナルコンピュータ2内のソフトウェアのインストール状況、デジタル証明書の有無、通信の暗号化状態、ハードウェアの実装状況に基づき、安全性に関する情報を提供する認証サーバコンピュータであっても良い。以下では、通信装置4をウィルス及びワクチンに関する情報を提供するセキュリティサーバ4として説明する。
【0012】
サーバコンピュータ1、管理コンピュータ3、パーソナルコンピュータ2、指紋認証装置2D及びセキュリティサーバ4はインターネット、LAN(Local Area Network)または携帯電話網等の通信網Nを介して相互に接続されている。サーバコンピュータ1、管理コンピュータ3、パーソナルコンピュータ2、指紋認証装置2D及びセキュリティサーバ4はHTTP(HyperText Transfer Protocol)等により情報を送受信する。
【0013】
サーバコンピュータ1はパーソナルコンピュータ2及び指紋認証装置2Dから送信される入力情報に基づく値を監視する。サーバコンピュータ1は入力情報に基づく値が第1閾範囲を越えるか否か判断する。サーバコンピュータ1は越えると判断した回数または時間が第2閾範囲を越える場合に、異常情報を管理コンピュータ3へ出力する。オペレータは、これにより、パーソナルコンピュータ2または指紋認証装置2Dを通じたユーザの異常行動を知ることが可能となる。
【0014】
セキュリティサーバ4はウィルスが発生したことを示す情報またはワクチンが生成されたことを示す情報をサーバコンピュータ1へ送信する。サーバコンピュータ1はセキュリティサーバ4から、ウィルスが発生したことを示す情報またはワクチンが生成されたことを示す情報を受信することで、危険性の増減情報を取得する。サーバコンピュータ1は、ウィルスが発生したことを示す危険性の増加情報に基づき、危険性が増加すると判断した場合、第1閾範囲または第2閾範囲を小さく補正する。なお、第1閾範囲及び第2閾範囲の双方を小さくしても良い。本実施形態では双方を小さくする例を挙げて説明する。
【0015】
一方、サーバコンピュータ1は、セキュリティサーバ4がワクチンが生成されたことを示す情報を受信した場合、危険性が減少したと判断し、第1閾範囲または第2閾範囲を大きく補正する。なお、第1閾範囲及び第2閾範囲の双方を大きくしても良い。本実施形態では双方を大きくする例を挙げて説明する。サーバコンピュータ1は補正後の第1閾範囲及び第2閾範囲を用いて、入力情報に基づく値から異常の有無を検出する。以下詳細を説明する。
【0016】
図2はパーソナルコンピュータ2のハードウェア群を示すブロック図である。パーソナルコンピュータ2は制御部としてのCPU(Central Processing Unit)21、RAM(Random Access Memory)22、入力部23、表示部24、記憶部25、及び通信部26等を含む。CPU21は、バス27を介してハードウェア各部と接続されている。CPU21は記憶部25に記憶された制御プログラム25Pに従いハードウェア各部を制御する。RAM22は例えばSRAM(Static RAM)、DRAM(Dynamic RAM)、フラッシュメモリ等である。RAM22は、記憶部としても機能し、CPU21による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。
【0017】
入力部23はマウス、キーボード、またはタッチパネル等の入力デバイスであり、受け付けた操作情報をCPU21へ出力する。表示部24は液晶ディスプレイまたは有機EL(electroluminescence)ディスプレイ等であり、CPU21の指示に従い各種情報を表示する。RAM22は例えばSRAM、DRAM、フラッシュメモリ等である。通信部26は有線または無線LANカード等であり、通信網Nを介してサーバコンピュータ1等との間で情報の送受信を行う。記憶部25は例えば、ハードディスクまたは大容量フラッシュメモリ等であり、制御プログラム25Pを格納する。
【0018】
図3は指紋認証装置2Dのハードウェア群を示すブロック図である。指紋認証装置2Dは制御部201、記憶部205、指紋入力部203、表示部204、通信部206及びロック部208等を含む。制御部201は例えばマイクロプロセッサであり、記憶部205に記憶した制御プログラム205Pに従い各ハードウェアを制御する。記憶部205は例えば、SRAM、DRAM、フラッシュメモリまたはハードディスク等である。記憶部205には、各ユーザの指紋データ及びユーザの識別情報(以下、ユーザIDという)を記憶した指紋データファイル2051が記憶されている。なお、指紋データファイル2051は通信部206を介して接続される他のコンピュータに保存しておいても良い。
【0019】
制御プログラム205Pは指紋認証を行うためのプログラム等である。指紋入力部203は指紋を読み取り、読み取った指紋データを制御部201へ出力する。制御部201は制御プログラム205Pに従い入力された指紋データが、指紋データファイル2051に記憶された指紋データと一致するか否かを判断する。表示部204は例えば有機ELディスプレイ、液晶ディスプレイ、またはLED(Light-Emitting Diode)等の発光素子であり、制御部201の指示に従い各種情報を表示する。制御部201は認証に成功した場合、ロック部208へロック解除信号を出力する。ロック部208は図示しないドアのロック及びロック解除を行う。
【0020】
ロック部208は通常ドアをロックしており、制御部201からロック解除信号を受け付けた場合に、ロックを一定時間解除する。ロック部208は一定時間経過後、または、ドアが閉じられた際に、ドアをロックする。認証に成功した場合、制御部201は指紋データに対応するユーザIDを指紋データファイル2051から読み出す。制御部201は通信部206を介して認証を行ったユーザのユーザID及び認証成功情報を含む認証成功情報記憶命令をサーバコンピュータ1へ送信する。制御部201は認証に失敗した場合、認証失敗情報記憶命令を、通信部206を介してサーバコンピュータ1へ送信する。
【0021】
図4は管理コンピュータ3のハードウェア群を示すブロック図である。管理コンピュータ3は制御部としてのCPU31、RAM32、入力部33、表示部34、記憶部35、通信部36、及び、時計部38等を含む。CPU31は、バス37を介してハードウェア各部と接続されている。CPU31は記憶部35に記憶した制御プログラム35Pに従いハードウェア各部を制御する。
【0022】
入力部33はマウス、キーボード、またはタッチパネル等の入力デバイスであり、受け付けた操作情報をCPU31へ出力する。表示部34は液晶ディスプレイまたは有機ELディスプレイ等であり、CPU31の指示に従い各種情報を表示する。RAM32は例えばSRAM、DRAM、フラッシュメモリ等である。RAM32は、CPU31による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。通信部36は有線または無線LANカード等であり、通信網Nを介してサーバコンピュータ1等との間で情報の送受信を行う。時計部38は日時をCPU31へ出力する。記憶部35は例えば、ハードディスクまたは大容量フラッシュメモリ等である。記憶部35内には、パーソナルコンピュータ2を使用するユーザの人事に関する情報を記憶した人事ファイル351が記憶されている。また記憶部35内には、パーソナルコンピュータ2、サーバコンピュータ1または指紋認証装置2Dのハードウェア及びソフトウェアの状態を示す環境情報を記憶した環境ファイル352が記憶されている。なお、人事ファイル351及び環境ファイル352の詳細は後述する。
【0023】
図5はサーバコンピュータ1のハードウェア群を示すブロック図である。サーバコンピュータ1は制御部としてCPU11、RAM12、入力部13、表示部14、記憶部15、時計部18及び通信部16等を含む。CPU11は、バス17を介してハードウェア各部と接続されている。CPU11は各ハードウェアを制御すると共に、記憶部15に格納されたアプリケーションプログラム15A及び制御プログラム15Pに従って、ソフトウェア機能を実行する。
【0024】
通信部16はファイアウォールとしての機能を果たすゲートウェイ等であり、パーソナルコンピュータ2、管理コンピュータ3、指紋認証装置2D及びセキュリティサーバ4等との間でHTTP等により情報を送受信する。入力部13はマウス及びキーボード、または、タッチパネル等の入力デバイスである。入力部13は、受け付けた操作情報をCPU11へ出力する。表示部14は液晶ディスプレイまたは有機EL(electroluminescence)ディスプレイ等であり、CPU11の指示に従い各種情報を表示する。時計部18は時間情報をCPU11へ出力する。RAM12は例えばSRAM、DRAM、フラッシュメモリ等である。RAM12は、記憶部としても機能し、CPU11による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。
【0025】
記憶部15は例えばハードディスクまたは大容量メモリ等である。記憶部15には上述した制御プログラム15P及びアプリケーションプログラム15Aが記憶されている。記憶部15にはさらに履歴データベース(以下、DBという)153、第1閾範囲ファイル151、第2閾範囲ファイル152、セキュリティポリシーテーブル154、分散テーブル155及び範囲テーブル156等が記憶されている。アプリケーションプログラム15Aは、例えば、CAD(Computer Aided Design)プログラム、文書作成用プログラム、表計算プログラム、メーラ、スケジューラ、画像編集プログラム等のプログラムである。サーバコンピュータ1のCPU11は通信部16を介してパーソナルコンピュータ2から入力情報を受け付ける。
【0026】
CPU11は入力情報に従い、アプリケーションプログラム15Aを実行し、実行結果をパーソナルコンピュータ2へ送信する。CPU11はパーソナルコンピュータ2から送信された入力情報を履歴DB153に記憶する。
【0027】
図6は履歴DB153のレコードレイアウトを示す説明図である。履歴DB153はユーザID別に日時に対応付けて入力情報を記憶している。履歴DB153は日時フィールド及び入力情報フィールドを含む。日時フィールドには、パーソナルコンピュータ2から入力情報が送信され、通信部16を介してサーバコンピュータ1へ入力情報が入力された際の日時を記憶している。CPU11は入力情報が入力された場合、時計部18から出力される日時を参照し、日時フィールドに記憶する。なお、日時は入力情報のデータパケットに付随する日時の情報を参照して記憶しても良い。
【0028】
入力情報フィールドには、入力された命令、命令に基づき処理したデータ量及び添付ファイル数が記憶される。例えば、命令フィールドには、日時に対応付けてパーソナルコンピュータ2または指紋認証装置2Dから送信された命令が記憶されている。指紋認証装置2Dは指紋認証に成功した場合、認証成功情報及びユーザIDを含む認証成功情報記憶命令をサーバコンピュータ1へ送信する。サーバコンピュータ1のCPU11は認証成功情報記憶命令を受信した場合、ユーザID及び日時に対応付けて当該命令を記憶する。なお、指紋認証装置2Dから認証失敗情報記憶命令が送信された場合、CPU11は履歴DB153に日時に対応付けて認証成功情報記憶命令を記憶する。
【0029】
パーソナルコンピュータ2を利用するユーザは入力部23からID及びパスワードを入力し、ログインする。CPU21はID及びパスワードと共にログイン要求をサーバコンピュータ1へ送信する。ー11はログイン要求を受け付けた場合、ユーザID及び日時に対応付けてログイン要求を入力情報として記憶する。なお、図6では説明を容易にするためにユーザID「001」のユーザの履歴のみを表示している。
【0030】
その他、入力された命令として、メーラの起動要求、メールの送信、メールの受信、アプリケーションプログラム15A(以下、アプリ15Aという)の起動等がある。アプリ操作としては、動画アプリにおける動画の再生命令、ファイル管理アプリを用いて、記憶部15に記憶したファイルを削除・コピー・貼り付けする際の命令である。その他、CADアプリにおいてデータを編集入力する際の操作命令、文書作成アプリにおいてファイルを保存する際の保存命令等である。以下、説明を容易にするために各種アプリ15Aに対する操作命令を包括してアプリ操作命令という。
【0031】
処理データ量は、例えばメーラにより送受信する際のデータ量、記憶部15に記憶したデータをパーソナルコンピュータ2へダウンロードする際のデータ量等である。添付ファイル数は例えばメーラにより送受信する際の添付ファイル数である。図6の例では、10月21日10時10分20秒に、メール送信命令に従い、合計1.5MBの添付ファイル3つが送信されたことが記憶されている。なお、本実施形態においては説明を容易にするために、年の記載を省略している。
【0032】
CPU11は単位時間毎に入力情報に基づく値をユーザID別に計数する。この入力情報に基づく値はサーバコンピュータ1に入力された命令数、命令に基づき処理したデータ量または命令に基づき送受信した添付ファイル数である。命令数は例えば、認証成功情報記憶命令数、認証失敗情報記憶命令数、ログイン要求数、メーラ起動要求数、メール送受信数、アプリ操作命令数等である。単位時間は例えば10分、1時間、1日等である。本実施形態では単位時間を1時間であるものとして説明するがこれに限るものではない。
【0033】
CPU11は1時間の間に、計数したログイン要求数が異常に多い場合、不正の予兆であると判断する。またアプリ操作命令数が異常に多い場合または異常に少ない場合も、不正の予兆であると判断する。CPU11は単位時間当たりのデータ量の合計値を算出する。CPU11は単位時間当たりのデータ量の合計値が異常に多い場合、不正の予兆であると判断する。またCPU11は単位時間当たりの添付ファイル数を計数する。CPU11は単位時間当たりの添付ファイル数が異常に多い場合も不正の予兆であると判断する。以下では、説明を容易にするために、CPU11は単位時間当たりのアプリ操作命令数を入力情報に基づく値の一例であるものとして説明する。
【0034】
図7はセキュリティポリシーテーブル154のレコードレイアウトを示す説明図である。セキュリティポリシーテーブル154には、過去の事件状況、対象の機密性、及び対象の強度等に応じて変化する点数が記憶されている。過去の事件状況(図7中a)の種類としては、例えば、サーバコンピュータ1に関し、重大な事件が発生(図7中a3)、軽微な事件が発生(図7中a2)、事件未発生(図7中a1)という3つに分類される。重大な事件が発生した場合、最も高い点数が付与される。軽微な事件が発生した場合、最も高い点数に対し次に高い点数が付与される。事件が未発生の場合、最も低い点数が付与される。
【0035】
対象の機密性(図7中b)の種類としては、例えば、サーバコンピュータ1に関し、関係社外の秘密情報を取り扱う(図7中b3)、社外秘の情報を取り扱う(図7中b2)、機密性なし(図7中b1)という3つに分類される。関係社外の秘密情報を取り扱う場合、最も高い点数が付与される。社外秘の情報を取り扱う場合、次いで高い点数が付与される。機密性が必要とされない場合、最も低い点数が付与される。
【0036】
対策の強度(図7中c)の種類としては、例えば、サーバコンピュータ1に関し、何ら対策を施していない(図7中c3)、ルールを設けている(図7中c2)、情報処理技術により制限をかけている(図7中c1)という3つに分類される。ルールを設けているとは例えば、パーソナルコンピュータ2は許可を受けた正社員しか操作できない等である。情報処理技術により制限をかけているとは、例えばパーソナルコンピュータ2のログインの際に生体認証を要求する、パーソナルコンピュータ2とサーバコンピュータ1との間で送受信されるデータを暗号化している等である。
【0037】
何ら対策を施していない場合、最も高い点数が付与される。ルールを設けている場合次いで高い点数が付与される。情報処理技術により制限をかけている場合、最も低い点数が付与される。図7の例ではa3、b3、c3を点数「3」、a2、b2、c2を点数「2」、a1、b1、c1を点数「1」としている。過去の事件状況、対象の機密性及び対象の強度の種類は、入力部13から入力すればよい。その他、管理コンピュータ3の入力部33からオペレータが入力し、通信部36を介してサーバコンピュータ1へ送信しても良い。サーバコンピュータ1のCPU11は過去の事件状況、対象の機密性及び対象の強度の種類を受け付けた場合、セキュリティポリシーテーブル154を参照し、点数を抽出する。
【0038】
例えば、種類として、重大な事件が発生(図7中a3)、社外秘の情報を取り扱う(図7中b2)及び情報処理技術により制限をかけている(図7中c1)を受け付けた場合、点数は「6」となる。CPU11はこれらセキュリティポリシーに関する点数に基づき、第1閾範囲及び第2閾範囲を決定する。本実施形態では点数が高いほど第1閾範囲及び第2閾範囲を小さくする。なお、セキュリティポリシーに関する点数に基づき、第1閾範囲または第2閾範囲のいずれかのみ決定しても良い。また、本実施形態ではセキュリティポリシーテーブル154を用いて点数を抽出する例を挙げたがこれに限るものではない。例えばオペレータが入力部13または管理コンピュータ3の入力部33からセキュリティポリシーに応じて点数を手入力しても良い。
【0039】
セキュリティポリシーを高く、安全性の面で厳密に運用する場合、高い点数を入力すればよい。セキュリティポリシーを低く、安全性の面でルーズに運用する場合、低い点数を入力すればよい。CPU11は入力部13から入力された点数、または、管理コンピュータ3の入力部33を通じて入力された点数を受け付け、記憶部15に記憶する。
【0040】
図8は分散テーブル155のレコードレイアウトを示す説明図である。分散テーブル155は分散に対応付けて点数を記憶している。分散フィールドには、単位時間当たりのアプリ操作命令数に係る分散の大小を記憶している。具体的には、分散フィールドには算出される分散の値の範囲に応じて、大、中、小と分類されている。分散の値が大きくばらつきが多い場合、大となる。一方、分散の値が小さくばらつきが小さい場合、小となる。なお、本実施形態では大、中、小の3つに分類したが、複数以上であればこの形態に限るものではない。また、本実施形態では一例として分散を用いる例を挙げたが、分散の平方根である標準偏差を用いても良い。点数フィールドには分散の大小に対応付けて点数が記憶されている。なお、分散テーブル155の記憶内容は、オペレータが入力部13または管理コンピュータ3の入力部33を通じて変更しても良い。
【0041】
図9は範囲テーブル156のレコードレイアウトを示す説明図である。範囲テーブル156には点数に対応付けて第1閾範囲の上限の係数、第1閾範囲の下限の係数及び第2閾範囲の係数が記憶されている。点数フィールドには、第1閾範囲及び第2閾範囲を決定するための点数が記憶されている。第1閾範囲上限フィールドには、点数に対応付けて、係数が記憶されている。第1閾範囲上限フィールドには点数が増加するにつれて、つまり安全性の要求が高くなるにつれて範囲を小さくする係数が記憶されている。例えば、午後2時台における単位時間当たりのアプリ操作命令数の全ユーザの平均値を、「10」とする。点数が「9」と高度の安全性が要求される場合、「10」に係数「1.3」を乗じて第1閾範囲の上限は「13」となる。一方、点数が「3」と高度の安全性が要求されていない場合、「10」に係数「2.5」が乗じられ、第1閾範囲の上限は「25」となる。
【0042】
第1閾範囲下限フィールドには、点数に対応付けて第1閾範囲の下限の係数が記憶されている。第1閾範囲下限フィールドには点数が増加するにつれて、つまり安全性の要求が高くなるにつれて範囲を小さくする係数が記憶されている。CPU11はセキュリティポリシーテーブル154から読み出した点数と、分散テーブル155から読み出した点数とを加算する。そして合計した点数が「9」と高度の安全性が要求される場合、「10」に係数「0.8」を乗じて第1閾範囲の下限は「8」となる。一方、点数が「3」と高度の安全性が要求されていない場合、「10」に係数「0.2」が乗じられ、第1閾範囲の下限は「2」となる。これにより、高度の安全性が要求される点数「9」の場合、第1閾範囲は「8〜13」と範囲が狭くなる。高度の安全性が要求されない点数「3」の場合、第1閾範囲は「2〜25」と範囲が広くなる。CPU11は算出した第1閾範囲を第1閾範囲ファイル151に記憶する。
【0043】
係数は、オペレータが入力部13または管理コンピュータ3の入力部33からセキュリティポリシーに応じて入力しても良い。CPU11は入力された係数を点数に対応付けて範囲テーブル156に記憶する。なお、本実施形態では、係数を乗じることとしたが、第1閾範囲上限を算出する際には加算しても良い。また第1閾範囲下限を算出する際には減算しても良い。また加算する値と減算する値はあくまで一例であり、加算値と減算値とを同じ値としても良い。
【0044】
また、本実施形態では、係数を乗じる基準値として単位時間当たりのアプリ操作命令数の全ユーザの平均値を用いることとしたがこれに限るものではない。例えば一のユーザの複数日における単位時間当たりの平均値を用いても良い。また平均値以外に、一のユーザまたは複数のユーザの統計における最頻値または中央値を用いても良い。この他、オペレータが適宜設定した値であっても良い。本実施形態では一例として、複数のユーザの単位時間当たりのアプリ操作命令数の平均値を基準値であるものとして説明する。具体的にはCPU11は履歴DB153を参照し、時間帯毎に各ユーザのアプリ操作命令数を読み出し、平均値を算出し、基準値とする。
【0045】
第2閾範囲フィールドには点数に対応付けて係数が記憶されている。第2閾範囲の係数は点数が減少するにつれ、つまり安全性に対する要求レベルが低下するにつれ、増加する値が記憶されている。記憶部15には基準時間が記憶されている。基準時間は例えば3時間である。点数が「9」と高度の安全性が要求される場合、3時間に係数「1.0」が乗じられ、第2閾範囲は3時間のままとなる。例えば、第1閾範囲の上限を越える時間が3時間を越えた場合、異常と判断される。一方、点数が「3」と高度の安全性が要求されていない場合、3時間に係数「1.4」が乗じられ、第2閾範囲は4.2時間となる。この場合、第1閾範囲の上限を越える時間が4.2時間を越えた場合、異常と判断される。CPU11は算出した第2閾範囲を第2閾範囲ファイル152に記憶する。なお、本実施形態においては基準時間に係数を乗じる例を挙げたが、係数を加算または減算しても良い。さらに、基準時間以外に基準回数を用いても良い。CPU11は第1閾範囲の上限を越えると判断した回数が基準回数に係数を乗じた値を越えた場合に異常と判断しても良い。本実施形態においては説明を容易にするために基準回数を用いた例を挙げて説明する。
【0046】
図10は第1閾範囲、第2閾範囲及びアプリ操作命令数の変化を示すグラフである。図10における横軸は時間である。縦軸はアプリ操作命令数である。黒丸で示す系列は上側が第1閾範囲の上限の時間的変化を示し、下側は第1閾範囲の下限を示す。白丸で示す系列は、監視対象のユーザのパーソナルコンピュータ2の入力部23を通じてサーバコンピュータ1に入力された単位時間当たりのアプリ操作命令数である。10時台では入力されたアプリ操作命令数が第1閾範囲の上限を越えていることが理解できる。
【0047】
第2閾範囲は横方向の矢印で示している。3時間を越えて第1閾範囲を越える場合に、異常を出力するものとする。CPU11は13時台においても第2閾範囲の3時間を越えていることから異常と判断する。なお、本実施形態においては、時間帯毎に第1閾範囲を設定し、時間帯毎にアプリ操作命令数を監視する例を挙げたがこれに限るものではない。累積回数に基づき、第1閾範囲を設定し、アプリ操作命令数の累積回数を監視するようにしても良い。
【0048】
図11は第1閾範囲、第2閾範囲及びアプリ操作命令累積数の変化を示すグラフである。図11における横軸は時間である。縦軸はアプリ操作命令累積数である。黒丸で示す系列は上側が第1閾範囲の上限の時間的変化を示し、下側は第1閾範囲の下限を示す。白丸で示す系列は、監視対象のユーザのパーソナルコンピュータ2の入力部23を通じてサーバコンピュータ1に入力されたアプリ操作命令累積数である。12時台では入力されたアプリ操作命令累積数が第1閾範囲の上限を越えていることが理解できる。
【0049】
第2閾範囲は横方向の矢印で示している。3時間を越えて第1閾範囲を越える場合に、異常を出力するものとする。CPU11は15時台においても第2閾範囲の3時間を越えていることから異常と判断する。
【0050】
図12は異常情報を出力する際のイメージ図である。CPU11は異常と判断した場合、CPU11は、時計部18から日時を読み出し、異常に係るユーザIDを読み出す。CPU11は記憶部15に記憶したテンプレート文章に日、時間帯及びユーザIDを記述する。図12に示すように10月21日10時台に、ユーザID「001」に関し、異常が発生したことが出力される。CPU11は表示部14に異常情報を出力する。その他、CPU11は管理コンピュータ3へ通信部16を介して異常情報を出力する。管理コンピュータ3のCPU31は異常情報を受信した場合、表示部34に異常情報を表示する。なお、CPU11は記憶部15に記憶したオペレータのメールアドレスを読み出し、電子メールにて、異常情報を読み出したメールアドレス宛へ送信しても良い。その他、CPU11は異常と検出されたユーザID「001」のパーソナルコンピュータ2へ異常情報を出力しても良い。また異常情報の出力は表示部14または表示部34への出力に限るものではない。例えば図示しないスピーカによる音声出力、図示しない発光素子による光出力であっても良い。本実施形態では説明を容易にするために、管理コンピュータ3へ異常情報を出力する例を挙げて説明する。
【0051】
図13は基準値算出処理の手順を示すフローチャートである。CPU11は履歴DB153から、時間帯毎にアプリ操作命令数を計数する(ステップS31)。CPU11は同様に所定期間内遡り、時間帯毎にアプリ操作命令数を計数する。この所定期間は例えば平日の1ヶ月間とすればよい。CPU11は所定期間内の時間帯毎のアプリ操作命令数の平均を算出する(ステップS32)。CPU11は以上の処理を予め定めた数のユーザについて行う。これにより、複数のユーザ毎に、時間帯毎のアプリ操作命令数の平均が算出される。
【0052】
CPU11は各ユーザの時間帯毎のアプリ操作命令数の平均を加算し、ユーザ数で除すことで、時間帯別の平均アプリ操作命令数を算出する(ステップS33)。CPU11は時間帯別平均アプリ操作命令数を基準値として記憶部15に記憶する(ステップS34)。なお、本実施形態においては時間帯別にアプリ操作命令数の平均を算出したがこれに限るものではない。一日毎のアプリ操作命令数の平均を算出しても良い。また複数のユーザの平均アプリ操作命令数を基準値としたが、一のユーザの平均アプリ操作命令数を基準値としても良い。なお、以上述べた基準値の算出は所定期間毎(例えば1週間毎)に行えば良い。
【0053】
図14及び図15は第1閾範囲及び第2閾範囲の決定処理手順を示すフローチャートである。オペレータは管理コンピュータ3の入力部33から過去の事件状況、対象の機密性及び対象の強度を入力する。なお、これらの情報は図7で説明したとおり、複数のレベルを入力すればよい。CPU31は入力部33から入力された過去の事件状況、対象の機密性及び対象の強度を、通信部36を介してサーバコンピュータ1へ送信する。サーバコンピュータ1のCPU11は通信部16を介して、過去の事件状況、対象の機密性及び対象の強度を受け付ける(ステップS131)。
【0054】
CPU11はセキュリティポリシーテーブル154から、受け付けた過去の事件状況、対象の機密性及び対象の強度のレベルに対応する点数を読み出す(ステップS132)。CPU11は履歴DB153を参照し、ユーザ毎にアプリ操作命令数を計数する(ステップS133)。なお、CPU11は計数の際、任意の1または複数の時間帯のアプリ操作命令数を計数するほか、1日間のアプリ操作命令数を計数しても良い。本実施形態では、1日間のアプリ操作命令数を計数する例を挙げて説明する。
【0055】
CPU11はステップS133の処理を複数のユーザについて行う。CPU11は複数のユーザのアプリ操作命令数の平均値を算出する(ステップS134)。CPU11は平均値及び各ユーザのアプリ操作命令数に基づき、分散を算出する(ステップS135)。具体的には、各ユーザのアプリ操作命令数から平均値を減じ、減じた値の2乗の総和をユーザ数で除すことにより、分散を算出する。なお、本実施形態では複数のユーザのアプリ操作命令数に基づき分散を算出したがこれに限るものではない。一ユーザの複数日間の分散を算出しても良い。
【0056】
CPU11は分散テーブル155を参照し、算出した分散に対応する点数を読み出す(ステップS136)。CPU11はステップS132で読み出した点数と、ステップS136で読み出した点数とを加算する(ステップS137)。CPU11は範囲テーブル156を参照し、加算した点数に対応する第1閾範囲の上限係数、第1閾範囲の下限係数及び第2閾範囲係数を読み出す(ステップS138)。CPU11は記憶部15に記憶した基準値を読み出す(ステップS139)。
【0057】
CPU11は各時間帯の基準値に第1閾範囲の上限係数を乗じ、また、各時間帯の基準値に第1閾範囲の下限係数を乗じ、第1閾範囲を決定する(ステップS141)。CPU11は第1閾範囲を第1閾範囲ファイル151に記憶する(ステップS142)。CPU11は記憶部15に記憶した基準時間を読み出す(ステップS143)。CPU11は基準時間に算出した第2閾範囲係数を乗じる(ステップS144)。CPU11は乗じた値を第2閾範囲ファイル152に記憶する(ステップS145)。なお、本実施形態においては、セキュリティポリシーテーブル154に基づく点数と、分散テーブルに基づく点数との双方を用いる例を挙げて説明したが、これに限るものではない。いずれか一方を用いるものであっても良い。
【0058】
サーバコンピュータ1のCPU11は危険性の増減情報を受け付けた場合、危険性の増減に応じて第1閾範囲及び第2閾範囲を補正する。例えば、増減情報により危険性が増加した場合、第1閾範囲及び第2閾範囲を小さく補正する。増減情報により危険性が減少した場合、第1閾範囲及び第2閾範囲が大きくなるよう補正する。なお、本実施形態においては受け付けた危険性の増減情報に応じて第1閾範囲及び第2閾範囲の双方を補正する例を挙げて説明するが、第1閾範囲または第2閾範囲のいずれか一方であっても良い。
【0059】
危険性の変化は例えば、外的要因によるものと、内的要因によるものとがある。外的要因が変化する場合としては、新たなウィルスに関する情報を受信した場合である。ウィルスに関する情報は、例えば、新たな脅威となるウィルスが発生したことを示す情報と、発生したウィルスに対するワクチンが生成されたことを示す情報とがある。前者は危険性が増加したことを示す情報であり、後者は危険性が減少したことを示す情報である。セキュリティサーバ4はウィルスが発生したことを示す情報(以下、ウィルス発生情報という。)及びワクチンが生成されたことを示す情報(以下、ワクチン生成情報という)をサーバコンピュータ1へ送信する。
【0060】
CPU11は通信部16を介して危険性の増減情報であるウィルス発生情報及びワクチン生成情報を取得する。CPU11は予め記憶部15に記憶した第1補正量(例えば、アプリ操作命令数「2回」)を読み出す。CPU11は危険性が増加したことを示すウィルス発生情報を取得した場合、第1閾範囲を小さくすべく、第1閾範囲ファイル151に記憶した第1閾範囲の上限及び下限を読み出す。CPU11は第1閾範囲の上限から第1補正量を減じ、第1閾範囲の下限に第1補正量を加算する。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する。
【0061】
一方、CPU11は危険性が減少したことを示すワクチン生成情報を取得した場合、第1閾範囲を大きくすべく、第1閾範囲ファイル151に記憶した第1閾範囲の上限及び下限を読み出す。CPU11は第1閾範囲の上限に第1補正量を加算し、第1閾範囲の下限から第1補正量を減算する。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する。なお、本実施形態においては、セキュリティサーバ4からウィルス発生情報及びワクチン生成情報をサーバコンピュータ1へ送信する例を示したがこれに限るものではない。例えば、管理コンピュータ3の入力部33からオペレータがウィルス発生情報及びワクチン生成情報を入力しても良い。管理コンピュータ3のCPU31は、通信部36を介して、ウィルス発生情報及びワクチン生成情報をサーバコンピュータ1へ送信する。サーバコンピュータ1のCPU11は通信部16を介してウィルス発生情報及びワクチン生成情報を取得する。
【0062】
CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す。CPU11は記憶部15から予め記憶された第2補正量(例えば、20分)を読み出す。CPU11は危険性が増加したことを示すウィルス発生情報を取得した場合、第2閾範囲を小さくすべく、第2閾範囲ファイル152に記憶した第2閾範囲を読み出す。CPU11は第2閾範囲から第2補正量を減じる。CPU11は補正後の第2閾範囲を第2閾範囲ファイル152に記憶する。
【0063】
その他、外的要因としては、情報処理システムに関連する法律が変更された場合等である。例えば、情報処理システムが個人情報を取り扱っているとする。ここで、個人情報保護法が改正された場合、外的要因が変化したこととなる。個人情報保護法により、サーバコンピュータ1で取り扱う個人情報についてのより厳密な管理が要求され、これに違反した場合、法上の責任が生じる場合、危険性が増加したことになる。一方、個人情報保護法の法改正により、サーバコンピュータ1で取り扱う個人情報の一部の保護が不要になった等の場合、危険性が減少したことになる。オペレータは、法改正に伴い危険性が増加した、または、危険性が減少したことを示す増減情報を、管理コンピュータ3の入力部33から入力する。管理コンピュータ3のCPU31は、通信部36を介して、危険性の増減情報をサーバコンピュータ1へ送信する。サーバコンピュータ1のCPU11は通信部16を介して危険性の増減情報を取得する。
【0064】
内的要因が変化する場合とは、例えば、サーバコンピュータ1、管理コンピュータ3、パーソナルコンピュータ2または指紋認証装置2Dの使用環境が変化した場合等である。以下では、一例として監視対象のパーソナルコンピュータ2の使用環境が変化した場合の例を説明する。使用環境とは例えばパーソナルコンピュータ2のハードウェア環境またはソフトウェア環境である。
【0065】
図16は環境ファイル352のレコードレイアウトを示す説明図である。環境ファイル352はパーソナルコンピュータ2毎にハードウェア環境及びソフトウェア環境を記憶している。環境ファイル352は端末IDフィールド、ハードウェア環境フィールド及びソフトウェア環境フィールド等を含む。端末IDフィールドには、パーソナルコンピュータ2を特定するための識別情報(以下、端末IDという)が記憶されている。ハードウェア環境は例えば、サーバコンピュータ1へログインする際の認証方法、及び、セキュリティチップの有無等である。認証方法フィールドには、各パーソナルコンピュータ2に実装された認証装置の種類が記憶されている。指紋認証装置が実装されている場合、指紋認証と記憶され、静脈認証装置が実装されている場合、静脈認証と記憶される。生体認証装置が実装されていない場合、ID・パスワードと記憶される。
【0066】
管理コンピュータ3のCPU31はハードウェア環境及びソフトウェア環境が変更された場合、変更後の環境を端末IDに対応付けて、環境ファイル352に記憶する。その他、オペレータは入力部33から端末ID毎のハードウェア環境及びソフトウェア環境を入力し、環境ファイル352に記憶するようにしても良い。本実施形態においてはセキュリティの強度は、ID・パスワード、指紋認証、静脈認証の順に高くなるものとする。セキュリティの強度が高くなった場合、危険性が減少することとなる。一方、セキュリティの強度が低くなった場合、危険性が増加することとなる。
【0067】
例えば、ID・パスワード認証から、指紋認証へ変更した場合、セキュリティの強度は高くなる。逆に、指紋認証装置を撤去し、指紋認証からID・パスワード認証へ変更した場合、セキュリティの強度は低下する。管理コンピュータ3のCPU31は、セキュリティの強度が高くなった場合、危険性が減少したことを示す情報をサーバコンピュータ1へ送信する。一方、セキュリティの強度が低くなった場合、危険性が増加したことを示す情報を、サーバコンピュータ1へ送信する。
【0068】
セキュリティチップフィールドにはパーソナルコンピュータ2に実装されるセキュリティチップの有無が記憶されている。セキュリティチップは、TCG(Trusted Computing Group)の仕様に基づいたTPM(Trusted Platform Module)と称されるIC(Integrated Circuit)チップである。セキュリティチップはTCGにより策定されたセキュリティの基本機能を備える。このセキュリティチップをパーソナルコンピュータ2に実装することにより、ソフトウェアによる攻撃及び物理的な攻撃からデータを保護し、実装されていないパーソナルコンピュータ2と比較して、より強固なセキュリティを実現する。
【0069】
管理コンピュータ3のCPU31は、セキュリティチップを実装した場合、危険性が減少したことを示す情報をサーバコンピュータ1へ送信する。一方、セキュリティチップを除去した場合、危険性が増加したことを示す情報を、サーバコンピュータ1へ送信する。ソフトウェア環境フィールドとしては、例えば、パーソナルコンピュータ2にインストールされたOS及びブラウザの種類及びバージョンが挙げられる。パーソナルコンピュータ2のブラウザの種類及びバージョンが変更される度に、管理コンピュータ3の環境ファイル352のソフトウェア環境フィールドの内容も更新される。
【0070】
管理コンピュータ3のCPU31は、環境ファイル352を参照し、OSまたはブラウザの種類またはバージョンがグレードアップした場合、危険性が減少したことを示す情報をサーバコンピュータ1へ送信する。一方、CPU31は、OSまたはブラウザの種類またはバージョンがグレードダウンした場合、危険性が増加したことを示す情報を、サーバコンピュータ1へ送信する。なお、OS及びブラウザの種類及びバージョンに対するグレードの情報は記憶部15に予め記憶しておくか、外部の図示しないサーバコンピュータから取得すればよい。なお、本実施形態においては、環境ファイル352はパーソナルコンピュータ2のハードウェア及びソフトウェアの情報を記憶する例を挙げたがこれに限るものではない。環境ファイル352にサーバコンピュータ1、指紋認証装置2D、またはセキュリティサーバ4のハードウェアまたはソフトウェアの情報を同様に記憶しておいても良い。CPU31は環境ファイル352を参照し、サーバコンピュータ1、指紋認証装置2D、またはセキュリティサーバ4の危険性が増加したか、または、減少したかを判断しても良い。
【0071】
その他、内的要因が変動する場合として、人事異動がある。例えば、派遣社員数が増加した場合、危険性が増加する。派遣社員数が減少する場合、危険性が減少する。人事ファイル351の内容は人事異動の度に更新される。管理コンピュータ3のCPU31は派遣社員数が増加したと判断した場合、危険性が増加したことを示す情報を、サーバコンピュータ1へ送信する。一方、管理コンピュータ3のCPU31は派遣社員数が減少したと判断した場合、危険性が減少したことを示す情報を、サーバコンピュータ1へ送信する。
【0072】
以下では、説明を容易にするために、ソフトウェア環境の内OSの変化に伴う危険性の増減及びウィルスに関する情報に基づく危険性の増減を例に挙げて説明する。なお、サーバコンピュータ1の履歴DB153、管理コンピュータ3の環境ファイル352等の各種DB及びファイルのレコードレイアウトは一例でありこれに限るものではない。データ間の関係さえ維持されていれば他の記憶形態であっても良い。またこれらDB及びファイルはサーバコンピュータ1の記憶部15または管理コンピュータ3の記憶部35に記憶した例を挙げたがこれに限るものではない。他の図示しないDBサーバコンピュータ内にデータを記憶しておき、必要に応じて読み出し及び書き込みを行っても良い。
【0073】
図17及び図18は第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。セキュリティサーバ4は、ウィルスに関する情報として、新たなウィルスが発生した場合、ウィルス発生情報をサーバコンピュータ1へ送信する(ステップS161)。またセキュリティサーバ4はウィルスに関する情報として、ワクチンを生成した場合、ワクチン生成情報をサーバコンピュータ1へ送信する(ステップS162)。
【0074】
サーバコンピュータ1は通信部16を介して、ウィルス発生情報及びワクチン生成情報を含む危険性の増減情報を取得(受信)する(ステップS163)。サーバコンピュータ1のCPU11はウィルス発生情報を取得したか否かを判断する(ステップS164)。CPU11はウィルス発生情報を取得したと判断した場合(ステップS164でYES)、記憶部15に予め記憶した第1補正量及び第2補正量を読み出す(ステップS165)。CPU11は第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS166)。
【0075】
CPU11は第1閾範囲の上限から第1補正量を減算する(ステップS167)。CPU11は第1閾範囲の下限に第1補正量を加算する(ステップS168)。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する(ステップS169)。CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS171)。CPU11は第2閾範囲から第2補正量を減じる(ステップS172)。CPU11は補正後の第2閾範囲を第2閾範囲ファイル152に記憶する(ステップS173)。
【0076】
CPU11はウィルス発生情報を取得していないと判断した場合(ステップS164でNO)、ステップS174へ移行する。CPU11はワクチン生成情報を取得したか否かを判断する(ステップS174)。CPU11はワクチン生成情報を取得したと判断した場合(ステップS174でYES)、記憶部15に予め記憶した第1補正量及び第2補正量を読み出す(ステップS175)。CPU11は第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS176)。
【0077】
CPU11は第1閾範囲の上限に第1補正量を加算する(ステップS177)。CPU11は第1閾範囲の下限から第1補正量を減算する(ステップS178)。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する(ステップS179)。CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS1710)。CPU11は第2閾範囲に第2補正量を加算する(ステップS1711)。CPU11は補正後の第2閾範囲を第2閾範囲ファイル152に記憶する(ステップS1712)。CPU11はワクチン生成情報を取得していないと判断した場合(ステップS174でNO)、処理を終了する。
【0078】
図19乃至図22は第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。パーソナルコンピュータ2のユーザは新たなバージョンのOSをインストールする。パーソナルコンピュータ2のCPU21は指示に従い、OSをインストールする(ステップS181)。CPU21は通信部26を介して、端末ID及びOSのバージョン情報を管理コンピュータ3へ送信する(ステップS182)。管理コンピュータ3のCPU31は端末ID及びOSのバージョンを受信する(ステップS183)。
【0079】
CPU31は環境ファイル352から端末IDに対応するOSのバージョンを読み出す(ステップS184)。CPU31は受信したOSのバージョンと、読み出したOSのバージョンとを比較し、OSがバージョンアップされたか否かを判断する(ステップS185)。例えば、CPU31はOSのバージョンと、バージョンアップ日時を記憶した記憶部15を参照し、バージョンアップ日時が新しいものに変更された場合、バージョンアップされたと判断すればよい。
【0080】
CPU31はOSのバージョンアップがあったと判断した場合(ステップS185でYES)、危険性の減少を示す情報をサーバコンピュータ1へ送信する(ステップS186)。CPU31はOSのバージョンアップがない、すなわちOSのグレードダウンがあったと判断した場合(ステップS185でNO)、危険性の増加を示す情報をサーバコンピュータ1へ送信する(ステップS187)。サーバコンピュータ1は通信部16を介して、危険性の増減情報を取得(受信)する(ステップS188)。サーバコンピュータ1のCPU11は危険性の増加を示す情報を取得したか否かを判断する(ステップS189)。CPU11は危険性の増加を示す情報を取得したと判断した場合(ステップS189でYES)、記憶部15に予め記憶した第1補正量及び第2補正量を読み出す(ステップS191)。CPU11は第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS192)。
【0081】
CPU11は第1閾範囲の上限から第1補正量を減算する(ステップS193)。CPU11は第1閾範囲の下限に第1補正量を加算する(ステップS194)。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する(ステップS195)。CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS196)。CPU11は第2閾範囲から第2補正量を減じる(ステップS197)。CPU11は補正後の第2閾範囲を第2閾範囲ファイル152に記憶する(ステップS198)。
【0082】
CPU11は危険性の増加を示す情報を取得していないと判断した場合(ステップS189でNO)、ステップS201へ移行する。CPU11は危険性の減少を示す情報を取得したか否かを判断する(ステップS201)。CPU11は危険性の減少を示す情報を取得したと判断した場合(ステップS201でYES)、記憶部15に予め記憶した第1補正量及び第2補正量を読み出す(ステップS202)。CPU11は第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS203)。
【0083】
CPU11は第1閾範囲の上限に第1補正量を加算する(ステップS204)。CPU11は第1閾範囲の下限から第1補正量を減算する(ステップS205)。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する(ステップS206)。CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS207)。CPU11は第2閾範囲に第2補正量を加算する(ステップS208)。CPU11は補正後の第2閾範囲を第2閾範囲ファイル152に記憶する(ステップS209)。CPU11は危険性の減少を示す情報を取得していないと判断した場合(ステップS201でNO)、処理を終了する。
【0084】
図23及び図24は異常判断処理の手順を示すフローチャートである。サーバコンピュータ1のCPU11は、図17乃至図22の処理と並行して以下の処理を行う。CPU11はパーソナルコンピュータ2から送信されたユーザID及びアプリ操作命令の入力を、通信部16を介して受け付ける(ステップS221)。CPU11は、時計部18からの出力を参照し、入力されたユーザID、アプリ操作命令及び日時を履歴DB153に記憶する(ステップS222)。CPU11は単位時間(例えば1時間)が経過したか否かを判断する(ステップS223)。
【0085】
CPU11は単位時間を経過していないと判断した場合(ステップS223でNO)、ステップS221に処理を戻す。CPU11は単位時間を経過したと判断した場合(ステップS223でYES)、第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS224)。CPU11は履歴DB153を参照し、単位時間当たりのアプリ操作命令数を計数する(ステップS225)。CPU11は計数したアプリ操作命令数が第1閾範囲の上限または下限を越えるか否かを判断する(ステップS226)。なお、本実施形態においては、CPU11はアプリ操作命令数が第1閾範囲の上限より大きいか、または下限よりも小さいかを判断しているがこれに限るものではない。CPU11はアプリ操作命令数が第1閾範囲の上限以上か、または下限以下かを判断してもよい。
【0086】
CPU11は第1閾範囲の上限または下限を越えないと判断した場合(ステップS226でNO)、処理をステップS221に戻す。CPU11は第1閾範囲の上限または下限を越えると判断した場合(ステップS226でYES)、第1閾範囲を越えた日、時間帯及びユーザIDを記憶部15に記憶する(ステップS227)。これにより、第1閾範囲を越えた時間帯の履歴が蓄積される。CPU11は第2閾範囲を第2閾範囲ファイル152から読み出す(ステップS228)。CPU11は第1閾範囲を連続して越えた時間帯数が第2閾範囲を越えるか否かを判断する(ステップS229)。なお、本実施形態においてCPU11は、第1閾範囲を連続して越えた時間帯数が、第2閾範囲よりも大きいか否かを判断するがこれに限るものではない。CPU11は、第1閾範囲を連続して越えた時間帯数が、第2閾範囲以上否かを判断しても良い。また本実施形態においてCPU11は、第1閾範囲を越える時間帯が連続して第2閾範囲を越える場合に異常と判断したがこれに限るものではない。CPU11は、連続していなくても所定時間内に第2閾範囲を越えた場合に異常と判断しても良い。例えば第2閾範囲が4時間であり、7時間の間に第1閾範囲を越えた時間帯が5時間存在する場合に異常と判断しても良い。
【0087】
CPU11は時間帯数が第2閾範囲を越えないと判断した場合(ステップS229でNO)、処理をステップS221へ戻す。CPU11は時間帯数が第2閾範囲を越えると判断した場合(ステップS229でYES)、異常情報のテンプレートを記憶部15から読み出す(ステップS231)。CPU11は読み出したテンプレートに、ユーザID、日及び時間帯を記述する(ステップS232)。CPU11は管理コンピュータ3のアドレスを記憶部15から読み出す(ステップS233)。
【0088】
CPU11は読み出したアドレス宛へ異常情報を出力する(ステップS234)。管理コンピュータ3のCPU31は、通信部36を介して異常情報を受信する(ステップS235)。CPU31は異常情報を表示部34に表示する(ステップS236)。これにより、セキュリティポリシー及び分散に応じて定まる第1閾範囲及び第2閾範囲を危険性の増減に応じて適宜補正でき、状況に沿った適切な異常判断が可能となる。
【0089】
実施の形態2
実施の形態2はアプリ操作命令数の変化率に基づき異常を検出する形態に関する。図25はアプリ操作命令数の変化率の時間的な変化を示すグラフである。横軸は時間、縦軸は変化率である。白丸で示す系列は、単位時間当たりのアプリ操作命令数を1時間前の単位時間当たりのアプリ操作命令数で除し、100を乗じた値(以下変化率という)である。変化率が急激に上昇または下降する場合、異常と判断する。なお、変化率に代えて、角度または差分をパラメータとしても良い。
【0090】
CPU11は例えば、基準となる変化率を100%とし、記憶部15に記憶しておく。CPU11は実施の形態1で述べたように、セキュリティポリシーテーブル154、分散テーブル155及び範囲テーブル156を参照し、第1閾範囲を算出する。例えば、高度の安全性が要求される場合、係数は小さく第1閾範囲は80%〜120%とすれば良い。また、高度の安全性が要求されない場合、係数は大きく第1閾範囲は40%〜250%とすれば良い。危険性が増大した場合、実施の形態1で述べたと同様にCPU11は第1閾範囲の上限から第1補正量を減算し、下限に第1補正量を加算する。CPU11は第2閾範囲から第2補正量を減算する。
【0091】
一方、危険性が減少した場合、実施の形態1で述べたと同様にCPU11は第1閾範囲の上限に第1補正量を加算し、下限から第1補正量を減算する。CPU11は第2閾範囲に第2補正量を加算する。
【0092】
図26及び図27は実施の形態2に係る異常判断処理の手順を示すフローチャートである。サーバコンピュータ1のCPU11は、図17乃至図22の処理と並行して以下の処理を行う。CPU11はパーソナルコンピュータ2から送信されたユーザID及びアプリ操作命令の入力を、通信部16を介して受け付ける(ステップS261)。CPU11は、時計部18からの出力を参照し、入力されたユーザID、アプリ操作命令及び日時を履歴DB153に記憶する(ステップS262)。CPU11は単位時間(例えば1時間)が経過したか否かを判断する(ステップS263)。
【0093】
CPU11は単位時間を経過していないと判断した場合(ステップS263でNO)、ステップS261に処理を戻す。CPU11は単位時間を経過したと判断した場合(ステップS263でYES)、第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS264)。CPU11は履歴DB153を参照し、単位時間当たりのアプリ操作命令数を計数する(ステップS265)。CPU11は1単位時間前、すなわち1時間前の単位時間当たりのアプリ操作命令数を、履歴DB153から読み出す(ステップS266)。
【0094】
CPU11はステップS265で読み出したアプリ操作命令数をステップS266で読み出したアプリ操作命令数で除し、100を乗じることで変化率を算出する(ステップS267)。CPU11は算出した変化率が第1閾範囲の上限または下限を越えるか否かを判断する(ステップS268)。なお、1時間前の単位時間当たりのアプリ操作命令数が存在しない場合は、変化率を初期値100%とすれば良い。
【0095】
CPU11は第1閾範囲の上限または下限を越えないと判断した場合(ステップS268でNO)、処理をステップS261に戻す。CPU11は第1閾範囲の上限または下限を越えると判断した場合(ステップS268でYES)、第1閾範囲を越えた日、時間帯及びユーザIDを記憶部15に記憶する(ステップS269)。これにより、第1閾範囲を越えた時間帯の履歴が蓄積される。CPU11は第2閾範囲を第2閾範囲ファイル152から読み出す(ステップS271)。CPU11は第1閾範囲を連続して越えた時間帯数が第2閾範囲を越えるか否かを判断する(ステップS272)。
【0096】
CPU11は連続する時間帯数が第2閾範囲を越えないと判断した場合(ステップS272でNO)、処理をステップS261へ戻す。CPU11は連続する時間帯数が第2閾範囲を越えると判断した場合(ステップS272でYES)、異常情報のテンプレートを記憶部15から読み出す(ステップS273)。なお、CPU11は連続していなくても、所定時間内に第1閾範囲を超えた時間帯数が、第2閾範囲を越えた場合にも異常と判断しても良い。CPU11は読み出したテンプレートに、ユーザID、日及び時間帯を記述する(ステップS274)。CPU11は管理コンピュータ3のアドレスを記憶部15から読み出す(ステップS275)。
【0097】
CPU11は読み出したアドレス宛へ異常情報を出力する(ステップS276)。管理コンピュータ3のCPU31は、通信部36を介して異常情報を受信する(ステップS277)。CPU31は異常情報を表示部34に表示する(ステップS278)。これにより、入力情報が急変した場合も、状況に沿った適切な異常判断が可能となる。
【0098】
本実施の形態2は以上の如きであり、その他は実施の形態1と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0099】
実施の形態3
実施の形態3は異常出力時の対応に応じて第1閾範囲及び第2閾範囲を補正する形態に関する。図28は実施の形態3のサーバコンピュータ1のハードウェア群を示すブロック図である。記憶部15には異常履歴DB157が設けられている。
【0100】
図29は対応情報の入力イメージを示す説明図である。実施の形態1及び2で述べた異常情報が出力される際、対応情報の入力項目も併せて出力される。オペレータは異常情報が出力された際、異常に対応する。または、偶発的な異常であるとして異常に対応しないこともある。オペレータは管理コンピュータ3の入力部33から対応情報を入力する。
【0101】
図29に示すように、異常情報として、日、時間帯、ユーザIDが表示される。このほか、対応情報の入力項目が表示される。異常に対応したことを示す対応情報としては、例えば「ユーザに注意した。」、「ソフトウェアをバージョンアップした。」、「人事ファイルを更新した。」、「ワクチンを追加した。」等である。オペレータは異常発生時に異常を低減すべく各種の対応をとる。対応済みの対応情報を、入力部33を通じて入力する。具体的にはチェックボックス291が複数の対応情報に対応付けて表示されており、入力部33を介して、チェックボックス291を選択する。
【0102】
一方、単なる偶発的な異常であると判断した場合は、対応情報を入力しないか、異常に対応しなかったことを示す非対応情報を入力する。例えば、非対応情報としては、図29に示すように「放置する。」等である。オペレータは入力部33を通じて、非対応情報のチェックボックス291を選択する。最終的に、オペレータは入力部33からOKボタン292をクリックする。CPU31は入力部33から選択された対応情報の種類または非対応情報を受け付け、ユーザID、日及び時間帯と共にサーバコンピュータ1へ送信する。
【0103】
図30は異常履歴DB157のレコードレイアウトを示す説明図である。異常履歴DB157はユーザIDフィールド、日時フィールド及び対応情報フィールド等を含む。ユーザIDフィールドには、異常が検出されたユーザのユーザIDが記憶されている。日時フィールドには異常を検出した日及び時間帯を、ユーザIDに対応付けて記憶している。対応情報フィールドには、管理コンピュータ3から送信された対応情報の種類を記憶している。
【0104】
例えば、ユーザID「001」のユーザが10月21日10時台に起こした異常に対しては、対応済みであり、「ソフトウェアをバージョンアップした。」とする種類の対応情報が記憶されている。なお、非対応情報が送信された場合、図30で示すようにXが記憶される。CPU11はユーザID、日、時間帯、及び、対応情報の種類が送信された場合、異常履歴DB157にユーザID、日、時間帯に対応付けて対応情報の種類を記憶する。一方、CPU11はユーザID、日、時間帯、及び、非対応情報が送信された場合、異常履歴DB157にユーザID、日、時間帯に対応付けて非対応情報を記憶する。なお、非対応情報は記憶しなくても良い。
【0105】
サーバコンピュータ1は所定期間毎に第1閾範囲及び第2閾範囲の補正を行う。なお、本実施形態においては所定期間を1週間とするがこれに限るものではない。また第1閾範囲及び第2閾範囲の双方を補正する例を挙げて説明するが、いずれか一方であっても良い。CPU11は所定期間経過後に、異常回数の出力回数が第1閾値(例えば100回)を越えると判断した場合、異常履歴DB157に対応情報が記憶されているか否かを判断する。CPU11は記憶されていないと判断した場合、誤検出が多いものとして、第1閾範囲及び第2閾範囲を大きく補正する。
【0106】
CPU11は対応情報が記憶されていると判断した場合、第1閾範囲及び第2閾範囲の値を維持する。さらに、CPU11は異常回数が第1閾値を越えないが、第1閾値より小さい第2閾値(例えば2回)を越えるか否かを判断する。CPU11は第2閾値を越えないと判断した場合、条件が緩やかすぎると判断し、第1閾範囲及び第2閾範囲を小さく補正する。一方、CPU11は第2閾値を越えると判断した場合、適切であるとして、第1閾範囲及び第2閾範囲の値を維持する。
【0107】
図31及び図32は対応情報の記憶処理手順を示すフローチャートである。サーバコンピュータ1のCPU11はステップS272でYESの場合、以下の処理を行う。CPU11は記憶部15に記憶した異常情報のテンプレートを読み出す(ステップS311)。CPU11はテンプレートに異常と判断されたユーザのユーザID、日及び時間帯を記述する(ステップS312)。CPU11はさらに記憶部15に記憶した対応情報の種類及び非対応情報を記述する(ステップS313)。
【0108】
CPU11は管理コンピュータ3のアドレスを読み出す(ステップS314)。CPU11はアドレス宛へテンプレートへの記述が完了した異常情報を出力する(ステップS315)。なお、異常情報は管理コンピュータ3がサーバコンピュータ1へアクセスした場合に、送信するようにしても良い。管理コンピュータ3のCPU31は異常情報を受信する(ステップS316)。CPU31は異常情報を表示部34に表示する(ステップS317)。CPU31は対応情報の種類の選択を受け付けたか否かを判断する(ステップS318)。
【0109】
CPU31は対応情報の種類の選択を受け付けたと判断した場合(ステップS318でYES)、ユーザID、日、時間帯及び対応情報の種類をサーバコンピュータ1へ送信する(ステップS319)。サーバコンピュータ1のCPU11はユーザID、日、時間帯及び対応情報の種類を受信する(ステップS321)。CPU11はユーザID、日、時間帯及び対応情報の種類を異常履歴DB157に記憶する(ステップS322)。
【0110】
管理コンピュータ3のCPU31は対応情報の種類の選択を受け付けなかった場合(ステップS318でNO)、ユーザID、日、時間帯及び非対応情報をサーバコンピュータ1へ送信する(ステップS323)。サーバコンピュータ1のCPU11はユーザID、日、時間帯及び非対応情報を受信する(ステップS324)。CPU11はユーザID、日、時間帯及び非対応情報を異常履歴DB157に記憶する(ステップS325)。これにより異常に対して施された対応情報、対応情報の有無、異常回数が異常履歴DB157に蓄積される。
【0111】
図33乃至図35は第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。サーバコンピュータ1のCPU11は所定期間を経過したか否かを判断する(ステップS331)。CPU11は所定期間を経過していないと判断した場合(ステップS331でNO)、所定期間を経過するまで待機する。CPU11は所定期間を経過したと判断した場合(ステップS331でYES)、ステップS332へ移行する。CPU11は異常履歴DB157を参照し、所定期間内の異常情報の出力回数を計数する(ステップS332)。例えば、CPU11は1週間分の異常情報のレコード数を計数すればよい。
【0112】
CPU11は記憶部15に予め記憶した第1閾値を読み出す(ステップS333)。CPU11は計数した異常情報の出力回数が第1閾範囲を超えたか否か判断する(ステップS334)。CPU11は計数した異常情報の出力回数が第1閾値を越えると判断した場合(ステップS334でYES)、ステップS335へ移行する。CPU11は異常履歴DB157を参照し、ステップS332で計数したレコード中に対応情報が記憶されているか否かを判断する(ステップS335)。CPU11は対応情報が記憶されていると判断した場合(ステップS335でYES)、第1閾範囲及び第2閾範囲を維持する(ステップS336)。すなわち、CPU11は第1閾範囲ファイル151及び第2閾範囲ファイル152の記憶内容を変更しない。
【0113】
CPU11は対応情報が記憶されていないと判断した場合(ステップS335でNO)、第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS337)。CPU11は記憶部15に記憶した第1補正量を読み出す(ステップS338)。CPU11は第1閾範囲の上限に第1補正量を加算する(ステップS339)。CPU11は第1閾範囲の下限から第1補正量を減算する(ステップS341)。CPU11は第2補正量を記憶部15から読み出す(ステップS342)。
【0114】
CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS343)。CPU11は第2閾範囲に第2補正量を加算する(ステップS344)。ステップS334において、CPU11は異常情報の出力回数が第1閾値を越えないと判断した場合(ステップS334でNO)、ステップS345へ移行する。CPU11は第1閾値よりも小さい第2閾値を記憶部15から読み出す(ステップS345)。CPU11は異常情報の出力回数は第2閾値を越えるか否かを判断する(ステップS346)。
【0115】
CPU11は第2閾値を越えると判断した場合(ステップS346でYES)、第1閾範囲及び第2閾範囲を維持する(ステップS347)。すなわち、CPU11は第1閾範囲ファイル151及び第2閾範囲ファイル152の記憶内容を変更しない。
【0116】
CPU11は第2閾値を越えないと判断した場合(ステップS346でNO)、第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS348)。CPU11は記憶部15に記憶した第1補正量を読み出す(ステップS349)。CPU11は第1閾範囲の上限から第1補正量を減算する(ステップS351)。CPU11は第1閾範囲の下限に第1補正量を加算する(ステップS352)。CPU11は第2補正量を記憶部15から読み出す(ステップS353)。
【0117】
CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS354)。CPU11は第2閾範囲から第2補正量を減算する(ステップS355)。これにより、第1閾範囲及び第2閾範囲を実際の運用面に即して調整することが可能となる。
【0118】
本実施の形態3は以上の如きであり、その他は実施の形態1及び2と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0119】
実施の形態4
実施の形態4は第1補正量及び第2補正量を変更する形態に関する。図36は第1閾範囲ファイル151のレコードレイアウトを示す説明図である。第1閾範囲ファイル151は日時フィールド、第1閾範囲フィールド及び補正内容フィールド等を含む。サーバコンピュータ1のCPU11は図17乃至図22で述べた危険性の増減に伴い、第1閾範囲が補正された場合に、補正後の第1閾範囲、日時及び補正内容を記憶する。その他、CPU11は図33乃至図35で述べた異常情報の出力回数及び対応情報の有無に伴い第1閾範囲が補正された場合に、補正後の第1閾範囲、日時及び補正内容を記憶する。
【0120】
日時フィールドには、第1閾範囲が補正された際の日時が記憶されている。CPU11は第1閾範囲が補正された際に時計部18から出力される日時を日時フィールドに記憶する。CPU11は補正後の第1閾範囲を第1閾範囲フィールドに記憶する。CPU11は補正内容フィールドに、第1閾範囲が大きく補正されたか、小さく補正されたかの情報を記憶する。例えばCPU11はステップS177及びS178の処理により第1閾範囲の上限に第1補正量が加算され、第1閾範囲の下限から第1補正量が減算された場合、大きく補正されたと判断する。また、例えば、CPU11はステップS167及びS168の処理により第1閾範囲の上限から第1補正量が減算され、第1閾範囲の下限に第1補正量が加算された場合、小さく補正されたと判断する。
【0121】
図37は第2閾範囲ファイル152のレコードレイアウトを示す説明図である。第2閾範囲ファイル152は日時フィールド、第2閾範囲フィールド及び補正内容フィールド等を含む。サーバコンピュータ1のCPU11は図17乃至図22で述べた危険性の増減に伴い、第2閾範囲が補正された場合に、補正後の第2閾範囲、日時及び補正内容を記憶する。その他、CPU11は図33乃至図35で述べた異常情報の出力回数及び対応情報の有無に伴い第2閾範囲が補正された場合に、補正後の第2閾範囲、日時及び補正内容を記憶する。
【0122】
日時フィールドには、第2閾範囲が補正された際の日時が記憶されている。CPU11は第2閾範囲が補正された際に時計部18から出力される日時を日時フィールドに記憶する。CPU11は補正後の第2閾範囲を第2閾範囲フィールドに記憶する。CPU11は補正内容フィールドに、第2閾範囲が大きく補正されたか、小さく補正されたかの情報を記憶する。例えばCPU11はステップS1711の処理により第2閾範囲に第2補正量が加算された場合、大きく補正されたと判断する。また、例えば、CPU11はステップS172の処理により第2閾範囲の上限から第2補正量が減算された場合、小さく補正されたと判断する。
【0123】
図38及び図39は変更量の算出処理手順を示すフローチャートである。CPU11は第1閾範囲ファイル151のレコードが更新される度に以下の処理を行う。CPU11は第1閾範囲ファイル151の補正内容フィールドの前回及び今回のレコードを参照し、第1閾範囲は前回も大きく補正されたか否かを判断する(ステップS381)。具体的にはCPU11は今回の補正内容フィールドが大きく補正と記憶され、かつ、前回の補正内容フィールドも大きく補正されている場合に、前回も大きく補正されたと判断する。
【0124】
CPU11は、第1閾範囲は前回も大きく補正されたと判断した場合(ステップS381でYES)、記憶部15に記憶した第1補正量を読み出す(ステップS382)。CPU11は記憶部15に記憶した第1変更量を読み出す(ステップS383)。この第1変更量は後述するように次第に減少する値であり、オペレータが初期値及び減少幅を予め記憶部15に記憶しておけばよい。例えば初期値は5としておけばよい。CPU11は、第1変更量が第1補正量以上であるか否かを判断する(ステップS384)。CPU11は、第1変更量は第1補正量以上でないと判断した場合(ステップS384でNO)、ステップS387へ移行する。
【0125】
CPU11は第1補正量から第1変更量を減算する(ステップS387)。CPU11は減算後の第1補正量を記憶部15に記憶する(ステップS388)。これにより連続して第1閾範囲が拡大される場合でも、拡大幅の増加率が低減される。CPU11は第1変更量を減少させる(ステップS389)。CPU11は記憶部15に予め記憶した減少幅に基づき減少させればよい。例えば1ずつ減少させるなどである。その他、第1変更量の平方根、対数を減少後の第1変更量としても良い。さらに、入力した値を減少させる数式を予め記憶しておき、CPU11が第1変更量を数式に代入することにより、減少後の第1変更量を算出しても良い。本実施形態においては説明を容易にするために、初期値を5、ステップS389の処理の度に0まで1ずつ減少させる例を挙げて説明する。
【0126】
CPU11は減少後の第1変更量を記憶部15に記憶する(ステップS391)。これにより連続して第1閾範囲が拡大した場合でも、拡大幅は緩やかとなり、異常検出の精度が低下することを防止することが可能となる。CPU11は第1変更量が第1補正量以上であると判断した場合(ステップS384でYES)、第1変更量をゼロに設定する(ステップS385)。CPU11はゼロとした第1変更量を記憶部15に記憶する(ステップS386)。
【0127】
CPU11はステップS381において、第1閾範囲が前回も大きく補正されたと判断しない場合(ステップS381でNO)、ステップS392へ移行する。CPU11は第1閾範囲ファイル151の補正内容フィールドの前回及び今回のレコードを参照し、第1閾範囲は前回も小さく補正されたか否かを判断する(ステップS392)。具体的にはCPU11は今回の補正内容フィールドが小さく補正と記憶され、かつ、前回の補正内容フィールドも小さく補正されている場合に、前回も小さく補正されたと判断する。
【0128】
CPU11は、第1閾範囲は前回も小さく補正されたと判断した場合(ステップS392でYES)、記憶部15に記憶した第1補正量を読み出す(ステップS393)。CPU11は記憶部15に記憶した第1変更量を読み出す(ステップS394)。CPU11は、第1変更量が第1補正量以上であるか否かを判断する(ステップS395)。CPU11は、第1変更量は第1補正量以上でないと判断した場合(ステップS395でNO)、ステップS398へ移行する。
【0129】
CPU11は第1補正量から第1変更量を減算する(ステップS398)。CPU11は減算後の第1補正量を記憶部15に記憶する(ステップS399)。CPU11は第1変更量を減少させる(ステップS3910)。CPU11は減少後の第1変更量を記憶部15に記憶する(ステップS3911)。これにより連続して第1閾範囲が縮小した場合でも、縮小幅は緩やかとなり、異常検出の精度が低下することを防止することが可能となる。CPU11は第1変更量が第1補正量以上であると判断した場合(ステップS395でYES)、第1変更量をゼロに設定する(ステップS396)。CPU11はゼロとした第1変更量を記憶部15に記憶する(ステップS397)。
【0130】
CPU11は、第1閾範囲は前回も小さく補正されたと判断しない場合(ステップS392でNO)、ステップS3912へ移行する。CPU11は第1変更量を初期値に戻す(ステップS3912)。CPU11は初期値に戻した第1変更量を記憶部15に記憶する(ステップS3913)。
【0131】
図40及び図41は変更量の算出処理手順を示すフローチャートである。CPU11は第2閾範囲ファイル152のレコードが更新される度に以下の処理を行う。CPU11は第2閾範囲ファイル152の補正内容フィールドの前回及び今回のレコードを参照し、第2閾範囲は前回も大きく補正されたか否かを判断する(ステップS401)。具体的にはCPU11は今回の補正内容フィールドが大きく補正と記憶され、かつ、前回の補正内容フィールドも大きく補正されている場合に、前回も大きく補正されたと判断する。
【0132】
CPU11は、第2閾範囲は前回も大きく補正されたと判断した場合(ステップS401でYES)、記憶部15に記憶した第2補正量を読み出す(ステップS402)。CPU11は記憶部15に記憶した第2変更量を読み出す(ステップS403)。この第2変更量は後述するように次第に減少する値であり、オペレータが初期値及び減少幅を予め記憶部15に記憶しておけばよい。例えば初期値は10分としておけばよい。CPU11は、第2変更量が第2補正量以上であるか否かを判断する(ステップS404)。CPU11は、第2変更量は第2補正量以上でないと判断した場合(ステップS404でNO)、ステップS407へ移行する。
【0133】
CPU11は第2補正量から第2変更量を減算する(ステップS407)。CPU11は減算後の第2補正量を記憶部15に記憶する(ステップS408)。これにより連続して第2閾範囲が拡大される場合でも、拡大幅の増加率が低減される。CPU11は第2変更量を減少させる(ステップS409)。CPU11は記憶部15に予め記憶した減少幅に基づき減少させればよい。例えば1分ずつ減少させるなどである。その他、第2変更量の平方根、対数を減少後の第2変更量としても良い。さらに、入力した値を減少させる数式を予め記憶しておき、CPU11が第2変更量を数式に代入することにより、減少後の第2変更量を算出しても良い。本実施形態においては説明を容易にするために、初期値を5、ステップS409の処理の度に0まで1分ずつ減少させる例を挙げて説明する。
【0134】
CPU11は減少後の第2変更量を記憶部15に記憶する(ステップS411)。これにより連続して第2閾範囲が拡大した場合でも、拡大幅は緩やかとなり、異常検出の精度が低下することを防止することが可能となる。CPU11は第2変更量が第2補正量以上であると判断した場合(ステップS404でYES)、第2変更量をゼロに設定する(ステップS405)。CPU11はゼロとした第2変更量を記憶部15に記憶する(ステップS406)。
【0135】
CPU11はステップS401において、第2閾範囲が前回も大きく補正されたと判断しない場合(ステップS401でNO)、ステップS412へ移行する。CPU11は第2閾範囲ファイル152の補正内容フィールドの前回及び今回のレコードを参照し、第2閾範囲は前回も小さく補正されたか否かを判断する(ステップS412)。具体的にはCPU11は今回の補正内容フィールドが小さく補正と記憶され、かつ、前回の補正内容フィールドも小さく補正されている場合に、前回も小さく補正されたと判断する。
【0136】
CPU11は、第2閾範囲は前回も小さく補正されたと判断した場合(ステップS412でYES)、記憶部15に記憶した第2補正量を読み出す(ステップS413)。CPU11は記憶部15に記憶した第2変更量を読み出す(ステップS414)。CPU11は、第2変更量が第2補正量以上であるか否かを判断する(ステップS415)。CPU11は、第2変更量は第2補正量以上でないと判断した場合(ステップS415でNO)、ステップS418へ移行する。
【0137】
CPU11は第2補正量から第2変更量を減算する(ステップS418)。CPU11は減算後の第2補正量を記憶部15に記憶する(ステップS419)。CPU11は第2変更量を減少させる(ステップS4110)。CPU11は減少後の第2変更量を記憶部15に記憶する(ステップS4111)。これにより連続して第2閾範囲が縮小した場合でも、縮小幅は緩やかとなり、異常検出の精度が低下することを防止することが可能となる。CPU11は第2変更量が第2補正量以上であると判断した場合(ステップS415でYES)、第2変更量をゼロに設定する(ステップS416)。CPU11はゼロとした第2変更量を記憶部15に記憶する(ステップS417)。
【0138】
CPU11は、第2閾範囲は前回も小さく補正されたと判断しない場合(ステップS412でNO)、ステップS4112へ移行する。CPU11は第2変更量を初期値に戻す(ステップS4112)。CPU11は初期値に戻した第2変更量を記憶部15に記憶する(ステップS4113)。これにより、第1閾範囲及び第2閾範囲が補正により大きく、または小さくなった場合でも、適宜補正量が変更されるため、第1閾範囲及び第2閾範囲の補正に伴う異常検出精度の低下を防止することが可能となる。
【0139】
本実施の形態4は以上の如きであり、その他は実施の形態1乃至3と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0140】
実施の形態5
実施の形態5は適宜第2閾範囲を小さくする形態に関する。実施の形態4に加えて、または実施の形態4とは別に、第2閾範囲を所定時間毎に減少させても良い。図42は第2閾範囲の調整処理の手順を示すフローチャートである。CPU11は、一定時間(例えば6時間)を経過したか否かを判断する(ステップS421)。CPU11は一定時間を経過していないと判断した場合(ステップS421でNO)、一定時間を経過するまで待機する。CPU11は一定時間を経過したと判断した場合(ステップS421でYES)、第2閾範囲ファイル152に記憶した第2閾範囲を読み出す(ステップS422)。CPU11は記憶部15に記憶した調整値を読み出す(ステップS423)。CPU11は、調整値が第2閾範囲以上であるか否かを判断する(ステップS424)。CPU11は、調整値は第2閾範囲以上でないと判断した場合(ステップS424でNO)、ステップS427へ移行する。
【0141】
CPU11は第2閾範囲から調整値を減算する(ステップS427)。CPU11は減算後の第2閾範囲を第2閾範囲ファイル152に記憶する(ステップS428)。CPU11は調整値を減少させる(ステップS429)。CPU11は減少後の調整値を記憶部15に記憶する(ステップS4210)。調整値は例えば10分であり、ステップS429の処理により減少する。CPU11は記憶部15に予め記憶した減少幅に基づき減少させればよい。例えば1ずつ減少させるなどである。その他、第2閾範囲の平方根、対数を減少後の調整値としても良い。さらに、入力した値を減少させる数式を予め記憶しておき、CPU11が第2閾範囲または調整値を数式に代入することにより、減少後の調整値を算出しても良い。本実施形態においては説明を容易にするために、調整値の初期値を10、ステップS429の処理の度に0まで減少させる例を挙げて説明する。
【0142】
CPU11は調整値が第2閾範囲以上であると判断した場合(ステップS424でYES)、調整値をゼロに設定する(ステップS425)。CPU11はゼロとした調整値を記憶部15に記憶する(ステップS426)。これにより、時間の経過と共にセキュリティが低下するおそれを防止することが可能となる。
【0143】
本実施の形態5は以上の如きであり、その他は実施の形態1乃至4と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0144】
実施の形態6
実施の形態6は中央装置(情報処理装置)としてパーソナルコンピュータを用いた形態に関する。図43は実施の形態6に係る情報処理システムの概要を示す模式図である。実施の形態1乃至5で述べたサーバコンピュータ1はパーソナルコンピュータ1であっても良い。パーソナルコンピュータ1には、入力情報の一例としてアプリ操作命令が、入力部13を通じて、ユーザにより直接入力される。アプリ操作命令が入力された後の異常検出処理、並びに、第1閾範囲及び第2閾範囲の補正処理等は実施の形態1乃至5で述べたとおりである。これにより、クライアントコンピュータ単体においても異常検出が可能となる。
【0145】
図44は上述した形態のサーバコンピュータ1またはパーソナルコンピュータ1の動作を示す機能ブロック図である。CPU11が制御プログラム15Pを実行することにより、サーバコンピュータ1及びパーソナルコンピュータ1は以下のとおり機能する。第1判断部101は、入力情報に基づく値が記憶部15に記憶した第1閾範囲を越えるか否か判断する。第2判断部102は、第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部15に記憶した第2閾範囲を越えるか否か判断する。取得部103は、危険性の増減情報を取得する。補正部104は、取得部103により取得した危険性の増減情報に基づき、第1閾範囲または第2閾範囲を補正する。出力部105は、第2判断部102により第2閾範囲を越えると判断した場合に、異常情報を出力する。
【0146】
本実施の形態6は以上の如きであり、その他は実施の形態1乃至5と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0147】
実施の形態7
図45は実施の形態7に係るサーバコンピュータ1のハードウェア群を示すブロック図である。サーバコンピュータ1を動作させるためのプログラムは、ディスクドライブ等の読み取り部10AにCD-ROM、DVD(Digital Versatile Disc)ディスクまたはUSB(Universal Serial Bus)メモリ等の可搬型記録媒体1Aを読み取らせて記憶部15に記憶しても良い。また当該プログラムを記憶したフラッシュメモリ等の半導体メモリ1Bをサーバコンピュータ1内に実装しても良い。さらに、当該プログラムは、インターネット等の通信網Nを介して接続される他のサーバコンピュータ(図示せず)からダウンロードすることも可能である。以下に、その内容を説明する。
【0148】
図45に示すサーバコンピュータ1は、上述した各種ソフトウェア処理を実行するプログラムを、可搬型記録媒体1Aまたは半導体メモリ1Bから読み取り、或いは、通信網Nを介して他のサーバコンピュータ(図示せず)からダウンロードする。当該プログラムは、制御プログラム15Pとしてインストールされ、RAM12にロードして実行される。これにより、上述したサーバコンピュータ1として機能する。
【0149】
本実施の形態7は以上の如きであり、その他は実施の形態1乃至6と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。
【0150】
以上の実施の形態1乃至7を含む実施形態は、処理に矛盾の無い範囲で適宜複数を組み合わせて実施しても構わない。以上の実施の形態1乃至7を含む実施形態に関し、さらに以下の付記を開示する。
【0151】
(付記1)
制御部を有する情報処理装置に入力された入力情報を処理する情報処理方法において、
前記制御部により、危険性の増減情報を取得し、
前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、
前記制御部により入力情報に基づく値が前記第1閾範囲を越えるか否か判断し、
前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、
前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する
情報処理方法。
【0152】
(付記2)
第1閾範囲または第2閾範囲を補正する場合、
取得した増減情報により危険性が増加する場合に、前記制御部により前記第1閾範囲または第2閾範囲を小さく補正し、
取得した増減情報により危険性が減少する場合に、前記制御部により前記第1閾範囲または第2閾範囲を大きく補正する
付記1に記載の情報処理方法。
【0153】
(付記3)
前記入力情報に基づく値は、
前記情報処理装置に対し入力された命令数または前記情報処理装置に対し入力された命令に基づき処理したデータ量を含み、
第1閾値を越えるか否かを判断する場合、
前記制御部により、命令数またはデータ量が記憶部に記憶した第1閾範囲を越えるか否かを判断する
付記1または2に記載の情報処理方法。
【0154】
(付記4)
異常情報の出力回数、及び、異常に対応したことを示す対応情報を記憶部に記憶し、
前記記憶部により異常情報の出力回数が第1閾値を越えるか否か判断し、
第1閾値を越えると判断した場合に、前記制御部により前記記憶部に対応情報が記憶されているか判断し、
前記制御部により、前記対応情報が記憶されていないと判断した場合に、前記第1閾範囲または第2閾範囲を大きく補正し、
前記制御部により、前記対応情報が記憶されていると判断した場合に、前記第1閾範囲または第2閾範囲の値を維持する
付記1乃至3のいずれか一つに記載の情報処理方法。
【0155】
(付記5)
前記記憶部により前記第1閾値を越えないと判断した場合に、前記記憶部に記憶した異常情報の出力回数が前記第1閾値より小さい第2閾値を越えるか否か判断し、
第2閾値を越えないと判断した場合に、前記第1閾範囲または第2閾範囲を小さく補正し、
前記制御部により、前記第2閾値を越えると判断した場合に、前記第1閾範囲または第2閾範囲の値を維持する
付記4に記載の情報処理方法。
【0156】
(付記6)
前記制御部により第1閾範囲または第2閾範囲を補正した場合に、記憶部に補正の履歴を記憶し、
前記記憶部に記憶した補正の履歴に基づき、第1閾範囲または第2閾範囲が連続して小さくまたは大きく補正されたと判断した場合、前記制御部により第1閾範囲または第2閾範囲の補正量を変更する
付記2乃至5のいずれか一つに記載の情報処理方法。
【0157】
(付記7)
前記記憶部に記憶した補正の履歴に基づき、第1閾範囲または第2閾範囲が連続して小さく補正されておらず、かつ、連続して大きく補正されていないと判断した場合、前記制御部により第1閾範囲または第2閾範囲の補正量に対する変更量を初期値へ戻す
付記6に記載の情報処理方法。
【0158】
(付記8)
前記制御部により前記第2閾範囲を時間の経過に基づき減少する
付記1乃至7のいずれか一つに記載の情報処理方法。
【0159】
(付記9)
記憶部に記憶した入力情報に基づく値を用いて、前記制御部により分散を算出し、
算出した分散に基づいて、前記制御部により第1閾範囲または第2閾範囲の範囲を決定する
付記1乃至8のいずれか一つに記載の情報処理方法。
【0160】
(付記10)
セキュリティポリシーを記憶したテーブル及び算出した分散に基づき、前記制御部により第1閾範囲または第2閾範囲の範囲を決定する
付記9に記載の情報処理方法。
【0161】
(付記11)
制御部を有するコンピュータに入力された入力情報を処理するプログラムにおいて、
コンピュータに、
前記制御部により、危険性の増減情報を取得し、
前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、
前記制御部により入力情報に基づく値が第1閾範囲を越えるか否か判断し、
前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、
前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する
処理を実行させるプログラム。
【0162】
(付記12)
入力された入力情報を処理する情報処理装置において、
入力情報に基づく値が記憶部に記憶した第1閾範囲を越えるか否か判断する第1判断部と、
第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部に記憶した第2閾範囲を越えるか否か判断する第2判断部と、
危険性の増減情報を取得する取得部と、
該取得部により取得した危険性の増減情報に基づき、第1閾範囲または第2閾範囲を補正する補正部と、
前記第2判断部により第2閾範囲を越えると判断した場合に、異常情報を出力する出力部と
を備える情報処理装置。
【0163】
(付記13)
通信網を介して端末装置と中央装置とが接続された情報処理システムにおいて、
前記中央装置は、
前記端末装置から送信された入力情報に基づく値が記憶部に記憶した第1閾範囲を越えるか否か判断する第1判断部と、
第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部に記憶した第2閾範囲を越えるか否か判断する第2判断部と、
危険性の増減情報を取得する取得部と、
該取得部により取得した危険性の増減情報に基づき、第1閾範囲または第2閾範囲を補正する補正部と、
前記第2判断部により第2閾範囲を越えると判断した場合に、異常情報を出力する出力部と
を備える情報処理システム。
【符号の説明】
【0164】
1 サーバコンピュータ、パーソナルコンピュータ
1A 可搬型記録媒体
1B 半導体メモリ
2、2A〜2C パーソナルコンピュータ
2、2D 指紋認証装置
3 管理コンピュータ
4 セキュリティサーバ
11 CPU
12 RAM
13 入力部
14 表示部
15 記憶部
15A アプリケーションプログラム
15P 制御プログラム
16 通信部
18 時計部
21 CPU
22 RAM
23 入力部
24 表示部
25 記憶部
25P 制御プログラム
26 通信部
31 CPU
32 RAM
33 入力部
34 表示部
35 記憶部
35P 制御プログラム
36 通信部
38 時計部
101 第1判断部
102 第2判断部
103 取得部
104 補正部
105 出力部
151 第1閾範囲ファイル
152 第2閾範囲ファイル
153 履歴DB
154 セキュリティポリシーテーブル
155 分散テーブル
156 範囲テーブル
157 異常履歴DB
201 制御部
203 指紋入力部
204 表示部
205 記憶部
205P 制御プログラム
206 通信部
208 ロック部
351 人事ファイル
352 環境ファイル
2051 指紋データファイル
N 通信網

【特許請求の範囲】
【請求項1】
制御部を有する情報処理装置に入力された入力情報を処理する情報処理方法において、
前記制御部により、危険性の増減情報を取得し、
前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、
前記制御部により入力情報に基づく値が前記第1閾範囲を越えるか否か判断し、
前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、
前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する
情報処理方法。
【請求項2】
第1閾範囲または第2閾範囲を補正する場合、
取得した増減情報により危険性が増加する場合に、前記制御部により前記第1閾範囲または第2閾範囲を小さく補正し、
取得した増減情報により危険性が減少する場合に、前記制御部により前記第1閾範囲または第2閾範囲を大きく補正する
請求項1に記載の情報処理方法。
【請求項3】
前記入力情報に基づく値は、
前記情報処理装置に対し入力された命令数または前記情報処理装置に対し入力された命令に基づき処理したデータ量を含み、
第1閾値を越えるか否かを判断する場合、
前記制御部により、命令数またはデータ量が記憶部に記憶した第1閾範囲を越えるか否かを判断する
請求項1または2に記載の情報処理方法。
【請求項4】
異常情報の出力回数、及び、異常に対応したことを示す対応情報を記憶部に記憶し、
前記記憶部により異常情報の出力回数が第1閾値を越えるか否か判断し、
第1閾値を越えると判断した場合に、前記制御部により前記記憶部に対応情報が記憶されているか判断し、
前記制御部により、前記対応情報が記憶されていないと判断した場合に、前記第1閾範囲または第2閾範囲を大きく補正し、
前記制御部により、前記対応情報が記憶されていると判断した場合に、前記第1閾範囲または第2閾範囲の値を維持する
請求項1乃至3のいずれか一つに記載の情報処理方法。
【請求項5】
制御部を有するコンピュータに入力された入力情報を処理するプログラムにおいて、
コンピュータに、
前記制御部により、危険性の増減情報を取得し、
前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、
前記制御部により入力情報に基づく値が前記第1閾範囲を越えるか否か判断し、
前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、
前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する
処理を実行させるプログラム。
【請求項6】
入力された入力情報を処理する情報処理装置において、
入力情報に基づく値が記憶部に記憶した第1閾範囲を越えるか否か判断する第1判断部と、
第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部に記憶した第2閾範囲を越えるか否か判断する第2判断部と、
危険性の増減情報を取得する取得部と、
該取得部により取得した危険性の増減情報に基づき、第1閾範囲または第2閾範囲を補正する補正部と、
前記第2判断部により第2閾範囲を越えると判断した場合に、異常情報を出力する出力部と
を備える情報処理装置。
【請求項7】
通信網を介して端末装置と中央装置とが接続された情報処理システムにおいて、
前記中央装置は、
前記端末装置から送信された入力情報に基づく値が記憶部に記憶した第1閾範囲を越えるか否か判断する第1判断部と、
第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部に記憶した第2閾範囲を越えるか否か判断する第2判断部と、
危険性の増減情報を取得する取得部と、
該取得部により取得した危険性の増減情報に基づき、第1閾範囲または第2閾範囲を補正する補正部と、
前記第2判断部により第2閾範囲を越えると判断した場合に、異常情報を出力する出力部と
を備える情報処理システム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate

【図15】
image rotate

【図16】
image rotate

【図17】
image rotate

【図18】
image rotate

【図19】
image rotate

【図20】
image rotate

【図21】
image rotate

【図22】
image rotate

【図23】
image rotate

【図24】
image rotate

【図25】
image rotate

【図26】
image rotate

【図27】
image rotate

【図28】
image rotate

【図29】
image rotate

【図30】
image rotate

【図31】
image rotate

【図32】
image rotate

【図33】
image rotate

【図34】
image rotate

【図35】
image rotate

【図36】
image rotate

【図37】
image rotate

【図38】
image rotate

【図39】
image rotate

【図40】
image rotate

【図41】
image rotate

【図42】
image rotate

【図43】
image rotate

【図44】
image rotate

【図45】
image rotate


【公開番号】特開2012−150570(P2012−150570A)
【公開日】平成24年8月9日(2012.8.9)
【国際特許分類】
【出願番号】特願2011−7256(P2011−7256)
【出願日】平成23年1月17日(2011.1.17)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】