情報漏洩監視システムおよび情報漏洩監視方法
【課題】内部からの不正アクセスを防止できる情報漏洩監視システムおよび方法を提供すること。
【解決手段】秘密情報を蓄積するデータベース10の情報漏洩を抑止する情報漏洩監視システム40であって、アクセス者(32〜34)からのデータベースへのアクセス計画情報51の登録要求を受けて登録済アクセス計画情報52を生成し、承認者39からの登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報53を生成し、承認済アクセス計画情報からデータベースのセキュリティポリシー情報59を生成し、セキュリティポリシー情報を参照してデータベースの実際のアクセス記録情報12から異常アクセスを検出する。
【解決手段】秘密情報を蓄積するデータベース10の情報漏洩を抑止する情報漏洩監視システム40であって、アクセス者(32〜34)からのデータベースへのアクセス計画情報51の登録要求を受けて登録済アクセス計画情報52を生成し、承認者39からの登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報53を生成し、承認済アクセス計画情報からデータベースのセキュリティポリシー情報59を生成し、セキュリティポリシー情報を参照してデータベースの実際のアクセス記録情報12から異常アクセスを検出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報漏洩監視システムおよび情報漏洩監視方法に関し、ネットワーク上のデータベースに蓄積される個人情報等の秘密情報の漏洩防止に関する。
【背景技術】
【0002】
近年、インターネット上の仮想商店など、ネットワークを利用した電子商取引等のサービスが普及している。これらのサービスにおいては、個人情報等の顧客情報をデータベースシステムに蓄積することが一般的である。例えば、IT機器をベースとしたインターネットのサービスにおいては、サービス運用のため、顧客情報、クレジット番号等の個人情報を取り扱う必要性があり、これらの情報は、データベースシステムに蓄積される。
これらの顧客情報は秘密情報であり、情報漏洩が生じないように厳重に管理することが求められている。
【0003】
一方、サービス提供者がシステムに蓄積する顧客情報は、利用者の急増に伴って増加の一途をたどっている。これに伴い、これらの情報が漏洩することによるサービス提供者のリスク及び管理コストも増加している。これらの情報は、いったんインターネット上で漏洩すると、大規模なネットワークの特性上、漏洩先の全てを辿って完全に漏洩情報を削除することは困難である。
【0004】
ところで、ネットワーク上の情報漏洩に関して、インターネットの発展過程においては、外部からのネットワークへの侵入による当該情報アクセスに対する対策が主流であった。これに対し、最近は内部犯罪による脅威が増加している。
従来型の外部侵入に関しては、既に様々な対策技術が開発されている。例えば、社外からの不正アクセスに対して蓄積情報を保護する方法としては、ファイヤウォール、アクセス制御機能等多様な手法が利用されている。さらに、暗号化手法の改善、ハードウェア機器の処理速度の向上等によって、外部侵入に対する堅牢性は更に向上している。
その結果、ネットワークの内部は外部から厳重に保護されるようになっており、外部からの不正アクセスによって非合法的に当該情報が参照、取得される等による情報漏洩の脅威は少なくなっている。
【0005】
しかし、近年の情報漏洩事件に代表される諸問題の多くは、システム開発者、システム運用者、メンテナンスなどの受託者など、ネットワーク内部の人物による不正アクセスである。
このような、保護されたネットワークの内部での不正アクセスは、前述した既存の対策技術で防止することが難しい。
すなわち、ネットワーク内部の正当なアクセス権限を持った人物のアクセスは、例え情報の引き抜きや複製などの不正アクセスであっても、表面的には正常なシステムの利用状態と何ら変わらない。このため、前述したファイヤウォールや暗号化等の社外を想定した対策技術では、内部不正アクセスの識別が困難である。そして、近年ではこのような内部不正アクセスによる情報漏洩が問題となってきている。
これらは、企業の信頼喪失、ひいては、インターネットを利用した将来のビジネスの発展を阻害しかねない。
【0006】
このような内部不正アクセスに対して、最近では、保護すべき情報を蓄積するデータベースそのものへのアクセスの履歴(ログ)により、ポアソン分布等の統計的手法を取り入れ、定常的なアクセスパターンを逸脱するアクセスを検出することによって、本来の正常アクセス以外の意図的な行動を検出し、管理者へ通知する技術が開発されている(特許文献1参照)。
また、システム運用者の犯罪を防止する技術として、従来システム運用者へはシステムに対する特権つまり広範なアクセス権限を付与するのが一般的であるが、運用者自体のリスクを低減するために、通常は必要最小限のアクセス権限のみを付与しておき、メンテナンス等の際など必要な場合に限って特権を付与するとした技術が開発されている(特許文献2参照)。
【0007】
【特許文献1】特開2005−259140号公報
【特許文献2】特許第3793944号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、前述した統計処理による不正検出は、データベースシステムを利用するアプリケーションの仕様の変更や、突発的なメンテナンス等によるデータベースアクセスが発生した場合、誤動作することが発生し得る。また、定常のアクセスパターンであることを認識することに難点がある。そのため、統計情報を概観する人的な介入が余儀なくされ、判断に対する個人差によって画一的な監視が難しい。そして、解析内容を人的な手段にて精査する必要があり、実務的な観点から管理コストの増加、監視品質のばらつきを招く。
一方、前述した状況によりアクセス権を切り替える手法においては、運用目的で一旦アクセス権が付与された状態では、その権限の範囲内で特定のデータへアクセス可能であり、悪意があればこの段階で情報を取得することが可能となってしまうという問題がある。
【0009】
本発明の目的は、前述した従来の手法の問題を回避できる情報漏洩監視システムおよび情報漏洩監視方法を提供することである。
【課題を解決するための手段】
【0010】
本発明の情報漏洩監視システムは、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視システムであって、前記データベースに対する特定のユーザに関するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成するアクセス計画登録手段と、前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成するアクセス計画承認手段と、前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、前記セキュリティポリシー情報を参照して前記データベースの実際のアクセス記録情報から異常アクセスを検出する異常アクセス検出手段とを備えたことを特徴とする。
【0011】
このような本発明では、特定のユーザ(前記データベースにアクセスする内部のアクセス者)は、予め自らのアクセス計画を登録し、これを承認者が承認する。承認されたアクセス計画は、システムから参照可能なポリシーに変換され、実際のアクセスの監視に利用される。そして、実アクセスのうち、予め登録ないし承認されたアクセス計画に沿ったアクセスは異常と判定されないが、アクセス計画に沿わないアクセスは異常と判定される。このため、アクセス権限を有する内部のアクセス者であっても、アクセス計画にない不正なアクセスを行うとこれが検出されることになり、内部不正アクセスの防止に利用できる。なお、アクセス計画の登録は主にアクセス者が自ら行うが、申請に基づいて他者が代行してもよい。
【0012】
本発明の情報漏洩監視システムにおいて、更に、前記異常アクセスを検出した際に予め指定された関係者へ通知する異常アクセス通知手段を備えることが望ましい。
このような本発明では、異常アクセスが検出された際に関係者への通知を行うことで、通知を受けた関係者が適宜対応することができ、内部の不正アクセスであっても防止することができる。
【0013】
本発明の情報漏洩監視システムにおいて、前記アクセス計画承認手段は、前記アクセス計画情報に関するアクセスリスク許容値の入力を受け付けるアクセスリスク許容値入力手段を有し、前記セキュリティポリシー情報には前記アクセスリスク許容値が含まれ、前記異常アクセス検出手段は、前記実際のアクセス記録からアクセスリスク値を算出し、このアクセスリスク値が前記アクセスリスク許容値を超えた際に異常アクセスとして検出することが望ましい。
このような本発明では、承認者がアクセス者に関するアクセスリスク許容値を設定し、実アクセスにおけるアクセスリスクの評価により異常検出を行うことで、処理負荷の軽減を図りながら確実な検出を行うことができる。
【0014】
本発明の情報漏洩監視システムにおいて、前記セキュリティポリシー情報は前記アクセスリスク許容値のみで構成されることが望ましい。
このような本発明では、異常検出をアクセス者のアクセスリスクに絞ることで、処理負荷を軽減でき、かつ十分な検出制度を確保することができる。
【0015】
本発明の情報漏洩監視システムにおいて、前記異常アクセス検出手段は、前記アクセスリスク値の計算にあたって、SQL文のステートメント、コマンドの種類、アクセス対象のオブジェクトの少なくとも何れかを含む情報に対して機密性の度合いをリスク指数として重み付けたリスクテーブルを利用することが望ましい。
このような本発明では、情報に応じてリスクテーブルを参照することでアクセスリスクの計算を簡単かつ確実に行える。
【0016】
本発明の情報漏洩監視システムは、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視システムであって、
前記データベースに対するアプリケーションソフトウェアのアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報として登録するアプリケーション認証情報登録手段と、
前記アプリケーション認証情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、
前記セキュリティポリシー情報を参照して前記データベースに対する前記アプリケーションソフトウェアの実際のアクセス記録から異常アクセスを検出する異常アクセス検出手段と
を備えたことを特徴とする。
【0017】
このような本発明では、アクセス者による異常アクセスとは別に、データベースを利用するアプリケーションソフトウェアの改ざん等による不正アクセスを検出することができる。
すなわち、アプリケーションソフトウェアが正常に動作している状態では、そのアクセス挙動は一定のパターンを示す。これに対し、不正アクセス等を実行するようにアプリケーションソフトウェアに改ざん等が行われると、そのアクセス挙動は正常時とは異なったものとなる。このため、アプリケーションソフトウェアの正常時のアクセス挙動(アクセスシーケンスおよびアクセスタイミング)をアプリケーション認証情報として記録しておき、これを参照して実際のアクセス挙動を検査することで、アプリケーションソフトの改ざんあるいは不正アクセスを検出することができる。
【0018】
本発明の情報漏洩監視システムにおいて、前記アプリケーションソフトウェアに関する前記セキュリティポリシー情報は前記アプリケーションソフトウェアのアクセスシーケンスのみで構成されることが望ましい。
このような本発明では、異常検出をアプリケーションソフトウェアのアクセスシーケンスのみに絞ることで、処理負荷を軽減でき、かつ十分な検出制度を確保することができる。
【0019】
本発明の情報漏洩監視方法は、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視方法であって、前記データベースに対するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成し、前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成し、前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成し、前記セキュリティポリシー情報を参照して前記データベースの実際のアクセス記録情報から異常アクセスを検出することを特徴とする。
【0020】
本発明の情報漏洩監視方法は、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視方法であって、前記データベースに対するアプリケーションソフトウェアのアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報として登録し、前記アプリケーション認証情報から前記データベースのセキュリティポリシー情報を生成し、前記セキュリティポリシー情報を参照して前記データベースに対する前記アプリケーションソフトウェアの実際のアクセス記録から異常アクセスを検出することを特徴とする。
【0021】
これらの本発明の情報漏洩監視方法では、前述した本発明の情報漏洩監視システムで説明したように、予め設定された承認済アクセス計画情報あるいはアプリケーション認証情報を参照して実際のデータベースアクセスを検査することで、アクセス者の不正アクセスあるいは改ざん等によるアプリケーションソフトウェアによる不正アクセスを検出することができる。
【発明を実施するための最良の形態】
【0022】
以下、本発明の実施形態を図面に基づいて説明する。
図1には、本発明が適用された電子商取引サービスシステム1が示されている。
電子商取引サービスシステム1は、ネットワークを経由して接続される多数の顧客(サービスユーザ)31に対してデータベースシステム2により電子商取引サービスを提供するものである。
【0023】
データベースシステム2は、データベースサーバ10およびアプリケーションサーバ20を備え、データベースサーバ10に各種サービスに必要な情報を記憶するとともに、アプリケーションサーバ20に格納されたアプリケーションソフトウェア21により各種サービスを提供する。
【0024】
ここで、データベースサーバ10は顧客情報等の秘密情報を含むものであり、これらの秘密情報の漏洩を防止するために、電子商取引サービスシステム1には本発明に基づく情報漏洩監視システム40が設置されている。
以下、システム各部について詳細に説明する。
なお、以下の説明において、サービスユーザ31等の語はシステムに関与する人のことを指すが、システムに直接関与するのはコンピュータ端末等であるため、図面上では端末機器の絵柄で表示している。
また、データベースサーバ10には複数のデータベースが構築されていてもよく、そのうち少なくとも一つが情報漏洩監視システムの監視対象であればデータベースシステム2は監視対象とされる。データベースサーバ10における複数のデータベースの識別は既存のデータベース名称等で適宜識別される。
【0025】
[1]サービスユーザの接続
図2に示すように、電子商取引サービスシステム1にはDMZ(非武装地帯)3を介してインターネット等の外部ネットワーク4が接続されている。電子商取引サービスシステム1の電子商取引サービス(以下Webサービスとも呼ぶ)を利用するサービスユーザ31は、外部ネットワーク4においてルータ25およびファイヤウォール24を経由してウェブサーバ23に接続される。
ウェブサーバ23は、サービスユーザ31と電子商取引サービスシステム1のインターフェースを提供するもので、Webサービスに必要なサービスユーザ31からの情報入力や物品購入等の指示を行うための画面表示や入出力機能等をサービスユーザ31の端末に提供する。サービスユーザ31により入力される顧客情報は、ファイヤウォール22を経由してアプリケーションサーバ20へ引き渡され、データベースサーバ10に記録される。
従って、データベースサーバ10には秘密情報として厳重に管理すべき顧客情報等が蓄積される。
【0026】
[2]データベースサーバに対するアクセス
電子商取引サービスシステム1において、データベースサーバ10へのアクセスとしては、前述したアプリケーションサーバ20に格納されてWebサービスを提供するアプリケーションソフトウェア21によるものがあるほか、システムの保守管理のためのアクセスがある。
図3に示すように、データベースシステム2において、データベースサーバ10およびアプリケーションサーバ20には、その開発から運用にあたってシステム開発者を含むシステム保守担当者32の関与が必要である。また、アプリケーションソフトウェア21の設定ないし保守のために、データベースサーバ10およびアプリケーションサーバ20にはデータ保守担当者を含むアプリケーション運用担当者33の関与が必要である。更に、アプリケーションソフトウェア21の設定あるいは更新などのために、アプリケーション開発者あるいはアプリケーション保守担当者34の関与が必要となる。
【0027】
これらのシステム保守担当者32、アプリケーション運用担当者33、アプリケーション保守担当者34によるデータベースシステム2へのアクセスについては、通常、各々の担当業務で必要となる必要最低限のアクセス権限が付与される。
ここで、データベースシステム2の内部で発生する問題の多くは、これら付与された権限の範囲内で実施可能なアクセスによって漏洩する可能性があり、従来のセキュリティ技術で防止することは非常に難しい。
そこで、本実施形態の電子商取引サービスシステム1には、データベースシステム2を監視対象とする情報漏洩監視システム40が設置されている。
【0028】
[3]情報漏洩監視システム40の概要
図1に戻って、本実施形態の情報漏洩監視システム40は、前述したアプリケーション運用担当者33、アプリケーション保守担当者34等の内部のアクセス者からの不正アクセスを監視する機能を有するとともに、前述したアプリケーションソフトウェア21の改ざんによる不正アクセスを監視する機能を有する。
【0029】
内部のアクセス者からの不正アクセスを監視する機能として、アクセス者(32〜34)がデータベースサーバ10内のデータベースへのアクセス計画情報51の登録要求を受けて登録済アクセス計画情報52を生成し、登録済アクセス計画情報52の承認要求を受けて承認済アクセス計画情報53を生成し、承認済アクセス計画情報53からデータベースサーバ10のセキュリティポリシー情報59を生成し、セキュリティポリシー情報59を参照してデータベースサーバ10の実際のアクセス記録情報(アクセスログ12)から異常アクセスを検出する、という各手順を実行する。
【0030】
アプリケーションソフトウェア21の改ざんによる不正アクセスを監視する機能として、データベースサーバ10内のデータベースに対するアプリケーションソフトウェア21のアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報54として登録し、アプリケーション認証情報54からデータベースサーバ10のセキュリティポリシー情報59を生成し、セキュリティポリシー情報59を参照してデータベースサーバ10に対するアプリケーションソフトウェア21の実際のアクセス記録から異常アクセスを検出する、という各手順を実行する。
【0031】
このような各手順を実行するために、監視対象であるデータベースシステム2にはエージェント11が設置されており、情報漏洩監視システム40にはワークフローサーバ41、ポリシーデータベース42、ログ監視サーバ43が設置されている。
【0032】
[4]情報漏洩監視システム40の詳細
(ワークフローサーバ)
ワークフローサーバ41は、本発明の情報漏洩監視方法に基づいて、アクセス計画の登録、承認、セキュリティポリシーの生成までを行うものである。
本発明に基づく情報漏洩監視方法のうち、アクセス計画の登録、承認、セキュリティポリシーの生成までを行うものである。
【0033】
図4に示すように、ワークフローサーバ41は、アクセス計画登録手段であるアクセス計画登録機能411、アクセス計画承認手段であるアクセス計画承認機能412、セキュリティポリシー生成手段であるセキュリティポリシー生成機能413、アプリケーション認証情報登録機能415を備えるとともに、Webサーバシステム管理機能417、Webサーバ監視機能418、対策実施確認機能419を備えている。なお、本発明における異常アクセス検出手段であるポリシー判定機能432はログ監視サーバ43に配置されている。
図5には、前述したアクセス計画登録機能411により登録されるアクセス計画情報51および登録済アクセス計画情報52、アクセス計画承認機能412で生成される承認済アクセス計画情報53、アプリケーション認証情報登録機能415で生成されるアプリケーション認証情報54の詳細が示されている。
【0034】
アクセス計画登録機能411は、アクセス者(システム保守担当者32、アプリケーション運用担当者33、アプリケーション保守担当者34)によるデータベースサーバ10内のデータベースへのアクセス計画情報51を登録することで登録済アクセス計画情報52を生成する処理を行う。
アクセス計画情報51は、監視対象であるデータベースシステム2へアクセスする必要があるアクセス者が、当該システムにアクセスする前に、「誰が、何時、どのような目的でアクセスを実施するか」等を計画情報として設定するものであり、通常は本人がアクセス計画登録機能411から登録要求することで登録済アクセス計画情報52となる。
登録済アクセス計画情報52はアクセス計画情報51と同じ内容である。
【0035】
図5において、登録済アクセス計画情報52(アクセス計画情報51も同じ)は、アクセス者(32〜34)がデータベースシステム2へのアクセスに先立ってそのアクセスに関する計画情報を入力するものであり、アクセス目的の「作業名」、アクセス者の「作業担当者名」と「所属」、アクセスする「作業日/時間帯」と「アクセス先DB名」と「アクセス先ホスト名」、「DBユーザ名」、「IPアドレス」、アクセスを行う「端末名」と「OSユーザ名」、「アクション」、「対象オブジェクト」、「担当者メールアドレス」、「ポリシー有効期限」を備えている。
【0036】
図4において、アクセス計画承認機能412は、登録済アクセス計画情報52を承認者39が承認することで承認済アクセス計画情報53を生成する処理を行う。
承認者39は、アクセス者(32〜34)等の作業者の管理責任者であり、作業者によって登録された登録済アクセス計画情報52を確認し、承認要求および必要な情報の追加入力を行う。
図5において、承認済アクセス計画情報53は、前述した登録済アクセス計画情報52の内容に、「承認者名」、「承認者メールアドレス」、承認者が入力した「アクセスリスク許容値」の情報を追加したものである。
承認者39は、登録済アクセス計画情報52に記載された業務の内容に応じて、このアクセス計画のアクセスリスク許容値を設定する。
【0037】
図4において、アプリケーション認証情報登録機能415は、アプリケーションソフトウェア21の改ざんによる不正アクセスを監視する機能として、データベースサーバ10に対するアプリケーションソフトウェア21のアクセスシーケンスおよびアクセスタイミングを調査し、これをアプリケーション認証情報54として登録する処理を行う。
図5において、アクセスパターン情報(M1,M2等)と、そのアプリケーションが動作する時間帯を示すアクセス時間(1,2等)の情報によって構成される。
アプリケーション認証は、Webサービスを行うシステム開発やアプリケーション開発の完了後、試験運用を実施する段階で、監視対象データベースをアクセスするアプリケーションのアクセスパターンを分析し、その特徴情報を利用して正規のアプリケーションとして認証するものであり、アプリケーション自体の改ざん、SQL文改ざん等によるデータベースへの異常アクセスを検出することができる。
アプリケーション認証に関する詳細に関しては、後述する。
【0038】
図4において、セキュリティポリシー生成機能413は、承認済アクセス計画情報53からデータベースサーバ10のセキュリティポリシー情報59を生成するとともに、アプリケーション認証情報54からデータベースサーバ10のセキュリティポリシー情報59を生成する処理を行う。
【0039】
(ポリシーデータベース)
ポリシーデータベース42は、本発明の情報漏洩監視方法に基づいて生成されたセキュリティポリシーを記録し、必要に応じてこの情報を提供するものである。
図5に示すように、ポリシーデータベース42には、登録済アクセス計画情報52、承認済アクセス計画情報53が登録されるとともに、予め登録されたアプリケーション認証情報54か格納されている。更に、データベースサーバ10に格納された個々のデータベース毎に予め作成されたアクセスリスクテーブル55が登録されている。
【0040】
アクセスリスクテーブル55は、データベースサーバ10に構築された「データベース名」、各データベースに対する「アクション名」、SQL文および対象オブジェクトを示す「オブジェクト」の組み合わせ毎に、想定されるアクセスリスクを示す「リスク指数」を記録したものである。
リスク指数は、監視対象データベースに蓄積される情報の機密性の度合いにより管理者によって設定され、大きな数値ほど機密性が高く、漏洩リスクも高いことを表している。
このアクセスリスクテーブル55を参照することで、任意のアクセス計画のリスク指数を調査することができる。
【0041】
(エージェント)
エージェント11は、情報漏洩監視システム40が本発明の情報漏洩監視方法に基づいて異常アクセス検出を行う対象であるデータベースサーバ10の実アクセス情報を提供するものである。
図4に示すように、エージェント11は、監視対象であるデータベースシステム2上に設置され、データベースサーバ10にアクセスが行われる毎にアクセスログを生成するものであり、監査ログ設定機能111、監査ログ収集機能112、監査ログ送信機能113、コマンド処理機能114を備えている。
【0042】
監査ログ設定機能111はデータベースシステム2に対して初期設定を実施するものであり、コマンド処理機能114は監視マネージャであるログ監視サーバ43からの監査ログ要求122等のコマンドを処理するものである。監査ログ収集機能112はログ監視サーバ43からの監査ログ要求122に基づいてデータベースシステム2を調べて必要な監査ログを収集するものであり、監査ログ送信機能113は収集された監査ログ121をログ監視サーバ43へ送信するものである。
【0043】
図6に示すように、エージェント11においては、監視対象であるデータベースシステム2の起動時に、プロセスの初期化(S61)を行った後、データベースシステム2に対して監査ログ生成を行うための初期設定を実施する(S62)。その後、ログ監視サーバ43からのコマンドを待機し(S63)、受信したコマンド解析を行い(S64)、受信したコマンドが監査ログ要求122であれば(S65)、データベースシステム2から必要な監査ログ121を取得し(S66)、フォーマット変換を行ってログ監視サーバ43へ監査ログを送信する(S67)。
なお、データベースサーバ10に複数のデータベースがある場合、エージェント11も各データベースに対応して複数設けてもよい。
【0044】
(ログ監視サーバ)
ログ監視サーバ43は、本発明の情報漏洩監視方法に基づいて、エージェント11から送られるデータベースサーバ10の実アクセス情報とポリシーデータベース42から得られるセキュリティポリシー情報59とを参照し、異常アクセスの判定を行うものである。
図4に示すように、ログ監視サーバ43は、監査ログコレクタ機能431、ポリシー判定機能432、アラート機能433、監査ログデータベース439を備えている。
【0045】
監査ログコレクタ機能431はエージェント11によって収集された監査ログ121を受信して監査ログデータベース439に蓄積するものである。
ポリシー判定機能432は、本発明における異常アクセス検出手段であり、ポリシーデータベース42に蓄積されたセキュリティポリシー情報59を参照して、監査ログデータベース439に記録された監査ログ121を分析し、予定外の異常アクセスを検出するものである。
アラート機能433はポリシー判定機能432から異常アクセス情報58が出力された際に、アラート情報57を生成し、メールサーバ44等を介して監視者38に通知するものである。
【0046】
このようなログ監視サーバ43において、監査ログコレクタ機能431は、インターバルタイマーによって定期的に起動され、予め設定された時間が経過するとデータ受信処理を行う。
図7に示すように、監査ログコレクタ機能431におけるデータ受信処理は、予め設定された監視対象のデータベースシステム2の情報を取得し(S71)、エージェント11に接続(S72)して監査ログ要求122を送信し(S73)、エラーチェック(S74)ののち、エージェント11から監査ログ121を取得し(S75)、受信した監査ログ121を監査ログデータベース439に格納する(S76)。
【0047】
ポリシー判定機能432は、監査ログコレクタ機能431におけるデータ受信処理に続いて起動される。
図7に示すように、ポリシー判定機能432は、監視対象のデータベースシステム2に関する監査ログ121を読み込み(S81)、このデータベースシステム2における監査対象データベース名に該当するセキュリティポリシー情報59をポリシーデータベース42から読み込む(S82)。次に、ポリシー判定を行うための前処理として、セキュリティポリシー情報59の構文を解析して判定しやすい情報に分解する(S83)。ポリシー判定(S84)では、アクセス計画情報51に基づく監査ログ121の判定、アプリケーション認証情報54に基づくアプリケーションのアクセス判定、リスク検知等の判定を行う。これらの何れかの判定で問題が発生した場合(S85)、アラートフラグをセットする(S86)。収集されている全てのログの判定を実施したら本処理を終える。ここでアラートフラグがセットされた場合、当該DBに関連するポリシー違反情報を監査ログDBに蓄積し、関係者へ対応を即すため、アラート情報57としてメール等で即座に通知する。
【0048】
前述したポリシー判定機能432によるポリシー判定(図8のS84)においては、アクセス計画情報51に基づく監査ログ121の判定、アプリケーション認証情報54に基づくアプリケーションのアクセス判定、アクセスリスク値を用いたアクセスリスク判定による異常アクセス検出を行う。
以下に各判定処理の詳細を説明する。
【0049】
(アクセス計画判定)
ポリシー判定機能432によるポリシー判定の一つとしてアクセス計画判定機能がある。
図9に示すように、アクセス計画判定機能は、データベースユーザのアクセス権限を監視するALCポリシー、アクセス対象を監視するオブジェクトポリシー、アクセス時間帯を監視するタイムポリシー、アクセスする際に利用するデータベースコマンドを監視するアクションポリシーなどの各ポリシー判定により構成される。
各々のポリシー判定は、ログ監視サーバ43で収集される監査ログ121と、ポリシーデータベース42から読み込まれたセキュリティポリシー情報59とを比較することによって行う。また、何れのポリシー判定を利用するかは、ポリシーデータベース42から読み込まれたセキュリティポリシー情報59により決定される。
図9に示すように、セキュリティポリシー情報59で指定された検査対象データベースの判定指定を調べ(S91)、対応した判定(S92〜S96)を実施し、ポリシー違反情報を監査ログDBに蓄積する(S97)。
【0050】
(条件リスト)
アクセス計画判定機能における各ポリシー判定では、セキュリティポリシー情報59に基づく下記の条件判定を利用する。
(a) 監査ログ121のOSユーザ名が承認済アクセス計画情報53のOSユーザ名と一致する。
(b) 監査ログ121のDBユーザ名が承認済アクセス計画情報53のDBユーザ名と一致する。
(c) 監査ログ121の対象データベース名が承認済アクセス計画情報53のアクセス先DB名と一致する。
(d) 監査ログ121のアクションが承認済アクセス計画情報53のアクションと一致する。
(e) 監査ログ121に含まれるホストIPアドレスが承認済アクセス計画情報53の端末IPアドレスと一致する。
(f) 監査ログ121に含まれるアクセス日及び時間が承認済アクセス計画情報53のポリシー有効期限内である。
(g) 監査ログ121に含まれるアクセス日時が承認済アクセス計画情報53のアクセス日及び時間帯の範囲内である。
(h) 監査ログ121に含まれるオブジェクト名が承認済アクセス計画情報53の対象オブジェクトと一致する。
(i) 監査ログ121に含まれるオブジェクトオーナが承認済アクセス計画情報53のDBユーザ名と一致する。
【0051】
(ALCポリシー判定)
ALCポリシー判定(S92)では、前述した条件リストの条件(b)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(アクションポリシー判定)
アクションポリシー判定(S93)では、前述した条件リストの条件(d)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(タイムポリシー判定)
タイムポリシー判定(S94)では、前述した条件リストの条件(g)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(オブジェクトポリシー判定)
オブジェクトポリシー判定(S95)では、前述した条件リストの条件(h)及び条件(i)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(カスタムポリシー判定)
カスタムポリシー判定(S95)では、前述した条件リストの何れかをセキュリティポリシー生成機能413で設定する。
【0052】
(アプリケーション認証)
ポリシー判定機能432によるポリシー判定の一つとしてアプリケーション認証機能が行われる。
アプリケーション認証機能では判定にあたってアプリケーション認証情報54(図1参照)を利用する。アプリケーション認証情報54は、データベースサーバ10にアクセスするアプリケーションソフトウェア21のアクセスシーケンスおよびアクセスタイミングを記述したものであり、予めワークフローサーバ41のアプリケーション認証情報登録機能415によって登録される。
これらのアクセスシーケンスおよびアクセスタイミング(以下認証パターンという)は、アプリケーションソフトウェア21の通常動作におけるデータベースアクセスの結果から生成される。具体的には通常動作におけるデータベースアクセスを行った際に得られるアクセスログ12(監査ログ121)を参照する。
【0053】
図10において、監査ログ121から、認証登録を実施するアプリケーションソフトウェア21のDBユーザ名と同じDBユーザ名を有する監査ログを抽出する(S101)。次に、セッション毎のアクセスパターンを解析するため、DBユーザ名が同じ監査ログから更にセッション情報が同一のログ情報を抽出する(S102)。
こうして抽出されたログ情報から、データベースアクセスの開始を示すマーカを検索し、一連のアクセスブロックの先頭を検出する(S103)。そこで検出されたマーカログより、DBユーザ名、IPアドレスを記録する(S104)。以降の抽出ログから順にSQL文を検出し(S105)、検出したSQL文の情報を記録し(S106)、実行時間の差を記録し(S107)してゆく。これらの処理S105〜S107は終了マーカの検出(S108)まで繰り返す。
終了マーカが検出されたら、全マーカが検出されたかを調べ(S109)、未処理のマーカが残っていれば、次のマーカログのDBユーザ名およびIPアドレスの記録(S104)から繰り返す。
全マーカが検出し終わったなら、全セッションが検出されたかを調べ(S1010)、未処理のセッションが残っていれば、次のセッション情報と同一のログ情報の抽出(S102)から繰り返す。
全セッションが検出し終わったなら処理を終了する(S1011)。その結果、図12に示すDBユーザ毎のアクセスパターン情報54Aが得られる。
【0054】
図11において、アクセスパターン情報54Aは、DBユーザ名541、IPアドレス542を有するとともに、複数のアクセスパターンリスト543を備えている。
アクセスパターンリスト543は、一連のSQL文情報544と、各々の時間間隔情報545とを備えている。
これらにより、DBユーザ名541、IPアドレス542で特定されるアプリケーションソフトウェア21がデータベースサーバ10内のデータベースに対して、ある時はアクセスパターン1に記述されたSQL文の発信パターンでアクセスを行い、別の時にはアクセスパターン2に記述されたパターンの動作を行うことが正常である、ということが識別できる。
このようなアクセスパターン情報54Aは、セキュリティポリシー情報59の一部としてポリシーデータベース42に記録される。そして、ポリシー判定機能432におけるアプリケーション認証機能の際に参照される。
【0055】
図12において、アプリケーション認証によるポリシー判定では、先ず監査ログ121の読み込みを行い(S121)、ポリシーデータベース42よりアプリケーション認証情報54を読み込む(S122)。次に、判定対象のアプリケーションDBユーザアカウントのみを抽出し(S123)、さらにセッション毎に分類する(S124)。
分類されたセッション毎の特定ログから開始マーカを検出する(S125)。開始マーカ以降のSQL文の実行順序と時間間隔を比較し(S126)、その類似性によって、認証されたアプリケーションからのアクセスか否かを判定する(S127)。
類似性が確認できなかった場合、アプリケーションの改ざんがあったと判断し、該当データベース名、マーカ名等、当該アプリケーションを特定する情報を監査ログに蓄積し(S128)、アプリケーション異常フラグをセットする(S129)。
この後、全マーカが検出されたかを調べ(S1210)、未処理のマーカが残っていれば、次のマーカについて処理S125から処理S1210を繰り返す。
全マーカが検出し終わったなら、全セッションが検出されたかを調べ(S1211)、未処理のセッションが残っていれば、処理S125から処理S1211を繰り返す。
全セッションが検出し終わったなら処理を終了する。
【0056】
(アクセスリスク判定)
ポリシー判定機能432によるポリシー判定の一つとしてアクセスリスク判定が行われる。
アクセスリスク判定ではアクセスリスクテーブル55(図5参照)および承認者により設定されて承認済アクセス計画情報53に記述されるアクセスリスク許容値を利用する。
図13にアクセスリスク判定によるアクセス危険度判定機能の動作フローを示す。
アクセスリスク判定では、先ず監査ログ121を読み込み(S131)、アクセス者(32〜34)によるアクセスの危険度を算出するため、ポリシーデータベース42に記録されたアクセスリスクテーブル55を読み込む(S132)。次に、分析対象のユーザアカウントに関連した監査ログを抽出し(S133)、その抽出されたログをさらにセッション毎に分類する(S134)。そして、アクセスリスクテーブル55に記述されたリスク指数をもとに、SQL文毎のリスク指数を積算し、単位時間毎の積算値の推移を記録してゆく(S135)。同様、特定ユーザアカウントの全てのセッションに関して、処理を実行する(S136)。全セッションの終了後、単位時間当たりのリスク積算値と閾値であるアクセスリスク許容値とを比較し(S137)、このアクセスリスク許容値を上回った場合にはリスク異常インシデントを監査ログDBに格納し(S138)、リスク異常フラグをセットする(S139)。
このようなアクセスリスク判定では、アクセス者に関するアクセスリスク許容値を設定し、実アクセスにおけるアクセスリスクの評価により異常検出を行うことで、処理負荷の軽減を図りながら確実な検出を行うことができる。
【0057】
図4において、Webサーバシステム管理機能417は、データベースシステム2の管理を行うために必要な既存の機能を提供する。
また、Webサーバ監視機能418および対策実施確認機能419は以下の監視機能を提供する。
【0058】
(監視機能)
Webサーバ監視機能418は、前述した各判定による異常発生など、データベース毎に発生したインシデントをリアルタイムに表示、対処する機能を備える。ポリシー判定機能432によるポリシー判定の結果は、監査ログデータベース439にその都度蓄積され、迅速な対処を要求するため、その旨をメール等によるアラート情報57として送信する。
アラート情報57を受けた現場の監視者38は、アラートを発生させた監視対象データベースのアクセス者(32〜34)を特定し、実施確認を行ない、承認者39へその旨報告する。
Webサーバ監視機能418は、定期的に監査ログデータベース439をモニターしており、新規のインシデントが発生した場合、関連情報を監査ログデータベース439より取得し、監視端末に表示する。監査報告を受けた監視者38は、実施者報告に問題があった場合は、緊急対応と判断し、アラート発生の要因を作ったアクセス者(32〜34)の端末からの接続を遮断し、監視機能を利用して以降のアクセスを拒否する設定を実施する。
対策実施確認機能419は、Webサーバ監視機能418をモニタし、予め定められた時間内に前述した実施確認が取れない場合は、自動的に先述の遮断処理を実施する。
【0059】
本発明を利用することにより、従来技術であるファイヤウォールや、ネットワークセキュリティにより防止することが難しかった内部犯罪による情報漏洩を防止することができる。また、IT犯罪の被害の多くは、社外からのアタックではなく、内部者によるケースが増えてきており、問題が発生した場合の会社の信用失墜によるダメージは膨大なものとなっている。従来のネットワークセキュリティでは、アクセス権付与による限定アクセスが一般的であるが、一度付与された権限の範疇で当該情報へのアクセスを行うことによる情報の漏洩の可能性に関しては抑制することができなかった問題に対しても、抑止効果が得られる。また、データベースへのアクセスは、Webサービスを利用する一般ユーザ数増加に伴いより多くのアクセスが発生し、生成される監査ログも膨大なものとなる。これら膨大なログ情報から異常アクセスを見つけ出す監視者のコスト低減や、精度向上が期待できる。さらに、内部統制等の法律遵守のためのツールとしても有効である。
【0060】
なお、本発明は前述した実施形態に限定されるものではなく、本発明の目的を達成できる範囲内での変形等は本発明に含まれるものである。
前記実施形態におけるネットワーク構成あるいはシステム構成は適宜変更することができる。
例えば、前記実施形態では、承認者39とは別に監視者38を設定してアラート情報75が送られるようにしたが、アラート情報57は承認者39にも送ってもよく、あるいは承認者39が兼ねる場合は監視者38を省略してもよい。
前記実施形態における処理の詳細、手順あるいはその順序の詳細は適宜変更することができる。各処理の具体的な手法としてはその機能に応じて既存のソフトウェア技術を適宜採用することができる。
【産業上の利用可能性】
【0061】
本発明は、情報漏洩監視システムおよび情報漏洩監視方法に利用でき、ネットワーク上のデータベースに蓄積される個人情報等の秘密情報の漏洩防止に利用できる。
【図面の簡単な説明】
【0062】
【図1】本発明の一実施形態の全体構成を示すブロック図。
【図2】前記実施形態における外部の顧客ユーザのアクセスを示す模式図。
【図3】前記実施形態における内部のアクセス者のアクセスを示す模式図。
【図4】前記実施形態における情報漏洩監視システムの概要を示すブロック図。
【図5】前記実施形態におけるデータの関連を示すブロック図。
【図6】前記実施形態におけるエージェントのアクセスログ収集動作を示すフローチャート。
【図7】前記実施形態におけるログ監視サーバのアクセスログデータ受信処理を示すフローチャート。
【図8】前記実施形態におけるポリシー判定処理の概略を示すフローチャート。
【図9】前記実施形態におけるアクセス計画判定によるポリシー判定処理を示すフローチャート。
【図10】前記実施形態におけるアプリケーション認証情報の登録処理を示すフローチャート。
【図11】前記実施形態におけるアプリケーション認証情報を示す模式図。
【図12】前記実施形態におけるアプリケーション認証判定処理を示すフローチャート。
【図13】前記実施形態におけるアクセスリスク判定処理を示すフローチャート。
【符号の説明】
【0063】
1 電子商取引サービスシステム
2 データベースシステム
4 外部ネットワーク
10 データベースサーバ
11 エージェント
12 アクセスログ(アクセス記録情報)
20 アプリケーションサーバ
21 アプリケーションソフトウェア
22 ファイヤウォール
23 ウェブサーバ
24 ファイヤウォール
25 ルータ
31 サービスユーザ
32 システム保守担当者
33 アプリケーション運用担当者
34 アプリケーション保守担当者
38 監視者
39 承認者
40 情報漏洩監視システム
41 ワークフローサーバ
42 ポリシーデータベース
43 ログ監視サーバ
44 メールサーバ
51 アクセス計画情報
52 登録済アクセス計画情報
53 承認済アクセス計画情報
54A アクセスパターン情報
54 アプリケーション認証情報
55 アクセスリスクテーブル
57 アラート情報
58 異常アクセス情報
59 セキュリティポリシー情報
111 監査ログ設定機能
112 監査ログ収集機能
113 監査ログ送信機能
114 コマンド処理機能
121 監査ログ
122 監査ログ要求
411 アクセス計画登録機能(アクセス計画登録手段)
412 アクセス計画承認機能(アクセス計画承認手段)
413 セキュリティポリシー生成機能(セキュリティポリシー生成手段)
415 アプリケーション認証情報登録機能(アプリケーション認証情報登録手段)
417 サーバシステム管理機能
418 サーバ監視機能
419 対策実施確認機能
431 監査ログコレクタ機能
432 ポリシー判定機能(異常アクセス検出手段)
433 アラート機能
439 監査ログデータベース
541 ユーザ名
542 アドレス
543 アクセスパターンリスト
544 文情報
545 時間間隔情報
【技術分野】
【0001】
本発明は、情報漏洩監視システムおよび情報漏洩監視方法に関し、ネットワーク上のデータベースに蓄積される個人情報等の秘密情報の漏洩防止に関する。
【背景技術】
【0002】
近年、インターネット上の仮想商店など、ネットワークを利用した電子商取引等のサービスが普及している。これらのサービスにおいては、個人情報等の顧客情報をデータベースシステムに蓄積することが一般的である。例えば、IT機器をベースとしたインターネットのサービスにおいては、サービス運用のため、顧客情報、クレジット番号等の個人情報を取り扱う必要性があり、これらの情報は、データベースシステムに蓄積される。
これらの顧客情報は秘密情報であり、情報漏洩が生じないように厳重に管理することが求められている。
【0003】
一方、サービス提供者がシステムに蓄積する顧客情報は、利用者の急増に伴って増加の一途をたどっている。これに伴い、これらの情報が漏洩することによるサービス提供者のリスク及び管理コストも増加している。これらの情報は、いったんインターネット上で漏洩すると、大規模なネットワークの特性上、漏洩先の全てを辿って完全に漏洩情報を削除することは困難である。
【0004】
ところで、ネットワーク上の情報漏洩に関して、インターネットの発展過程においては、外部からのネットワークへの侵入による当該情報アクセスに対する対策が主流であった。これに対し、最近は内部犯罪による脅威が増加している。
従来型の外部侵入に関しては、既に様々な対策技術が開発されている。例えば、社外からの不正アクセスに対して蓄積情報を保護する方法としては、ファイヤウォール、アクセス制御機能等多様な手法が利用されている。さらに、暗号化手法の改善、ハードウェア機器の処理速度の向上等によって、外部侵入に対する堅牢性は更に向上している。
その結果、ネットワークの内部は外部から厳重に保護されるようになっており、外部からの不正アクセスによって非合法的に当該情報が参照、取得される等による情報漏洩の脅威は少なくなっている。
【0005】
しかし、近年の情報漏洩事件に代表される諸問題の多くは、システム開発者、システム運用者、メンテナンスなどの受託者など、ネットワーク内部の人物による不正アクセスである。
このような、保護されたネットワークの内部での不正アクセスは、前述した既存の対策技術で防止することが難しい。
すなわち、ネットワーク内部の正当なアクセス権限を持った人物のアクセスは、例え情報の引き抜きや複製などの不正アクセスであっても、表面的には正常なシステムの利用状態と何ら変わらない。このため、前述したファイヤウォールや暗号化等の社外を想定した対策技術では、内部不正アクセスの識別が困難である。そして、近年ではこのような内部不正アクセスによる情報漏洩が問題となってきている。
これらは、企業の信頼喪失、ひいては、インターネットを利用した将来のビジネスの発展を阻害しかねない。
【0006】
このような内部不正アクセスに対して、最近では、保護すべき情報を蓄積するデータベースそのものへのアクセスの履歴(ログ)により、ポアソン分布等の統計的手法を取り入れ、定常的なアクセスパターンを逸脱するアクセスを検出することによって、本来の正常アクセス以外の意図的な行動を検出し、管理者へ通知する技術が開発されている(特許文献1参照)。
また、システム運用者の犯罪を防止する技術として、従来システム運用者へはシステムに対する特権つまり広範なアクセス権限を付与するのが一般的であるが、運用者自体のリスクを低減するために、通常は必要最小限のアクセス権限のみを付与しておき、メンテナンス等の際など必要な場合に限って特権を付与するとした技術が開発されている(特許文献2参照)。
【0007】
【特許文献1】特開2005−259140号公報
【特許文献2】特許第3793944号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
しかしながら、前述した統計処理による不正検出は、データベースシステムを利用するアプリケーションの仕様の変更や、突発的なメンテナンス等によるデータベースアクセスが発生した場合、誤動作することが発生し得る。また、定常のアクセスパターンであることを認識することに難点がある。そのため、統計情報を概観する人的な介入が余儀なくされ、判断に対する個人差によって画一的な監視が難しい。そして、解析内容を人的な手段にて精査する必要があり、実務的な観点から管理コストの増加、監視品質のばらつきを招く。
一方、前述した状況によりアクセス権を切り替える手法においては、運用目的で一旦アクセス権が付与された状態では、その権限の範囲内で特定のデータへアクセス可能であり、悪意があればこの段階で情報を取得することが可能となってしまうという問題がある。
【0009】
本発明の目的は、前述した従来の手法の問題を回避できる情報漏洩監視システムおよび情報漏洩監視方法を提供することである。
【課題を解決するための手段】
【0010】
本発明の情報漏洩監視システムは、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視システムであって、前記データベースに対する特定のユーザに関するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成するアクセス計画登録手段と、前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成するアクセス計画承認手段と、前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、前記セキュリティポリシー情報を参照して前記データベースの実際のアクセス記録情報から異常アクセスを検出する異常アクセス検出手段とを備えたことを特徴とする。
【0011】
このような本発明では、特定のユーザ(前記データベースにアクセスする内部のアクセス者)は、予め自らのアクセス計画を登録し、これを承認者が承認する。承認されたアクセス計画は、システムから参照可能なポリシーに変換され、実際のアクセスの監視に利用される。そして、実アクセスのうち、予め登録ないし承認されたアクセス計画に沿ったアクセスは異常と判定されないが、アクセス計画に沿わないアクセスは異常と判定される。このため、アクセス権限を有する内部のアクセス者であっても、アクセス計画にない不正なアクセスを行うとこれが検出されることになり、内部不正アクセスの防止に利用できる。なお、アクセス計画の登録は主にアクセス者が自ら行うが、申請に基づいて他者が代行してもよい。
【0012】
本発明の情報漏洩監視システムにおいて、更に、前記異常アクセスを検出した際に予め指定された関係者へ通知する異常アクセス通知手段を備えることが望ましい。
このような本発明では、異常アクセスが検出された際に関係者への通知を行うことで、通知を受けた関係者が適宜対応することができ、内部の不正アクセスであっても防止することができる。
【0013】
本発明の情報漏洩監視システムにおいて、前記アクセス計画承認手段は、前記アクセス計画情報に関するアクセスリスク許容値の入力を受け付けるアクセスリスク許容値入力手段を有し、前記セキュリティポリシー情報には前記アクセスリスク許容値が含まれ、前記異常アクセス検出手段は、前記実際のアクセス記録からアクセスリスク値を算出し、このアクセスリスク値が前記アクセスリスク許容値を超えた際に異常アクセスとして検出することが望ましい。
このような本発明では、承認者がアクセス者に関するアクセスリスク許容値を設定し、実アクセスにおけるアクセスリスクの評価により異常検出を行うことで、処理負荷の軽減を図りながら確実な検出を行うことができる。
【0014】
本発明の情報漏洩監視システムにおいて、前記セキュリティポリシー情報は前記アクセスリスク許容値のみで構成されることが望ましい。
このような本発明では、異常検出をアクセス者のアクセスリスクに絞ることで、処理負荷を軽減でき、かつ十分な検出制度を確保することができる。
【0015】
本発明の情報漏洩監視システムにおいて、前記異常アクセス検出手段は、前記アクセスリスク値の計算にあたって、SQL文のステートメント、コマンドの種類、アクセス対象のオブジェクトの少なくとも何れかを含む情報に対して機密性の度合いをリスク指数として重み付けたリスクテーブルを利用することが望ましい。
このような本発明では、情報に応じてリスクテーブルを参照することでアクセスリスクの計算を簡単かつ確実に行える。
【0016】
本発明の情報漏洩監視システムは、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視システムであって、
前記データベースに対するアプリケーションソフトウェアのアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報として登録するアプリケーション認証情報登録手段と、
前記アプリケーション認証情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、
前記セキュリティポリシー情報を参照して前記データベースに対する前記アプリケーションソフトウェアの実際のアクセス記録から異常アクセスを検出する異常アクセス検出手段と
を備えたことを特徴とする。
【0017】
このような本発明では、アクセス者による異常アクセスとは別に、データベースを利用するアプリケーションソフトウェアの改ざん等による不正アクセスを検出することができる。
すなわち、アプリケーションソフトウェアが正常に動作している状態では、そのアクセス挙動は一定のパターンを示す。これに対し、不正アクセス等を実行するようにアプリケーションソフトウェアに改ざん等が行われると、そのアクセス挙動は正常時とは異なったものとなる。このため、アプリケーションソフトウェアの正常時のアクセス挙動(アクセスシーケンスおよびアクセスタイミング)をアプリケーション認証情報として記録しておき、これを参照して実際のアクセス挙動を検査することで、アプリケーションソフトの改ざんあるいは不正アクセスを検出することができる。
【0018】
本発明の情報漏洩監視システムにおいて、前記アプリケーションソフトウェアに関する前記セキュリティポリシー情報は前記アプリケーションソフトウェアのアクセスシーケンスのみで構成されることが望ましい。
このような本発明では、異常検出をアプリケーションソフトウェアのアクセスシーケンスのみに絞ることで、処理負荷を軽減でき、かつ十分な検出制度を確保することができる。
【0019】
本発明の情報漏洩監視方法は、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視方法であって、前記データベースに対するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成し、前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成し、前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成し、前記セキュリティポリシー情報を参照して前記データベースの実際のアクセス記録情報から異常アクセスを検出することを特徴とする。
【0020】
本発明の情報漏洩監視方法は、秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視方法であって、前記データベースに対するアプリケーションソフトウェアのアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報として登録し、前記アプリケーション認証情報から前記データベースのセキュリティポリシー情報を生成し、前記セキュリティポリシー情報を参照して前記データベースに対する前記アプリケーションソフトウェアの実際のアクセス記録から異常アクセスを検出することを特徴とする。
【0021】
これらの本発明の情報漏洩監視方法では、前述した本発明の情報漏洩監視システムで説明したように、予め設定された承認済アクセス計画情報あるいはアプリケーション認証情報を参照して実際のデータベースアクセスを検査することで、アクセス者の不正アクセスあるいは改ざん等によるアプリケーションソフトウェアによる不正アクセスを検出することができる。
【発明を実施するための最良の形態】
【0022】
以下、本発明の実施形態を図面に基づいて説明する。
図1には、本発明が適用された電子商取引サービスシステム1が示されている。
電子商取引サービスシステム1は、ネットワークを経由して接続される多数の顧客(サービスユーザ)31に対してデータベースシステム2により電子商取引サービスを提供するものである。
【0023】
データベースシステム2は、データベースサーバ10およびアプリケーションサーバ20を備え、データベースサーバ10に各種サービスに必要な情報を記憶するとともに、アプリケーションサーバ20に格納されたアプリケーションソフトウェア21により各種サービスを提供する。
【0024】
ここで、データベースサーバ10は顧客情報等の秘密情報を含むものであり、これらの秘密情報の漏洩を防止するために、電子商取引サービスシステム1には本発明に基づく情報漏洩監視システム40が設置されている。
以下、システム各部について詳細に説明する。
なお、以下の説明において、サービスユーザ31等の語はシステムに関与する人のことを指すが、システムに直接関与するのはコンピュータ端末等であるため、図面上では端末機器の絵柄で表示している。
また、データベースサーバ10には複数のデータベースが構築されていてもよく、そのうち少なくとも一つが情報漏洩監視システムの監視対象であればデータベースシステム2は監視対象とされる。データベースサーバ10における複数のデータベースの識別は既存のデータベース名称等で適宜識別される。
【0025】
[1]サービスユーザの接続
図2に示すように、電子商取引サービスシステム1にはDMZ(非武装地帯)3を介してインターネット等の外部ネットワーク4が接続されている。電子商取引サービスシステム1の電子商取引サービス(以下Webサービスとも呼ぶ)を利用するサービスユーザ31は、外部ネットワーク4においてルータ25およびファイヤウォール24を経由してウェブサーバ23に接続される。
ウェブサーバ23は、サービスユーザ31と電子商取引サービスシステム1のインターフェースを提供するもので、Webサービスに必要なサービスユーザ31からの情報入力や物品購入等の指示を行うための画面表示や入出力機能等をサービスユーザ31の端末に提供する。サービスユーザ31により入力される顧客情報は、ファイヤウォール22を経由してアプリケーションサーバ20へ引き渡され、データベースサーバ10に記録される。
従って、データベースサーバ10には秘密情報として厳重に管理すべき顧客情報等が蓄積される。
【0026】
[2]データベースサーバに対するアクセス
電子商取引サービスシステム1において、データベースサーバ10へのアクセスとしては、前述したアプリケーションサーバ20に格納されてWebサービスを提供するアプリケーションソフトウェア21によるものがあるほか、システムの保守管理のためのアクセスがある。
図3に示すように、データベースシステム2において、データベースサーバ10およびアプリケーションサーバ20には、その開発から運用にあたってシステム開発者を含むシステム保守担当者32の関与が必要である。また、アプリケーションソフトウェア21の設定ないし保守のために、データベースサーバ10およびアプリケーションサーバ20にはデータ保守担当者を含むアプリケーション運用担当者33の関与が必要である。更に、アプリケーションソフトウェア21の設定あるいは更新などのために、アプリケーション開発者あるいはアプリケーション保守担当者34の関与が必要となる。
【0027】
これらのシステム保守担当者32、アプリケーション運用担当者33、アプリケーション保守担当者34によるデータベースシステム2へのアクセスについては、通常、各々の担当業務で必要となる必要最低限のアクセス権限が付与される。
ここで、データベースシステム2の内部で発生する問題の多くは、これら付与された権限の範囲内で実施可能なアクセスによって漏洩する可能性があり、従来のセキュリティ技術で防止することは非常に難しい。
そこで、本実施形態の電子商取引サービスシステム1には、データベースシステム2を監視対象とする情報漏洩監視システム40が設置されている。
【0028】
[3]情報漏洩監視システム40の概要
図1に戻って、本実施形態の情報漏洩監視システム40は、前述したアプリケーション運用担当者33、アプリケーション保守担当者34等の内部のアクセス者からの不正アクセスを監視する機能を有するとともに、前述したアプリケーションソフトウェア21の改ざんによる不正アクセスを監視する機能を有する。
【0029】
内部のアクセス者からの不正アクセスを監視する機能として、アクセス者(32〜34)がデータベースサーバ10内のデータベースへのアクセス計画情報51の登録要求を受けて登録済アクセス計画情報52を生成し、登録済アクセス計画情報52の承認要求を受けて承認済アクセス計画情報53を生成し、承認済アクセス計画情報53からデータベースサーバ10のセキュリティポリシー情報59を生成し、セキュリティポリシー情報59を参照してデータベースサーバ10の実際のアクセス記録情報(アクセスログ12)から異常アクセスを検出する、という各手順を実行する。
【0030】
アプリケーションソフトウェア21の改ざんによる不正アクセスを監視する機能として、データベースサーバ10内のデータベースに対するアプリケーションソフトウェア21のアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報54として登録し、アプリケーション認証情報54からデータベースサーバ10のセキュリティポリシー情報59を生成し、セキュリティポリシー情報59を参照してデータベースサーバ10に対するアプリケーションソフトウェア21の実際のアクセス記録から異常アクセスを検出する、という各手順を実行する。
【0031】
このような各手順を実行するために、監視対象であるデータベースシステム2にはエージェント11が設置されており、情報漏洩監視システム40にはワークフローサーバ41、ポリシーデータベース42、ログ監視サーバ43が設置されている。
【0032】
[4]情報漏洩監視システム40の詳細
(ワークフローサーバ)
ワークフローサーバ41は、本発明の情報漏洩監視方法に基づいて、アクセス計画の登録、承認、セキュリティポリシーの生成までを行うものである。
本発明に基づく情報漏洩監視方法のうち、アクセス計画の登録、承認、セキュリティポリシーの生成までを行うものである。
【0033】
図4に示すように、ワークフローサーバ41は、アクセス計画登録手段であるアクセス計画登録機能411、アクセス計画承認手段であるアクセス計画承認機能412、セキュリティポリシー生成手段であるセキュリティポリシー生成機能413、アプリケーション認証情報登録機能415を備えるとともに、Webサーバシステム管理機能417、Webサーバ監視機能418、対策実施確認機能419を備えている。なお、本発明における異常アクセス検出手段であるポリシー判定機能432はログ監視サーバ43に配置されている。
図5には、前述したアクセス計画登録機能411により登録されるアクセス計画情報51および登録済アクセス計画情報52、アクセス計画承認機能412で生成される承認済アクセス計画情報53、アプリケーション認証情報登録機能415で生成されるアプリケーション認証情報54の詳細が示されている。
【0034】
アクセス計画登録機能411は、アクセス者(システム保守担当者32、アプリケーション運用担当者33、アプリケーション保守担当者34)によるデータベースサーバ10内のデータベースへのアクセス計画情報51を登録することで登録済アクセス計画情報52を生成する処理を行う。
アクセス計画情報51は、監視対象であるデータベースシステム2へアクセスする必要があるアクセス者が、当該システムにアクセスする前に、「誰が、何時、どのような目的でアクセスを実施するか」等を計画情報として設定するものであり、通常は本人がアクセス計画登録機能411から登録要求することで登録済アクセス計画情報52となる。
登録済アクセス計画情報52はアクセス計画情報51と同じ内容である。
【0035】
図5において、登録済アクセス計画情報52(アクセス計画情報51も同じ)は、アクセス者(32〜34)がデータベースシステム2へのアクセスに先立ってそのアクセスに関する計画情報を入力するものであり、アクセス目的の「作業名」、アクセス者の「作業担当者名」と「所属」、アクセスする「作業日/時間帯」と「アクセス先DB名」と「アクセス先ホスト名」、「DBユーザ名」、「IPアドレス」、アクセスを行う「端末名」と「OSユーザ名」、「アクション」、「対象オブジェクト」、「担当者メールアドレス」、「ポリシー有効期限」を備えている。
【0036】
図4において、アクセス計画承認機能412は、登録済アクセス計画情報52を承認者39が承認することで承認済アクセス計画情報53を生成する処理を行う。
承認者39は、アクセス者(32〜34)等の作業者の管理責任者であり、作業者によって登録された登録済アクセス計画情報52を確認し、承認要求および必要な情報の追加入力を行う。
図5において、承認済アクセス計画情報53は、前述した登録済アクセス計画情報52の内容に、「承認者名」、「承認者メールアドレス」、承認者が入力した「アクセスリスク許容値」の情報を追加したものである。
承認者39は、登録済アクセス計画情報52に記載された業務の内容に応じて、このアクセス計画のアクセスリスク許容値を設定する。
【0037】
図4において、アプリケーション認証情報登録機能415は、アプリケーションソフトウェア21の改ざんによる不正アクセスを監視する機能として、データベースサーバ10に対するアプリケーションソフトウェア21のアクセスシーケンスおよびアクセスタイミングを調査し、これをアプリケーション認証情報54として登録する処理を行う。
図5において、アクセスパターン情報(M1,M2等)と、そのアプリケーションが動作する時間帯を示すアクセス時間(1,2等)の情報によって構成される。
アプリケーション認証は、Webサービスを行うシステム開発やアプリケーション開発の完了後、試験運用を実施する段階で、監視対象データベースをアクセスするアプリケーションのアクセスパターンを分析し、その特徴情報を利用して正規のアプリケーションとして認証するものであり、アプリケーション自体の改ざん、SQL文改ざん等によるデータベースへの異常アクセスを検出することができる。
アプリケーション認証に関する詳細に関しては、後述する。
【0038】
図4において、セキュリティポリシー生成機能413は、承認済アクセス計画情報53からデータベースサーバ10のセキュリティポリシー情報59を生成するとともに、アプリケーション認証情報54からデータベースサーバ10のセキュリティポリシー情報59を生成する処理を行う。
【0039】
(ポリシーデータベース)
ポリシーデータベース42は、本発明の情報漏洩監視方法に基づいて生成されたセキュリティポリシーを記録し、必要に応じてこの情報を提供するものである。
図5に示すように、ポリシーデータベース42には、登録済アクセス計画情報52、承認済アクセス計画情報53が登録されるとともに、予め登録されたアプリケーション認証情報54か格納されている。更に、データベースサーバ10に格納された個々のデータベース毎に予め作成されたアクセスリスクテーブル55が登録されている。
【0040】
アクセスリスクテーブル55は、データベースサーバ10に構築された「データベース名」、各データベースに対する「アクション名」、SQL文および対象オブジェクトを示す「オブジェクト」の組み合わせ毎に、想定されるアクセスリスクを示す「リスク指数」を記録したものである。
リスク指数は、監視対象データベースに蓄積される情報の機密性の度合いにより管理者によって設定され、大きな数値ほど機密性が高く、漏洩リスクも高いことを表している。
このアクセスリスクテーブル55を参照することで、任意のアクセス計画のリスク指数を調査することができる。
【0041】
(エージェント)
エージェント11は、情報漏洩監視システム40が本発明の情報漏洩監視方法に基づいて異常アクセス検出を行う対象であるデータベースサーバ10の実アクセス情報を提供するものである。
図4に示すように、エージェント11は、監視対象であるデータベースシステム2上に設置され、データベースサーバ10にアクセスが行われる毎にアクセスログを生成するものであり、監査ログ設定機能111、監査ログ収集機能112、監査ログ送信機能113、コマンド処理機能114を備えている。
【0042】
監査ログ設定機能111はデータベースシステム2に対して初期設定を実施するものであり、コマンド処理機能114は監視マネージャであるログ監視サーバ43からの監査ログ要求122等のコマンドを処理するものである。監査ログ収集機能112はログ監視サーバ43からの監査ログ要求122に基づいてデータベースシステム2を調べて必要な監査ログを収集するものであり、監査ログ送信機能113は収集された監査ログ121をログ監視サーバ43へ送信するものである。
【0043】
図6に示すように、エージェント11においては、監視対象であるデータベースシステム2の起動時に、プロセスの初期化(S61)を行った後、データベースシステム2に対して監査ログ生成を行うための初期設定を実施する(S62)。その後、ログ監視サーバ43からのコマンドを待機し(S63)、受信したコマンド解析を行い(S64)、受信したコマンドが監査ログ要求122であれば(S65)、データベースシステム2から必要な監査ログ121を取得し(S66)、フォーマット変換を行ってログ監視サーバ43へ監査ログを送信する(S67)。
なお、データベースサーバ10に複数のデータベースがある場合、エージェント11も各データベースに対応して複数設けてもよい。
【0044】
(ログ監視サーバ)
ログ監視サーバ43は、本発明の情報漏洩監視方法に基づいて、エージェント11から送られるデータベースサーバ10の実アクセス情報とポリシーデータベース42から得られるセキュリティポリシー情報59とを参照し、異常アクセスの判定を行うものである。
図4に示すように、ログ監視サーバ43は、監査ログコレクタ機能431、ポリシー判定機能432、アラート機能433、監査ログデータベース439を備えている。
【0045】
監査ログコレクタ機能431はエージェント11によって収集された監査ログ121を受信して監査ログデータベース439に蓄積するものである。
ポリシー判定機能432は、本発明における異常アクセス検出手段であり、ポリシーデータベース42に蓄積されたセキュリティポリシー情報59を参照して、監査ログデータベース439に記録された監査ログ121を分析し、予定外の異常アクセスを検出するものである。
アラート機能433はポリシー判定機能432から異常アクセス情報58が出力された際に、アラート情報57を生成し、メールサーバ44等を介して監視者38に通知するものである。
【0046】
このようなログ監視サーバ43において、監査ログコレクタ機能431は、インターバルタイマーによって定期的に起動され、予め設定された時間が経過するとデータ受信処理を行う。
図7に示すように、監査ログコレクタ機能431におけるデータ受信処理は、予め設定された監視対象のデータベースシステム2の情報を取得し(S71)、エージェント11に接続(S72)して監査ログ要求122を送信し(S73)、エラーチェック(S74)ののち、エージェント11から監査ログ121を取得し(S75)、受信した監査ログ121を監査ログデータベース439に格納する(S76)。
【0047】
ポリシー判定機能432は、監査ログコレクタ機能431におけるデータ受信処理に続いて起動される。
図7に示すように、ポリシー判定機能432は、監視対象のデータベースシステム2に関する監査ログ121を読み込み(S81)、このデータベースシステム2における監査対象データベース名に該当するセキュリティポリシー情報59をポリシーデータベース42から読み込む(S82)。次に、ポリシー判定を行うための前処理として、セキュリティポリシー情報59の構文を解析して判定しやすい情報に分解する(S83)。ポリシー判定(S84)では、アクセス計画情報51に基づく監査ログ121の判定、アプリケーション認証情報54に基づくアプリケーションのアクセス判定、リスク検知等の判定を行う。これらの何れかの判定で問題が発生した場合(S85)、アラートフラグをセットする(S86)。収集されている全てのログの判定を実施したら本処理を終える。ここでアラートフラグがセットされた場合、当該DBに関連するポリシー違反情報を監査ログDBに蓄積し、関係者へ対応を即すため、アラート情報57としてメール等で即座に通知する。
【0048】
前述したポリシー判定機能432によるポリシー判定(図8のS84)においては、アクセス計画情報51に基づく監査ログ121の判定、アプリケーション認証情報54に基づくアプリケーションのアクセス判定、アクセスリスク値を用いたアクセスリスク判定による異常アクセス検出を行う。
以下に各判定処理の詳細を説明する。
【0049】
(アクセス計画判定)
ポリシー判定機能432によるポリシー判定の一つとしてアクセス計画判定機能がある。
図9に示すように、アクセス計画判定機能は、データベースユーザのアクセス権限を監視するALCポリシー、アクセス対象を監視するオブジェクトポリシー、アクセス時間帯を監視するタイムポリシー、アクセスする際に利用するデータベースコマンドを監視するアクションポリシーなどの各ポリシー判定により構成される。
各々のポリシー判定は、ログ監視サーバ43で収集される監査ログ121と、ポリシーデータベース42から読み込まれたセキュリティポリシー情報59とを比較することによって行う。また、何れのポリシー判定を利用するかは、ポリシーデータベース42から読み込まれたセキュリティポリシー情報59により決定される。
図9に示すように、セキュリティポリシー情報59で指定された検査対象データベースの判定指定を調べ(S91)、対応した判定(S92〜S96)を実施し、ポリシー違反情報を監査ログDBに蓄積する(S97)。
【0050】
(条件リスト)
アクセス計画判定機能における各ポリシー判定では、セキュリティポリシー情報59に基づく下記の条件判定を利用する。
(a) 監査ログ121のOSユーザ名が承認済アクセス計画情報53のOSユーザ名と一致する。
(b) 監査ログ121のDBユーザ名が承認済アクセス計画情報53のDBユーザ名と一致する。
(c) 監査ログ121の対象データベース名が承認済アクセス計画情報53のアクセス先DB名と一致する。
(d) 監査ログ121のアクションが承認済アクセス計画情報53のアクションと一致する。
(e) 監査ログ121に含まれるホストIPアドレスが承認済アクセス計画情報53の端末IPアドレスと一致する。
(f) 監査ログ121に含まれるアクセス日及び時間が承認済アクセス計画情報53のポリシー有効期限内である。
(g) 監査ログ121に含まれるアクセス日時が承認済アクセス計画情報53のアクセス日及び時間帯の範囲内である。
(h) 監査ログ121に含まれるオブジェクト名が承認済アクセス計画情報53の対象オブジェクトと一致する。
(i) 監査ログ121に含まれるオブジェクトオーナが承認済アクセス計画情報53のDBユーザ名と一致する。
【0051】
(ALCポリシー判定)
ALCポリシー判定(S92)では、前述した条件リストの条件(b)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(アクションポリシー判定)
アクションポリシー判定(S93)では、前述した条件リストの条件(d)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(タイムポリシー判定)
タイムポリシー判定(S94)では、前述した条件リストの条件(g)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(オブジェクトポリシー判定)
オブジェクトポリシー判定(S95)では、前述した条件リストの条件(h)及び条件(i)を必須とし、その他の条件を含めるかどうかはセキュリティポリシー生成機能413の設定に従う。
(カスタムポリシー判定)
カスタムポリシー判定(S95)では、前述した条件リストの何れかをセキュリティポリシー生成機能413で設定する。
【0052】
(アプリケーション認証)
ポリシー判定機能432によるポリシー判定の一つとしてアプリケーション認証機能が行われる。
アプリケーション認証機能では判定にあたってアプリケーション認証情報54(図1参照)を利用する。アプリケーション認証情報54は、データベースサーバ10にアクセスするアプリケーションソフトウェア21のアクセスシーケンスおよびアクセスタイミングを記述したものであり、予めワークフローサーバ41のアプリケーション認証情報登録機能415によって登録される。
これらのアクセスシーケンスおよびアクセスタイミング(以下認証パターンという)は、アプリケーションソフトウェア21の通常動作におけるデータベースアクセスの結果から生成される。具体的には通常動作におけるデータベースアクセスを行った際に得られるアクセスログ12(監査ログ121)を参照する。
【0053】
図10において、監査ログ121から、認証登録を実施するアプリケーションソフトウェア21のDBユーザ名と同じDBユーザ名を有する監査ログを抽出する(S101)。次に、セッション毎のアクセスパターンを解析するため、DBユーザ名が同じ監査ログから更にセッション情報が同一のログ情報を抽出する(S102)。
こうして抽出されたログ情報から、データベースアクセスの開始を示すマーカを検索し、一連のアクセスブロックの先頭を検出する(S103)。そこで検出されたマーカログより、DBユーザ名、IPアドレスを記録する(S104)。以降の抽出ログから順にSQL文を検出し(S105)、検出したSQL文の情報を記録し(S106)、実行時間の差を記録し(S107)してゆく。これらの処理S105〜S107は終了マーカの検出(S108)まで繰り返す。
終了マーカが検出されたら、全マーカが検出されたかを調べ(S109)、未処理のマーカが残っていれば、次のマーカログのDBユーザ名およびIPアドレスの記録(S104)から繰り返す。
全マーカが検出し終わったなら、全セッションが検出されたかを調べ(S1010)、未処理のセッションが残っていれば、次のセッション情報と同一のログ情報の抽出(S102)から繰り返す。
全セッションが検出し終わったなら処理を終了する(S1011)。その結果、図12に示すDBユーザ毎のアクセスパターン情報54Aが得られる。
【0054】
図11において、アクセスパターン情報54Aは、DBユーザ名541、IPアドレス542を有するとともに、複数のアクセスパターンリスト543を備えている。
アクセスパターンリスト543は、一連のSQL文情報544と、各々の時間間隔情報545とを備えている。
これらにより、DBユーザ名541、IPアドレス542で特定されるアプリケーションソフトウェア21がデータベースサーバ10内のデータベースに対して、ある時はアクセスパターン1に記述されたSQL文の発信パターンでアクセスを行い、別の時にはアクセスパターン2に記述されたパターンの動作を行うことが正常である、ということが識別できる。
このようなアクセスパターン情報54Aは、セキュリティポリシー情報59の一部としてポリシーデータベース42に記録される。そして、ポリシー判定機能432におけるアプリケーション認証機能の際に参照される。
【0055】
図12において、アプリケーション認証によるポリシー判定では、先ず監査ログ121の読み込みを行い(S121)、ポリシーデータベース42よりアプリケーション認証情報54を読み込む(S122)。次に、判定対象のアプリケーションDBユーザアカウントのみを抽出し(S123)、さらにセッション毎に分類する(S124)。
分類されたセッション毎の特定ログから開始マーカを検出する(S125)。開始マーカ以降のSQL文の実行順序と時間間隔を比較し(S126)、その類似性によって、認証されたアプリケーションからのアクセスか否かを判定する(S127)。
類似性が確認できなかった場合、アプリケーションの改ざんがあったと判断し、該当データベース名、マーカ名等、当該アプリケーションを特定する情報を監査ログに蓄積し(S128)、アプリケーション異常フラグをセットする(S129)。
この後、全マーカが検出されたかを調べ(S1210)、未処理のマーカが残っていれば、次のマーカについて処理S125から処理S1210を繰り返す。
全マーカが検出し終わったなら、全セッションが検出されたかを調べ(S1211)、未処理のセッションが残っていれば、処理S125から処理S1211を繰り返す。
全セッションが検出し終わったなら処理を終了する。
【0056】
(アクセスリスク判定)
ポリシー判定機能432によるポリシー判定の一つとしてアクセスリスク判定が行われる。
アクセスリスク判定ではアクセスリスクテーブル55(図5参照)および承認者により設定されて承認済アクセス計画情報53に記述されるアクセスリスク許容値を利用する。
図13にアクセスリスク判定によるアクセス危険度判定機能の動作フローを示す。
アクセスリスク判定では、先ず監査ログ121を読み込み(S131)、アクセス者(32〜34)によるアクセスの危険度を算出するため、ポリシーデータベース42に記録されたアクセスリスクテーブル55を読み込む(S132)。次に、分析対象のユーザアカウントに関連した監査ログを抽出し(S133)、その抽出されたログをさらにセッション毎に分類する(S134)。そして、アクセスリスクテーブル55に記述されたリスク指数をもとに、SQL文毎のリスク指数を積算し、単位時間毎の積算値の推移を記録してゆく(S135)。同様、特定ユーザアカウントの全てのセッションに関して、処理を実行する(S136)。全セッションの終了後、単位時間当たりのリスク積算値と閾値であるアクセスリスク許容値とを比較し(S137)、このアクセスリスク許容値を上回った場合にはリスク異常インシデントを監査ログDBに格納し(S138)、リスク異常フラグをセットする(S139)。
このようなアクセスリスク判定では、アクセス者に関するアクセスリスク許容値を設定し、実アクセスにおけるアクセスリスクの評価により異常検出を行うことで、処理負荷の軽減を図りながら確実な検出を行うことができる。
【0057】
図4において、Webサーバシステム管理機能417は、データベースシステム2の管理を行うために必要な既存の機能を提供する。
また、Webサーバ監視機能418および対策実施確認機能419は以下の監視機能を提供する。
【0058】
(監視機能)
Webサーバ監視機能418は、前述した各判定による異常発生など、データベース毎に発生したインシデントをリアルタイムに表示、対処する機能を備える。ポリシー判定機能432によるポリシー判定の結果は、監査ログデータベース439にその都度蓄積され、迅速な対処を要求するため、その旨をメール等によるアラート情報57として送信する。
アラート情報57を受けた現場の監視者38は、アラートを発生させた監視対象データベースのアクセス者(32〜34)を特定し、実施確認を行ない、承認者39へその旨報告する。
Webサーバ監視機能418は、定期的に監査ログデータベース439をモニターしており、新規のインシデントが発生した場合、関連情報を監査ログデータベース439より取得し、監視端末に表示する。監査報告を受けた監視者38は、実施者報告に問題があった場合は、緊急対応と判断し、アラート発生の要因を作ったアクセス者(32〜34)の端末からの接続を遮断し、監視機能を利用して以降のアクセスを拒否する設定を実施する。
対策実施確認機能419は、Webサーバ監視機能418をモニタし、予め定められた時間内に前述した実施確認が取れない場合は、自動的に先述の遮断処理を実施する。
【0059】
本発明を利用することにより、従来技術であるファイヤウォールや、ネットワークセキュリティにより防止することが難しかった内部犯罪による情報漏洩を防止することができる。また、IT犯罪の被害の多くは、社外からのアタックではなく、内部者によるケースが増えてきており、問題が発生した場合の会社の信用失墜によるダメージは膨大なものとなっている。従来のネットワークセキュリティでは、アクセス権付与による限定アクセスが一般的であるが、一度付与された権限の範疇で当該情報へのアクセスを行うことによる情報の漏洩の可能性に関しては抑制することができなかった問題に対しても、抑止効果が得られる。また、データベースへのアクセスは、Webサービスを利用する一般ユーザ数増加に伴いより多くのアクセスが発生し、生成される監査ログも膨大なものとなる。これら膨大なログ情報から異常アクセスを見つけ出す監視者のコスト低減や、精度向上が期待できる。さらに、内部統制等の法律遵守のためのツールとしても有効である。
【0060】
なお、本発明は前述した実施形態に限定されるものではなく、本発明の目的を達成できる範囲内での変形等は本発明に含まれるものである。
前記実施形態におけるネットワーク構成あるいはシステム構成は適宜変更することができる。
例えば、前記実施形態では、承認者39とは別に監視者38を設定してアラート情報75が送られるようにしたが、アラート情報57は承認者39にも送ってもよく、あるいは承認者39が兼ねる場合は監視者38を省略してもよい。
前記実施形態における処理の詳細、手順あるいはその順序の詳細は適宜変更することができる。各処理の具体的な手法としてはその機能に応じて既存のソフトウェア技術を適宜採用することができる。
【産業上の利用可能性】
【0061】
本発明は、情報漏洩監視システムおよび情報漏洩監視方法に利用でき、ネットワーク上のデータベースに蓄積される個人情報等の秘密情報の漏洩防止に利用できる。
【図面の簡単な説明】
【0062】
【図1】本発明の一実施形態の全体構成を示すブロック図。
【図2】前記実施形態における外部の顧客ユーザのアクセスを示す模式図。
【図3】前記実施形態における内部のアクセス者のアクセスを示す模式図。
【図4】前記実施形態における情報漏洩監視システムの概要を示すブロック図。
【図5】前記実施形態におけるデータの関連を示すブロック図。
【図6】前記実施形態におけるエージェントのアクセスログ収集動作を示すフローチャート。
【図7】前記実施形態におけるログ監視サーバのアクセスログデータ受信処理を示すフローチャート。
【図8】前記実施形態におけるポリシー判定処理の概略を示すフローチャート。
【図9】前記実施形態におけるアクセス計画判定によるポリシー判定処理を示すフローチャート。
【図10】前記実施形態におけるアプリケーション認証情報の登録処理を示すフローチャート。
【図11】前記実施形態におけるアプリケーション認証情報を示す模式図。
【図12】前記実施形態におけるアプリケーション認証判定処理を示すフローチャート。
【図13】前記実施形態におけるアクセスリスク判定処理を示すフローチャート。
【符号の説明】
【0063】
1 電子商取引サービスシステム
2 データベースシステム
4 外部ネットワーク
10 データベースサーバ
11 エージェント
12 アクセスログ(アクセス記録情報)
20 アプリケーションサーバ
21 アプリケーションソフトウェア
22 ファイヤウォール
23 ウェブサーバ
24 ファイヤウォール
25 ルータ
31 サービスユーザ
32 システム保守担当者
33 アプリケーション運用担当者
34 アプリケーション保守担当者
38 監視者
39 承認者
40 情報漏洩監視システム
41 ワークフローサーバ
42 ポリシーデータベース
43 ログ監視サーバ
44 メールサーバ
51 アクセス計画情報
52 登録済アクセス計画情報
53 承認済アクセス計画情報
54A アクセスパターン情報
54 アプリケーション認証情報
55 アクセスリスクテーブル
57 アラート情報
58 異常アクセス情報
59 セキュリティポリシー情報
111 監査ログ設定機能
112 監査ログ収集機能
113 監査ログ送信機能
114 コマンド処理機能
121 監査ログ
122 監査ログ要求
411 アクセス計画登録機能(アクセス計画登録手段)
412 アクセス計画承認機能(アクセス計画承認手段)
413 セキュリティポリシー生成機能(セキュリティポリシー生成手段)
415 アプリケーション認証情報登録機能(アプリケーション認証情報登録手段)
417 サーバシステム管理機能
418 サーバ監視機能
419 対策実施確認機能
431 監査ログコレクタ機能
432 ポリシー判定機能(異常アクセス検出手段)
433 アラート機能
439 監査ログデータベース
541 ユーザ名
542 アドレス
543 アクセスパターンリスト
544 文情報
545 時間間隔情報
【特許請求の範囲】
【請求項1】
秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視システムであって、
前記データベースに対する特定のユーザに関するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成するアクセス計画登録手段と、
前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成するアクセス計画承認手段と、
前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、
前記セキュリティポリシー情報を参照して前記データベースの実際のアクセス記録情報から異常アクセスを検出する異常アクセス検出手段と
を備えたことを特徴とする情報漏洩監視システム。
【請求項2】
請求項1に記載した情報漏洩監視システムにおいて、
更に、前記異常アクセスを検出した際に予め指定された関係者へ通知する異常アクセス通知手段
を備えたことを特徴とする情報漏洩監視システム。
【請求項3】
請求項1または請求項2に記載した情報漏洩監視システムにおいて、
前記アクセス計画承認手段は、前記アクセス計画情報に関するアクセスリスク許容値の入力を受け付けるアクセスリスク許容値入力手段を有し、
前記セキュリティポリシー情報には前記アクセスリスク許容値が含まれ、
前記異常アクセス検出手段は、前記実際のアクセス記録からアクセスリスク値を算出し、このアクセスリスク値が前記アクセスリスク許容値を超えた際に異常アクセスとして検出する
ことを特徴とする情報漏洩監視システム。
【請求項4】
請求項3に記載した情報漏洩監視システムにおいて、
前記セキュリティポリシー情報は前記アクセスリスク許容値のみで構成される
ことを特徴とする情報漏洩監視システム。
【請求項5】
請求項3または請求項4に記載した情報漏洩監視システムにおいて、
前記異常アクセス検出手段は、前記アクセスリスク値の計算にあたって、SQL文のステートメント、コマンドの種類、アクセス対象のオブジェクトの少なくとも何れかを含む情報に対して機密性の度合いをリスク指数として重み付けたリスクテーブルを利用する
ことを特徴とする情報漏洩監視システム。
【請求項6】
秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視システムであって、
前記データベースに対するアプリケーションソフトウェアのアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報として登録するアプリケーション認証情報登録手段と、
前記アプリケーション認証情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、
前記セキュリティポリシー情報を参照して前記データベースに対する前記アプリケーションソフトウェアの実際のアクセス記録から異常アクセスを検出する異常アクセス検出手段と
を備えたことを特徴とする情報漏洩監視システム。
【請求項7】
請求項6に記載した情報漏洩監視システムにおいて、
前記アプリケーションソフトウェアに関する前記セキュリティポリシー情報は前記アプリケーションソフトウェアのアクセスシーケンスのみで構成される
ことを特徴とする情報漏洩監視システム。
【請求項8】
秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視方法であって、
前記データベースに対するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成し、
前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成し、
前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成し、
前記セキュリティポリシー情報を参照して前記データベースの実際のアクセス記録情報から異常アクセスを検出する
ことを特徴とする情報漏洩監視方法。
【請求項9】
秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視方法であって、
前記データベースに対するアプリケーションソフトウェアのアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報として登録し、
前記アプリケーション認証情報から前記データベースのセキュリティポリシー情報を生成し、
前記セキュリティポリシー情報を参照して前記データベースに対する前記アプリケーションソフトウェアの実際のアクセス記録から異常アクセスを検出する
ことを特徴とする情報漏洩監視方法。
【請求項1】
秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視システムであって、
前記データベースに対する特定のユーザに関するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成するアクセス計画登録手段と、
前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成するアクセス計画承認手段と、
前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、
前記セキュリティポリシー情報を参照して前記データベースの実際のアクセス記録情報から異常アクセスを検出する異常アクセス検出手段と
を備えたことを特徴とする情報漏洩監視システム。
【請求項2】
請求項1に記載した情報漏洩監視システムにおいて、
更に、前記異常アクセスを検出した際に予め指定された関係者へ通知する異常アクセス通知手段
を備えたことを特徴とする情報漏洩監視システム。
【請求項3】
請求項1または請求項2に記載した情報漏洩監視システムにおいて、
前記アクセス計画承認手段は、前記アクセス計画情報に関するアクセスリスク許容値の入力を受け付けるアクセスリスク許容値入力手段を有し、
前記セキュリティポリシー情報には前記アクセスリスク許容値が含まれ、
前記異常アクセス検出手段は、前記実際のアクセス記録からアクセスリスク値を算出し、このアクセスリスク値が前記アクセスリスク許容値を超えた際に異常アクセスとして検出する
ことを特徴とする情報漏洩監視システム。
【請求項4】
請求項3に記載した情報漏洩監視システムにおいて、
前記セキュリティポリシー情報は前記アクセスリスク許容値のみで構成される
ことを特徴とする情報漏洩監視システム。
【請求項5】
請求項3または請求項4に記載した情報漏洩監視システムにおいて、
前記異常アクセス検出手段は、前記アクセスリスク値の計算にあたって、SQL文のステートメント、コマンドの種類、アクセス対象のオブジェクトの少なくとも何れかを含む情報に対して機密性の度合いをリスク指数として重み付けたリスクテーブルを利用する
ことを特徴とする情報漏洩監視システム。
【請求項6】
秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視システムであって、
前記データベースに対するアプリケーションソフトウェアのアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報として登録するアプリケーション認証情報登録手段と、
前記アプリケーション認証情報から前記データベースのセキュリティポリシー情報を生成するセキュリティポリシー生成手段と、
前記セキュリティポリシー情報を参照して前記データベースに対する前記アプリケーションソフトウェアの実際のアクセス記録から異常アクセスを検出する異常アクセス検出手段と
を備えたことを特徴とする情報漏洩監視システム。
【請求項7】
請求項6に記載した情報漏洩監視システムにおいて、
前記アプリケーションソフトウェアに関する前記セキュリティポリシー情報は前記アプリケーションソフトウェアのアクセスシーケンスのみで構成される
ことを特徴とする情報漏洩監視システム。
【請求項8】
秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視方法であって、
前記データベースに対するアクセス計画情報の登録要求を受けて登録済アクセス計画情報を生成し、
前記登録済アクセス計画情報の承認要求を受けて承認済アクセス計画情報を生成し、
前記承認済アクセス計画情報から前記データベースのセキュリティポリシー情報を生成し、
前記セキュリティポリシー情報を参照して前記データベースの実際のアクセス記録情報から異常アクセスを検出する
ことを特徴とする情報漏洩監視方法。
【請求項9】
秘密情報を蓄積するデータベースの情報漏洩を抑止する情報漏洩監視方法であって、
前記データベースに対するアプリケーションソフトウェアのアクセスシーケンスおよびアクセスタイミングをアプリケーション認証情報として登録し、
前記アプリケーション認証情報から前記データベースのセキュリティポリシー情報を生成し、
前記セキュリティポリシー情報を参照して前記データベースに対する前記アプリケーションソフトウェアの実際のアクセス記録から異常アクセスを検出する
ことを特徴とする情報漏洩監視方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2008−250728(P2008−250728A)
【公開日】平成20年10月16日(2008.10.16)
【国際特許分類】
【出願番号】特願2007−91729(P2007−91729)
【出願日】平成19年3月30日(2007.3.30)
【出願人】(500257300)ヤフー株式会社 (1,128)
【Fターム(参考)】
【公開日】平成20年10月16日(2008.10.16)
【国際特許分類】
【出願日】平成19年3月30日(2007.3.30)
【出願人】(500257300)ヤフー株式会社 (1,128)
【Fターム(参考)】
[ Back to top ]