操作監視システム及び操作監視プログラム
【課題】予め監視する操作の内容を設定することなく端末における操作を監視する技術を提供する。
【解決手段】操作ログ情報取得部31が、ネットワークNにより接続された端末Cから操作ログ情報を取得する。操作対象情報生成部32は、操作ログ情報取得部31から端末Cの操作ログ情報を取得し、操作対象毎の操作対象情報を生成する。特異操作判定部33は、特定端末の操作対象情報と、特定端末が属する集合に属する複数の端末Cの操作対象情報との比較結果に基づき、その集合おける特定端末の特異な操作対象情報を特異操作対象情報として判定する。
【解決手段】操作ログ情報取得部31が、ネットワークNにより接続された端末Cから操作ログ情報を取得する。操作対象情報生成部32は、操作ログ情報取得部31から端末Cの操作ログ情報を取得し、操作対象毎の操作対象情報を生成する。特異操作判定部33は、特定端末の操作対象情報と、特定端末が属する集合に属する複数の端末Cの操作対象情報との比較結果に基づき、その集合おける特定端末の特異な操作対象情報を特異操作対象情報として判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークに接続する複数の端末における操作状況を監視する技術に関し、特に集合に属する端末における操作を監視する技術に関する。
【背景技術】
【0002】
近年の情報処理機器の発達に伴い、職場等で使用されるコンピュータ等の情報処理機器の利用台数が増大している。本来、このような情報処理機器は、業務効率の向上を図るためのものである。しかし、一方では、業務時間内における情報処理機器の私的利用等の不正操作の問題が生じている。
【0003】
このような問題を解決するために、ネットワークで接続されたコンピュータの操作を監視する様々な技術が検討されている。例えば、特定のイベントが発生したことを検知した際に、そのイベントの前後に発生したイベントの系列と予め設定した不正操作等のイベントの系列とを比較することにより、不正イベントを検出するシステム監査装置が提案されている(特許文献1参照)。
【0004】
この技術では、コンピュータにおける操作の系列と所定の操作系列とを比較することにより、不正操作を検出することができるものである。すなわち、コンピュータにおける操作を流れとして捉えることにより、各々の操作に基づく不正操作の判定に比べて的確な判定を行うことができる。
【0005】
【特許文献1】特開2005−222216号公報(段落番号0006、0008)
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1の技術では、予め所定のイベント系列を設定しなければならない。また、不正操作等に係るイベント系列は、画一的ではなく、コンピュータの操作者の業務内容や所属部署等により異なることがある。このような場合に対応するためには、業務や状況に合わせて多数のイベント系列を設定する等の対応が必要となり、管理者の負担を増大させる問題が生じる。
【0007】
本発明の目的は、上記実状に鑑み、予め監視する操作の内容を設定することなく端末における操作を監視する技術を提供することである。
【課題を解決するための手段】
【0008】
前記課題を解決するために、複数の端末が接続された操作監視システムにおいて、前記端末における操作に係る操作対象を含む操作ログ情報を取得する操作ログ情報取得部と、前記端末の前記操作ログ情報から当該端末における前記操作対象の操作統計を表す操作対象情報を生成する操作対象情報生成部と、一の前記端末の操作対象情報と、所定の集合に属する複数の端末の操作対象情報との比較結果に基づき、当該集合に対する当該一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定部と、を備えている。
【0009】
この構成では、一の端末の操作対象情報と、所定の集合に属する端末の操作対象情報とが比較され、その比較結果に基づき、一の端末の操作対象情報が、その集合に対して特異であるか否かが判定される。
【0010】
また、本発明における操作監視システムの好適な実施形態の一つでは、前記特異操作判定部は、前記集合に対する前記一の端末の操作対象情報の特異の度合いを示す特異度を算出し、当該特異度に基づいて前記特異操作対象情報を判定する。
【0011】
この構成では、判定対象の操作対象情報の特異の度合を示す特異度を算出し、その特異度に基づき特異操作対象情報を判定しているため、より的確に特異な操作対象情報を判定することができる。
【0012】
また、本発明における操作監視システムの好適な実施形態の一つでは、前記特異操作判定部は、前記所定の集合に属する複数の端末の操作対象情報に基づいて集合操作対象情報を生成し、前記集合操作対象情報と前記一の端末の操作対象情報とを比較することにより特異操作対象情報を判定する。
【0013】
この構成では、集合に属する端末全体における操作統計を表す情報を生成し、その情報と一の端末の操作対象情報とを比較することにより、効率的な情報処理が可能となる。
【0014】
また、端末が属する集合は、端末を使用する人(ユーザ)により立場や作業内容が多様であるため、様々な側面から鑑みた集合を作成することができる。そのため、各端末は複数の集合に属する場合が生じる。このような場合には、一の端末の操作対象情報が、ある集合においては特異であると判定されるが、他の集合においては特異でないと判定される場合がある。
【0015】
上述のような場合にも、的確な処理を実行するために、本発明における操作監視システムの好適な実施形態の一つでは、前記集合に前記一の端末を含み、前記一の端末を有する前記集合が複数存在する場合に、前記特異操作判定部は、当該集合毎の当該一の端末の特異操作対象情報を判定し、前記判定結果に基づき新たな特異操作対象情報を生成する。
【0016】
また、本発明における操作監視システムの好適な実施形態の一つでは、前記端末の前記操作対象情報を表示する表示部を備え、前記表示部は、前記特異操作対象情報とそれ以外の操作対象情報とを識別可能に表示する。
【0017】
この構成では、特異操作対象情報とそれ以外の操作対象情報とが識別可能に表示されるため、管理者は容易に特異操作対象情報を視認することができる。
【0018】
上述のような操作監視システムの更なる目的の一つとして、不審な操作を行っている端末の検出がある。そのため、本発明における操作監視システムの好適な実施形態の一つでは、前記特異操作対象情報に基づき、前記端末が不審な操作を行っているか否かを判定する不審端末判定部を備えている。
【0019】
この構成では、特異操作対象情報に基づき、端末が不審な操作を行っているか否かを判定できるため、予め不審な操作を定義することなく、不審な操作を行っている端末を検出することができる。
【0020】
上述した本発明による操作監視システムの技術的特徴は、同様の操作監視プログラムにも適用可能である。例えば、複数の端末とサーバとが接続された操作監視システムのための操作監視プログラムにおいて、前記端末における操作に係る操作対象を含む操作ログ情報を取得する操作ログ情報取得機能と、前記端末の前記操作ログ情報から当該端末における前記操作対象毎の操作統計を表す操作対象情報を生成する操作対象情報生成機能と、一の前記端末の操作対象情報と、所定の集合に属する複数の端末の操作対象情報との比較結果に基づき、当該集合に対する当該一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定機能と、をコンピュータに実現する。当然ながら、このような操作監視プログラムも上述した操作監視システムで述べた作用効果を得ることができ、さらに上述した付加的技術を組み込むことも可能である。
【発明を実施するための最良の形態】
【0021】
〔第1実施形態〕
〔システム構成〕
以下、図面を用いて本発明の第1実施形態を説明する。本実施形態における本発明の操作監視システムは、図1に示すように、汎用コンピュータでなるサーバSと汎用コンピュータでなる端末CとがネットワークNを介して接続されることにより構成されている。サーバSおよび端末Cはそれぞれ、ディスプレイ2、5や入力機器3、6(キーボード3a、6aやポインティングデバイス3b、6b等)を備えている。なお、ポインティングデバイスとは、画面上での入力位置や座標を指定する入力機器であり、マウス、ジョイスティック、タッチパッド、タッチパネル、トラックボール等を用いることができるが、これらに限定されるものではない。
【0022】
図2は、本発明の操作監視システムを構成するサーバSおよび端末Cの機能ブロック図を示している。端末Cは、端末における操作に係る操作内容や操作対象を表す操作情報を生成し、ネットワークI/F10を介してサーバSに送信する操作ログ情報生成部11を備えている。
【0023】
サーバSは、ネットワークI/F20を介して端末Cから送信される操作ログ情報を取得し、操作ログ情報保存部24に保存する操作ログ情報取得部31、操作ログ情報取得部31が取得した操作ログ情報から各端末Cにおける操作対象毎の操作統計を表す操作対象情報を生成する操作対象情報生成部32、一の端末Cの操作対象情報と、所定の集合に属する端末Cの操作対象情報との比較結果に基づき、この集合に対する一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定部33、特異操作対象情報に基づき制御を行う制御部34、およびディスプレイ2への出力制御、入力機器3a、3bからの入力制御を行うGUI部21を備えている。
【0024】
また、サーバSは、各種情報を管理する情報管理部25を備えており、情報管理部25は、さらに、少なくとも端末Cの端末識別情報(後述)とその端末Cを使用するユーザのユーザ識別情報(後述)とを関連付けて管理する端末情報管理部22、ユーザ識別情報とユーザの所属部署とを関連付けて管理するユーザ情報管理部23を備えている。本実施形態では、端末情報管理部22およびユーザ情報管理部23が管理する情報を用いて各種処理を実行する構成としているが、当然ながら、必要とする処理に応じて、情報管理部25において管理する情報の種類、形態は適宜変更可能である。
【0025】
通常、操作ログ情報生成部11、操作ログ情報取得部31、操作対象情報生成部32、特異操作判定部33および制御部34は、その処理を実行する手段(プログラムやモジュール等)がハードウェアに読み込まれることでその処理が実行されるが、これらをハードウェアとの組み合わせにより構成しても良いし、ロジック等を組み合わせたハードウェアのみで構成しても構わない。
【0026】
各端末Cでは、ユーザがキーボード6aやポインティングデバイス6b等を操作することにより、端末Cに対して様々な操作を行っており、その操作に応じて操作ログ情報生成部11が、その操作の内容(操作内容)や操作の対象(操作対象)を表す情報を含む操作ログ情報を生成し、ネットワークI/F10からネットワークNを介してサーバSに送信している。
【0027】
本実施形態における操作ログ情報には、操作内容、操作対象、操作が行われた端末Cを一意に特定可能な端末識別情報、端末Cにおいて操作が行われた日時を表す日時情報を含んでいる。すなわち、各々の操作ログ情報は(操作内容、操作対象、端末識別情報、日時情報)の組により構成されているが、これに限定されるものではなく、必要に応じて項目を限定または追加することができる。また、操作内容には、ユーザ(使用者)による入力機器6からの指示操作、アプリケーションの起動・終了動作、アプリケーションのアクティブ/非アクティブの切り替え動作、アプリケーションからOSに対する制御指示(API(Application Program Interface)の呼び出し等)、ミドルウェアの動作、ネットワークドライバの送受信動作、ウィンドウマネージャによる画面制御など端末Cの動作に関する情報、キーボード6aやポインティングデバイス6bの操作に関する情報を含めることができる。操作対象には、アプリケーション識別情報、ファイル識別情報、URL(Uniform Resource Locator)、外部記憶媒体の識別情報、サーバの識別情報等、ユーザの操作の対象となる情報を用いることができる。また、アプリケーション識別情報には、アプリケーション毎に排他的に割り振られた数値やアプリケーション名等、アプリケーションを一意に識別可能な情報を用いることができる。また、ファイル識別情報には、ファイル毎に排他的に割り振られた数値やファイル名(パスを含む)等、ファイルを一意に識別可能な情報を用いることができる。また、操作ログ情報には、操作内容や操作対象に付随するウィンドウ位置、サイズ、ポインティングデバイス6bのカーソル位置、表示物の表示座標情報、アクティブ状態等の付随情報を含めても構わない。なお、外部記憶媒体には、USBメモリのような半導体メモリのほか、光ディスク、光磁気ディスク、磁気ディスクなどが含まれ、コンピュータ端末に接続し、データを記憶させる記憶媒体または記憶装置であれば如何なるものであっても良い。
【0028】
なお、本実施形態では、端末識別情報として、端末Cの端末名を用いるが、これに限定されるものではなく、端末CのIPアドレス、MACアドレス、端末毎に排他的に割り振られた数値等、端末Cを一意に特定可能な情報を用いることができる。また、日時情報は、年月日時分秒を表す文字列を用いるが、これに限定されるものではなく、特定日時(例えば、1970年1月1日午前0時)からの経過時間を示す数値等、日時を特定可能な情報を用いることができる。さらに、操作ログ情報には、端末Cを操作するユーザを特定可能なユーザ識別情報を含めても構わない。このユーザ識別情報は、端末Cにおけるユーザのログイン操作に基づき特定することが可能なユーザ名やユーザ毎に排他的に割り振られた数値等を用いることができる。
【0029】
また、本実施形態において監視対象とする操作とは、WEBページの閲覧であり、その操作対象はWEBページであるとして説明する。判定対象となる操作ログ情報の検出は、操作ログ情報に含まれる操作内容を用いて行う方法、操作ログ情報の操作対象を用いて行う方法等がある。
【0030】
操作ログ情報の操作内容を用いる方法では、操作内容にWEBページを閲覧するための操作を含む操作ログ情報を判定対象の操作ログ情報として検出する。具体的には、操作内容として、WEBブラウザにおけるリンク操作によるWEBページ取得操作(リンクのクリック操作など)、URLの入力によるWEBページ取得操作(キーボード6a等による直接入力など)、WEBブラウザからネットワーク通信ソケットAPIへの関数呼び出し、OSのネットワークソフトウェア(具体的には、ネットワークドライバソフトウェアなど)によるWEBページ取得のリクエスト実行、WEBブラウザがWEBページを取得し描画完了、などが含まれる。これらの操作内容を含む操作ログ情報内の操作対象にWEBページの情報(つまり、URL)が含まれている。
【0031】
操作ログ情報の操作対象を用いる方法では、操作対象としてWEBページを含む操作ログ情報を判定対象の操作ログ情報として検出する。この方法を用いる場合には、操作対象もしくは付随情報等にWEBブラウザ等のアプリケーション情報(アプリケーション名等)を含むと好適である。
【0032】
本実施形態では、操作ログ情報生成部11は、監視対象となる操作(WEBページの閲覧)が行われた際に、操作ログ情報を生成するものとする。当然ながら、他の操作に関する操作ログ情報を生成しても構わないし、これ以外のタイミング、例えば一定時間間隔等で操作ログを生成しても構わない。また、本実施形態では、操作ログ情報生成部11は操作ログ情報を生成する都度、サーバSに対して操作ログ情報を送信する構成とするが、この送信タイミングは任意でよく、所定時間分の操作情報を一時記憶しておき、所定時間経過後送信する等、適宜変更が可能である。
【0033】
操作ログ情報取得部31は、上述のように各端末Cから送信される操作ログ情報を取得し、ハードディスク等により構成される操作ログ情報記録部24に保存すると共に、保存している操作ログ情報から任意の抽出条件に基づく検索を行う。
【0034】
操作対象情報生成部32は、操作ログ情報取得部31を介して各端末Cの操作ログ情報を取得し、取得した操作ログ情報の操作対象毎に操作統計を表す操作対象情報を生成する。本発明における操作統計とは、操作対象の操作状況を示したものであり、操作頻度、操作時間等に基づき算出される。操作対象情報には、操作対象と操作統計とが対応付けられて含まれている。なお、操作対象情報の生成方法の詳細は後述する。
【0035】
特異操作判定部33は、監視対象となる端末C(以下、特定端末と称する)の操作対象情報と、特定端末が属する集合(以下、特定集合と称する)に属する端末Cの操作対象情報との比較結果に基づき、特定集合における特定端末の特異な操作対象情報(以下、特異操作対象情報と称する)を判定する。本実施形態における特異とは、特定端末における操作対象情報の操作対象に対する操作統計が、特定集合における操作対象情報の操作対象に対する操作統計と著しく異なっている状態である。本実施形態では特定端末が特定集合に属する場合について記載しているが、特定端末は必ずしも特定集合に属している必要はない。なお、特異操作対象情報の判定方法の詳細は後述する。
【0036】
特定端末と特定集合に含まれる端末の同一期間における操作ログ情報を取得し判定を行うと好適である。このようにすると、当該期間における特異な操作を行っている操作対象をより正確に把握することができる。
【0037】
制御部34は、特異操作判定部33により特異操作対象情報として判定された結果に基づき所定の制御を行う。本実施形態では、制御部34は、端末C毎に操作対象情報を一覧表示し、その際、特異操作対象情報とそれ以外の操作対象情報とを識別可能に表示を行う。これにより、制御部34は、本発明における表示部を構成する。
【0038】
〔操作対象情報の生成方法〕
図3は、本実施形態における操作対象情報の生成処理の流れを表すフローチャートである。なお、以下の処理は、明示がない限り操作対象情報生成部32における処理である。
【0039】
まず、操作ログ情報取得部31を介して一の操作ログ情報を取得する(#01)。このとき、特定の期間を設定し、特定の期間内の日時情報を持つ操作ログ情報を抽出する構成としても構わない。なお、特定の期間は任意の期間であり、一日や業務時間内など、必要に応じて設定することができる。
【0040】
取得した操作ログ情報から、端末識別情報、操作対象、操作内容を抽出する(#02)。
【0041】
上述のように、本実施形態では、操作をWEBページの閲覧としており、操作ログ情報から抽出される操作対象はURLである。本実施形態では、RFC(Request For Comments)等の技術標準に基づいて、URLからドメイン名を抽出し(#03)、ドメイン名を操作対象として操作対象情報を生成する。なお、上述ではドメイン名を操作対象として操作対象情報を生成しているが、URLを操作対象として操作対象情報を生成してもよい。また、URLを所定の範囲、長さに区切って抽出してもよく、操作対象を分類、区別する目的であれば、如何なる方法を用いてもかまわない。
【0042】
一方、抽出された操作ログ情報から操作統計が求められる(#04)。本実施形態では、操作統計として、閲覧回数を用いる。すなわち、本実施形態における操作対象情報は、(端末識別情報、ドメイン名、閲覧回数)の組からなる情報であり、操作ログ情報が取得される毎に、その操作ログ情報に対応する端末識別情報、ドメイン名を持つ操作対象情報の閲覧回数がインクリメントされる(#05)。
【0043】
次に、未処理の操作ログ情報の有無がチェックされ(#06)、未処理の操作ログ情報が存在する場合には(#06のYes分岐)、処理は#01に移行し、上述の処理が繰り返される。一方、未処理の操作ログ情報が存在しない場合には(#06のNo分岐)、操作対象情報の生成処理は終了する。
【0044】
なお、操作統計は、単位時間における閲覧回数とすることもできる。この場合には、全操作ログ情報の処理が終了した後に、端末C毎に最も古い操作ログ情報の日時情報と最も新しい操作ログ情報の情報とから経過時間を算出し、各操作対象情報の閲覧回数を算出した経過時間で除することにより単位時間当たりの閲覧回数に変換する。また、直近の時間(例えば、1時間、1日、1週間等)における閲覧回数を用いてもよい。
【0045】
また、操作統計として、操作時間を用いることもできる。本実施形態では、操作時間とは、(1)一のWEBページがWEBブラウザに表示されている時間、(2)一のWEBページがWEBブラウザに表示されており、WEBブラウザがアクティブになっている時間、(3)WEBブラウザ上にポインティングデバイス6bのカーソルが重畳している時間、により算出される時間、(4)WEBブラウザに対する操作回数から算出される時間のことをいうが、これらに限定されるものではなく、WEBブラウザを操作している時間を判断できる手段であれば如何なる方法を用いても構わない。各々の方法を用いた操作時間の算出方法は、以下の通りである。
【0046】
(1)WEBページがWEBブラウザに表示されている時間を算出するには、まず、一のWEBページにアクセスしたことを示す操作内容を含む操作ログ情報の日時情報と、その日時情報の後、次の異なるWEBページにアクセスしたことを示す操作内容を含む操作ログ情報の日時情報とをそれぞれ抽出する。そして、抽出した両者の時間の差を求め、算出された時間を、当該一のWEBページにアクセスしていた時間(操作時間)とすることができる。
【0047】
(2)一のWEBページを表示しているブラウザがアクティブになっている時間を算出するには、まず、一のWEBページを表示しているWEBブラウザがアクティブになったことを示す操作内容を含む操作ログ情報の日時情報と、その日時情報の後、次に他のアプリケーションをアクティブに切り替える操作内容を有する操作ログ情報の日時情報とをそれぞれ抽出する。そして、抽出した両者の時間の差を求め、算出された時間を、当該一のWEBページを表示しているブラウザがアクティブになっている時間(操作時間)とすることができる。さらに、その後、当該一のWEBページを表示しているブラウザがアクティブに切り替わる操作ログ情報が取得された場合は、上記と同様の算出方法を繰り返し行い、既に算出した表示時間に新たに算出した表示時間を加算する。
【0048】
(3)WEBブラウザ上にポインティングデバイス6bのカーソルが重畳している時間を算出するためには、まず、一のWEBページにアクセスしたことを示す操作内容を含む操作ログ情報の表示座標情報及び日時情報を抽出する。さらに、ポインティングデバイスの操作を示す操作ログ情報の座標位置情報及び日時情報を抽出する。そして、抽出した両者の座標情報を比較し、両者が重畳していると判定された時点における日時情報をそれぞれ特定する。特定された日時情報から算出された時間を、WEBブラウザ上にポインティングデバイスが重畳している時間とする方法がある。なお、この方法を用いる場合には、操作ログ情報に操作画面上で表示される表示物の表示座標情報およびポインティングデバイス6bの座標位置情報も操作ログ情報として取得する。ここでいう表示物とは、端末Cで表示されているアイコンやアプリケーションのウィンドウ等を指し、表示座標情報とは、表示物の画面上の表示位置や形状、前面/背面を示す表示階層情報を含む情報である。
【0049】
(4)WEBブラウザに対する操作回数から算出される時間を算出するためには、WEBブラウザに対する操作ログ情報の数を取得し、その数と所定の時間(例えば、1分、5分、10分など)とを乗算した結果を、WEBブラウザを操作している時間(操作時間)とみなすことができる。さらに、操作ログ情報に含まれる操作内容の種類毎に所定の時間を変えることで、操作の内容に合わせてWEBブラウザの操作時間を算出すると好適である。
【0050】
このように、操作統計として操作時間を用いることにより、閲覧回数に基づいては把握が困難なユーザの動作を、より正確に把握することができるため、操作対象情報の精度を向上させることができる。
【0051】
さらに、操作統計として、一のWEBページを表示しているWEBブラウザの表示面積を用いることもできる。ここでの表示面積とは、WEBブラウザのウィンドウのうち他のウィンドウ等で隠されていない部分の面積である。WEBブラウザの表示面積を算出する場合には、操作ログ情報に操作画面上で表示される表示物の表示座標情報を含める必要がある。この際、表示座標情報が必要となるのはWEBブラウザに対する操作を示す操作ログ情報のみではなく、その他のアプリケーションやファイル等に関する操作ログ情報に対しても同様に、表示物の表示座標情報を含めておく。
【0052】
WEBブラウザの表示面積を算出するためには、まず、一のWEBページにアクセスした時点の操作ログ情報から表示座標情報を抽出し、その表示座標情報に含まれるWEBブラウザの表示座標情報(ウィンドウの左上端と右下端の座標等)からWEBブラウザのウィンドウの表示面積を求める。そして、取得した表示座標情報からWEBブラウザのウィンドウの表示座標情報と表示階層情報を用いて、一のWEBページを表示しているWEBブラウザのウィンドウとそれ以外のアプリケーションのウィンドウで重畳しているものがないかを判定する。このとき、重畳するウィンドウがある場合には、そのウィンドウとWEBブラウザのウィンドウの重畳する部分の面積を算出し、WEBブラウザの表示面積から重畳する部分の面積を差し引くことで実際に表示されている表示面積を算出することができる。上記の処理に基づき、操作ログ情報から各ウィンドウの面積とその重畳関係を判断することにより、操作画面に表示されているWEBブラウザの表示面積を算出する。
【0053】
このように、操作統計として表示面積を用いることにより、閲覧回数や操作時間に基づいては把握が困難な端末の操作画面上における表示形態も把握することができるため、操作対象情報の精度を向上させることができる。また、それぞれの方法を組み合わせて操作統計を算出してもよい。
【0054】
〔特異操作対象情報の判定方法〕
図4は、本実施形態における特異操作の判定方法の処理の流れを表すフローチャートである。なお、明示した場合を除き、この処理の主体は特異操作判定部33である。
【0055】
まず、特異操作の判定対象となる特定端末を特定する(#11)。本実施形態では、ディスプレイ2に端末Cの一覧を表示し、管理者がポインティングデバイス3b等を用いて一の端末Cを指定することにより特定端末を指定する。なお、本実施形態では、端末情報管理部22から、全端末Cの端末識別情報を取得して、端末Cの一覧を生成する構成とするが、これに限定されるものではなく、操作ログ情報に含まれる端末識別情報に基づき生成する等、他の構成としても構わない。
【0056】
次に、特定端末が属する特定集合を特定する(#12)。本実施形態では、特定集合は、特定端末を使用するユーザの所属部署と同一の所属部署のユーザが用いる端末Cにより構成される。そのため、本実施形態では、特定端末の端末識別情報をキーとして端末情報管理部22からユーザ識別情報を取得し、取得したユーザ識別情報をキーとしてユーザ情報管理部23から、所属部署を取得し、その所属部署と同一の所属部署に属するユーザ識別情報群を取得し、さらに端末情報管理部22からそのユーザ識別情報に関連付けられている端末C群を取得し、それらから特定集合を構成する。なお、上述の説明では、ユーザ情報と端末情報とを用いて、特定端末が属する特定集合を特定する構成としているが、端末識別情報と端末Cの所属部署とを関連付けて管理することで、端末情報のみにより特定集合を特定する等、他の方法を用いて特定集合を特定する構成としても構わない。
【0057】
なお、特定集合は、上述に限定されるものではなく、ネットワークNに接続している全端末C、特定端末と類似する端末環境(ハードウェア構成、ソフトウェア構成等)を持つ端末C等により構成されても構わない。
【0058】
特定端末と類似する端末環境を持つ端末をグループ化する方法は、まず、端末情報管理部22において、ネットワーク内に接続されている端末Cと、その端末C内にインストールされているソフトウェア情報やその端末Cに接続されている外部機器情報、その端末C自体のハードウェアの仕様等の資産情報とを関連付けて保存しておく。次に、特異操作判定部33は、端末情報管理部22に保存された情報の中から、類似する端末環境を持つ端末識別情報を抽出し、当該端末識別情報を利用して特定集合を構成する。
【0059】
また、類似する端末環境か否かを判定するには、例えば、インストールされているソフトウェア情報が、特定端末と所定割合以上一致している端末Cを、特定端末と類似する端末環境を持つ端末Cであるとしてグループ化する方法を用いることができる。その他、使用している外部機器が同一である場合や、端末Cのハードウェア情報やスペック情報が同一又は所定割合以上一致している端末Cを類似する端末環境であると判定することもできる。このような判定条件を用いることは、特定端末と類似するソフトウェアやハードウェア等のスペックを有する端末であれば、その使用用途も類似していると考えられるため、好適である。同様に、ハードウェアやソフトウェアの設定内容が類似するか否か等の情報を用いて特定集合を構成するようにしても構わない。なお、類似する端末環境の判定方法は、上述の方法に限定されるものではなく、端末の状態や構成の類似性が判定できるような方法であれば、他の方法を用いても構わない。
【0060】
上記のように、特定集合は、予め定められたユーザ識別情報によって静的に決定されるものだけでなく、実際の端末の使われ方によって動的に決定される構成とすることができる。これにより、部署等のグループを予め定めておく必要がなくなり、実際に行っている作業の内容に応じて自動的に特定集合を構成することができる。例えば、端末の起動時刻やアプリケーションの起動時刻などの動的に変化する条件から特定集合を構成することができる。これにより、利用している時間帯が同じ端末を特定集合として構成することができ、また、勤務体系の違いによる特定集合の構成もできることとなる。
【0061】
特定集合が特定されると、特定集合に属する端末Cの操作対象情報が操作対象情報生成部32から取得され(#13)、それらに基づき特定集合における操作統計を表す集合操作対象情報が操作対象毎に生成される(#14)。特定集合における操作統計とは、特定集合に属する端末Cの操作対象に対する操作の傾向を示している。
【0062】
本実施形態では、各々の操作対象情報の操作統計から算出される平均値、標準偏差に基づき、特定集合における操作統計を算出している。例えば、操作対象情報生成部32から図5に示す操作対象情報が取得された場合には、操作対象は、「ドメインA」、「ドメインB」、「ドメインC」、「ドメインD」および「ドメインE」であり、「ドメインA」に係る操作対象情報(端末識別情報,WEBページ,操作統計)は、(PC0001,ドメインA,5)および(PC0002,ドメインA,1)の2つである。したがって、「ドメインA」に係る集合操作対象情報の操作統計は、各々の操作対象情報の操作統計である5、1、0および0から平均値、標準偏差値が算出され、集合操作対象情報(ドメインA、1.5、2.38)が得られる。他のドメインに対する操作統計も同様に求められ、図6に示す集合操作対象情報が生成される。なお、特定端末の操作対象情報を除外して、集合操作対象情報を生成しても構わない。この場合には、特定端末の影響が除外された集合操作対象情報が生成でき、好適である。
【0063】
次に、特定端末の操作対象情報と、上述の処理により生成された集合操作対象情報のうち同一の操作対象に対する集合操作対象情報とが比較され、その操作対象情報が特定集合において特異であるか否かが判定され、特異であると判定された操作対象情報が特異操作対象情報として抽出される(#15)。
【0064】
特異であるか否かを判定する方法として、(1)操作対象情報の操作統計と集合操作対象情報の操作統計に対する平均値との比較による判定、(2)操作対象情報の操作統計と集合操作対象情報の操作統計に対する標準偏差値との比較による判定、(3)操作対象に対する操作有無による判定、(4)集合操作対象情報の操作統計による順位を用いる判定、(5)特定端末の操作対象情報の操作統計の順位と集合操作対象情報の操作統計の順位との比較による判定等を用いることができるが、特定端末の操作対象情報と集合操作対象情報を比較・対比することで特定端末の操作対象の操作状況が特異であるかを判定する目的を達する限りにおいて、さまざまな方法を用いることができる。さらに、複数の方法を組み合わせて判定を行うと、判定の精度を向上させることができ好適である。
【0065】
〔特異操作対象情報の判定方法1〕
操作対象情報の操作統計と集合操作対象情報の操作統計に対する平均値との比較による判定方法を説明する。例えば、特定端末をPC0001とする。このとき、図5を参照すると、特定端末「PC0001」の操作対象情報は「ドメインA」、「ドメインB」および「ドメインD」に対するものがある。ドメインAに対する操作対象情報(PC0001,ドメインA,5)が特異であるか否かを判定する際には、ドメインAに対する集合操作対象情報(ドメインA,1.5,2.38)との比較が行われる。すなわち、特定端末の操作対象情報の操作統計「5」と集合操作対象情報の平均値「1.5」との比較が行われ、特定端末の操作対象情報の操作統計が、集合操作対象情報の平均値から所定値TH1以上大きい場合に、その操作対象情報を特異であると判定する。例えば、TH1を2と設定した場合には、5>1.5+2であるので、操作対象情報(PC0001,ドメインA,5)は特異であると判定される。なお、判定基準は、所定値以下小さい場合とすることも可能である。また、±2の範囲に含まれない場合を特異であると判断することも当然に可能である。
【0066】
〔特異操作対象情報の判定方法2〕
操作対象情報の操作統計と集合操作対象情報の操作統計に対する標準偏差値との比較による判定方法を説明する。この場合には、特定端末の操作対象情報の操作統計「5」と集合操作対象情報の標準偏差「2.38」とが比較される。例えば、特定集合に属する端末Cの操作対象情報の操作統計の分布が、集合操作対象情報の平均値μ、標準偏差σにより規定される正規分布N(μ、σ)に従うと仮定し、特定端末の操作対象情報の操作統計がμ+σやμ+2σ以上の場合に、その操作対象情報を特定であると判定する。このとき判定基準をμ+σとすると、5>1.5+2.38であり、操作対象情報(PC0001,ドメインA,5)は特異であると判定され、判定基準をμ+2σとすると、5<1.5+2.38×2であり、この操作対象情報は特異でないと判定される。ここでは、判定基準μ+σやμ+2σ以上の場合としたがこれに限らず、たとえば判定基準μ−σやμ−2σ以下を特異であると判定するようにしてもよい。
【0067】
〔特異操作対象情報の判定方法3〕
操作対象に対する操作有無による判定を説明する。図5の例では、特定集合はPC0001〜PC0004の4台により構成され、このうち「ドメインA」を閲覧した端末CはPC0001、PC0002である。つまり、「ドメインA」を閲覧した端末Cの特定集合における閲覧率は50%となる。ここで所定値TH2を75%とすると、特定集合における閲覧率(50%)<所定値TH3(75%)となり、この操作対象は特異であると判定できる。
【0068】
〔特異操作対象情報の判定方法4〕
集合操作対象情報の操作統計による順位を用いる判定について説明する。特定集合における操作対象の操作統計は、「ドメインA」が6、「ドメインB」が93、「ドメインC」が30、「ドメインD」が1、「ドメインE」が16となり、降順に並べると「ドメインB」、「ドメインC」、「ドメインE」、「ドメインA」、「ドメインD」となる。このとき、所定値TH4を2位とし、2位以上に含まれる操作対象を特異でないとすると、特定端末の操作対象「ドメインA」は2位であるため、特異でないと判定される。ここでは、集合操作対象情報を操作統計の降順で整列する構成としたが、これに限定されるものではなく、昇順に並べて所定値以上(所定順位以上)を特異であると判断する構成としても構わない。さらに、所定値を上限値(上限順位)、下限値(下限順位)を設け、その範囲外の操作対象を特異であると判定する構成とすることもできる。
【0069】
〔特異操作対象情報の判定方法5〕
特定端末の操作対象情報の操作統計の順位と集合操作対象情報の操作統計の順位との比較による判定方法について説明する。この判定方法は、特定端末の操作対象情報を操作統計の降順に整列した際の判定対象とする操作対象情報の順位と、特定集合における集合操作対象情報を操作統計の降順に整列した際の監視対象とする操作対象情報の順位とを比較し、その順位の差から特異であるか否かを判定する方法である。たとえば、特定端末「PC0001」において操作対象情報を操作統計の降順に整列した場合、操作対象「ドメインA」の順位は、2位となる。これに対し、特定集合において集合操作対象情報を操作統計の降順に整列した場合、操作対象「ドメインA」の順位は、4位となる。したがって、順位の差は2となる。このとき、所定値TH5を3とすると、順位の差(2)<所定値TH5(3)となり、特異でないと判断される。
【0070】
さらに、それぞれの判定方法を組み合わせて判断しても構わない。例えば、判定方法1の結果が特異であり、判定方法2の結果が特異でなく、判定方法3の結果が特異であり、判定方法4の結果が特異でなく、判定方法5の結果が特異でないとすると、2つの判定方法において、特異であると判定されている。このとき、例えば特異とする判定基準を3であるとすると、2<3であるため、最終の判定結果では操作対象は特異でないと判断される。また、各判定の結果に重みづけを行うことで、判定する構成としても構わない。
【0071】
上述の説明では、各々の判定方法における判定結果は、「特異である」もしくは「特異でない」としたがこれに限定されるものではなく、各々の判定方法で算出される値を特異の度合いを示す値(特異度)として用いることも可能であり、例えば、判定対象の操作対象情報の操作統計と集合操作対象情報の平均値との差を所定の関数に代入する、正規分布における確率関数に代入する等により特異度を算出することができる。また、各々の判定方法から出力される特異の度合いを示す値を集計して合算値、平均値や関数による出力値などを求めることによって特異であるかを判定することもできる。
【0072】
また、集合操作対象情報の平均値との差から特異度を取得することもできる。この場合、集合操作対象情報の平均値との差と特異度を関連付けて設定(図15)し、平均値との差に対応する特異度を取得することができる。さらに、所定の値の範囲に区切り、その値の範囲ごとに集合操作対象情報の平均値との差と特異度の関連付けの設定を持たせることで、平均値に応じて特異度の関連付けの設定を選択し、適切な特異度を取得する構成としても構わない。
【0073】
また、本実施形態では、特異操作抽出部23は、集合操作対象情報を生成した後に、特異操作対象情報を判定する構成としたが、これに限定されるものではなく、特定端末の操作対象情報と特定集合に属する端末Cの操作対象情報とを比較し、それらの比較結果に基づき特異操作対象情報を判定する構成としても構わない。この場合には、上述の判定方法を適宜対応させて判定を行うことができる。
【0074】
〔全体処理の流れ〕
次に、本実施形態における全体処理の流れを図7のフローチャートを用いて説明する。まず、管理者が、サーバSの入力機器3を操作し、操作監視の開始をサーバSに指示することにより、以下の処理が開始される。
【0075】
操作監視の開始を指示されたサーバSでは、操作対象情報生成部32により、各端末Cの操作対象情報の生成が行われる(#21)。なお、操作対象情報の生成は、操作監視の開始が指示された時点で、初期状態から生成するのではなく、所定のタイミングで生成、または操作ログ情報が生成される毎に更新する構成とすると操作対象情報の生成が効率的に行えるため、好適である。また、管理者は、操作監視の開始の指示と共に、操作対象情報を生成する期間を指定することも可能である。この場合には、指定された期間に含まれる日時情報を持つ操作ログ情報を用いて、操作対象情報が生成される。
【0076】
また、制御部34により、ネットワークNに接続されている端末Cのリストが端末情報管理部22から取得され、端末Cの一覧がディスプレイ2に表示される(#22)。この一覧表示は、端末名のリスト表示、端末名を付したアイコン表示等、様々な表示態様を用いることができる。
【0077】
管理者は、ポインティングデバイス3b等を用いて、監視対象とする特定端末を指定すると、特定端末における特異操作対象情報の判定が行われる(#23)。このとき、特定端末の操作対象情報のうち、特異操作対象情報として判定されたものには、特異操作対象情報であることが判別可能な情報が付加され、制御部34に送られる。特異操作対象情報であることが判別可能な情報としては、例えば、操作対象情報にフラグ領域を設け、特異操作対象情報である場合には1を、そうでない場合には0を設定することにより実現することができる。したがって、本実施形態における操作対象情報は、(端末識別情報、操作対象、操作統計、特異フラグ)の組から構成されることとなる。当然ながら、他の方法を用いて識別しても構わない。
【0078】
特定端末の操作対象情報を取得した制御部34は、操作対象情報を、特異操作対象情報とそれ以外の操作対象情報とを識別可能に一覧表示する(#24)。
【0079】
例えば、図5および図6の例で、特定端末を「PC0001」とし、特異操作対象情報の判定基準を正規分布N(μ、σ)におけるμ+σとすると、操作対象情報(PC0001,ドメインA,5)が特異操作対象情報として判定される。このとき、制御部34は、図8のような一覧表示を行う。この表示例では、特定端末の操作対象情報の操作対象と操作統計とが、操作統計の降順で一覧表示されている。この際、特異操作対象情報のドメイン名を反転表示することにより、特異操作対象情報とそれ以外の操作対象情報とを識別可能にしている。当然ながら、表示態様はこれに限定されるものではなく、特異操作対象情報とそれ以外の操作対象情報との表示色を異ならせる等、本発明の目的を達する限りにおいて、他の表示態様を用いても構わない。
【0080】
また、制御部34による制御は、上述の一覧表示に限定されるものではなく、特異操作対象情報に関するメッセージを管理者やその特異操作対象情報に係る端末Cのユーザに送信する、特異操作対象情報に関する報告書の表示や印刷等、様々な態様を用いることができる。
【0081】
なお、本実施形態では、管理者が特定端末を指定し、指定された特定端末における特異操作対象情報を判定する構成としたが、全端末Cを順次特定端末とし、端末C毎の特異操作対象情報を判定する構成としても構わない。
【0082】
〔第2実施形態〕
次に、図を用いて、本発明の操作監視システムの第2実施形態を説明する。図9は、本実施形態における操作監視システムを構成するサーバSおよび端末Cの機能ブロック図であり、第1実施形態と同様の機能部には、同一の符号を付している。
【0083】
本実施形態における操作監視システムは、特異操作判定部33により判定された特異操作対象情報に基づき、特定端末が不審な操作を行っているか否かを判定する不審端末判定部35を備えている点において、第1実施形態と異なっている。また、制御部34の制御態様が第1実施形態と異なっているが、他の機能部は第1実施形態と同様であるので、詳細な説明は省略する。
【0084】
以下に、本実施形態における不審操作を行っている端末(以下、不審端末と称する)の判定方法を説明する。不審端末の判定は、単一の特異操作対象情報に基づくのではなく、二以上の特異操作対象情報に基づき行われる。例えば、(1)特定端末の特異操作対象情報の数、(2)特定端末の操作対象情報の数に対する特異操作対象情報の数の割合、(3)特定端末の特異操作対象情報の操作統計の総和(以下、これらを不審操作判定量と総称する)等を所定の閾値と比較することで、特定端末が不審な操作を行っている否かを判定する。なお、不審端末の判定方法は、本発明の目的を達する限りにおいて、他の方法を用いても構わない。
【0085】
〔不審端末判定方法1〕
(1)の方法では、まず、特異操作判定部33は、特定端末において特異な操作であると判定された特異操作対象情報を不審端末判定部35に送信する。不審端末判定部35は、取得した特異操作対象情報を計数し、その計数値を不審操作判定量とする。そして、不審端末判定部35は、不審操作判定量と予め定めておいた所定値とを比較し、当該不審操作判定量が所定値を超えた場合に不審端末と判定する。
【0086】
〔不審端末判定方法2〕
(2)の方法では、まず、特異操作判定部33は、特定端末における操作対象情報と、特定端末において特異な操作であると判定された特異操作対象情報とを不審端末判定部35に送信する。不審端末判定部35は、取得した操作対象情報と特異操作対象情報とを計数し、操作対象情報の数に対する特異操作対象情報の数の割合を算出し、算出した値を不審操作判定量とする。そして、不審端末判定部35は、不審操作判定量と予め定めておいた所定値とを比較し、当該不審操作判定量が所定値を超えた場合に不審端末と判定する。
【0087】
〔不審端末判定方法3〕
(3)の方法では、まず、特異操作判定部33は、特定端末において特異な操作であると判定された特異操作対象情報を不審端末判定部35に送信する。不審端末判定部35は取得した特異操作対象情報の操作統計を抽出する。この抽出処理を全ての特異操作対象情報に対して行い、抽出した操作統計の全てを合算し、合算した値を不審操作判定量とする。そして、不審端末判定部35は、取得した不審操作判定量と予め定めておいた所定値とを比較し、当該不審操作判定量が所定値を超えた場合に不審端末と判定する。
【0088】
なお、上記(1)から(3)の方法について、特異操作判定部33において不審操作判定量を算出して不審端末判定部35に送信し、不審端末判定部35では、取得した不審操作判定量に基づいて不審端末の判定を行うという構成としてもよい。
【0089】
以下に、図10のフローチャートを用いて本実施形態における全体処理の流れを説明する。
【0090】
まず、上述の方法により、操作対象情報生成部31が、操作対象情報を生成する(#31)。特異操作判定部33は、端末情報管理部22から全端末Cの端末識別情報を取得し(#32)、その中から一の端末Cを特定端末として選択する(#33)。
【0091】
次に、特異操作判定部33は、上述の方法により特異操作対象情報を判定し、不審端末判定部35に送る(#34)。
【0092】
特異操作対象情報を取得した不審端末判定部35は、上述の方法により特定端末が不審端末であるか否かを判定し、その判定結果を制御部34に送る(#35)。
【0093】
特定端末として選択されていない端末Cの有無が判定され(#36)、特定端末として選択されていない端末Cが存在する場合には(#36のYes分岐)、処理は#33に移行し、未選択の端末Cが特定端末として選択され、上述の処理が繰り返される。
【0094】
一方、全端末Cが特定端末として選択されると(#36のNo分岐)、制御部34は、不審端末を管理者等に知覚させるための制御を行う(#37)。例えば、図11に示すように、ディスプレイ2には端末Cの一覧を表示し、この際、不審端末を反転表示し、それ以外の端末Cとを識別可能に表示している。この例では、PC0002とPC0004とが不審端末と判定された端末Cであり、端末名と共に不審操作判定量を表示している。表示態様はこれに限定されるものでなく、不審端末とそれ以外の端末Cとを識別可能な表示態様であれば、他の表示態様を用いることができる。
【0095】
また、制御部34による制御は、上述のような表示を行うだけでなく、不審端末であると判定された端末Cを管理者や不審端末のユーザに通知する、不審端末に関する報告書の表示や印刷等を行うことができる。当然ながら、本発明の目的を達する限りにおいて、他の制御を行うこともできる。なお、所定のタイミング、または、監視対象となっている操作対象の操作ログ情報を検出する毎に不審端末の判定をすることで、不正端末をリアルタイムに検出することができる。
【0096】
〔第3実施形態〕
上述の実施形態では、単一の集合操作対象情報に基づき、特異操作対象情報を判定していた。しかしながら、一般的には、集合の概念は様々に設定することが可能であり、特定端末は複数の集合に属する場合がある。そのため、本実施形態では、複数の集合操作対象情報に基づいた特異操作対象情報の判定を行う。なお、特異操作判定部33以外の機能部は、上述の実施形態と同一であるので、ここでは、図12のフローチャートに基づき、特異操作判定部33の処理の流れのみを説明する。
【0097】
まず、上述した実施形態と同様に、特定端末が特定されると(#41)、特定端末が属する集合が決定される(#42)。本実施形態では、上述したように、特定端末は複数の集合に属している。例えば、特定端末のユーザの所属部署に基づく集合、ユーザの職種に基づく集合、ユーザの役職に基づく集合等を用いることができる。このような集合を用いるためには、ユーザ情報管理部22により管理されているユーザ情報に必要な情報を付加し、その情報に基づき第1実施形態と同様の方法により集合を構成することができる。
【0098】
次に、上述の方法により決定された複数の集合から一の集合が特定集合として選択され(#43)、#13から#15と同様の処理により、選択された特定集合における特異操作対象情報が判定される(#44〜#46)。
【0099】
その後、#42で決定された集合のうち、#43で選択されていない集合の有無が判定され(#47)、未選択集合が存在する場合には(#47のYes分岐)、処理は#43に移行し、未選択集合から一の集合が特定集合として選択され、上述の処理が繰り返される。
【0100】
一方、未選択集合が存在しない場合には(#47のNo分岐)、処理は#48に移行し、#46の処理で抽出された複数の集合における特異操作対象情報を統合し、新たな特異操作対象情報が生成される(#48)。具体的には、各集合における特異操作対象情報の和集合が新たな特異操作対象情報となる。例えば、図13の例では、特定端末は、集合1、集合2および集合3に属しており、各々の集合において特異操作対象情報が図のように抽出されている。これらの特異操作対象情報を統合すると、図14に示す特異操作対象情報が生成される。すなわち、集合1における特異操作対象情報{(ドメインA,28),(ドメインB,24),(ドメインD,16)}、集合2における特異操作対象情報{(ドメインA,28),(ドメインE,35)}、集合3における特異操作対象情報{(ドメインA,28),(ドメインD,16)}の和集合が、図14の特異操作対象情報となる。この際、特異操作対象情報には、操作対象情報の特異の度合を表す特異度が算出され、付加される。すなわち、本実施形態における操作対象情報は、(端末識別情報、操作対象、操作統計、特異度)の組から構成される。なお、本実施形態における特異度とは、複数の集合にわたり、特異であると判定される度合を表している。すなわち、特異であると判定される集合が多いほど大きく、少ないほど小さくなる値である。図14の例では、集合数に対する特異であると判定された集合数の割合を特異度としている。例えば、操作対象情報(ドメインA,28)は全ての集合で特異であると判定されているため、特異度=3/3=1.0である。また、操作対象情報(ドメインE,35)は、集合2においてのみ特異であると判定されているため、特異度=1/3=0.33である。
【0101】
上述の説明の他、各集合の特異操作対象情報の特異の度合(以下、個別特異度と称する)を用いて算出する構成とすることもできる。この場合には、特異操作判定部33は、操作対象情報が特異であるか否かを判定するのではなく、操作対象情報の個別特異度を算出する構成となる。
【0102】
また、和集合における操作対象情報の特異度の算出は、上述したものに限定されるものではなく、判定基準範囲R(例えば、μ―σ≦R≦μ+σの範囲)を設定しておき、操作対象情報の操作統計と判定基準範囲Rとの差(判定基準範囲Rの下限値/上限値との差)を特異度と関連づけて設定しておき(図15参照)、集合1〜3の集合操作対象情報が図16である場合、次ようにして算出することができる。操作対象(ドメインA)については、集合1では判定基準範囲Rとの差が「15」であるため個別特異度は「3」、集合2では判定基準範囲Rとの差が「20」であるため個別特異度は「4」、集合1では判定基準範囲Rとの差が「8」であるため個別特異度は「2」となり、これら各集合の個別特異度を合計し、操作対象(ドメインA)の特異度「9」を得ることができる。また、操作対象情報の特異度を個別特異度の合計としたが、これに限定されるわけではなく、個別特異度の平均や最大、最小など、必要に応じて様々な演算を行うことで操作対象情報の特異度を算出する構成としても構わない。さらに、集合毎に重み付けを設定しておき、その重み付けを用いた演算をすることにより操作対象情報の特異度を算出する構成としても構わない。
【0103】
また、個別特異度から特異度を算出する場合において、各集合について共通の閾値や判定基準を用いたが、集合ごとに異なる基準を用いても構わない。
【0104】
なお、本実施形態では、特異操作対象情報に特異度を含めたが、単に複数の集合における特異操作対象情報を統合し、新たな特異操作対象情報を生成する構成としても構わない。また、特異操作対象情報を統合する際、各集合に重みを設定しておき、その重みに応じて統合する構成としても構わない。重みとは、集合の重要度や規模、職務範囲等の様々な要素から決定される情報であり、重みが大きいほど特異操作対象情報の統合における優先度が高いことを示すものである。例えば、各集合の重みが、集合1:「1」、集合2:「1」、集合3:「2」であり、集合1、集合2、集合3の特異操作対象情報のうち、集合3のみが操作対象(ドメインA)を含んでいないとする。このとき、集合1および集合2での特異度が、集合3の重み付けに応じた所定の閾値以下である場合、集合3の特異操作対象情報を優先し、操作対象(ドメインA)に対する操作対象情報は特異ではないと判定する。逆に、集合1および集合2の特異度が、集合3の重み付けに応じた所定の閾値を超える場合には、操作対象(ドメインA)に対する操作対象情報は特異であると判定する。
【0105】
〔別実施形態〕
(1)上述の実施形態では、端末Cにおける操作対象をWEBページとして説明したが、上述したように、端末Cにおける操作対象をファイルやアプリケーションとすることもできる。このとき、前者の場合には、ファイル名、ファイルが保存されているフォルダ/ファイルサーバ等を単位として操作対象情報を生成し、後者の場合には、アプリケーション名、アプリケーション種別(文書作成アプリケーション、表計算アプリケーション、メーラ、WEBブラウザ等)等を単位として操作対象情報を生成する。
【0106】
(2)上述の実施形態では、特異操作判定部33は、単一の尺度(アクセス回数)に基づく操作統計に基づき操作対象情報が特異であるか否かを判定したが、複数の尺度に基づく操作統計を用いて判定することもできる。例えば、操作統計として操作回数、操作時間を採用し、これらの操作統計に基づき判定する構成とすることもできる。例えば、操作回数と操作時間との関係を示す近似直線を求め、その近似直線を含む所定の範囲内に操作対象情報が含まれているかを判定することで、その操作対象情報が特異であるかを判定することができる。
【0107】
(3)上述の実施形態では、操作監視システムは、複数の端末CおよびサーバSから構成されていたが、サーバSの機能部の一部を備えた管理端末を設置し、負荷分散を図ることもできる。また、サーバSの機能部を各端末Cに備え、各端末CをサーバSとして機能させる構成とすることもできる。また、サーバSの操作ログ情報取得部31、操作ログ情報記憶部24、操作対象情報生成部32を各端末Cに備える構成とすることもできる。
【0108】
(4)上述の実施形態では、所定期間における不審操作判定量に基づき、不審操作を判定するものであるが、特異操作対象情報保存部(図示せず)に特異操作対象情報を保存しておき、時系列に沿った不審操作判定量の変化に基づき、不審操作を判定することもできる。例えば、過去における複数の期間を設定し、上述した方法により期間毎に特異操作対象情報を抽出し、抽出した特異操作対象情報に基づき、期間毎の不審操作判定量を算出する。このとき、時系列に沿って不審操作判定量の推移を観察し、変位が顕著となった期間があれば、不審な操作が行われたと判定することができる。なお、顕著な変位の検出は、不審操作判定量の時間微分値と所定の閾値とを比較する等により実現することができる。
【0109】
(5)上述の実施形態では、端末C毎に特異操作の判定を行ったが、操作ログ情報に含まれるユーザ識別情報を用いて、ユーザ毎に特異操作の判定行っても構わない。
【0110】
この場合には、複数の端末が接続された操作監視システムにおいて、前記端末を使用するユーザのユーザ識別情報を取得するとともに、前記端末におけるユーザの操作に係る操作対象を含む操作ログ情報を取得する操作ログ情報取得部と、前記操作ログ情報から当該ユーザにおける前記操作対象の操作統計を表す操作対象情報を生成する操作対象情報生成部と、一の前記ユーザの操作対象情報と、当該一のユーザが属する集合に属する複数のユーザの操作対象情報との比較結果に基づき、当該集合における当該一のユーザの特異な操作対象情報を特異操作対象情報として判定する特異操作判定部と、を備える構成となる。
【0111】
なお、特異操作判定部は、一のユーザが複数の集合に属する場合に、当該集合毎の一のユーザの特異操作対象情報を判定し、当該判定された特異操作対象情報に基づき新たな特異操作対象情報を生成する構成とすることもできる。
【0112】
この構成では、一のユーザの操作対象情報とその一のユーザの属する集合(たとえば、役職、所属などのユーザの属性情報によって判定される集合)に属するユーザの操作対象情報とが比較され、その比較結果に基づき、一のユーザの操作対象情報がその集合に対して特異であるか否かが判定される。この構成とすることで、ユーザに対して使用する端末が固定化されていない場合でもユーザの操作対象に対する操作が特異であるか否かを判定することができる。さらに、ユーザが複数の集合に属する場合においては、それぞれの集合において特異操作対象情報を抽出することで新たに特異操作対象情報を得ることができ、集団において特異か否かを総合的にかつ高い精度で判断することができる。
【0113】
(6)上述の実施形態では、操作対象に対する操作の特異性を判定したが、操作ログ情報に含まれる操作内容の特異性を判定することも可能である。
【0114】
この場合には、複数の端末が接続された操作監視システムにおいて、前記端末における操作に係る操作内容を含む操作ログ情報を取得する操作ログ情報取得部と、前記端末の前記操作ログ情報から当該端末における前記操作内容の操作統計を表す操作対象情報を生成する操作対象情報生成部と、一の前記端末の操作対象情報と、所定の集合に属する複数の端末の操作対象情報との比較結果に基づき、当該集合における当該一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定部と、を備える構成となる。
【0115】
この構成では、特定端末における操作内容の操作統計を表す操作対象情報と、所定の集合における操作対象情報とが比較され、その比較結果に基づき、特定端末の操作対象情報がその集合に対して特異であるか否かが判定される。この構成とすることで、特定端末における操作内容に対して特異であるかを判定することができる。
【0116】
例えば、特定端末における操作内容「ファイルのコピー」に対する操作対象情報の操作統計(この実施形態では、操作回数とする)が「32」であり、集合1の操作内容「ファイルのコピー」に対する集合操作対象情報の操作統計が「22」であるとする。ここでは、集合1の操作内容「ファイルのコピー」に対する集合操作対象情報の操作統計は、操作回数の平均値を用いるが、最大値や最小値、標準偏差など他の統計値等を用いてもかまわない。そして、特定端末の操作対象情報の操作統計「32」と集合1の操作対象情報の操作統計「22」を比較し、所定の閾値THを「8」とした場合、特定端末の操作対象情報の操作統計が、集合1の操作対象情報の操作統計を所定の閾値TH以上超えているため、特定端末における操作内容「ファイルのコピー」は、特異であると判定される。
【0117】
同様に、特定端末Cの操作内容「ファイルの削除」に対する操作対象情報の操作統計が「3」であり、集合1の操作内容「ファイルの削除」に対する操作対象情報の操作統計が「8」であるとすると、特定端末の操作統計が、集合1の集合操作対象情報の操作統計を超えていないため、特定端末における操作内容「ファイルの削除」は、特異でないと判定される。
【0118】
上述の説明では、操作内容を「ファイルのコピー」と「ファイルの削除」としたが、操作内容はこれに限定されるものではなく、「メールの送信」「USBの挿入」「アプリケーションの起動」「アプリケーションの終了」「WEBページの閲覧」等、端末Cの操作を示す操作内容であれば、様々な操作内容を用いることができる。
【0119】
このような構成とすることにより、特定端末における操作内容が特異であるか否かを判定することができる。また、上述の説明では、特異操作の判定において操作回数用いたが、これに限定されるものではなく、これまでに述べてきた操作対象に対する特異の判定と同様、様々な情報を使用することができる。また、端末に変えてユーザにおける操作内容とすることも可能である。
【0120】
(7)上述の実施形態の操作統計の生成は、操作対象に対するキーボード6aもしくはポインティングデバイス6bの操作を用いてもよい。つまり、キーボード6aやポインティングデバイス6b等の入力機器6の操作を取得し、操作対象に対して行われた操作であるかを判定する。操作対象に対して行われた操作であると判定した場合には、その操作の数を積算し操作統計に用いる。入力機器6の操作は、操作ログ情報として取得してもよいし、デバイス操作情報取得部(図示せず)を設け、操作対象生成部32が入力機器6の操作をそのデバイス操作情報取得部から取得するようにしてもよい。
【0121】
また、キーボード6aやポインティングデバイス6bの操作が操作対象に対して行われたかを判定する手段として、アプリケーションが起動中に行われた場合、アプリケーションがアクティブ状態に行われた場合、アプリケーションが入力機器6の操作に関する情報(イベントメッセージなど)を受信した場合などを用いることで判定する。
【0122】
(8)上述の実施形態の操作統計の生成は、操作対象に対する操作内容を用いることで、よりユーザの操作内容を反映した操作統計を取得するようにしてもよい。つまり、操作内容毎に操作レベル値をあらかじめ設定しておき、操作対象情報生成部32は、操作対象に対する操作ログ情報を取得すると、操作ログ情報に含まれる操作内容を抽出し、その操作内容に対応する操作レベル値を取得する。この操作レベル値を累計した値を操作統計として生成する。例えば、図17に示すような操作レベル値が操作内容に対して予め設定されている場合に、所定期間内に操作内容が「WEBページの閲覧」が3回、「ブラウザ起動」が6回、「WEBページに入力」が1回発生したとすると、操作統計として{(3回×10pt)+(6回×1pt)+(1回×15pt)}=51ptが求められる。
【0123】
(9)上述の実施形態の制御部34における表示部は、特異操作対象情報に含まれる操作対象情報の特異度の大きさに応じて色・文字サイズ等の操作対象情報の表示形態を変更するようにしてもよい。つまり、操作対象情報の特異度が大きい場合は、より識別性を高くし、特異度が小さい場合は、より識別性を低くすることができる。これによって、グループにおいてどの程度特異な操作を行っているかを容易に判断することができる。
【0124】
(10)上述の実施形態において、動的に特定集合を構成することもできることを記載しているが、この場合に、いずれの特定集合にも含まれない端末Cを特定し、その端末Cをグループ化した特定集合を構成しても構わない。このようにして構成した特定集合において端末Cの特異操作対象情報を判定してもよいし、特定端末における不審端末を特定するようにしてもよい。
【0125】
(11)上述の実施形態においては、制御部34の表示部における制御のみを記載しているがこれに限定されるものではない。特異操作対象情報や不審端末の情報を一覧で表示したり、報告書形式で出力(印刷等を含む)など、適宜、必要に応じた制御を行ってもよい。
【0126】
(12)上述の実施形態においては、操作された全ての操作対象を判定の対象としたがこれに限定されるものではない。特定集合における操作統計が所定の閾値を超える操作対象に対してのみ特異操作対象情報であるかを判定するようにしてもよい。これにより、当該システムにおける判定処理の軽減や判定結果の精度を向上させることができる。
【0127】
(13)上述の実施形態においては、操作内容がWEBページの閲覧である操作ログ情報に基づき操作対象情報を求めたが、さらに限定した操作内容の操作ログ情報のみを用いて操作対象情報を生成しても構わない。たとえば、WEBページに対する操作ログ情報であって、操作内容がWEBページへの情報の書き込み操作やデータのアップロード操作などの所定の操作内容を持つ操作ログ情報のみを抽出し、その操作ログ情報から操作対象に対する操作対象情報を求めるようにする。これによって、より監視が必要な操作内容に限定して判定することができるため、監視の精度を向上させることができ、管理者の負担を軽減することができる。
【0128】
(14)上述の実施形態において、WEBページへのアクセス方法に基づいて操作対象情報を生成しても構わない。WEBページのアクセス方法には、検索サイトからのアクセスやURLを直接入力してのアクセス、ブックマークからのアクセス等、様々な方法がある。そのため、操作ログ情報にWEBページにどうやってアクセスしたかを示すアクセス元の情報を記録しておき、このアクセス元の情報に基づいて操作対象情報を生成する。つまり、操作ログ情報に含まれるアクセス元の情報から、WEBページに対するアクセスが所定のアクセス元からのものであると判定できる場合は、その操作ログ情報については、操作対象に対する操作統計の算出からは除外し、操作対象に対する操作対象情報を生成する。このようにすることで、所定のアクセス元からのアクセスであるかを判定でき、意図的に業務外のWEBページへアクセスしている、危険なWEBページへアクセスしているなど監視の対象とすべき操作に限定して判定ができるため、監視の精度を向上し、管理者の負担を軽減することができる。
【0129】
(15)上述の実施形態において、操作対象に対する操作の時間帯に基づいて操作対象情報を生成しても構わない。この場合、操作の時間帯毎に評価ポイントを設けておき、操作毎に評価ポイントを算出する。そして、その評価値を操作対象毎に集計したものを操作統計として、操作対象情報を生成する。また、これに限らず、予め操作対象に対する操作が最も多い時間帯、最も少ない時間帯等を特定し、その時間帯から評価ポイントを決定したものを用いて、操作対象情報を生成してもよい。例えば、休日や操作対象に対するアクセスが少ない時間帯は、評価ポイントを高くするなどである。これにより、操作対象に対する操作の時間帯(業務時間内、業務時間外、早朝、深夜、平日、休日等)を加味して判定することができ、監視の精度を向上させることができる。
【図面の簡単な説明】
【0130】
【図1】本発明による操作監視システムのシステム構成図
【図2】本発明による操作監視システムの第1実施形態における機能ブロック図
【図3】本発明による操作監視システムの操作対象情報の生成処理の流れを表すフローチャート
【図4】本発明による操作監視システムの特異操作対象情報の抽出処理の流れを表すフローチャート
【図5】本発明による操作監視システムの実施形態における操作対象情報の例
【図6】本発明による操作監視システムの実施形態における集合操作対象情報の例
【図7】本発明による操作監視システムの全体処理の流れを表すフローチャート
【図8】本発明による操作監視システムの第1実施形態における表示例
【図9】本発明による操作監視システムの第2実施形態における機能ブロック図
【図10】本発明による操作監視システムの第2実施形態における全体処理の流れを表すフローチャート
【図11】本発明による操作監視システムの第2実施形態における表示例
【図12】本発明による操作監視システムの第3実施形態における特異操作対象情報の判定処理の流れを表すフローチャート
【図13】本発明による操作監視システムの第3実施形態における集合毎における特異操作対象情報の例
【図14】本発明による操作監視システムの第3実施形態における統合された特異操作対象情報の例
【図15】本発明による操作監視システムの実施形態における特異度を規定したテーブルの例
【図16】本発明による操作監視システムの第3実施形態における集合操作対象情報の例
【図17】本発明による操作監視システムの別実施形態における操作レベル値を規定したテーブルの例
【符号の説明】
【0131】
31:操作ログ情報取得部
32:操作対象情報生成部
33:特異操作判定部
34:制御部
【技術分野】
【0001】
本発明は、通信ネットワークに接続する複数の端末における操作状況を監視する技術に関し、特に集合に属する端末における操作を監視する技術に関する。
【背景技術】
【0002】
近年の情報処理機器の発達に伴い、職場等で使用されるコンピュータ等の情報処理機器の利用台数が増大している。本来、このような情報処理機器は、業務効率の向上を図るためのものである。しかし、一方では、業務時間内における情報処理機器の私的利用等の不正操作の問題が生じている。
【0003】
このような問題を解決するために、ネットワークで接続されたコンピュータの操作を監視する様々な技術が検討されている。例えば、特定のイベントが発生したことを検知した際に、そのイベントの前後に発生したイベントの系列と予め設定した不正操作等のイベントの系列とを比較することにより、不正イベントを検出するシステム監査装置が提案されている(特許文献1参照)。
【0004】
この技術では、コンピュータにおける操作の系列と所定の操作系列とを比較することにより、不正操作を検出することができるものである。すなわち、コンピュータにおける操作を流れとして捉えることにより、各々の操作に基づく不正操作の判定に比べて的確な判定を行うことができる。
【0005】
【特許文献1】特開2005−222216号公報(段落番号0006、0008)
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1の技術では、予め所定のイベント系列を設定しなければならない。また、不正操作等に係るイベント系列は、画一的ではなく、コンピュータの操作者の業務内容や所属部署等により異なることがある。このような場合に対応するためには、業務や状況に合わせて多数のイベント系列を設定する等の対応が必要となり、管理者の負担を増大させる問題が生じる。
【0007】
本発明の目的は、上記実状に鑑み、予め監視する操作の内容を設定することなく端末における操作を監視する技術を提供することである。
【課題を解決するための手段】
【0008】
前記課題を解決するために、複数の端末が接続された操作監視システムにおいて、前記端末における操作に係る操作対象を含む操作ログ情報を取得する操作ログ情報取得部と、前記端末の前記操作ログ情報から当該端末における前記操作対象の操作統計を表す操作対象情報を生成する操作対象情報生成部と、一の前記端末の操作対象情報と、所定の集合に属する複数の端末の操作対象情報との比較結果に基づき、当該集合に対する当該一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定部と、を備えている。
【0009】
この構成では、一の端末の操作対象情報と、所定の集合に属する端末の操作対象情報とが比較され、その比較結果に基づき、一の端末の操作対象情報が、その集合に対して特異であるか否かが判定される。
【0010】
また、本発明における操作監視システムの好適な実施形態の一つでは、前記特異操作判定部は、前記集合に対する前記一の端末の操作対象情報の特異の度合いを示す特異度を算出し、当該特異度に基づいて前記特異操作対象情報を判定する。
【0011】
この構成では、判定対象の操作対象情報の特異の度合を示す特異度を算出し、その特異度に基づき特異操作対象情報を判定しているため、より的確に特異な操作対象情報を判定することができる。
【0012】
また、本発明における操作監視システムの好適な実施形態の一つでは、前記特異操作判定部は、前記所定の集合に属する複数の端末の操作対象情報に基づいて集合操作対象情報を生成し、前記集合操作対象情報と前記一の端末の操作対象情報とを比較することにより特異操作対象情報を判定する。
【0013】
この構成では、集合に属する端末全体における操作統計を表す情報を生成し、その情報と一の端末の操作対象情報とを比較することにより、効率的な情報処理が可能となる。
【0014】
また、端末が属する集合は、端末を使用する人(ユーザ)により立場や作業内容が多様であるため、様々な側面から鑑みた集合を作成することができる。そのため、各端末は複数の集合に属する場合が生じる。このような場合には、一の端末の操作対象情報が、ある集合においては特異であると判定されるが、他の集合においては特異でないと判定される場合がある。
【0015】
上述のような場合にも、的確な処理を実行するために、本発明における操作監視システムの好適な実施形態の一つでは、前記集合に前記一の端末を含み、前記一の端末を有する前記集合が複数存在する場合に、前記特異操作判定部は、当該集合毎の当該一の端末の特異操作対象情報を判定し、前記判定結果に基づき新たな特異操作対象情報を生成する。
【0016】
また、本発明における操作監視システムの好適な実施形態の一つでは、前記端末の前記操作対象情報を表示する表示部を備え、前記表示部は、前記特異操作対象情報とそれ以外の操作対象情報とを識別可能に表示する。
【0017】
この構成では、特異操作対象情報とそれ以外の操作対象情報とが識別可能に表示されるため、管理者は容易に特異操作対象情報を視認することができる。
【0018】
上述のような操作監視システムの更なる目的の一つとして、不審な操作を行っている端末の検出がある。そのため、本発明における操作監視システムの好適な実施形態の一つでは、前記特異操作対象情報に基づき、前記端末が不審な操作を行っているか否かを判定する不審端末判定部を備えている。
【0019】
この構成では、特異操作対象情報に基づき、端末が不審な操作を行っているか否かを判定できるため、予め不審な操作を定義することなく、不審な操作を行っている端末を検出することができる。
【0020】
上述した本発明による操作監視システムの技術的特徴は、同様の操作監視プログラムにも適用可能である。例えば、複数の端末とサーバとが接続された操作監視システムのための操作監視プログラムにおいて、前記端末における操作に係る操作対象を含む操作ログ情報を取得する操作ログ情報取得機能と、前記端末の前記操作ログ情報から当該端末における前記操作対象毎の操作統計を表す操作対象情報を生成する操作対象情報生成機能と、一の前記端末の操作対象情報と、所定の集合に属する複数の端末の操作対象情報との比較結果に基づき、当該集合に対する当該一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定機能と、をコンピュータに実現する。当然ながら、このような操作監視プログラムも上述した操作監視システムで述べた作用効果を得ることができ、さらに上述した付加的技術を組み込むことも可能である。
【発明を実施するための最良の形態】
【0021】
〔第1実施形態〕
〔システム構成〕
以下、図面を用いて本発明の第1実施形態を説明する。本実施形態における本発明の操作監視システムは、図1に示すように、汎用コンピュータでなるサーバSと汎用コンピュータでなる端末CとがネットワークNを介して接続されることにより構成されている。サーバSおよび端末Cはそれぞれ、ディスプレイ2、5や入力機器3、6(キーボード3a、6aやポインティングデバイス3b、6b等)を備えている。なお、ポインティングデバイスとは、画面上での入力位置や座標を指定する入力機器であり、マウス、ジョイスティック、タッチパッド、タッチパネル、トラックボール等を用いることができるが、これらに限定されるものではない。
【0022】
図2は、本発明の操作監視システムを構成するサーバSおよび端末Cの機能ブロック図を示している。端末Cは、端末における操作に係る操作内容や操作対象を表す操作情報を生成し、ネットワークI/F10を介してサーバSに送信する操作ログ情報生成部11を備えている。
【0023】
サーバSは、ネットワークI/F20を介して端末Cから送信される操作ログ情報を取得し、操作ログ情報保存部24に保存する操作ログ情報取得部31、操作ログ情報取得部31が取得した操作ログ情報から各端末Cにおける操作対象毎の操作統計を表す操作対象情報を生成する操作対象情報生成部32、一の端末Cの操作対象情報と、所定の集合に属する端末Cの操作対象情報との比較結果に基づき、この集合に対する一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定部33、特異操作対象情報に基づき制御を行う制御部34、およびディスプレイ2への出力制御、入力機器3a、3bからの入力制御を行うGUI部21を備えている。
【0024】
また、サーバSは、各種情報を管理する情報管理部25を備えており、情報管理部25は、さらに、少なくとも端末Cの端末識別情報(後述)とその端末Cを使用するユーザのユーザ識別情報(後述)とを関連付けて管理する端末情報管理部22、ユーザ識別情報とユーザの所属部署とを関連付けて管理するユーザ情報管理部23を備えている。本実施形態では、端末情報管理部22およびユーザ情報管理部23が管理する情報を用いて各種処理を実行する構成としているが、当然ながら、必要とする処理に応じて、情報管理部25において管理する情報の種類、形態は適宜変更可能である。
【0025】
通常、操作ログ情報生成部11、操作ログ情報取得部31、操作対象情報生成部32、特異操作判定部33および制御部34は、その処理を実行する手段(プログラムやモジュール等)がハードウェアに読み込まれることでその処理が実行されるが、これらをハードウェアとの組み合わせにより構成しても良いし、ロジック等を組み合わせたハードウェアのみで構成しても構わない。
【0026】
各端末Cでは、ユーザがキーボード6aやポインティングデバイス6b等を操作することにより、端末Cに対して様々な操作を行っており、その操作に応じて操作ログ情報生成部11が、その操作の内容(操作内容)や操作の対象(操作対象)を表す情報を含む操作ログ情報を生成し、ネットワークI/F10からネットワークNを介してサーバSに送信している。
【0027】
本実施形態における操作ログ情報には、操作内容、操作対象、操作が行われた端末Cを一意に特定可能な端末識別情報、端末Cにおいて操作が行われた日時を表す日時情報を含んでいる。すなわち、各々の操作ログ情報は(操作内容、操作対象、端末識別情報、日時情報)の組により構成されているが、これに限定されるものではなく、必要に応じて項目を限定または追加することができる。また、操作内容には、ユーザ(使用者)による入力機器6からの指示操作、アプリケーションの起動・終了動作、アプリケーションのアクティブ/非アクティブの切り替え動作、アプリケーションからOSに対する制御指示(API(Application Program Interface)の呼び出し等)、ミドルウェアの動作、ネットワークドライバの送受信動作、ウィンドウマネージャによる画面制御など端末Cの動作に関する情報、キーボード6aやポインティングデバイス6bの操作に関する情報を含めることができる。操作対象には、アプリケーション識別情報、ファイル識別情報、URL(Uniform Resource Locator)、外部記憶媒体の識別情報、サーバの識別情報等、ユーザの操作の対象となる情報を用いることができる。また、アプリケーション識別情報には、アプリケーション毎に排他的に割り振られた数値やアプリケーション名等、アプリケーションを一意に識別可能な情報を用いることができる。また、ファイル識別情報には、ファイル毎に排他的に割り振られた数値やファイル名(パスを含む)等、ファイルを一意に識別可能な情報を用いることができる。また、操作ログ情報には、操作内容や操作対象に付随するウィンドウ位置、サイズ、ポインティングデバイス6bのカーソル位置、表示物の表示座標情報、アクティブ状態等の付随情報を含めても構わない。なお、外部記憶媒体には、USBメモリのような半導体メモリのほか、光ディスク、光磁気ディスク、磁気ディスクなどが含まれ、コンピュータ端末に接続し、データを記憶させる記憶媒体または記憶装置であれば如何なるものであっても良い。
【0028】
なお、本実施形態では、端末識別情報として、端末Cの端末名を用いるが、これに限定されるものではなく、端末CのIPアドレス、MACアドレス、端末毎に排他的に割り振られた数値等、端末Cを一意に特定可能な情報を用いることができる。また、日時情報は、年月日時分秒を表す文字列を用いるが、これに限定されるものではなく、特定日時(例えば、1970年1月1日午前0時)からの経過時間を示す数値等、日時を特定可能な情報を用いることができる。さらに、操作ログ情報には、端末Cを操作するユーザを特定可能なユーザ識別情報を含めても構わない。このユーザ識別情報は、端末Cにおけるユーザのログイン操作に基づき特定することが可能なユーザ名やユーザ毎に排他的に割り振られた数値等を用いることができる。
【0029】
また、本実施形態において監視対象とする操作とは、WEBページの閲覧であり、その操作対象はWEBページであるとして説明する。判定対象となる操作ログ情報の検出は、操作ログ情報に含まれる操作内容を用いて行う方法、操作ログ情報の操作対象を用いて行う方法等がある。
【0030】
操作ログ情報の操作内容を用いる方法では、操作内容にWEBページを閲覧するための操作を含む操作ログ情報を判定対象の操作ログ情報として検出する。具体的には、操作内容として、WEBブラウザにおけるリンク操作によるWEBページ取得操作(リンクのクリック操作など)、URLの入力によるWEBページ取得操作(キーボード6a等による直接入力など)、WEBブラウザからネットワーク通信ソケットAPIへの関数呼び出し、OSのネットワークソフトウェア(具体的には、ネットワークドライバソフトウェアなど)によるWEBページ取得のリクエスト実行、WEBブラウザがWEBページを取得し描画完了、などが含まれる。これらの操作内容を含む操作ログ情報内の操作対象にWEBページの情報(つまり、URL)が含まれている。
【0031】
操作ログ情報の操作対象を用いる方法では、操作対象としてWEBページを含む操作ログ情報を判定対象の操作ログ情報として検出する。この方法を用いる場合には、操作対象もしくは付随情報等にWEBブラウザ等のアプリケーション情報(アプリケーション名等)を含むと好適である。
【0032】
本実施形態では、操作ログ情報生成部11は、監視対象となる操作(WEBページの閲覧)が行われた際に、操作ログ情報を生成するものとする。当然ながら、他の操作に関する操作ログ情報を生成しても構わないし、これ以外のタイミング、例えば一定時間間隔等で操作ログを生成しても構わない。また、本実施形態では、操作ログ情報生成部11は操作ログ情報を生成する都度、サーバSに対して操作ログ情報を送信する構成とするが、この送信タイミングは任意でよく、所定時間分の操作情報を一時記憶しておき、所定時間経過後送信する等、適宜変更が可能である。
【0033】
操作ログ情報取得部31は、上述のように各端末Cから送信される操作ログ情報を取得し、ハードディスク等により構成される操作ログ情報記録部24に保存すると共に、保存している操作ログ情報から任意の抽出条件に基づく検索を行う。
【0034】
操作対象情報生成部32は、操作ログ情報取得部31を介して各端末Cの操作ログ情報を取得し、取得した操作ログ情報の操作対象毎に操作統計を表す操作対象情報を生成する。本発明における操作統計とは、操作対象の操作状況を示したものであり、操作頻度、操作時間等に基づき算出される。操作対象情報には、操作対象と操作統計とが対応付けられて含まれている。なお、操作対象情報の生成方法の詳細は後述する。
【0035】
特異操作判定部33は、監視対象となる端末C(以下、特定端末と称する)の操作対象情報と、特定端末が属する集合(以下、特定集合と称する)に属する端末Cの操作対象情報との比較結果に基づき、特定集合における特定端末の特異な操作対象情報(以下、特異操作対象情報と称する)を判定する。本実施形態における特異とは、特定端末における操作対象情報の操作対象に対する操作統計が、特定集合における操作対象情報の操作対象に対する操作統計と著しく異なっている状態である。本実施形態では特定端末が特定集合に属する場合について記載しているが、特定端末は必ずしも特定集合に属している必要はない。なお、特異操作対象情報の判定方法の詳細は後述する。
【0036】
特定端末と特定集合に含まれる端末の同一期間における操作ログ情報を取得し判定を行うと好適である。このようにすると、当該期間における特異な操作を行っている操作対象をより正確に把握することができる。
【0037】
制御部34は、特異操作判定部33により特異操作対象情報として判定された結果に基づき所定の制御を行う。本実施形態では、制御部34は、端末C毎に操作対象情報を一覧表示し、その際、特異操作対象情報とそれ以外の操作対象情報とを識別可能に表示を行う。これにより、制御部34は、本発明における表示部を構成する。
【0038】
〔操作対象情報の生成方法〕
図3は、本実施形態における操作対象情報の生成処理の流れを表すフローチャートである。なお、以下の処理は、明示がない限り操作対象情報生成部32における処理である。
【0039】
まず、操作ログ情報取得部31を介して一の操作ログ情報を取得する(#01)。このとき、特定の期間を設定し、特定の期間内の日時情報を持つ操作ログ情報を抽出する構成としても構わない。なお、特定の期間は任意の期間であり、一日や業務時間内など、必要に応じて設定することができる。
【0040】
取得した操作ログ情報から、端末識別情報、操作対象、操作内容を抽出する(#02)。
【0041】
上述のように、本実施形態では、操作をWEBページの閲覧としており、操作ログ情報から抽出される操作対象はURLである。本実施形態では、RFC(Request For Comments)等の技術標準に基づいて、URLからドメイン名を抽出し(#03)、ドメイン名を操作対象として操作対象情報を生成する。なお、上述ではドメイン名を操作対象として操作対象情報を生成しているが、URLを操作対象として操作対象情報を生成してもよい。また、URLを所定の範囲、長さに区切って抽出してもよく、操作対象を分類、区別する目的であれば、如何なる方法を用いてもかまわない。
【0042】
一方、抽出された操作ログ情報から操作統計が求められる(#04)。本実施形態では、操作統計として、閲覧回数を用いる。すなわち、本実施形態における操作対象情報は、(端末識別情報、ドメイン名、閲覧回数)の組からなる情報であり、操作ログ情報が取得される毎に、その操作ログ情報に対応する端末識別情報、ドメイン名を持つ操作対象情報の閲覧回数がインクリメントされる(#05)。
【0043】
次に、未処理の操作ログ情報の有無がチェックされ(#06)、未処理の操作ログ情報が存在する場合には(#06のYes分岐)、処理は#01に移行し、上述の処理が繰り返される。一方、未処理の操作ログ情報が存在しない場合には(#06のNo分岐)、操作対象情報の生成処理は終了する。
【0044】
なお、操作統計は、単位時間における閲覧回数とすることもできる。この場合には、全操作ログ情報の処理が終了した後に、端末C毎に最も古い操作ログ情報の日時情報と最も新しい操作ログ情報の情報とから経過時間を算出し、各操作対象情報の閲覧回数を算出した経過時間で除することにより単位時間当たりの閲覧回数に変換する。また、直近の時間(例えば、1時間、1日、1週間等)における閲覧回数を用いてもよい。
【0045】
また、操作統計として、操作時間を用いることもできる。本実施形態では、操作時間とは、(1)一のWEBページがWEBブラウザに表示されている時間、(2)一のWEBページがWEBブラウザに表示されており、WEBブラウザがアクティブになっている時間、(3)WEBブラウザ上にポインティングデバイス6bのカーソルが重畳している時間、により算出される時間、(4)WEBブラウザに対する操作回数から算出される時間のことをいうが、これらに限定されるものではなく、WEBブラウザを操作している時間を判断できる手段であれば如何なる方法を用いても構わない。各々の方法を用いた操作時間の算出方法は、以下の通りである。
【0046】
(1)WEBページがWEBブラウザに表示されている時間を算出するには、まず、一のWEBページにアクセスしたことを示す操作内容を含む操作ログ情報の日時情報と、その日時情報の後、次の異なるWEBページにアクセスしたことを示す操作内容を含む操作ログ情報の日時情報とをそれぞれ抽出する。そして、抽出した両者の時間の差を求め、算出された時間を、当該一のWEBページにアクセスしていた時間(操作時間)とすることができる。
【0047】
(2)一のWEBページを表示しているブラウザがアクティブになっている時間を算出するには、まず、一のWEBページを表示しているWEBブラウザがアクティブになったことを示す操作内容を含む操作ログ情報の日時情報と、その日時情報の後、次に他のアプリケーションをアクティブに切り替える操作内容を有する操作ログ情報の日時情報とをそれぞれ抽出する。そして、抽出した両者の時間の差を求め、算出された時間を、当該一のWEBページを表示しているブラウザがアクティブになっている時間(操作時間)とすることができる。さらに、その後、当該一のWEBページを表示しているブラウザがアクティブに切り替わる操作ログ情報が取得された場合は、上記と同様の算出方法を繰り返し行い、既に算出した表示時間に新たに算出した表示時間を加算する。
【0048】
(3)WEBブラウザ上にポインティングデバイス6bのカーソルが重畳している時間を算出するためには、まず、一のWEBページにアクセスしたことを示す操作内容を含む操作ログ情報の表示座標情報及び日時情報を抽出する。さらに、ポインティングデバイスの操作を示す操作ログ情報の座標位置情報及び日時情報を抽出する。そして、抽出した両者の座標情報を比較し、両者が重畳していると判定された時点における日時情報をそれぞれ特定する。特定された日時情報から算出された時間を、WEBブラウザ上にポインティングデバイスが重畳している時間とする方法がある。なお、この方法を用いる場合には、操作ログ情報に操作画面上で表示される表示物の表示座標情報およびポインティングデバイス6bの座標位置情報も操作ログ情報として取得する。ここでいう表示物とは、端末Cで表示されているアイコンやアプリケーションのウィンドウ等を指し、表示座標情報とは、表示物の画面上の表示位置や形状、前面/背面を示す表示階層情報を含む情報である。
【0049】
(4)WEBブラウザに対する操作回数から算出される時間を算出するためには、WEBブラウザに対する操作ログ情報の数を取得し、その数と所定の時間(例えば、1分、5分、10分など)とを乗算した結果を、WEBブラウザを操作している時間(操作時間)とみなすことができる。さらに、操作ログ情報に含まれる操作内容の種類毎に所定の時間を変えることで、操作の内容に合わせてWEBブラウザの操作時間を算出すると好適である。
【0050】
このように、操作統計として操作時間を用いることにより、閲覧回数に基づいては把握が困難なユーザの動作を、より正確に把握することができるため、操作対象情報の精度を向上させることができる。
【0051】
さらに、操作統計として、一のWEBページを表示しているWEBブラウザの表示面積を用いることもできる。ここでの表示面積とは、WEBブラウザのウィンドウのうち他のウィンドウ等で隠されていない部分の面積である。WEBブラウザの表示面積を算出する場合には、操作ログ情報に操作画面上で表示される表示物の表示座標情報を含める必要がある。この際、表示座標情報が必要となるのはWEBブラウザに対する操作を示す操作ログ情報のみではなく、その他のアプリケーションやファイル等に関する操作ログ情報に対しても同様に、表示物の表示座標情報を含めておく。
【0052】
WEBブラウザの表示面積を算出するためには、まず、一のWEBページにアクセスした時点の操作ログ情報から表示座標情報を抽出し、その表示座標情報に含まれるWEBブラウザの表示座標情報(ウィンドウの左上端と右下端の座標等)からWEBブラウザのウィンドウの表示面積を求める。そして、取得した表示座標情報からWEBブラウザのウィンドウの表示座標情報と表示階層情報を用いて、一のWEBページを表示しているWEBブラウザのウィンドウとそれ以外のアプリケーションのウィンドウで重畳しているものがないかを判定する。このとき、重畳するウィンドウがある場合には、そのウィンドウとWEBブラウザのウィンドウの重畳する部分の面積を算出し、WEBブラウザの表示面積から重畳する部分の面積を差し引くことで実際に表示されている表示面積を算出することができる。上記の処理に基づき、操作ログ情報から各ウィンドウの面積とその重畳関係を判断することにより、操作画面に表示されているWEBブラウザの表示面積を算出する。
【0053】
このように、操作統計として表示面積を用いることにより、閲覧回数や操作時間に基づいては把握が困難な端末の操作画面上における表示形態も把握することができるため、操作対象情報の精度を向上させることができる。また、それぞれの方法を組み合わせて操作統計を算出してもよい。
【0054】
〔特異操作対象情報の判定方法〕
図4は、本実施形態における特異操作の判定方法の処理の流れを表すフローチャートである。なお、明示した場合を除き、この処理の主体は特異操作判定部33である。
【0055】
まず、特異操作の判定対象となる特定端末を特定する(#11)。本実施形態では、ディスプレイ2に端末Cの一覧を表示し、管理者がポインティングデバイス3b等を用いて一の端末Cを指定することにより特定端末を指定する。なお、本実施形態では、端末情報管理部22から、全端末Cの端末識別情報を取得して、端末Cの一覧を生成する構成とするが、これに限定されるものではなく、操作ログ情報に含まれる端末識別情報に基づき生成する等、他の構成としても構わない。
【0056】
次に、特定端末が属する特定集合を特定する(#12)。本実施形態では、特定集合は、特定端末を使用するユーザの所属部署と同一の所属部署のユーザが用いる端末Cにより構成される。そのため、本実施形態では、特定端末の端末識別情報をキーとして端末情報管理部22からユーザ識別情報を取得し、取得したユーザ識別情報をキーとしてユーザ情報管理部23から、所属部署を取得し、その所属部署と同一の所属部署に属するユーザ識別情報群を取得し、さらに端末情報管理部22からそのユーザ識別情報に関連付けられている端末C群を取得し、それらから特定集合を構成する。なお、上述の説明では、ユーザ情報と端末情報とを用いて、特定端末が属する特定集合を特定する構成としているが、端末識別情報と端末Cの所属部署とを関連付けて管理することで、端末情報のみにより特定集合を特定する等、他の方法を用いて特定集合を特定する構成としても構わない。
【0057】
なお、特定集合は、上述に限定されるものではなく、ネットワークNに接続している全端末C、特定端末と類似する端末環境(ハードウェア構成、ソフトウェア構成等)を持つ端末C等により構成されても構わない。
【0058】
特定端末と類似する端末環境を持つ端末をグループ化する方法は、まず、端末情報管理部22において、ネットワーク内に接続されている端末Cと、その端末C内にインストールされているソフトウェア情報やその端末Cに接続されている外部機器情報、その端末C自体のハードウェアの仕様等の資産情報とを関連付けて保存しておく。次に、特異操作判定部33は、端末情報管理部22に保存された情報の中から、類似する端末環境を持つ端末識別情報を抽出し、当該端末識別情報を利用して特定集合を構成する。
【0059】
また、類似する端末環境か否かを判定するには、例えば、インストールされているソフトウェア情報が、特定端末と所定割合以上一致している端末Cを、特定端末と類似する端末環境を持つ端末Cであるとしてグループ化する方法を用いることができる。その他、使用している外部機器が同一である場合や、端末Cのハードウェア情報やスペック情報が同一又は所定割合以上一致している端末Cを類似する端末環境であると判定することもできる。このような判定条件を用いることは、特定端末と類似するソフトウェアやハードウェア等のスペックを有する端末であれば、その使用用途も類似していると考えられるため、好適である。同様に、ハードウェアやソフトウェアの設定内容が類似するか否か等の情報を用いて特定集合を構成するようにしても構わない。なお、類似する端末環境の判定方法は、上述の方法に限定されるものではなく、端末の状態や構成の類似性が判定できるような方法であれば、他の方法を用いても構わない。
【0060】
上記のように、特定集合は、予め定められたユーザ識別情報によって静的に決定されるものだけでなく、実際の端末の使われ方によって動的に決定される構成とすることができる。これにより、部署等のグループを予め定めておく必要がなくなり、実際に行っている作業の内容に応じて自動的に特定集合を構成することができる。例えば、端末の起動時刻やアプリケーションの起動時刻などの動的に変化する条件から特定集合を構成することができる。これにより、利用している時間帯が同じ端末を特定集合として構成することができ、また、勤務体系の違いによる特定集合の構成もできることとなる。
【0061】
特定集合が特定されると、特定集合に属する端末Cの操作対象情報が操作対象情報生成部32から取得され(#13)、それらに基づき特定集合における操作統計を表す集合操作対象情報が操作対象毎に生成される(#14)。特定集合における操作統計とは、特定集合に属する端末Cの操作対象に対する操作の傾向を示している。
【0062】
本実施形態では、各々の操作対象情報の操作統計から算出される平均値、標準偏差に基づき、特定集合における操作統計を算出している。例えば、操作対象情報生成部32から図5に示す操作対象情報が取得された場合には、操作対象は、「ドメインA」、「ドメインB」、「ドメインC」、「ドメインD」および「ドメインE」であり、「ドメインA」に係る操作対象情報(端末識別情報,WEBページ,操作統計)は、(PC0001,ドメインA,5)および(PC0002,ドメインA,1)の2つである。したがって、「ドメインA」に係る集合操作対象情報の操作統計は、各々の操作対象情報の操作統計である5、1、0および0から平均値、標準偏差値が算出され、集合操作対象情報(ドメインA、1.5、2.38)が得られる。他のドメインに対する操作統計も同様に求められ、図6に示す集合操作対象情報が生成される。なお、特定端末の操作対象情報を除外して、集合操作対象情報を生成しても構わない。この場合には、特定端末の影響が除外された集合操作対象情報が生成でき、好適である。
【0063】
次に、特定端末の操作対象情報と、上述の処理により生成された集合操作対象情報のうち同一の操作対象に対する集合操作対象情報とが比較され、その操作対象情報が特定集合において特異であるか否かが判定され、特異であると判定された操作対象情報が特異操作対象情報として抽出される(#15)。
【0064】
特異であるか否かを判定する方法として、(1)操作対象情報の操作統計と集合操作対象情報の操作統計に対する平均値との比較による判定、(2)操作対象情報の操作統計と集合操作対象情報の操作統計に対する標準偏差値との比較による判定、(3)操作対象に対する操作有無による判定、(4)集合操作対象情報の操作統計による順位を用いる判定、(5)特定端末の操作対象情報の操作統計の順位と集合操作対象情報の操作統計の順位との比較による判定等を用いることができるが、特定端末の操作対象情報と集合操作対象情報を比較・対比することで特定端末の操作対象の操作状況が特異であるかを判定する目的を達する限りにおいて、さまざまな方法を用いることができる。さらに、複数の方法を組み合わせて判定を行うと、判定の精度を向上させることができ好適である。
【0065】
〔特異操作対象情報の判定方法1〕
操作対象情報の操作統計と集合操作対象情報の操作統計に対する平均値との比較による判定方法を説明する。例えば、特定端末をPC0001とする。このとき、図5を参照すると、特定端末「PC0001」の操作対象情報は「ドメインA」、「ドメインB」および「ドメインD」に対するものがある。ドメインAに対する操作対象情報(PC0001,ドメインA,5)が特異であるか否かを判定する際には、ドメインAに対する集合操作対象情報(ドメインA,1.5,2.38)との比較が行われる。すなわち、特定端末の操作対象情報の操作統計「5」と集合操作対象情報の平均値「1.5」との比較が行われ、特定端末の操作対象情報の操作統計が、集合操作対象情報の平均値から所定値TH1以上大きい場合に、その操作対象情報を特異であると判定する。例えば、TH1を2と設定した場合には、5>1.5+2であるので、操作対象情報(PC0001,ドメインA,5)は特異であると判定される。なお、判定基準は、所定値以下小さい場合とすることも可能である。また、±2の範囲に含まれない場合を特異であると判断することも当然に可能である。
【0066】
〔特異操作対象情報の判定方法2〕
操作対象情報の操作統計と集合操作対象情報の操作統計に対する標準偏差値との比較による判定方法を説明する。この場合には、特定端末の操作対象情報の操作統計「5」と集合操作対象情報の標準偏差「2.38」とが比較される。例えば、特定集合に属する端末Cの操作対象情報の操作統計の分布が、集合操作対象情報の平均値μ、標準偏差σにより規定される正規分布N(μ、σ)に従うと仮定し、特定端末の操作対象情報の操作統計がμ+σやμ+2σ以上の場合に、その操作対象情報を特定であると判定する。このとき判定基準をμ+σとすると、5>1.5+2.38であり、操作対象情報(PC0001,ドメインA,5)は特異であると判定され、判定基準をμ+2σとすると、5<1.5+2.38×2であり、この操作対象情報は特異でないと判定される。ここでは、判定基準μ+σやμ+2σ以上の場合としたがこれに限らず、たとえば判定基準μ−σやμ−2σ以下を特異であると判定するようにしてもよい。
【0067】
〔特異操作対象情報の判定方法3〕
操作対象に対する操作有無による判定を説明する。図5の例では、特定集合はPC0001〜PC0004の4台により構成され、このうち「ドメインA」を閲覧した端末CはPC0001、PC0002である。つまり、「ドメインA」を閲覧した端末Cの特定集合における閲覧率は50%となる。ここで所定値TH2を75%とすると、特定集合における閲覧率(50%)<所定値TH3(75%)となり、この操作対象は特異であると判定できる。
【0068】
〔特異操作対象情報の判定方法4〕
集合操作対象情報の操作統計による順位を用いる判定について説明する。特定集合における操作対象の操作統計は、「ドメインA」が6、「ドメインB」が93、「ドメインC」が30、「ドメインD」が1、「ドメインE」が16となり、降順に並べると「ドメインB」、「ドメインC」、「ドメインE」、「ドメインA」、「ドメインD」となる。このとき、所定値TH4を2位とし、2位以上に含まれる操作対象を特異でないとすると、特定端末の操作対象「ドメインA」は2位であるため、特異でないと判定される。ここでは、集合操作対象情報を操作統計の降順で整列する構成としたが、これに限定されるものではなく、昇順に並べて所定値以上(所定順位以上)を特異であると判断する構成としても構わない。さらに、所定値を上限値(上限順位)、下限値(下限順位)を設け、その範囲外の操作対象を特異であると判定する構成とすることもできる。
【0069】
〔特異操作対象情報の判定方法5〕
特定端末の操作対象情報の操作統計の順位と集合操作対象情報の操作統計の順位との比較による判定方法について説明する。この判定方法は、特定端末の操作対象情報を操作統計の降順に整列した際の判定対象とする操作対象情報の順位と、特定集合における集合操作対象情報を操作統計の降順に整列した際の監視対象とする操作対象情報の順位とを比較し、その順位の差から特異であるか否かを判定する方法である。たとえば、特定端末「PC0001」において操作対象情報を操作統計の降順に整列した場合、操作対象「ドメインA」の順位は、2位となる。これに対し、特定集合において集合操作対象情報を操作統計の降順に整列した場合、操作対象「ドメインA」の順位は、4位となる。したがって、順位の差は2となる。このとき、所定値TH5を3とすると、順位の差(2)<所定値TH5(3)となり、特異でないと判断される。
【0070】
さらに、それぞれの判定方法を組み合わせて判断しても構わない。例えば、判定方法1の結果が特異であり、判定方法2の結果が特異でなく、判定方法3の結果が特異であり、判定方法4の結果が特異でなく、判定方法5の結果が特異でないとすると、2つの判定方法において、特異であると判定されている。このとき、例えば特異とする判定基準を3であるとすると、2<3であるため、最終の判定結果では操作対象は特異でないと判断される。また、各判定の結果に重みづけを行うことで、判定する構成としても構わない。
【0071】
上述の説明では、各々の判定方法における判定結果は、「特異である」もしくは「特異でない」としたがこれに限定されるものではなく、各々の判定方法で算出される値を特異の度合いを示す値(特異度)として用いることも可能であり、例えば、判定対象の操作対象情報の操作統計と集合操作対象情報の平均値との差を所定の関数に代入する、正規分布における確率関数に代入する等により特異度を算出することができる。また、各々の判定方法から出力される特異の度合いを示す値を集計して合算値、平均値や関数による出力値などを求めることによって特異であるかを判定することもできる。
【0072】
また、集合操作対象情報の平均値との差から特異度を取得することもできる。この場合、集合操作対象情報の平均値との差と特異度を関連付けて設定(図15)し、平均値との差に対応する特異度を取得することができる。さらに、所定の値の範囲に区切り、その値の範囲ごとに集合操作対象情報の平均値との差と特異度の関連付けの設定を持たせることで、平均値に応じて特異度の関連付けの設定を選択し、適切な特異度を取得する構成としても構わない。
【0073】
また、本実施形態では、特異操作抽出部23は、集合操作対象情報を生成した後に、特異操作対象情報を判定する構成としたが、これに限定されるものではなく、特定端末の操作対象情報と特定集合に属する端末Cの操作対象情報とを比較し、それらの比較結果に基づき特異操作対象情報を判定する構成としても構わない。この場合には、上述の判定方法を適宜対応させて判定を行うことができる。
【0074】
〔全体処理の流れ〕
次に、本実施形態における全体処理の流れを図7のフローチャートを用いて説明する。まず、管理者が、サーバSの入力機器3を操作し、操作監視の開始をサーバSに指示することにより、以下の処理が開始される。
【0075】
操作監視の開始を指示されたサーバSでは、操作対象情報生成部32により、各端末Cの操作対象情報の生成が行われる(#21)。なお、操作対象情報の生成は、操作監視の開始が指示された時点で、初期状態から生成するのではなく、所定のタイミングで生成、または操作ログ情報が生成される毎に更新する構成とすると操作対象情報の生成が効率的に行えるため、好適である。また、管理者は、操作監視の開始の指示と共に、操作対象情報を生成する期間を指定することも可能である。この場合には、指定された期間に含まれる日時情報を持つ操作ログ情報を用いて、操作対象情報が生成される。
【0076】
また、制御部34により、ネットワークNに接続されている端末Cのリストが端末情報管理部22から取得され、端末Cの一覧がディスプレイ2に表示される(#22)。この一覧表示は、端末名のリスト表示、端末名を付したアイコン表示等、様々な表示態様を用いることができる。
【0077】
管理者は、ポインティングデバイス3b等を用いて、監視対象とする特定端末を指定すると、特定端末における特異操作対象情報の判定が行われる(#23)。このとき、特定端末の操作対象情報のうち、特異操作対象情報として判定されたものには、特異操作対象情報であることが判別可能な情報が付加され、制御部34に送られる。特異操作対象情報であることが判別可能な情報としては、例えば、操作対象情報にフラグ領域を設け、特異操作対象情報である場合には1を、そうでない場合には0を設定することにより実現することができる。したがって、本実施形態における操作対象情報は、(端末識別情報、操作対象、操作統計、特異フラグ)の組から構成されることとなる。当然ながら、他の方法を用いて識別しても構わない。
【0078】
特定端末の操作対象情報を取得した制御部34は、操作対象情報を、特異操作対象情報とそれ以外の操作対象情報とを識別可能に一覧表示する(#24)。
【0079】
例えば、図5および図6の例で、特定端末を「PC0001」とし、特異操作対象情報の判定基準を正規分布N(μ、σ)におけるμ+σとすると、操作対象情報(PC0001,ドメインA,5)が特異操作対象情報として判定される。このとき、制御部34は、図8のような一覧表示を行う。この表示例では、特定端末の操作対象情報の操作対象と操作統計とが、操作統計の降順で一覧表示されている。この際、特異操作対象情報のドメイン名を反転表示することにより、特異操作対象情報とそれ以外の操作対象情報とを識別可能にしている。当然ながら、表示態様はこれに限定されるものではなく、特異操作対象情報とそれ以外の操作対象情報との表示色を異ならせる等、本発明の目的を達する限りにおいて、他の表示態様を用いても構わない。
【0080】
また、制御部34による制御は、上述の一覧表示に限定されるものではなく、特異操作対象情報に関するメッセージを管理者やその特異操作対象情報に係る端末Cのユーザに送信する、特異操作対象情報に関する報告書の表示や印刷等、様々な態様を用いることができる。
【0081】
なお、本実施形態では、管理者が特定端末を指定し、指定された特定端末における特異操作対象情報を判定する構成としたが、全端末Cを順次特定端末とし、端末C毎の特異操作対象情報を判定する構成としても構わない。
【0082】
〔第2実施形態〕
次に、図を用いて、本発明の操作監視システムの第2実施形態を説明する。図9は、本実施形態における操作監視システムを構成するサーバSおよび端末Cの機能ブロック図であり、第1実施形態と同様の機能部には、同一の符号を付している。
【0083】
本実施形態における操作監視システムは、特異操作判定部33により判定された特異操作対象情報に基づき、特定端末が不審な操作を行っているか否かを判定する不審端末判定部35を備えている点において、第1実施形態と異なっている。また、制御部34の制御態様が第1実施形態と異なっているが、他の機能部は第1実施形態と同様であるので、詳細な説明は省略する。
【0084】
以下に、本実施形態における不審操作を行っている端末(以下、不審端末と称する)の判定方法を説明する。不審端末の判定は、単一の特異操作対象情報に基づくのではなく、二以上の特異操作対象情報に基づき行われる。例えば、(1)特定端末の特異操作対象情報の数、(2)特定端末の操作対象情報の数に対する特異操作対象情報の数の割合、(3)特定端末の特異操作対象情報の操作統計の総和(以下、これらを不審操作判定量と総称する)等を所定の閾値と比較することで、特定端末が不審な操作を行っている否かを判定する。なお、不審端末の判定方法は、本発明の目的を達する限りにおいて、他の方法を用いても構わない。
【0085】
〔不審端末判定方法1〕
(1)の方法では、まず、特異操作判定部33は、特定端末において特異な操作であると判定された特異操作対象情報を不審端末判定部35に送信する。不審端末判定部35は、取得した特異操作対象情報を計数し、その計数値を不審操作判定量とする。そして、不審端末判定部35は、不審操作判定量と予め定めておいた所定値とを比較し、当該不審操作判定量が所定値を超えた場合に不審端末と判定する。
【0086】
〔不審端末判定方法2〕
(2)の方法では、まず、特異操作判定部33は、特定端末における操作対象情報と、特定端末において特異な操作であると判定された特異操作対象情報とを不審端末判定部35に送信する。不審端末判定部35は、取得した操作対象情報と特異操作対象情報とを計数し、操作対象情報の数に対する特異操作対象情報の数の割合を算出し、算出した値を不審操作判定量とする。そして、不審端末判定部35は、不審操作判定量と予め定めておいた所定値とを比較し、当該不審操作判定量が所定値を超えた場合に不審端末と判定する。
【0087】
〔不審端末判定方法3〕
(3)の方法では、まず、特異操作判定部33は、特定端末において特異な操作であると判定された特異操作対象情報を不審端末判定部35に送信する。不審端末判定部35は取得した特異操作対象情報の操作統計を抽出する。この抽出処理を全ての特異操作対象情報に対して行い、抽出した操作統計の全てを合算し、合算した値を不審操作判定量とする。そして、不審端末判定部35は、取得した不審操作判定量と予め定めておいた所定値とを比較し、当該不審操作判定量が所定値を超えた場合に不審端末と判定する。
【0088】
なお、上記(1)から(3)の方法について、特異操作判定部33において不審操作判定量を算出して不審端末判定部35に送信し、不審端末判定部35では、取得した不審操作判定量に基づいて不審端末の判定を行うという構成としてもよい。
【0089】
以下に、図10のフローチャートを用いて本実施形態における全体処理の流れを説明する。
【0090】
まず、上述の方法により、操作対象情報生成部31が、操作対象情報を生成する(#31)。特異操作判定部33は、端末情報管理部22から全端末Cの端末識別情報を取得し(#32)、その中から一の端末Cを特定端末として選択する(#33)。
【0091】
次に、特異操作判定部33は、上述の方法により特異操作対象情報を判定し、不審端末判定部35に送る(#34)。
【0092】
特異操作対象情報を取得した不審端末判定部35は、上述の方法により特定端末が不審端末であるか否かを判定し、その判定結果を制御部34に送る(#35)。
【0093】
特定端末として選択されていない端末Cの有無が判定され(#36)、特定端末として選択されていない端末Cが存在する場合には(#36のYes分岐)、処理は#33に移行し、未選択の端末Cが特定端末として選択され、上述の処理が繰り返される。
【0094】
一方、全端末Cが特定端末として選択されると(#36のNo分岐)、制御部34は、不審端末を管理者等に知覚させるための制御を行う(#37)。例えば、図11に示すように、ディスプレイ2には端末Cの一覧を表示し、この際、不審端末を反転表示し、それ以外の端末Cとを識別可能に表示している。この例では、PC0002とPC0004とが不審端末と判定された端末Cであり、端末名と共に不審操作判定量を表示している。表示態様はこれに限定されるものでなく、不審端末とそれ以外の端末Cとを識別可能な表示態様であれば、他の表示態様を用いることができる。
【0095】
また、制御部34による制御は、上述のような表示を行うだけでなく、不審端末であると判定された端末Cを管理者や不審端末のユーザに通知する、不審端末に関する報告書の表示や印刷等を行うことができる。当然ながら、本発明の目的を達する限りにおいて、他の制御を行うこともできる。なお、所定のタイミング、または、監視対象となっている操作対象の操作ログ情報を検出する毎に不審端末の判定をすることで、不正端末をリアルタイムに検出することができる。
【0096】
〔第3実施形態〕
上述の実施形態では、単一の集合操作対象情報に基づき、特異操作対象情報を判定していた。しかしながら、一般的には、集合の概念は様々に設定することが可能であり、特定端末は複数の集合に属する場合がある。そのため、本実施形態では、複数の集合操作対象情報に基づいた特異操作対象情報の判定を行う。なお、特異操作判定部33以外の機能部は、上述の実施形態と同一であるので、ここでは、図12のフローチャートに基づき、特異操作判定部33の処理の流れのみを説明する。
【0097】
まず、上述した実施形態と同様に、特定端末が特定されると(#41)、特定端末が属する集合が決定される(#42)。本実施形態では、上述したように、特定端末は複数の集合に属している。例えば、特定端末のユーザの所属部署に基づく集合、ユーザの職種に基づく集合、ユーザの役職に基づく集合等を用いることができる。このような集合を用いるためには、ユーザ情報管理部22により管理されているユーザ情報に必要な情報を付加し、その情報に基づき第1実施形態と同様の方法により集合を構成することができる。
【0098】
次に、上述の方法により決定された複数の集合から一の集合が特定集合として選択され(#43)、#13から#15と同様の処理により、選択された特定集合における特異操作対象情報が判定される(#44〜#46)。
【0099】
その後、#42で決定された集合のうち、#43で選択されていない集合の有無が判定され(#47)、未選択集合が存在する場合には(#47のYes分岐)、処理は#43に移行し、未選択集合から一の集合が特定集合として選択され、上述の処理が繰り返される。
【0100】
一方、未選択集合が存在しない場合には(#47のNo分岐)、処理は#48に移行し、#46の処理で抽出された複数の集合における特異操作対象情報を統合し、新たな特異操作対象情報が生成される(#48)。具体的には、各集合における特異操作対象情報の和集合が新たな特異操作対象情報となる。例えば、図13の例では、特定端末は、集合1、集合2および集合3に属しており、各々の集合において特異操作対象情報が図のように抽出されている。これらの特異操作対象情報を統合すると、図14に示す特異操作対象情報が生成される。すなわち、集合1における特異操作対象情報{(ドメインA,28),(ドメインB,24),(ドメインD,16)}、集合2における特異操作対象情報{(ドメインA,28),(ドメインE,35)}、集合3における特異操作対象情報{(ドメインA,28),(ドメインD,16)}の和集合が、図14の特異操作対象情報となる。この際、特異操作対象情報には、操作対象情報の特異の度合を表す特異度が算出され、付加される。すなわち、本実施形態における操作対象情報は、(端末識別情報、操作対象、操作統計、特異度)の組から構成される。なお、本実施形態における特異度とは、複数の集合にわたり、特異であると判定される度合を表している。すなわち、特異であると判定される集合が多いほど大きく、少ないほど小さくなる値である。図14の例では、集合数に対する特異であると判定された集合数の割合を特異度としている。例えば、操作対象情報(ドメインA,28)は全ての集合で特異であると判定されているため、特異度=3/3=1.0である。また、操作対象情報(ドメインE,35)は、集合2においてのみ特異であると判定されているため、特異度=1/3=0.33である。
【0101】
上述の説明の他、各集合の特異操作対象情報の特異の度合(以下、個別特異度と称する)を用いて算出する構成とすることもできる。この場合には、特異操作判定部33は、操作対象情報が特異であるか否かを判定するのではなく、操作対象情報の個別特異度を算出する構成となる。
【0102】
また、和集合における操作対象情報の特異度の算出は、上述したものに限定されるものではなく、判定基準範囲R(例えば、μ―σ≦R≦μ+σの範囲)を設定しておき、操作対象情報の操作統計と判定基準範囲Rとの差(判定基準範囲Rの下限値/上限値との差)を特異度と関連づけて設定しておき(図15参照)、集合1〜3の集合操作対象情報が図16である場合、次ようにして算出することができる。操作対象(ドメインA)については、集合1では判定基準範囲Rとの差が「15」であるため個別特異度は「3」、集合2では判定基準範囲Rとの差が「20」であるため個別特異度は「4」、集合1では判定基準範囲Rとの差が「8」であるため個別特異度は「2」となり、これら各集合の個別特異度を合計し、操作対象(ドメインA)の特異度「9」を得ることができる。また、操作対象情報の特異度を個別特異度の合計としたが、これに限定されるわけではなく、個別特異度の平均や最大、最小など、必要に応じて様々な演算を行うことで操作対象情報の特異度を算出する構成としても構わない。さらに、集合毎に重み付けを設定しておき、その重み付けを用いた演算をすることにより操作対象情報の特異度を算出する構成としても構わない。
【0103】
また、個別特異度から特異度を算出する場合において、各集合について共通の閾値や判定基準を用いたが、集合ごとに異なる基準を用いても構わない。
【0104】
なお、本実施形態では、特異操作対象情報に特異度を含めたが、単に複数の集合における特異操作対象情報を統合し、新たな特異操作対象情報を生成する構成としても構わない。また、特異操作対象情報を統合する際、各集合に重みを設定しておき、その重みに応じて統合する構成としても構わない。重みとは、集合の重要度や規模、職務範囲等の様々な要素から決定される情報であり、重みが大きいほど特異操作対象情報の統合における優先度が高いことを示すものである。例えば、各集合の重みが、集合1:「1」、集合2:「1」、集合3:「2」であり、集合1、集合2、集合3の特異操作対象情報のうち、集合3のみが操作対象(ドメインA)を含んでいないとする。このとき、集合1および集合2での特異度が、集合3の重み付けに応じた所定の閾値以下である場合、集合3の特異操作対象情報を優先し、操作対象(ドメインA)に対する操作対象情報は特異ではないと判定する。逆に、集合1および集合2の特異度が、集合3の重み付けに応じた所定の閾値を超える場合には、操作対象(ドメインA)に対する操作対象情報は特異であると判定する。
【0105】
〔別実施形態〕
(1)上述の実施形態では、端末Cにおける操作対象をWEBページとして説明したが、上述したように、端末Cにおける操作対象をファイルやアプリケーションとすることもできる。このとき、前者の場合には、ファイル名、ファイルが保存されているフォルダ/ファイルサーバ等を単位として操作対象情報を生成し、後者の場合には、アプリケーション名、アプリケーション種別(文書作成アプリケーション、表計算アプリケーション、メーラ、WEBブラウザ等)等を単位として操作対象情報を生成する。
【0106】
(2)上述の実施形態では、特異操作判定部33は、単一の尺度(アクセス回数)に基づく操作統計に基づき操作対象情報が特異であるか否かを判定したが、複数の尺度に基づく操作統計を用いて判定することもできる。例えば、操作統計として操作回数、操作時間を採用し、これらの操作統計に基づき判定する構成とすることもできる。例えば、操作回数と操作時間との関係を示す近似直線を求め、その近似直線を含む所定の範囲内に操作対象情報が含まれているかを判定することで、その操作対象情報が特異であるかを判定することができる。
【0107】
(3)上述の実施形態では、操作監視システムは、複数の端末CおよびサーバSから構成されていたが、サーバSの機能部の一部を備えた管理端末を設置し、負荷分散を図ることもできる。また、サーバSの機能部を各端末Cに備え、各端末CをサーバSとして機能させる構成とすることもできる。また、サーバSの操作ログ情報取得部31、操作ログ情報記憶部24、操作対象情報生成部32を各端末Cに備える構成とすることもできる。
【0108】
(4)上述の実施形態では、所定期間における不審操作判定量に基づき、不審操作を判定するものであるが、特異操作対象情報保存部(図示せず)に特異操作対象情報を保存しておき、時系列に沿った不審操作判定量の変化に基づき、不審操作を判定することもできる。例えば、過去における複数の期間を設定し、上述した方法により期間毎に特異操作対象情報を抽出し、抽出した特異操作対象情報に基づき、期間毎の不審操作判定量を算出する。このとき、時系列に沿って不審操作判定量の推移を観察し、変位が顕著となった期間があれば、不審な操作が行われたと判定することができる。なお、顕著な変位の検出は、不審操作判定量の時間微分値と所定の閾値とを比較する等により実現することができる。
【0109】
(5)上述の実施形態では、端末C毎に特異操作の判定を行ったが、操作ログ情報に含まれるユーザ識別情報を用いて、ユーザ毎に特異操作の判定行っても構わない。
【0110】
この場合には、複数の端末が接続された操作監視システムにおいて、前記端末を使用するユーザのユーザ識別情報を取得するとともに、前記端末におけるユーザの操作に係る操作対象を含む操作ログ情報を取得する操作ログ情報取得部と、前記操作ログ情報から当該ユーザにおける前記操作対象の操作統計を表す操作対象情報を生成する操作対象情報生成部と、一の前記ユーザの操作対象情報と、当該一のユーザが属する集合に属する複数のユーザの操作対象情報との比較結果に基づき、当該集合における当該一のユーザの特異な操作対象情報を特異操作対象情報として判定する特異操作判定部と、を備える構成となる。
【0111】
なお、特異操作判定部は、一のユーザが複数の集合に属する場合に、当該集合毎の一のユーザの特異操作対象情報を判定し、当該判定された特異操作対象情報に基づき新たな特異操作対象情報を生成する構成とすることもできる。
【0112】
この構成では、一のユーザの操作対象情報とその一のユーザの属する集合(たとえば、役職、所属などのユーザの属性情報によって判定される集合)に属するユーザの操作対象情報とが比較され、その比較結果に基づき、一のユーザの操作対象情報がその集合に対して特異であるか否かが判定される。この構成とすることで、ユーザに対して使用する端末が固定化されていない場合でもユーザの操作対象に対する操作が特異であるか否かを判定することができる。さらに、ユーザが複数の集合に属する場合においては、それぞれの集合において特異操作対象情報を抽出することで新たに特異操作対象情報を得ることができ、集団において特異か否かを総合的にかつ高い精度で判断することができる。
【0113】
(6)上述の実施形態では、操作対象に対する操作の特異性を判定したが、操作ログ情報に含まれる操作内容の特異性を判定することも可能である。
【0114】
この場合には、複数の端末が接続された操作監視システムにおいて、前記端末における操作に係る操作内容を含む操作ログ情報を取得する操作ログ情報取得部と、前記端末の前記操作ログ情報から当該端末における前記操作内容の操作統計を表す操作対象情報を生成する操作対象情報生成部と、一の前記端末の操作対象情報と、所定の集合に属する複数の端末の操作対象情報との比較結果に基づき、当該集合における当該一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定部と、を備える構成となる。
【0115】
この構成では、特定端末における操作内容の操作統計を表す操作対象情報と、所定の集合における操作対象情報とが比較され、その比較結果に基づき、特定端末の操作対象情報がその集合に対して特異であるか否かが判定される。この構成とすることで、特定端末における操作内容に対して特異であるかを判定することができる。
【0116】
例えば、特定端末における操作内容「ファイルのコピー」に対する操作対象情報の操作統計(この実施形態では、操作回数とする)が「32」であり、集合1の操作内容「ファイルのコピー」に対する集合操作対象情報の操作統計が「22」であるとする。ここでは、集合1の操作内容「ファイルのコピー」に対する集合操作対象情報の操作統計は、操作回数の平均値を用いるが、最大値や最小値、標準偏差など他の統計値等を用いてもかまわない。そして、特定端末の操作対象情報の操作統計「32」と集合1の操作対象情報の操作統計「22」を比較し、所定の閾値THを「8」とした場合、特定端末の操作対象情報の操作統計が、集合1の操作対象情報の操作統計を所定の閾値TH以上超えているため、特定端末における操作内容「ファイルのコピー」は、特異であると判定される。
【0117】
同様に、特定端末Cの操作内容「ファイルの削除」に対する操作対象情報の操作統計が「3」であり、集合1の操作内容「ファイルの削除」に対する操作対象情報の操作統計が「8」であるとすると、特定端末の操作統計が、集合1の集合操作対象情報の操作統計を超えていないため、特定端末における操作内容「ファイルの削除」は、特異でないと判定される。
【0118】
上述の説明では、操作内容を「ファイルのコピー」と「ファイルの削除」としたが、操作内容はこれに限定されるものではなく、「メールの送信」「USBの挿入」「アプリケーションの起動」「アプリケーションの終了」「WEBページの閲覧」等、端末Cの操作を示す操作内容であれば、様々な操作内容を用いることができる。
【0119】
このような構成とすることにより、特定端末における操作内容が特異であるか否かを判定することができる。また、上述の説明では、特異操作の判定において操作回数用いたが、これに限定されるものではなく、これまでに述べてきた操作対象に対する特異の判定と同様、様々な情報を使用することができる。また、端末に変えてユーザにおける操作内容とすることも可能である。
【0120】
(7)上述の実施形態の操作統計の生成は、操作対象に対するキーボード6aもしくはポインティングデバイス6bの操作を用いてもよい。つまり、キーボード6aやポインティングデバイス6b等の入力機器6の操作を取得し、操作対象に対して行われた操作であるかを判定する。操作対象に対して行われた操作であると判定した場合には、その操作の数を積算し操作統計に用いる。入力機器6の操作は、操作ログ情報として取得してもよいし、デバイス操作情報取得部(図示せず)を設け、操作対象生成部32が入力機器6の操作をそのデバイス操作情報取得部から取得するようにしてもよい。
【0121】
また、キーボード6aやポインティングデバイス6bの操作が操作対象に対して行われたかを判定する手段として、アプリケーションが起動中に行われた場合、アプリケーションがアクティブ状態に行われた場合、アプリケーションが入力機器6の操作に関する情報(イベントメッセージなど)を受信した場合などを用いることで判定する。
【0122】
(8)上述の実施形態の操作統計の生成は、操作対象に対する操作内容を用いることで、よりユーザの操作内容を反映した操作統計を取得するようにしてもよい。つまり、操作内容毎に操作レベル値をあらかじめ設定しておき、操作対象情報生成部32は、操作対象に対する操作ログ情報を取得すると、操作ログ情報に含まれる操作内容を抽出し、その操作内容に対応する操作レベル値を取得する。この操作レベル値を累計した値を操作統計として生成する。例えば、図17に示すような操作レベル値が操作内容に対して予め設定されている場合に、所定期間内に操作内容が「WEBページの閲覧」が3回、「ブラウザ起動」が6回、「WEBページに入力」が1回発生したとすると、操作統計として{(3回×10pt)+(6回×1pt)+(1回×15pt)}=51ptが求められる。
【0123】
(9)上述の実施形態の制御部34における表示部は、特異操作対象情報に含まれる操作対象情報の特異度の大きさに応じて色・文字サイズ等の操作対象情報の表示形態を変更するようにしてもよい。つまり、操作対象情報の特異度が大きい場合は、より識別性を高くし、特異度が小さい場合は、より識別性を低くすることができる。これによって、グループにおいてどの程度特異な操作を行っているかを容易に判断することができる。
【0124】
(10)上述の実施形態において、動的に特定集合を構成することもできることを記載しているが、この場合に、いずれの特定集合にも含まれない端末Cを特定し、その端末Cをグループ化した特定集合を構成しても構わない。このようにして構成した特定集合において端末Cの特異操作対象情報を判定してもよいし、特定端末における不審端末を特定するようにしてもよい。
【0125】
(11)上述の実施形態においては、制御部34の表示部における制御のみを記載しているがこれに限定されるものではない。特異操作対象情報や不審端末の情報を一覧で表示したり、報告書形式で出力(印刷等を含む)など、適宜、必要に応じた制御を行ってもよい。
【0126】
(12)上述の実施形態においては、操作された全ての操作対象を判定の対象としたがこれに限定されるものではない。特定集合における操作統計が所定の閾値を超える操作対象に対してのみ特異操作対象情報であるかを判定するようにしてもよい。これにより、当該システムにおける判定処理の軽減や判定結果の精度を向上させることができる。
【0127】
(13)上述の実施形態においては、操作内容がWEBページの閲覧である操作ログ情報に基づき操作対象情報を求めたが、さらに限定した操作内容の操作ログ情報のみを用いて操作対象情報を生成しても構わない。たとえば、WEBページに対する操作ログ情報であって、操作内容がWEBページへの情報の書き込み操作やデータのアップロード操作などの所定の操作内容を持つ操作ログ情報のみを抽出し、その操作ログ情報から操作対象に対する操作対象情報を求めるようにする。これによって、より監視が必要な操作内容に限定して判定することができるため、監視の精度を向上させることができ、管理者の負担を軽減することができる。
【0128】
(14)上述の実施形態において、WEBページへのアクセス方法に基づいて操作対象情報を生成しても構わない。WEBページのアクセス方法には、検索サイトからのアクセスやURLを直接入力してのアクセス、ブックマークからのアクセス等、様々な方法がある。そのため、操作ログ情報にWEBページにどうやってアクセスしたかを示すアクセス元の情報を記録しておき、このアクセス元の情報に基づいて操作対象情報を生成する。つまり、操作ログ情報に含まれるアクセス元の情報から、WEBページに対するアクセスが所定のアクセス元からのものであると判定できる場合は、その操作ログ情報については、操作対象に対する操作統計の算出からは除外し、操作対象に対する操作対象情報を生成する。このようにすることで、所定のアクセス元からのアクセスであるかを判定でき、意図的に業務外のWEBページへアクセスしている、危険なWEBページへアクセスしているなど監視の対象とすべき操作に限定して判定ができるため、監視の精度を向上し、管理者の負担を軽減することができる。
【0129】
(15)上述の実施形態において、操作対象に対する操作の時間帯に基づいて操作対象情報を生成しても構わない。この場合、操作の時間帯毎に評価ポイントを設けておき、操作毎に評価ポイントを算出する。そして、その評価値を操作対象毎に集計したものを操作統計として、操作対象情報を生成する。また、これに限らず、予め操作対象に対する操作が最も多い時間帯、最も少ない時間帯等を特定し、その時間帯から評価ポイントを決定したものを用いて、操作対象情報を生成してもよい。例えば、休日や操作対象に対するアクセスが少ない時間帯は、評価ポイントを高くするなどである。これにより、操作対象に対する操作の時間帯(業務時間内、業務時間外、早朝、深夜、平日、休日等)を加味して判定することができ、監視の精度を向上させることができる。
【図面の簡単な説明】
【0130】
【図1】本発明による操作監視システムのシステム構成図
【図2】本発明による操作監視システムの第1実施形態における機能ブロック図
【図3】本発明による操作監視システムの操作対象情報の生成処理の流れを表すフローチャート
【図4】本発明による操作監視システムの特異操作対象情報の抽出処理の流れを表すフローチャート
【図5】本発明による操作監視システムの実施形態における操作対象情報の例
【図6】本発明による操作監視システムの実施形態における集合操作対象情報の例
【図7】本発明による操作監視システムの全体処理の流れを表すフローチャート
【図8】本発明による操作監視システムの第1実施形態における表示例
【図9】本発明による操作監視システムの第2実施形態における機能ブロック図
【図10】本発明による操作監視システムの第2実施形態における全体処理の流れを表すフローチャート
【図11】本発明による操作監視システムの第2実施形態における表示例
【図12】本発明による操作監視システムの第3実施形態における特異操作対象情報の判定処理の流れを表すフローチャート
【図13】本発明による操作監視システムの第3実施形態における集合毎における特異操作対象情報の例
【図14】本発明による操作監視システムの第3実施形態における統合された特異操作対象情報の例
【図15】本発明による操作監視システムの実施形態における特異度を規定したテーブルの例
【図16】本発明による操作監視システムの第3実施形態における集合操作対象情報の例
【図17】本発明による操作監視システムの別実施形態における操作レベル値を規定したテーブルの例
【符号の説明】
【0131】
31:操作ログ情報取得部
32:操作対象情報生成部
33:特異操作判定部
34:制御部
【特許請求の範囲】
【請求項1】
複数の端末が接続された操作監視システムにおいて、
前記端末における操作に係る操作対象を含む操作ログ情報を取得する操作ログ情報取得部と、
前記端末の前記操作ログ情報から当該端末における前記操作対象の操作統計を表す操作対象情報を生成する操作対象情報生成部と、
一の前記端末の操作対象情報と、所定の集合に属する複数の端末の操作対象情報との比較結果に基づき、当該集合に対する当該一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定部と、
を備えたことを特徴とする操作監視システム。
【請求項2】
前記特異操作判定部は、前記集合に対する前記一の端末の操作対象情報の特異の度合いを示す特異度を算出し、当該特異度に基づいて前記特異操作対象情報を判定することを特徴とする請求項1記載の操作監視システム。
【請求項3】
前記特異操作判定部は、前記所定の集合に属する複数の端末の操作対象情報に基づいて集合操作対象情報を生成し、前記集合操作対象情報と前記一の端末の操作対象情報とを比較することにより特異操作対象情報を判定することを特徴とする請求項1または2記載の操作監視システム。
【請求項4】
前記集合に前記一の端末を含み、前記一の端末を有する前記集合が複数存在する場合に、
前記特異操作判定部は、当該集合毎の当該一の端末の特異操作対象情報を判定し、前記判定結果に基づき新たな特異操作対象情報を生成することを特徴とする請求項1から3のいずれか一項に記載の操作監視システム。
【請求項5】
前記端末の前記操作対象情報を表示する表示部を備え、
前記表示部は、前記特異操作対象情報とそれ以外の操作対象情報とを識別可能に表示することを特徴とする請求項1から4のいずれか一項に記載の操作監視システム。
【請求項6】
前記特異操作対象情報に基づき、前記端末が不審な操作を行っているか否かを判定する不審端末判定部を備えたことを特徴とする請求項1から5のいずれか一項に記載の操作監視システム。
【請求項7】
複数の端末とサーバとが接続された端末監視システムのための操作監視プログラムにおいて、
前記端末における操作に係る操作対象を含む操作ログ情報を取得する操作ログ情報取得機能と、
前記端末の前記操作ログ情報から当該端末における前記操作対象毎の操作統計を表す操作対象情報を生成する操作対象情報生成機能と、
一の前記端末の操作対象情報と、所定の集合に属する複数の端末の操作対象情報との比較結果に基づき、当該集合に対する当該一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定機能と、
をコンピュータに実現する操作監視プログラム。
【請求項1】
複数の端末が接続された操作監視システムにおいて、
前記端末における操作に係る操作対象を含む操作ログ情報を取得する操作ログ情報取得部と、
前記端末の前記操作ログ情報から当該端末における前記操作対象の操作統計を表す操作対象情報を生成する操作対象情報生成部と、
一の前記端末の操作対象情報と、所定の集合に属する複数の端末の操作対象情報との比較結果に基づき、当該集合に対する当該一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定部と、
を備えたことを特徴とする操作監視システム。
【請求項2】
前記特異操作判定部は、前記集合に対する前記一の端末の操作対象情報の特異の度合いを示す特異度を算出し、当該特異度に基づいて前記特異操作対象情報を判定することを特徴とする請求項1記載の操作監視システム。
【請求項3】
前記特異操作判定部は、前記所定の集合に属する複数の端末の操作対象情報に基づいて集合操作対象情報を生成し、前記集合操作対象情報と前記一の端末の操作対象情報とを比較することにより特異操作対象情報を判定することを特徴とする請求項1または2記載の操作監視システム。
【請求項4】
前記集合に前記一の端末を含み、前記一の端末を有する前記集合が複数存在する場合に、
前記特異操作判定部は、当該集合毎の当該一の端末の特異操作対象情報を判定し、前記判定結果に基づき新たな特異操作対象情報を生成することを特徴とする請求項1から3のいずれか一項に記載の操作監視システム。
【請求項5】
前記端末の前記操作対象情報を表示する表示部を備え、
前記表示部は、前記特異操作対象情報とそれ以外の操作対象情報とを識別可能に表示することを特徴とする請求項1から4のいずれか一項に記載の操作監視システム。
【請求項6】
前記特異操作対象情報に基づき、前記端末が不審な操作を行っているか否かを判定する不審端末判定部を備えたことを特徴とする請求項1から5のいずれか一項に記載の操作監視システム。
【請求項7】
複数の端末とサーバとが接続された端末監視システムのための操作監視プログラムにおいて、
前記端末における操作に係る操作対象を含む操作ログ情報を取得する操作ログ情報取得機能と、
前記端末の前記操作ログ情報から当該端末における前記操作対象毎の操作統計を表す操作対象情報を生成する操作対象情報生成機能と、
一の前記端末の操作対象情報と、所定の集合に属する複数の端末の操作対象情報との比較結果に基づき、当該集合に対する当該一の端末の特異な操作対象情報を特異操作対象情報として判定する特異操作判定機能と、
をコンピュータに実現する操作監視プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2010−108469(P2010−108469A)
【公開日】平成22年5月13日(2010.5.13)
【国際特許分類】
【出願番号】特願2008−312211(P2008−312211)
【出願日】平成20年12月8日(2008.12.8)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
【公開日】平成22年5月13日(2010.5.13)
【国際特許分類】
【出願日】平成20年12月8日(2008.12.8)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
[ Back to top ]