操作監視システム及び操作監視プログラム
【課題】
コンピュータ端末の操作履歴から利用者毎に不正操作が行われてい可能性を判定する操作監視システムを提供することを目的とする。
【解決手段】
端末の動作の履歴を示す操作ログ情報を用いて、端末における標準的な操作を示す許容操作範囲情報を生成する。次に特定の期間における操作を示す操作状況情報を生成する。そして、その操作状況情報が許容操作範囲内であるかを判定する事により、不正操作の可能性を判定する。そして、その不正操作の可能性に対応した制御を実行する。
コンピュータ端末の操作履歴から利用者毎に不正操作が行われてい可能性を判定する操作監視システムを提供することを目的とする。
【解決手段】
端末の動作の履歴を示す操作ログ情報を用いて、端末における標準的な操作を示す許容操作範囲情報を生成する。次に特定の期間における操作を示す操作状況情報を生成する。そして、その操作状況情報が許容操作範囲内であるかを判定する事により、不正操作の可能性を判定する。そして、その不正操作の可能性に対応した制御を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータ端末におけるユーザの操作を監視する技術に関する。特に通常の操作と異なる操作が行われているかを監視する技術に関する。
【背景技術】
【0002】
多くの企業等では、業務に用いる機密情報をコンピュータシステムで管理している。そして、企業の従業員は、業務を行う際にコンピュータ端末を用いて機密情報にアクセスし利用している。この機密情報は、企業にとってきわめて重要であるため、情報漏洩が発生する事が無いようコンピュータ端末から機密情報へのアクセスに対してさまざまな対策を講じている。
【0003】
企業において機密情報の漏洩事故が発生する原因は、多種多様である。たとえば、企業内のネットワークに対して外部ネットワークからの不正侵入が原因となって発生する情報漏洩や、企業内のコンピュータ端末の操作が原因となって発生する情報漏洩などがある。特に企業内のコンピュータ端末の操作によって情報漏洩が発生するケースでは、情報漏洩を発生させるおそれのあるコンピュータ端末の操作に様々なものが考えられるため、一つの操作に絞って対策を立てることができないということもあり、きわめて対策が難しく深刻な問題となっている。例えば、正規の利用者による操作ではなくスパイウェア、ウィルスソフトウェア、又はファイル共有ソフトウェアなどの不正なソフトウェアによって操作が行われる場合や、悪意の有る利用者がコンピュータ端末を不正に使用して機密情報にアクセスする操作が行われる場合などが考えられる。このような情報漏洩に係る操作は、日常的な操作とは異なる操作によって行われる場合が多い。
【0004】
このような企業内のコンピュータ端末の不正な操作が原因となって発生する機密情報の漏洩を防止するために、コンピュータ端末の操作を監視するシステムや装置が考えられている。例えば、特許文献1のようにソフトウェアに対する動作のポリシー情報を記憶しておき、そのポリシー情報と監視対象ソフトウェアの動作とを比較する事で、正常動作からの乖離の有無を判定する技術が開示されている。
【0005】
また、特許文献2には、機器の操作履歴を用いて頻出操作パターンを抽出し、その頻出操作パターンとその後に行われた操作とを比較し、正常な操作であるか否かを判定する事ができる。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2006−53788
【特許文献2】特開2005−259160
【発明の概要】
【発明が解決しようとする課題】
【0007】
上述の特許文献1では、正常と判定するために予めポリシー情報の設定を行う作業や正常動作が保障された環境を用いて動作モデルを生成する必要があり、管理者にとって煩雑な作業が必要となっている。さらに、コンピュータ端末の利用者毎に操作方法が異なる場合に的確に監視することができない。また、システムリソースへのアクセス規則が決定した後では、アクセスが許可されている場合では操作に変化があっても検出することができない。
【0008】
また、上述の特許文献2も同様に、頻出操作パターンに一致する限りは正常とみなされるため、過去に行われた操作のパターン変化には対応できるが、それ以外の操作にかかる変化を検出する事ができない。
【0009】
本発明は、上記従来技術の問題点を解消し、コンピュータ端末に対する操作の変化から利用者が不正操作を行っていないかを判定することを課題とする。具体的には、コンピュータ端末の操作履歴を用いて許容できる操作範囲を生成し、更に生成した操作範囲を用いて、利用者が行うコンピュータ端末の操作について不正操作か否かを判定する技術を提供することを課題とする。
【課題を解決するための手段】
【0010】
本発明は、端末の動作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部と、前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成部と、前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成部と、前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定部と、を備える操作監視システムである。
【0011】
本発明のように構成する事により、端末で行われた操作から許容できる操作範囲を生成することができ、その許容できる操作範囲から外れた操作に対して不正操作の可能性を判定することができるようになる。これによって、端末の日常的な操作に合わせて不正操作の判定を行うことができる。
【0012】
許容操作範囲情報とは、端末の標準的な操作としての許容できる範囲を示す情報のことである。
【0013】
操作状況情報とは、特定の期間内の端末の操作を示す情報のことである。
【0014】
本発明の操作監視システムは、前記端末のソフトウェアまたはハードウェアの環境情報を記憶する環境情報記憶部をさらに備え、前記操作状況生成部は、前記抽出した操作ログ情報と当該操作ログ情報が生成された時点の環境情報とに基づいて、前記操作状況情報を生成する操作監視システムとして構成することもできる。
【0015】
本発明を上述のように構成することもできる。これによって、端末の環境を加味して端末の操作を示す情報を生成することができるため、端末によって行われている操作の状況をより正確に把握することができ、不正操作の可能性を判定する精度をさらに向上させることができる。
【0016】
環境情報とは、端末のハードウェアもしくはソフトウェアに関する情報のことをいい、具体的には、ネットワークの接続状況、外部機器の接続状況、ソフトウェアのインストール状況など、端末をとりまく周囲の要素が複合的に集まって作り出している状態に関する情報のことをいう。
【0017】
本発明の操作監視システムは、前記端末のソフトウェアまたはハードウェアの環境情報を記憶する環境情報記憶部をさらに備え、前記許容操作範囲生成部は、前記操作ログ情報記憶部の操作ログ情報と当該操作ログ情報の生成された時点の環境情報とに基づいて前記許容操作範囲情報を生成する操作監視システムとして構成することもできる。
【0018】
本発明を上述のように構成する事もできる。これによって、端末の使用環境を加味して許容できる操作範囲を決定することができるため、不正操作の可能性を判定する精度を更に向上させることができる。
【0019】
本発明の操作監視システムにおける前記操作状況生成部は、前記操作ログ情報記憶部に記憶される前記特定期間の操作ログ情報のうち、特定の操作を示す操作ログ情報の操作日時を基準とする所定期間における操作状況を示す操作状況情報を生成する操作監視システムと構成することもできる。
【0020】
本発明を上述のように構成する事により、特定の操作(リスクの高い操作など)に関連する操作を判定対象とする事ができるようになるため、特定の操作に関連する不正操作の可能性を判定できるようになる。
【0021】
上述の発明は、本発明のプログラムをコンピュータ端末に読み込ませて実行することで実現することもできる。すなわち端末の動作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部を備える操作監視システムのための操作監視プログラムであって、前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成機能と、前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成機能と前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定機能とをコンピュータに実現させる操作監視プログラムとして構成しても良い。
【0022】
この操作監視プログラムも、上述の操作監視プログラムと同様の作用効果を伴うものであり、上述した種々の特徴構成を備えることもできる。
【発明の効果】
【0023】
上述のように構成された本発明によれば、端末の操作履歴から許容できる操作範囲を生成し、そして端末の操作が許容できる範囲内であるか否かを判定する。そして、端末に対する操作の変化を把握し、不正操作が行われている可能性を判定する事ができ、情報漏洩を軽減する効果を得ることができる。
【図面の簡単な説明】
【0024】
【図1】本発明のシステム構成の概念を模式的に示す図。
【図2】本発明のハードウェア構成の概念を模式的に示す図。
【図3】本発明のシステムの機能ブロックを模式的に示す図。
【図4】本発明の処理プロセスを模式的に示すフローチャート。
【図5】操作ログ情報の一例を模式的に示す図。
【図6】操作ログ情報を集計した結果(許容操作範囲情報用)を模式的に示す図。
【図7】許容範囲設定値記憶部を模式的に示す図。
【図8】許容範囲設定値記憶部を模式的に示す図。
【図9】許容操作範囲情報を模式的に示す図。
【図10】操作ログ情報を集計した結果(操作状況情報用)を模式的に示す図。
【図11】不正操作判定の結果と制御内容を模式的に示す図。
【図12】表示装置の表示を模式的に示す図。
【図13】操作ログ情報を集計した結果(許容操作範囲情報用)を模式的に示す図。
【図14】操作ログ情報の一例を模式的に示す図。
【図15】環境情報を模式的に示す図。
【図16】環境情報とリスクポイントとの関係を模式的に示す図。
【図17】操作ポイントの集計した結果を模式的に示す図。
【図18】基準操作ログ情報と関連操作取得期間の関係を模式的に示す図。
【図19】基準操作ログ情報の条件と関連操作取得期間の内容を模式的に示す図。
【図20】操作内容とポイントを模式的に示す図。
【図21】表示装置の部署毎のレポート表示を模式的に示す図。
【図22】表示装置の端末毎のレポート表示を模式的に示す図。
【発明を実施するための形態】
【実施例1】
【0025】
〔実施例1−構成〕
以下、図面を用いて本発明の実施形態を説明する。図1は、本発明の操作監視システムの全体の構成図を示す。本発明は図1に示すように、管理サーバAが、通信ネットワークN(以下、「ネットワークN」という)を介して、複数のクライアント端末B(以下、「端末B」という)と接続されるという形で構成されている。
【0026】
ネットワークNは、企業や学校等の限られた施設内において情報を物理的に送るケーブルと、LANスイッチやハブ等でなる中継機器を備えたCSMA/CD(Carrier Sense Multiple Access with Collision Detection)方式のイーサネット(Ethernet)(商標)型のLANとして構成されたものであるが、このネットワークNとしてイーサネット型のLAN以外に、インターネットの技術を用いたイントラネットで構築されたものや、WAN(Wide Area Network)の技術によって構築されるものでも良い。
【0027】
図2は、管理サーバAのハードウェア構成の一例を模式的に示す。管理サーバAは、プログラムの演算処理を実行するCPU等の演算装置1と、情報を記憶するRAMやハードディスク等の記憶装置2と、演算装置1の処理結果や記憶装置2に記憶する情報をインターネットやLAN等のネットワークを介して送受信する通信装置5と、ディスプレイ(操作画面)等の表示装置3と、キーボードやマウスやテンキー等の入力装置4と、を少なくとも有している。端末上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュール等)が演算装置1に読み込まれることでその処理が実行される。各機能は、記憶装置2に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置2から読み出し、読み出した情報を適宜、演算装置1における処理に用いる。また、管理サーバAは、複数の端末に、その機能が分散配置されていても良い。
【0028】
端末Bのハードウェア構成は管理サーバAとほぼ同様で、図2に示したとおり、演算装置1と、記憶装置2と、表示装置3と、入力装置4と、通信装置5とを有している。
【0029】
図3は、本発明のファイル管理システムを構成する管理サーバAと端末Bの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していても良い。
【0030】
管理サーバAの内部には、ネットワークNを介して端末Bと様々な情報の送受信するためのネットワークI/F10、端末Bで行われた動作・制御を示す操作ログ情報を取得する操作ログ情報取得部11、取得した端末Bの操作ログ情報を記憶する操作ログ情報記憶部12、操作ログ情報から端末Bの標準的な操作の許容範囲を示す許容操作範囲情報を生成する許容操作範囲生成部13、特定期間における端末Bの操作状況を示す操作状況情報を生成する操作状況生成部14、許容操作範囲情報と操作状況情報とに基づいて不正操作の可能性を判定する不正操作判定部15、判定結果に基づいて各種制御を行う制御部16を備えている。
【0031】
端末Bの内部には、ネットワークNを介して管理サーバAと様々な情報を送受信するためのネットワークI/F20、端末Bにおける各種動作・制御を実行させる端末制御部21、端末Bにおいて実行された動作・制御の履歴を示す操作ログ情報を生成する操作ログ情報生成部22、生成された操作ログ情報を管理サーバAに送信する操作ログ情報送信部23、端末Bに対する各種の制御指示を受信する端末指示受信部24を備えている。
【0032】
通常、管理サーバA、端末Bの内部にある各構成部は、その処理を実行する手段(プログラムやモジュール等)がハードウェアに読み込まれることでその処理が実行されるが、これらをハードウェアとの組み合わせにより構成しても良いし、ロジック等を組み合わせたハードウェアのみで構成しても構わない。
【0033】
以下、図3に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。
【0034】
端末制御部21は、端末Bにおける各種のハードウェア及びソフトウェアの動作・制御を行う。本実施例において端末の動作・制御とは、アプリケーション、OS、ミドルウェア、ファームウェアなどで実行されるあらゆる動作をさすものとする。
【0035】
操作ログ情報生成部22は、端末Bにおいて行われた動作・制御の履歴を示す操作ログ情報(後述)を生成する。操作ログ情報は、端末制御部21で行われた制御に基づいて生成される。
【0036】
操作ログ情報送信部23は、操作ログ情報生成部22で生成した操作ログ情報を管理サーバAに送信する。つまり、操作ログ情報はネットワークI/F20を介して管理サーバAに送信される。通常、操作ログ情報送信部23は、端末制御部21において動作や制御が実行される毎に生成される操作ログ情報を管理サーバAに送信する。また、前述の方法に限らず、所定のタイミングもしくは一定周期で管理サーバへ操作ログ情報の送信を行っても良く、操作ログ情報の生成と管理サーバAへの送信が同一タイミングで実行されなくても良い。
【0037】
操作ログ情報とは、端末Bにおいて、入力装置4を用いたユーザの操作やアプリケーション等の指示による発生した通知・要求に従って動作・制御が実行された履歴を示す情報である。具体的には、端末識別情報、ユーザ識別情報、操作日時、操作内容、操作対象情報、付加情報、等を含むものをいう。これら操作ログ情報に含まれる情報は一例であって限定されるものではなく、本発明の目的を達する限りにおいて、一部の情報のみを用いても良い。操作ログ情報の例を図5に模式的に示す。
【0038】
上述の操作日時には、本実施例では動作・制御が実行された日時が含まれるが、操作ログ情報が生成された日時でも良いし、管理サーバAに送信した日時でも良い。また、日時を数値化した値としてもかまわない。
【0039】
上述の操作内容とは、端末Bにおいて実行された内容であって、ミドルウェアまたはOS等において実行されるソフトウェアやハードウェア等の動作・制御の内容のことをいる。より具体的には、キー入力、ポインティングデバイスの操作(ボタン押下、移動など)、外部記憶媒体の着脱(検出・削除または接続・切断など)、外部出力機器(プリンタなど)との接続、ファイル操作(作成、削除、複製、移動、ファイル名変更、ファイル読み込み、ファイル書込み等)、フォルダ操作(作成、削除、複製、移動、フォルダ名変更等)、メール送信・受信、アプリケーション操作(起動、終了等)、ドライブの追加・削除・検知、ネットワークの接続・切断、IPアドレス変更、コンピュータ名変更、記憶媒体の書き込み、印刷、メディア作成(CD−R、DVD−R等の作成)、クリップボードへの複製、Webページアクセス、ファイルダウンロード、ファイルアップロード、端末起動・端末終了等を示す情報がある。なお、これらは一例であって限定されるものではない。
【0040】
上述の操作対象情報とは、操作内容に応じて実行される対象のことをいう。本実施例においては、端末Bによって操作または制御されたアプリケーションの識別情報(アプリケーション識別情報)、ファイルの識別情報(ファイル識別情報)、フォルダ情報、Webページアドレス、メールアドレス(送信先、送信元)、ネットワークの識別情報(ネットワークドメイン名などのネットワークを一義的に識別する情報)などが含まれる。前述の例以外であっても目的を達する限りにおいていかなる情報で有ってもかまわない。
【0041】
上述のアプリケーション識別情報とは、アプリケーションを一義的に識別可能な情報のことをいう。上述のファイル識別情報とは、ファイルを一義的に識別可能な情報のことをいう。上述のフォルダ情報とは、フォルダを一義的に識別可能な情報のことをいう。上述のWebページアドレスとは、一般的にURL(Uniform Resource Locatorの略)であり、ネットワーク上の情報資源、文書や画像などの場所を指し示す情報のことをいう。
【0042】
上述の付加情報とは、操作内容・操作対象情報にしたがって付加的に取得される情報のことをいい、操作内容によって、付加情報として取得される情報の内容が変わる。より具体的には、データ量、印刷ページ数、ファイル容量、ファイル数などがある。例えば、操作内容がファイルダウンロードであれば、ダウンロードを行ったデータ量などである。なお、これらは一例であって限定されるものではない。
【0043】
制御指示受信部24は、管理サーバAの制御部16によって決定された制御指示をネットワークI/F20を介して受信する。受信した制御指示は端末制御部21に通知される。
【0044】
操作ログ情報取得部11は、端末Bから送られてくる操作ログ情報をネットワークI/F10を介して取得する。
【0045】
操作ログ情報記憶部12は、操作ログ情報取得部11で取得した操作ログ情報を記憶する。操作ログ情報の記憶は、端末識別情報毎またはユーザ識別情報毎に記憶しても良い。さらに、操作ログ情報のをデータベース等を用いて記憶・管理するようにしても良い。
【0046】
許容操作範囲生成部13は、操作ログ情報記憶部12に記憶されている操作ログ情報から端末Bの標準的な操作の範囲を示す許容操作範囲情報を生成する。そして、生成した許容操作範囲情報を不正操作判定部15に通知する。なお、生成した結果を許容操作範囲情報記憶部(図示せず)に記憶させ、適時読み出して使用できるようにすると好適である。
【0047】
上述の許容操作範囲情報とは、操作ログ情報に基づいて端末Bの標準的な操作の範囲を数値化した値(許容範囲値)を含む情報のことをいう。この標準的な操作とは、端末使用者の日常的な範例となる操作のことをいう。許容操作範囲情報には、端末識別情報、許容範囲値などが含まれる。許容範囲値には、操作内容、操作対象情報、付加情報の平均実行回数、平均実行時刻、平均実行周期などが含まれる。許容操作範囲情報の具体的な例としては、操作ログ情報が示す任意の操作が実行された回数の範囲、実行された時刻の範囲、または実行された時間間隔の範囲などが挙げられる。ここでいう範囲には、少なくとも最大値または最小値を示す値が含まれているものとする。
【0048】
上述の許容操作範囲情報の生成方法について詳細に説明する。許容操作範囲生成部13は、操作ログ情報記憶部12から特定の端末Bの操作ログ情報を抽出し、端末Bにおける操作の基準値(操作基準値)を算出する操作基準値算出手段と、操作基準値に基づいて操作の許容範囲を示す許容範囲値を算出し、その許容範囲値を許容操作範囲情報とする許容範囲値生成手段と、を備える。
【0049】
上述の操作基準値算出手段は、まず、操作ログ情報記憶部12から特定の端末Bから出力された、標準的な操作を判定するための所定期間内における操作ログ情報を抽出する。標準的な操作を判定するための所定期間内は、当該端末Bの標準的な操作を判定することができるとユーザが判断した任意の期間としても良いし、予め定められた固定値で有っても良い。または、操作ログ情報記憶部12内に保存されている端末Bのすべての操作ログ情報を抜き出すことができるような期間であっても良い。さらに、所定期間を設定する方法以外にも、予め2つの特定の操作ログ情報を定めておき、その2つの操作ログ情報にはさまれた期間を、操作ログ情報抽出を行う所定期間とするという方法も考えられる。
【0050】
次に、操作基準算出手段は、抽出した操作ログ情報に応じて操作基準値を算出する。この算出する操作基準値としては、(1)単位時間における任意の操作の実行回数の平均値(平均実行回数)、(2)任意の操作の実行時刻の平均値(平均実行時刻)、(3)任意の操作の実行の時間間隔の平均値(平均実行周期)などがある。以下、それぞれについて説明する。
【0051】
〔操作基準値1(平均実行回数)〕
平均実行回数とは、抽出した操作ログ情報を用いて、同じ操作内容に関して単位時間においてに実行された実行回数の平均値を算出して求める操作基準値のことをいう。例えば、図6(a)のように同じ操作内容について1日毎の実行回数を算出していたとする。操作内容「複製」の場合、1日目から10日目までの各日の実行回数として、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」が取得できる。そして、この取得した10日間の実行回数から1日間の平均実行回数「5」を算出する。
【0052】
〔操作基準値2(平均実行時刻)〕
平均実行時刻とは、抽出した操作ログ情報を用いて、同じ操作内容に関してその操作内容が実行された操作日時から実行時刻の平均値を算出して求める操作基準値のことをいう。例えば、図6(b)のように操作内容「端末起動」の1日目から10日目までの各日の実行時刻(「時:分」)を、「8:59」、「8:55」、「9:06」、「8:56」、「9:02」、「9:04」、「8:58」、「9:01」、「9:05」、「9:05」と取得していたとする。そして、この取得した10日間の実行時刻から平均実行時刻「9:01」を算出する。
【0053】
〔操作基準値3(平均実行周期)〕
平均実行周期とは、抽出した操作ログ情報を用いて、同じ操作内容が実行される時間間隔の平均を算出して求める操作基準値のことをいう。本実施例では、端末の動作時間において実行された実行回数に基づいてその操作内容の実行周期を算出し、実行周期の平均値を算出する。例えば、図6(a)(b)のように、単位時間を端末Bの動作時間(起動〜終了までの時間)とした場合における同じ操作内容の実行回数から実行周期を算出する。つまり、1日目から10日目までの10日間の実行周期(「時間:分」)は、「1:35」、「2:01」、「1:54」、「1:36」、「1:19」、「1:08」、「1:23」、「1:59」、「1:36」、「2:00」と取得できる。そして、この取得した実行周期から平均実行周期「1:39」を算出する。
【0054】
上述に操作基準値の算出内容について記載したが、これに限らず、本発明の目的を達する限りにおいて、いかなる方法および情報を用いても良い。また、上述の同じ操作内容の算出において、特定の操作を予め決定しておき、その操作内容を含む操作ログ情報に対して算出するようにしてもかまわない。
【0055】
続いて、算出された操作基準値は、許容範囲値生成手段に通知される。
【0056】
許容範囲値生成手段は、取得した操作基準値を使用し許容範囲値を生成する。そして、生成された許容範囲値を許容操作範囲情報として不正操作判定部16に通知する。
【0057】
許容範囲値の生成方法として、(1)操作基準値から固定の許容範囲値を取得する方法、(2)操作基準値から許容範囲値を算出する方法、(3)操作基準値に対する割合から許容範囲値を算出方法、などがある。以降にそれぞれについて詳細に説明する。
【0058】
〔許容範囲値算出方法1〕
操作基準値から固定の許容範囲値を取得する方法とは、予め操作基準値にかかる許容範囲値を許容範囲設定値記憶部(図示せず)に記憶させ、取得した操作基準値に応じた許容範囲値を取得するという方法のことをいう。例えば、図7(a)が許容範囲設定値記憶部に記憶されている場合に、操作基準値が操作内容における平均実行回数「5」とすると、許容範囲値は、最大値「15」、最小値「0」が取得される。
【0059】
〔許容範囲値算出方法2〕
操作基準値から許容範囲値を算出する方法とは、予め操作基準値にかかる範囲加算値と範囲減算値とを許容範囲設定値記憶部に記憶させ、取得した操作基準値に範囲加算値の加算を行った値を許容範囲値の最大値とし、範囲減算値の減算を行った値を許容範囲値の最小値として算出する方法のことをいう。例えば、図8(b)が許容範囲設定値記憶部に記憶されている場合に、操作基準値が操作内容「端末起動」における平均実行時刻(「時:分」)「9:01」とすると、許容範囲値は、最大値「9:11」、最小値「8:51」が取得される。
【0060】
〔許容範囲値算出方法3〕
操作基準値に対する割合から許容範囲値を算出方法とは、予め許容割合を用いて、取得した操作基準値に許容割合を乗じて許容範囲値を取得する方法のことをいう。許容割合とは、操作基準値に対して許容できる範囲の最大値・最小値を示す割合である。例えば、予め操作基準値に対して60%〜120%が許容範囲となる許容割合が定義されている場合に、操作基準値が操作内容における平均実行回数「5」とすると、許容範囲値は、最大値「6」、最小値「3」が取得される。
【0061】
上述のように算出された許容範囲値は、許容操作範囲情報として不正操作判定部15に通知される。また、通知とともに許容操作範囲情報記憶部(図示せず)に記憶すると良い。
【0062】
なお、上述では平均実行回数と平均実行時刻に対する例を説明したがこれに限らず、他の情報として、例えば、平均実行周期、平均終了時刻、平均動作時間などを用いることもできる。
【0063】
さらに、2以上の許容操作範囲情報を算出し、不正操作判定部15に通知するようにしてもかまわない。
【0064】
操作状況生成部14は、操作ログ情報記憶部12内の特定期間における端末Bの操作ログ情報を抽出し、抽出した操作ログ情報から端末Bの操作状況を示す操作状況情報を生成する。そして、生成した操作状況情報を不正操作判定部15に通知する。
【0065】
上述の操作状況情報とは、特定の期間内の操作ログ情報に基づいて端末Bの操作を数値化した値(操作状況値)を含む情報のことである。操作状況情報には、端末識別情報、操作状況値などが含まれる。操作状況値には、操作内容、操作対象情報、付加情報の実行回数、実行時刻、実行周期などが含まれる。
【0066】
上述の特定期間は、端末Bの操作の傾向や状況を判断するために必要な期間である。具体的には、1日、または1時間などといった期間が設定される。また、さらに企業などにおいて業務時間(例えば、9時〜17時の8時間)、休日(例えば、土曜日、日曜日の2日)といった期間を用いても良い。通常、特定期間は許容操作範囲情報を生成するための期間より短い期間となる。また、特定期間は、許容操作範囲情報を生成するための期間に含まれない期間が好適であるが、特定期間を含んでもかまわない。
【0067】
操作状況生成部14において生成する操作状況値には、(1)特定期間の実行回数、(2)特定期間の実行時刻、(3)特定期間の実行周期、などがある。
【0068】
〔操作状況値1(実行回数)〕
特定期間の実行回数は、抽出した操作ログ情報を用いて、特定期間内に同じ操作内容が単位時間当たりに実行された回数を算出し、操作状況値として生成する。一例として、図10(a)のように11日目の1日間の操作ログ情報が抽出された場合、操作内容「複製」の操作状況値(実行回数)「10」が生成される。
【0069】
〔操作状況値2(実行時刻)〕
特定期間の実効時刻は、抽出した操作ログ情報を用いて、特定期間内に所定の操作内容が実行された操作日時を抽出し、操作状況値として生成する。一例として、図10(b)のように11日目の1日間の操作ログ情報が抽出された場合、操作内容「端末起動」の操作状況値(実行時刻)「10:30」が生成される。なお、特定期間内に所定の操作内容を含む操作ログ情報が抽出された場合は、平均の実行時刻としてもかまわない。
【0070】
〔操作状況値3(実行周期)〕
特定期間の実行周期は、抽出した操作ログ情報を用いて、特定期間内に同じ操作内容が単位時間当たりに実行された回数から実行周期を算出し、操作状況値として生成する。一例として、図10(a)のように11日目の1日間の操作ログ情報が抽出された場合、操作内容「複製」の操作状況値(実行周期)「00:39」が生成される。
【0071】
本実施例では、特定期間と単位時間が等しいとして記載したが、特定期間と単位時間が異なる場合で有っても良い。操作状況生成部16は、操作状況値を単位時間あたりに換算して算出する。
【0072】
上述のように生成された操作状況値は、操作状況情報として不正操作判定部15に通知される。また、生成された2以上の操作状況情報を不正操作判定部15に通知するようにしてもかまわない。
【0073】
不正操作判定部15は、許容操作範囲生成部13で生成された許容操作範囲情報を取得するとともに、操作状況生成部14から操作状況情報を取得する。そして、取得した許容操作範囲情報と操作状況情報とを用い、操作状況情報が許容操作範囲内であるかを比較し不正操作の可能性を判定する。そして、その判定結果を制御部16に通知する。
【0074】
上述の処理を具体的に説明すると、取得した許容操作範囲情報から許容範囲値の最大値及び最小値を抽出し、取得した操作状況情報の操作状況値がその範囲内であるかを比較する。比較の結果、範囲内である場合は、判定結果を「問題なし」とし、範囲外である場合は、判定結果を「不正操作」とする。
【0075】
また、不正操作判定部15は、不正操作である可能性の判定を1つの情報の比較結果に基づいて行っても良いし、複数の情報に基づいて行っても良い。つまり、実行回数、実行周期、実行時刻などいずれかの1つのみで判定しても良いし、それぞれを組み合わせて判定するようにしてもかまわない。
【0076】
たとえば、複数の情報で判定を行う場合には、各情報において「範囲内」もしくは「範囲外」であるかを比較し、「範囲内」の情報数と「範囲外」の情報数を用いて判定する。判定の方法として、「範囲内」の情報数が所定値より多い場合に判定結果を「問題なし」とする、「範囲外」の情報数が所定数以下の場合に判定結果を「問題なし」にする、「範囲内」「範囲外」のそれぞれの比率を算出し、「範囲内」が所定比率以上であった場合に判定結果を「問題なし」にする、などが考えられる。また、それぞれの情報数もしくは比率を判定結果として制御部16に通知するようにしても良い。
【0077】
また、許容操作範囲情報を許容操作範囲情報記憶部(図示せず)から取得するようにしてもかまわない。これによって、許容操作範囲生成部13で予め生成されている許容操作範囲情報を活用する事ができるため、処理の軽減を行うことができるようになる。
【0078】
制御部16は、不正操作判定部15から判定結果を取得し、その判定結果に応じて制御の内容を決定する。決定した制御内容は、端末Bに制御指示として送信する。具体的には、当該端末Bに対して、不正操作が行われた事を端末Bの表示装置3に表示する、端末Bの操作制限を行う、などの制御を指示する情報をネットワークI/F10を介して送信する。
【0079】
また、端末Bに対する制御指示ではなく、管理者端末(所定の端末B)へ通知する、管理サーバAの表示装置に表示する、判定結果を操作判定結果記憶部(図示せず)に記憶する、レポート形式にして管理端末への表示もしくは印刷する、などの制御を実行しても良い。
【0080】
〔実施例1−処理プロセス〕
次に本発明の操作監視システムの処理プロセスの一例を、図3の機能ブロック図、図4のフローチャート等を用いて説明する。なお、以下の説明では、判定対象の端末B「ABC12345」がネットワークNを介して管理サーバAと接続され、操作の判定には操作内容「複製」の実行回数および実行周期を用いることとする。
【0081】
端末Bの操作ログ情報送信部23は、操作ログ情報生成部22で生成された端末において実行された操作を示す操作ログ情報を管理サーバAに送信する。
【0082】
管理サーバAは、操作ログ情報取得部11によって端末Bの操作ログ情報を取得し、操作ログ情報記憶部12に記憶する(S101)。
【0083】
許容操作範囲生成部13は、操作ログ情報記憶部12から判定対象である端末Bの操作ログ情報を抽出し、その操作ログ情報を用いて判定対象の端末Bの標準的な操作である許容操作範囲情報を生成する。そして、生成した許容操作範囲情報を不正操作判定部15に通知する(S102)。
【0084】
上述の動作について、操作ログ情報記憶部12から標準的な操作を判定するための期間を10日間とした場合を用いて具体的に説明する。
【0085】
許容操作範囲生成部13は、操作ログ情報から端末「ABC12345」の10日分の操作ログ情報を抽出する。そして、抽出した操作ログ情報を用いて、日毎の実行回数と実行周期とに係る許容操作範囲値を算出する。
【0086】
まず、日毎の実行回数に係る許容操作範囲値の算出について説明する。抽出した操作ログ情報から操作内容「複製」を示す操作ログ情報が日毎に何回実行されたのかを計数する。計数の結果、1日目から10日目の日毎に操作内容「複製」が実行された回数は、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」となる(図6(a)参照)。よって、1日の実行された平均実行回数(操作基準値)として5回が算出される。そして、操作基準値から固定の許容範囲値を取得する方法(許容範囲値算出方法2)を用いて許容範囲値を算出する(図8(a)参照)。詳細には、算出した平均実行回数が5回であり、図8(a)の実行回数が0〜10の範囲であるため、範囲減算値「0」、範囲加算値「2」が決定され、平均実行回数および範囲減算値・範囲加算値を用いて許容範囲値を算出すると、最大値「7」・最小値「5」となる(図9(a)参照)。
【0087】
次に、実行周期に係る許容操作範囲値の算出について説明する。抽出した操作ログ情報を用いて、日毎の端末「ABC12345」の動作時間(起動していた時間)を算出する。日毎の端末動作時間(「時間:分」)は、「7:56」、「8:07」、「7:39」、「8:03」、「7:58」、「7:56」、「8:18」、「7:57」、「8:00」、「8:00」となる(図6(b)参照)。抽出した日毎の動作時間を上述で計数した日毎の実行回数で除算した値(実行周期)を算出すると、「1:35」、「2:01」、「1:54」、「1:36」、「1:19」、「1:08」、「1:23」、「1:59」、「1:36」、「2:00」となる(図6(a)参照)。この結果から平均実行周期(操作基準値)として「1:39」が算出される。そして、操作基準値から固定の許容範囲値を取得する方法(許容範囲値算出方法2)用いて許容範囲値を算出する(図8(c)参照)。詳細には、平均実行周期「1:39」であるため、図8(c)の実行周期が1:00〜2:00の範囲にあたり、範囲減算値「0:20」、範囲加算値「0:20」が決定され、平均実行周期および範囲減算値・範囲加算値を用いて許容範囲値を算出すると、最大値「1:59」、最小値「1:19」となる(図9(a)参照)。
【0088】
上述のように算出された平均実行回数と平均実行周期との許容操作値を許容操作範囲情報に設定し、その許容操作範囲情報を不正操作判定部15に通知する。
【0089】
操作状況生成部13は、操作ログ情報記憶部12から特定期間における判定対象の端末Bの操作ログ情報を抽出し、その操作ログ情報を用いて判定対象の端末Bの操作状況を示す操作状況情報を生成する。そして、生成した操作状況情報を不正操作判定部15に通知する(S103)。
【0090】
上述の動作について、特定期間を11日目の1日間とした場合を用いて具体的に説明する。
【0091】
操作状況生成部13は、操作ログ情報から端末「ABC12345」の11日目の操作ログ情報を抽出する。そして、抽出した操作ログ情報を用いて、11日目の操作内容「複製」に関する実行回数と実行周期を算出する。算出は、許容操作範囲情報生成部12と同様に算出を行う。よって、算出された操作状況値は、実行回数「10」、実行周期「0:39」となる(図10(a)参照)。そして、算出された操作状況値を操作状況情報として不正操作判定部15に通知する。
【0092】
不正操作判定部15は、操作状況情報と許容操作範囲情報とを比較し、操作状況が許容操作範囲内であるかによって不正操作の可能性を判定する(S104)。
【0093】
上述の動作について具体的に説明する。不正操作判定部15は、操作状況情報として、実行回数「10」、実行周期「0:39」を取得し、許容操作範囲情報として、実行回数の最大値「7」・最小値「5」と実行周期の最大値「1:59」・最小値「1:19」を取得する。そして、実行回数および実行周期のそれぞれについて比較を実行する。
【0094】
不正操作判定部15は、操作状況情報の実行回数が許容操作範囲情報の実行回数の範囲内に含まれているかを比較する。比較の結果は、「範囲外」となる。次に、操作状況情報の実行周期が許容操作範囲情報の実行周期に含まれているかを比較する。比較の結果は、「範囲外」となる。
【0095】
続いて、不正操作判定部15は、比較結果が「範囲外」である比率を算出する。本実施例では比較結果が「範囲外」である比率は100%である。よって、不正操作の可能性の判定結果は100%となり、この判定結果を制御部16に通知する。
【0096】
制御部16は、不正操作判定部15の判定結果に基づいて制御を実行する(S105)。
【0097】
制御部16は、判定結果として不正操作である可能性を示す比率を取得し、その判定結果と予め設定されているしきい値とから判定される制御内容を実行する(図11(a)参照)。また、制御を実行するとともに判定結果を操作判定記憶部(図示せず)に記憶する。
【0098】
具体的には、制御部16は、判定結果として100%を不正操作判定部15から取得したため、その判定結果に対応する制御内容が操作制限(操作禁止)の制御指示を端末「ABC12345」に通知する、管理者への通知として管理サーバAに表示装置3に表示する、といった制御を実行することとなる。
【0099】
そして、端末「ABC12345」の制御指示受信部24は、管理サーバAから操作制限(操作禁止)を受信すると、端末「ABC12345」に接続されている入力装置のキーボードやポインティングデバイスからの入力操作を禁止するように端末制御部21に通知する。そして、端末制御部21は、入力装置からの入力操作を禁止にする。
【0100】
また、制御部16は、管理サーバAに表示装置3に通知画面を表示する(図12参照)。管理サーバAの表示装置3に表示された画面を確認した管理者は、表示画面の内容にしたがって所望の処理を実行させることができる。本実施例では、端末「ABC12345」の電源OFF、操作制限の解除、警告画面の表示などを選択させ、それぞれに応じた制御を端末「ABC12345」に制御指示として送信させることができる。
【0101】
本実施例のように構成する事により、端末B毎に行われている操作が異なる場合であったとしても、端末B毎の操作に合せて許容できる操作の範囲を変化させる事で、高い精度で不正操作の可能性の判定を行うことができる操作監視システムが可能となる。たとえば、定型的な操作のみが行われている端末Bでは、許容できる操作の範囲を狭くし、そうでない端末Bにおいては、許容できる操作の範囲を広くする、となり端末特有の操作に適応した判定が可能となる。
【0102】
さらに、本実施例では、許容操作範囲情報、操作状況情報の生成において、操作内容を用いたがこれに限らず、操作ログ情報の操作対象や付加情報を用いてもかまわない。例えば、操作対象を用いた場合は、Webサイトの閲覧や閲覧時間、共有フォルダのアクセスやアクセス時間、アプリケーションの実行・実行時間などを用いて判定することができる(図6(c)、図7(c)、図8(c)、図9(c)、図10(c)参照)。また、例えば、付加情報を用いた場合は、データのダウンロード量、印刷ページ数、ファイル数、ファイルサイズなどを用いて判定することもできる(図6(d)、図7(d)、図8(d)、図9(d)、図10(d)参照)。
【0103】
さらに、本実施例では、許容操作範囲情報、操作状況情報の生成において、操作内容のみを用いて一致する操作ログ情報の判定をしたがこれに限らず、操作ログ情報に含まれる操作内容、操作対象情報、付加情報を組み合わせて一致する操作ログ情報の抽出・判定を行うようにしてもかまわない。一致する操作ログ情報についていくつかの例を以降に示す。操作内容「複製」かつ操作対象情報「複製先フォルダが自端末」を含む操作ログ情報、操作内容「複製」かつ操作対象情報「複製元フォルダが共有フォルダ」を含む操作ログ情報、操作内容「複製」かつ操作対象情報「外部記憶媒体」を含む操作ログ情報、操作内容「メール送信」かつ操作対象情報「送信先メールアドレスが所定のドメイン以外」を含む操作ログ情報、などである。これらは、一例であって限定されるものではなく、いかなる組み合わせで有ってもかまわない。
【0104】
さらに、本実施例では、操作内容「複製」のみを用いて判定するようにしたが、複数の操作内容を一致する操作とみなして処理を行ってもかまわない。つまり、二以上操作をグループ化させておき、当該操作グループに含まれる操作の実行回数や実行周期を用いるようにしてもかまわない。また、操作内容だけでなく、操作対象情報、付加情報を用いてグループ化することも当然に可能である。
【0105】
さらに、本実施例では、許容操作範囲情報として最大値・最小値の両方を用いて説明をしたが、最大値もしくは最小値のいずれか一方が予め固定値として定められている場合には許容操作範囲情報として固定値で無い方のみを生成するようにしてもかまわない。つまり、たとえば実行回数を用いた場合に固定値として最小値「0」が予め設定されている場合には、最大値のみを生成し、最小値を生成しなくてもかまわない。
【0106】
また、判定結果をレポート形式に表示もしくは印刷するともできる。例えば、図21、図22に示すように判定の対象となった端末の不正操作の可能性を「○」「△」「×」といった視覚的にわかりやすい表示もしくは印刷をさせるようにすることもできる。さらに図21のように予め二以上の端末Bをグループ化(部署毎など)しておき、制御部16は当該グループ内の端末Bの不正操作の可能性について自動的に集計してレポート形式で表示させることもできる。この場合は、予め端末識別情報と所属などを示す属性情報とを関連付けた端末情報を端末情報記憶部(図示せず)に記憶させておくこととする。
【実施例2】
【0107】
本実施例では、端末Bの標準的な操作を判定する所定期間における標準偏差を算出し、その標準偏差を用いて許容操作範囲情報を生成する場合について説明する。
【0108】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。
【0109】
許容操作範囲生成部13は、操作ログ情報記憶部12から特定の端末Bの操作ログ情報を抽出し、端末Bにおける操作の標準偏差および平均値を算出する標準偏差算出手段と、標準偏差に応じて操作の許容範囲(最大値・最小値)を示す許容範囲値を算出し、その許容範囲値を許容操作範囲情報とする許容範囲値生成手段と、を備える。
【0110】
標準偏差算出手段は、まず、実施例1と同様に操作ログ情報を抽出し、単位時間毎の集計値を計数する。次に、この計数された情報を母集団とする標準偏差および平均値を算出する。例えば、図13(a)の操作内容が「複製」とすると、1日目から10日目までの10日間の実行回数として、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」を取得する。よって、この10日間のデータを母集団とする標準偏差「1.054(小数点4桁以下四捨五入)」が算出される。また、10日間の平均実行回数「5」が算出される。そして、算出した標準偏差と平均を許容範囲値生成手段に通知する。
【0111】
許容範囲値生成手段は、標準偏差算出手段から標準偏差および平均値を取得する。そして、予め定められている上限偏差値から最大値、下限偏差値から最小値を算出する。
【0112】
例えば、上述のとおり、標準偏差「1.054」、平均実行回数「5」が取得された場合において、予め、上限偏差値「70」、下限偏差値「30」が設定されているとする。まず、最大値の算出式として、最大値={(上限偏差値−50)×標準偏差}÷10+平均値であるため、最大値=7(小数点以下四捨五入)となる。同様に最小値={(上限偏差値−50)×標準偏差}÷10+平均値であるため、最小値=3(小数点以下四捨五入)となる。よって、許容操作範囲情報として、最大値「7」・最小値「3」が生成される。
【0113】
本実施例のように構成する事により、操作のばらつきに応じた不正操作の判定を行うことができる操作監視システムが可能となる。つまり、操作がばらついている場合は、許容範囲が広く設定されるようになり、操作がばらついていない場合には、許容範囲が狭く設定されるようになる。
【実施例3】
【0114】
上述の実施例1においては、許容操作範囲情報を生成する際に操作基準値を生成し、その操作基準値に対応する最大値および最小値を許容範囲設定値記憶部から取得するようにしたが、本実施例では、端末Bの操作ログ情報を抽出した期間内における最大値および最小値を抽出し、その値を用いて許容操作範囲情報として生成する場合について説明する。
【0115】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。
【0116】
許容操作範囲生成部13は、操作ログ情報記憶部12から特定の端末Bの操作ログ情報を抽出し、端末Bにおける操作の最大値および最小値を抽出し、抽出した最大値および最小値を許容操作範囲情報とする許容範囲値抽出手段、を備える。
【0117】
許容操作範囲抽出手段は、まず、実施例1と同様に操作ログ情報を抽出し、単位時間毎の集計値を計数する。次に、この計数された情報から最大値および最小値を抽出する。例えば、図6(a)において操作内容「複製」の場合、1日目から10日目までの10日間の実行回数として、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」が取得できる。よって、最大値「7」と最小値「4」が抽出される。この抽出された最大値および最小値を許容操作範囲情報とする。
【0118】
本実施例のように構成する事により、操作基準値から許容操作範囲情報を求める手順が省略されるため、判定にかかる処理の負荷を軽減する効果も得ることができる。
【実施例4】
【0119】
本実施例では、操作状況情報の操作状況値において、特定期間内の最大値と最小値を抽出し、それぞれの最大値同士および最小値同士を比較する場合について説明する。
【0120】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。
【0121】
操作状況生成部14は、特定期間における端末Bの操作ログ情報を抽出し、抽出した操作ログ情報から端末Bの操作状況を示す操作状況値として最大値・最小値を計数する。そして、生成された操作状況値を操作状況情報として不正操作状況判定部15に通知する。
【0122】
不正操作状況情報15は、許容操作範囲生成部13から許容操作情報を取得し、操作状況情報判定部14から操作状況情報を取得する。そして、許容操作範囲情報の最大値・最小値と操作状況情報の最大値・最小値とを比較する。そして、比較結果を制御部16に通知する。
【0123】
上述の処理について、図9(c)、図10(c)を用いて具体的に説明する。なお、特定期間は11日目および12日目の2日間、操作内容「Webページアクセス」かつ操作対象情報「WebサイトD」のWebページ、の操作状況値は実行回数(操作状況値1)として判定を行うものとする。
【0124】
許容操作範囲生成部13は、操作対象「WebサイトD」の許容操作範囲情報を実施例1と同様な方法を用いて生成し、許容操作範囲値の最大値「6」・最小値「4」を取得する(図9(c)参照)。そして、生成した許容操作範囲値は、許容操作範囲情報として不正操作判定部15に通知される。
【0125】
次に、操作状況生成部16は、特定期間11日目と12日目における操作対象「WebサイトD」に対するアクセスの実行回数を計数し、11日目の実行回数「10」、12日目の実行回数「14」を取得する(図10(c)参照)。よって、操作状況値は、最大値「14」・最小値「10」となる。そして、生成した操作状況値を操作状況情報として不正操作判定部15に通知する。
【0126】
不正操作判定部15は、許容操作範囲情報と操作状況情報とを取得する。続いて、許容操作範囲情報の最大値「6」と操作状況情報の最大値「14」とを比較する。比較の結果、操作状況情報の最大値が許容操作範囲情報を超えていると判定される。次に、許容操作範囲情報の最小値「4」と操作状況情報の最小値「5」とを比較する。比較の結果、操作状況情報の最小値は、許容操作範囲情報の最小値よりも大きいため、許容範囲を超えていないと判定できる。
【0127】
不正操作判定部15は、上述の最大値・最小値の比較結果から不正操作の可能性は50%と判定することができる。
【0128】
本実施例のように構成する事により、許容操作範囲情報を算出する際に操作基準値を算出する必要が無くなり、処理の負荷を軽減する効果を得るとともに上述の実施例と同様に各端末の操作に基づいた判定を行うことができる。
【実施例5】
【0129】
本発明は、端末Bの環境情報を加味して判定を行うように構成することもできる。つまり、操作ログ情報を用いて、端末Bのハードウェア・ソフトウェアの環境に関する情報を判定し、端末Bの環境に合わせた許容操作範囲情報・操作状況情報を生成するように構成することもできる。
【0130】
上述の環境情報とは、端末Bのハードウェアもしくはソフトウェアに関する情報のことをいい、具体的には、ネットワークの接続状況、外部機器の接続状況、ソフトウェアのインストール状況などに関する情報である。ネットワークの接続状況とは、例えば、有線ネットワーク接続中(LANケーブルを用いた接続)、無線ネットワーク接続中、イントラネットへの接続中、インターネットへの接続中、未接続などといった情報である。外部機器の接続状況とは、外部記憶媒体、プリンタ、スキャナなどとの接続を示す情報である。ソフトウェアのインストール状況とは、端末B内に有る実行モジュール・実行プログラムなどのインストール情報である。
【0131】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。
【0132】
〔実施例5−構成〕
本発明の操作監視システムは、さらに環境情報生成部(図示せず)および環境情報記憶部(図示せず)を備えている。
【0133】
環境情報生成部は、端末Bの操作ログ情報取得部11から操作ログ情報を取得し、取得した操作ログ情報に基づいて環境情報を生成し、環境情報記憶部に記憶する。この環境情報は、操作ログ情報の操作内容、操作対象情報、付加情報等を用いて端末Bの環境に関する情報を判定して生成される。
【0134】
操作ログ情報取得部11は、端末Bから操作ログ情報を取得すると、環境情報記憶部に保存されている環境情報を操作ログ情報に関連付けて操作ログ情報記憶部12に記憶する。
【0135】
許容操作範囲生成部13は、操作ログ情報記憶部12から標準的な操作を判定するための期間の操作ログ情報を抽出し、各操作ログ情報に含まれる操作内容、操作対象情報、付加情報および環境情報を用いて許容操作範囲情報を生成する。具体的には、操作ログ情報毎に含まれる環境情報に応じて、予め環境情報毎に定義されているリスクポイントを判定する。そして、操作内容・操作対象情報・付加情報およびリスクポイントを用いて操作ログ情報の操作ポイントを算出し、その操作ポイントを集計した値を用いて許容操作範囲値を生成する。
【0136】
操作状況生成部14は、操作ログ情報記憶部12から特定期間の操作ログ情報を抽出し、各操作ログ情報に含まれる操作内容、操作対象情報、付加情報および環境情報を用いて操作状況情報を生成する。具体的には、操作ログ情報毎に含まれる環境情報に応じて、予め環境毎に定義されているリスクポイントを判定する。そして、操作内容・操作対象情報・付加情報およびリスクポイントを用いて操作ログ情報の操作ポイントを算出し、その操作ポイントを集計した値を用いて操作状況値を生成する。
【0137】
〔実施例5−処理プロセス〕
次に本実施例の処理プロセスの一例を、図3の機能ブロック図、図4のフローチャート等を用いて説明する。なお、以下の説明では、判定対象の端末B「ABC12345」がネットワークNを介して管理サーバAと接続され、本操作の判定に用いる操作内容は「複製」、操作状況値は実行回数(操作状況値1)を用いる。そして、環境情報はネットワーク接続状況を用いることとする。
【0138】
操作ログ情報取得部11は、端末Bから操作ログ情報を取得すると環境情報生成部に操作ログ情報を通知する。また、環境情報記憶部から環境情報を抽出し、取得した操作ログ情報と関連付けて操作ログ情報記憶部12に記憶する(S101)。操作ログ情報記憶部12に記憶された操作ログ情報を図14に模式的に示す。
【0139】
環境情報生成部は、操作ログ情報取得部11から操作ログ情報を取得し、取得した操作ログ情報から抽出したネットワーク接続状況を環境情報として取得する。この環境情報の一つであるネットワーク接続状況について具体的に説明する。たとえば、操作内容「ネットワーク接続」、操作対象情報「有線接続」、付加情報「インターネット接続」を含む操作ログ情報を取得した場合、ネットワーク接続状況「有線ネットワーク接続中(インターネット)」と判定し、その内容を環境情報として生成する。また、操作内容「ネットワーク切断」、操作対象情報「有線接続」、付加情報「インターネット接続」を含む操作ログ情報を取得した場合、ネットワーク接続状況「有線ネットワーク未接続」と判定し、その内容を環境情報として生成する(図15参照)。
【0140】
許容操作範囲生成部13は、標準的な操作を判定するための所定期間の操作ログ情報を抽出し、その操作ログ情報とそれに関連する環境情報とに応じて操作ポイントを算出する。そして、操作ポイントを用いて許容操作範囲情報を生成する(S102)。
【0141】
上述の処理を具体的に説明すると、取得した操作ログ情報のうち、操作内容「複製」である操作ログ情報と環境情報(ネットワーク接続状況)とを抽出する。次に、環境情報(ネットワーク接続状況)の内容に応じてリスクポイントテーブル(図16参照)からリスクポイントを取得し、そのリスクポイントをその操作ログ情報の操作ポイントとする。例えば、操作ログ情報が図14(a)で有った場合、環境情報(ネットワーク接続)「有線ネットワーク接続中(インターネット)」であるため、リスクポイントは「2」となる(図16参照)。よって、その操作ログ情報の操作ポイントは「2」となる。
【0142】
続いて、操作ログ情報毎の操作ポイントの算出を行った後、単位時間あたりの操作ポイントを集計する(図17参照)。そして、10日間における1日の操作ポイントの平均値は、「6.4」算出される。そして、この操作ポイントを用いて許容操作範囲情報が算出される。
【0143】
操作状況生成部14は、特定期間における操作ログ情報を取得し、その操作ログ情報と環境情報とに応じて操作ポイントを算出する。そして、操作ポイントを用いて操作状況情報を生成する(S103)。特定期間である11日目の操作ポイントは、10と算出される。
【0144】
本実施例のように構成する事によって、端末Bの環境に応じて不正操作であるかの判定をより厳密に行うことができるようになる。
【0145】
本実施例では、許容操作範囲情報および操作状況情報に環境情報を反映させて操作ポイントを算出するように構成したが、許容操作範囲情報または操作状況情報のいずれか一方に対してのみ環境情報を反映させるように構成してもかまわない。
【0146】
本実施例では、操作ログ情報を用いて環境情報を判定するとしたが、端末Bのハードウェア・ソフトウェアに関する情報を端末Bから取得し、その取得した情報に基づいて環境情報を生成するようにしてもかまわない。以下、具体的に説明する。
【0147】
端末制御部21は、端末Bのハードウェア構成およびインストールされているソフトウェアに関する情報を資産情報として取得する。そして、取得した資産情報をネットワークI/F20を介して管理サーバAに通知する。そして、管理サーバAは、端末Bから資産情報を取得し、環境情報として環境情報記憶部に記憶する。
【0148】
上述の処理について管理サーバAは、資産情報の送信要求を端末Bに指示する事によって端末Bから資産情報を取得するように構成しても良いし、端末Bが定期的に管理サーバAに資産情報を通知するように構成してもよい。
【0149】
また、本実施例では、操作ログ情報を端末Bから取得する毎に環境情報を生成し、操作ログ情報に関連付けて記憶するようにしたが、許容操作範囲生成部13および操作状況生成部14において操作ログ情報記憶部12から操作ログ情報を取得する毎に環境情報の生成しリスクポイントの取得を行うようにしてもかまわない。これによって、判定に使用する環境情報を予め関連付けて記憶する必要がなく、判定のために使用する環境情報を変更する事ができ、さまざまな環境情報に対する判定が可能となる。
【実施例6】
【0150】
上述の実施例では、許容操作範囲情報の生成を標準的な操作を判定するための任意の期間、操作状況情報の生成を任意の特定期間としたが、本実施例では、所定の操作ログ情報(基準操作ログ情報)の操作日時を基点とした一定の期間の操作ログ情報に基づいて許容操作範囲情報および操作状況情報を生成し、判定する場合について説明する。
【0151】
上述の基準操作ログ情報とは、操作ログ情報を取得する期間を決定するための基準となる操作ログ情報である。この基準操作ログ情報は、予め定められた条件に一致する操作ログ情報であるものとする。
【0152】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成部
または動作については、詳細な説明を省略する。
【0153】
〔実施例6−構成〕
許容操作範囲情報生成部13は、操作ログ情報記憶部12から操作ログ情報を順次取得し、取得した操作ログ情報と基準操作ログ情報とを比較する。そして、比較の結果、基準操作ログ情報と判定された場合、関連操作取得期間を判定し、その期間内に含まれる操作ログ情報を操作ログ情報記憶部12から抽出する。この一連の処理を標準的な操作を判定するための所定期間、繰り返し実行する。続いて、抽出した操作ログ情報に応じて集計を行い、許容操作範囲情報を生成する。
【0154】
上述の関連操作取得期間とは、基準操作ログ情報の操作日時を基準とした期間または時間範囲のことをいう。つまり、基準操作ログ情報の操作日時から操作ログ情報の取得を開始する日時および操作ログ情報の取得を終了する日時で示される期間のことである(図19参照)。なお、関連操作取得期間は、基準操作ログ情報の操作日時を基準として、それより以前・以後のいずれでも良い。さらに、関連操作取得期間には、特定の操作ログ情報の日時を含んでいても良いし、含まなくても良い。
【0155】
例えば、基準操作ログ情報の操作内容が「外部記憶媒体の検出」であり、関連操作取得期間が「基準操作ログ情報の0分前〜基準操作ログ情報の10分後」であったとする(図19参照)と、操作ログ情報記憶部12から取得した操作ログ情報の操作内容が「外部記憶媒体の検出」であるかを判定する。判定の結果、合致した場合は、その操作ログ情報以降の10分間の操作ログ情報を抽出する。つまり、図18の場合であれば、「開始A〜終了A]、「開始B〜終了B」の間の操作ログ情報が抽出されることとなる。そして、許容操作範囲情報生成部13は、取得した操作ログ情報に応じて操作の集計を行い、許容操作範囲情報を生成する。
【0156】
操作状況情報生成部14は、操作ログ情報記憶部12から操作ログ情報を取得し、その取得した操作ログ情報の操作内容と基準操作ログ情報の操作内容とを比較する。そして、比較の結果、基準操作ログ情報と判定された場合、予め定義されている関連操作取得期間に含まれる操作ログ情報を操作ログ情報記憶部12から抽出する。そして、抽出した操作ログ情報に基づいて集計を行い、操作状況情報を生成する。
【0157】
例えば、操作状況生成部14は、操作ログ情報記憶部12から順次取得した操作ログ情報の操作内容が「外部記憶媒体の検出」であるかを判定する。判定の結果、合致した場合は、その操作ログ情報以降の10分間の操作ログ情報を抽出する。つまり、図18の場合であれば、「開始C〜終了C]の間の操作ログ情報が抽出されることとなる。続いて、操作状況生成部14は、取得した操作ログ情報に応じて操作の集計を行い、操作状況情報を生成する。
【0158】
このように所定の操作ログ情報を基準とした一定の範囲に限定して操作ログ情報を抽出する事によって、所定の操作ログ情報と連動して行われる操作が不正操作であるかを判定することができるようになる。
【0159】
さらに本実施例では、基準操作ログ情報は、許容操作範囲生成部13および操作状況生成部14において、許容操作範囲情報および操作状況情報を生成するための操作ログ情報を操作ログ情報記憶部12から抽出するための期間を決定するための基準として用いていたが、基準操作ログ情報それ自体を用いて、その基準操作ログ情報が端末Bから出力された回数を用いて許容操作範囲情報および操作状況情報を生成するという構成としても構わない。
【実施例7】
【0160】
本実施例は、許容操作範囲情報と操作状況情報とを比較した結果から判定ポイントを生成し、その判定ポイントの累積を用いて制御を行う場合について説明する。
【0161】
上述の判定ポイントとは、端末Bで行われた操作について不正操作の可能性の度合いを累積した値のことをいう。言い換えると、許容操作範囲情報と操作状況情報との比較の結果に応じて求められたポイントを積算した値のことである。本実施例では、判定ポイントの値が大きいほど不正操作の可能性が高いと判定する。
【0162】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成部
または動作については、詳細な説明を省略する。
【0163】
〔実施例7−構成〕
本実施例において、本発明の操作監視システムは判定ポイント記憶部(図示せず)をさらに備えるものとする。
【0164】
操作ポイント記憶部は、不正操作判定部15において許容操作情報と操作状況情報との比較の結果に応じたポイントを積算した判定ポイントを記憶する。
【0165】
不正操作判定部15は、許容操作範囲情報と操作状況情報とを比較する。その比較結果、操作状況情報が許容操作範囲外である場合、比較判定に用いた対象に応じてポイントを決定する(図20参照)。そして、決定したポイントを判定ポイント記憶部から判定ポイントに加算する。ここで判定に用いた対象とは、操作ログ情報に含まれる操作内容、操作対象情報、付加情報などに対する実行回数、実行周期などを指す。
【0166】
制御部16は、判定ポイント記憶部から判定ポイントを取得する。取得した判定ポイントに応じて、端末Bに対する操作制御・警告通知や管理者端末に対する通知を行う(図11(b)参照)。
【0167】
さらに、不正操作判定部15は、判定ポイントを積算するだけでなく、所定のタイミングや周期的に判定ポイントを減算するようにすると好適である。つまり、不正操作判定部15において、不正な操作であると判定すると判定ポイントを加算し、不正な操作で無い(操作状況情報が許容操作範囲内である)と判定された場合、判定に用いた対象に応じてポイントを決定し、決定したポイントを判定ポイントから減算するようにしてもかまわない。これによって、継続的に不正な操作を行っている端末に対してのみ制御を行うことができるようになる。
【0168】
本実施例は、本システムを周期的に実行するようにすると好適である。また、それに限らず、管理者による指示や所定の操作ログ情報などの所定のタイミングで実行するようにしてもかまわない。
【0169】
本実施例は、判定ポイントが大きいほど不正操作の可能性が高いとしたがこれに限らず、判定ポイントが小さいほど不正操作の可の正が高いとなるようにしてもかまわない。この場合は、正常値であるポイント(最高ポイント)が判定ポイント記憶部に記憶されており、不正操作判定部16の結果に応じて記憶されている判定ポイントが減算され、減算された判定ポイントを用いて制御を行うように構成することも当然に可能である。
【実施例8】
【0170】
上述の実施例7では、判定ポイントを設け、判定ポイントの積算値に応じて制御を行う方法について説明したが、本実施例では、不正操作判定部15において判定ポイントが算出される毎に、判定ポイント記憶部に順次記憶し、その値の経時的な変化に応じて不正操作の可能性を判定し、制御を行うという方法について説明する。
【0171】
不正操作判定部15は、許容操作範囲情報と操作状況情報とを比較する。その結果、操作状況情報が許容操作範囲外であると判定された場合、判定に用いた対象に応じてポイントを決定する(図20参照)。そして、決定したポイントを判定ポイント記憶部に判定のタイミングを示す情報(例えば、○日目や操作日時など)とともに記憶する。
【0172】
次に、不正操作判定部15は、判定ポイント記憶部に判定のタイミングを示す情報毎に記憶されたポイントに基づいて、単位時間毎のポイントを集計し、不正操作の発生傾向を求め、その発生傾向に応じて不正操作の可能性の判定を行う。
【0173】
上述の不正操作の発生傾向とは、不正操作が増加傾向に有るもしくは減少傾向に有るといった傾向のことをいう。
【0174】
不正操作判定部15は、不正操作の発生傾向を算出する発生傾向算出手段と、発生傾向に基づいて不正操作の可能性の判定を行う判定手段とを備える。
【0175】
発生傾向算出手段は、判定ポイント記憶部からポイントを取得する。そして、取得したポイントから単位時間毎にポイントを集計する。そして、その集計されたポイントの変化の近似直線式を算出する。算出された近似直線式の傾き・切線を制御手段に通知する。つまり、例えば判定する期間が10日間の場合に、日毎にポイントを集計し、その10日間の日毎の集計されたポイントの近似直線式を算出する。そして、その近似直線式の傾き・切線を制御手段に通知する。
【0176】
発生傾向に近似直線式によって、例えば、傾きがプラス値である場合は増加傾向にあり、傾きがマイナス値で有る場合は減少傾向と判定できる。さらに傾きの絶対値が大きい場合(プラス値/マイナス値のいずれの場合でも)は、操作が急激に変化している事を示すため、不正操作の可能性が高い傾向にあると判断するようにしても良い。さらに、切線の大きさを用いて、継続的に不正操作が行われているとすることもできる。
【0177】
判定手段は、不正操作の発生傾向が増加傾向である、操作が急激に変化した、などの場合に不正操作の可能性が有るもしくは高いと判定し、などといった発生傾向に応じて不正操作の判定を行う。
【実施例9】
【0178】
上述の実施例では、操作ログ情報を用いて操作基準値を算出し、許容操作範囲情報および操作状況情報を求めていたが、取得した操作ログ情報が禁止操作であるかを判定し、その禁止操作の回数等を用いて操作基準値を算出し、許容操作範囲情報および操作状況情報を求めて、不正操作の判定を行うようにしてもかまわない。
【0179】
上述の禁止操作とは、端末Bにおいて実行が禁止もしくは制限されている操作のことである。
【0180】
具体的には、操作ログ情報取得部11において取得した操作ログ情報が禁止操作であるかを判定し、判定の結果を操作ログ情報記憶部12に記憶する。操作ログ情報記憶部12に記憶する際に、禁止操作の情報を操作ログ情報に関連付けると好適である。そして、その禁止操作の情報に基づいて許容操作範囲情報、操作状況情報を生成し、不正操作の判定を行う(図6(e)、図7(e)、図9(e)、図10(e)参照)。
【0181】
なお、禁止操作となる条件については、予め禁止となる操作内容、操作対象情報および付随情報などを定義し、記憶部等に記憶しておくと好適である。
【実施例10】
【0182】
本実施例では、操作ログ情報に含まれる各種データ量を示す情報を用いて判定する場合について説明する。具体的には、操作ログ情報の付加情報に含まれるデータ量、印刷ページ数、およびファイル数等の各種データ量を示す情報を抽出し、単位時間あたりのデータ量の積算値を用いて許容操作範囲情報および操作状況情報を生成し、不正操作の判定を行う。
【0183】
上述のデータ量を示す情報に関する例を以下に示す。操作ログ情報が操作内容「ファイルダウンロード」かつ付加情報「ダウンロードするデータ量」の場合のデータ量(図6(d)、図7(d)、図9(d)、図10(d)参照)、操作ログ情報が操作内容「印刷」かつ付加情報「印刷ページ数」の場合の印刷ページ数、操作ログ情報が操作内容「印刷」かつ付加情報「ファイル数」の場合のファイル数、操作ログ情報が操作内容「メール送信」かつ付加情報「添付ファイル数」の場合のファイル数、操作ログ情報の操作内容「メール送信」かつ付加情報「添付ファイルのデータ量」の場合の添付ファイルのデータ量などがある。なお、これらは、一例であって限定されるものではなく、いかなるデータ量を示す情報を用いてもかまわない。
【実施例11】
【0184】
上述の実施例では、端末識別情報を用いて端末毎に判定するように説明したが、操作ログ情報に含まれるユーザ識別情報を用いて判定することも当然に可能である。これによって、ユーザが端末を特定せずに使用している場合の不正操作を判定することができる。
【実施例12】
【0185】
本発明の操作監視システムの各機能・各構成は、管理サーバA、端末Bにおいて適
宜、分散配置しても良い。
【0186】
上述の構成の他、管理サーバAを設けず、端末Bに必要な構成部を設けるようにしても良い。具体的には、端末Bは、端末制御部21、操作ログ情報生成部22、操作ログ情報取得部11、操作ログ情報記憶部12、許容操作範囲生成部13、操作状況生成部14、不正操作判定部15、制御部16、を設けるようにすることで、端末Bのみで操作監視を行うことも可能である。これによって、管理サーバAに問い合わせる必要が無く、高速に処理を行うことができるようになる。
【0187】
なお分散配置のバリエーションはさまざまなパターンがあり、いかなる配置形態で
も良い。このように、管理サーバA、端末Bにおける処理について、ほかの端末やサー
バの機能を利用する場合には情報の送受信を行う情報送受信部を適宜設け、問い合わせの
送信・問い合わせの結果の受信を行うようにすることで実現するようにすると良い。
【符号の説明】
【0188】
A:管理サーバ
B:端末
C:周辺機器
1:演算装置
2:記憶装置
3:表示装置
4:入力装置
5:通信装置
11:操作ログ情報取得部
12:操作ログ情報記憶部
13:許容操作範囲生成部
14:操作状況生成部
15:不正操作判定部:
16:制御部
21:端末制御部
22:操作ログ情報生成部
23:操作ログ情報送信部
24:制御指示受信部
【技術分野】
【0001】
本発明は、コンピュータ端末におけるユーザの操作を監視する技術に関する。特に通常の操作と異なる操作が行われているかを監視する技術に関する。
【背景技術】
【0002】
多くの企業等では、業務に用いる機密情報をコンピュータシステムで管理している。そして、企業の従業員は、業務を行う際にコンピュータ端末を用いて機密情報にアクセスし利用している。この機密情報は、企業にとってきわめて重要であるため、情報漏洩が発生する事が無いようコンピュータ端末から機密情報へのアクセスに対してさまざまな対策を講じている。
【0003】
企業において機密情報の漏洩事故が発生する原因は、多種多様である。たとえば、企業内のネットワークに対して外部ネットワークからの不正侵入が原因となって発生する情報漏洩や、企業内のコンピュータ端末の操作が原因となって発生する情報漏洩などがある。特に企業内のコンピュータ端末の操作によって情報漏洩が発生するケースでは、情報漏洩を発生させるおそれのあるコンピュータ端末の操作に様々なものが考えられるため、一つの操作に絞って対策を立てることができないということもあり、きわめて対策が難しく深刻な問題となっている。例えば、正規の利用者による操作ではなくスパイウェア、ウィルスソフトウェア、又はファイル共有ソフトウェアなどの不正なソフトウェアによって操作が行われる場合や、悪意の有る利用者がコンピュータ端末を不正に使用して機密情報にアクセスする操作が行われる場合などが考えられる。このような情報漏洩に係る操作は、日常的な操作とは異なる操作によって行われる場合が多い。
【0004】
このような企業内のコンピュータ端末の不正な操作が原因となって発生する機密情報の漏洩を防止するために、コンピュータ端末の操作を監視するシステムや装置が考えられている。例えば、特許文献1のようにソフトウェアに対する動作のポリシー情報を記憶しておき、そのポリシー情報と監視対象ソフトウェアの動作とを比較する事で、正常動作からの乖離の有無を判定する技術が開示されている。
【0005】
また、特許文献2には、機器の操作履歴を用いて頻出操作パターンを抽出し、その頻出操作パターンとその後に行われた操作とを比較し、正常な操作であるか否かを判定する事ができる。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2006−53788
【特許文献2】特開2005−259160
【発明の概要】
【発明が解決しようとする課題】
【0007】
上述の特許文献1では、正常と判定するために予めポリシー情報の設定を行う作業や正常動作が保障された環境を用いて動作モデルを生成する必要があり、管理者にとって煩雑な作業が必要となっている。さらに、コンピュータ端末の利用者毎に操作方法が異なる場合に的確に監視することができない。また、システムリソースへのアクセス規則が決定した後では、アクセスが許可されている場合では操作に変化があっても検出することができない。
【0008】
また、上述の特許文献2も同様に、頻出操作パターンに一致する限りは正常とみなされるため、過去に行われた操作のパターン変化には対応できるが、それ以外の操作にかかる変化を検出する事ができない。
【0009】
本発明は、上記従来技術の問題点を解消し、コンピュータ端末に対する操作の変化から利用者が不正操作を行っていないかを判定することを課題とする。具体的には、コンピュータ端末の操作履歴を用いて許容できる操作範囲を生成し、更に生成した操作範囲を用いて、利用者が行うコンピュータ端末の操作について不正操作か否かを判定する技術を提供することを課題とする。
【課題を解決するための手段】
【0010】
本発明は、端末の動作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部と、前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成部と、前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成部と、前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定部と、を備える操作監視システムである。
【0011】
本発明のように構成する事により、端末で行われた操作から許容できる操作範囲を生成することができ、その許容できる操作範囲から外れた操作に対して不正操作の可能性を判定することができるようになる。これによって、端末の日常的な操作に合わせて不正操作の判定を行うことができる。
【0012】
許容操作範囲情報とは、端末の標準的な操作としての許容できる範囲を示す情報のことである。
【0013】
操作状況情報とは、特定の期間内の端末の操作を示す情報のことである。
【0014】
本発明の操作監視システムは、前記端末のソフトウェアまたはハードウェアの環境情報を記憶する環境情報記憶部をさらに備え、前記操作状況生成部は、前記抽出した操作ログ情報と当該操作ログ情報が生成された時点の環境情報とに基づいて、前記操作状況情報を生成する操作監視システムとして構成することもできる。
【0015】
本発明を上述のように構成することもできる。これによって、端末の環境を加味して端末の操作を示す情報を生成することができるため、端末によって行われている操作の状況をより正確に把握することができ、不正操作の可能性を判定する精度をさらに向上させることができる。
【0016】
環境情報とは、端末のハードウェアもしくはソフトウェアに関する情報のことをいい、具体的には、ネットワークの接続状況、外部機器の接続状況、ソフトウェアのインストール状況など、端末をとりまく周囲の要素が複合的に集まって作り出している状態に関する情報のことをいう。
【0017】
本発明の操作監視システムは、前記端末のソフトウェアまたはハードウェアの環境情報を記憶する環境情報記憶部をさらに備え、前記許容操作範囲生成部は、前記操作ログ情報記憶部の操作ログ情報と当該操作ログ情報の生成された時点の環境情報とに基づいて前記許容操作範囲情報を生成する操作監視システムとして構成することもできる。
【0018】
本発明を上述のように構成する事もできる。これによって、端末の使用環境を加味して許容できる操作範囲を決定することができるため、不正操作の可能性を判定する精度を更に向上させることができる。
【0019】
本発明の操作監視システムにおける前記操作状況生成部は、前記操作ログ情報記憶部に記憶される前記特定期間の操作ログ情報のうち、特定の操作を示す操作ログ情報の操作日時を基準とする所定期間における操作状況を示す操作状況情報を生成する操作監視システムと構成することもできる。
【0020】
本発明を上述のように構成する事により、特定の操作(リスクの高い操作など)に関連する操作を判定対象とする事ができるようになるため、特定の操作に関連する不正操作の可能性を判定できるようになる。
【0021】
上述の発明は、本発明のプログラムをコンピュータ端末に読み込ませて実行することで実現することもできる。すなわち端末の動作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部を備える操作監視システムのための操作監視プログラムであって、前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成機能と、前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成機能と前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定機能とをコンピュータに実現させる操作監視プログラムとして構成しても良い。
【0022】
この操作監視プログラムも、上述の操作監視プログラムと同様の作用効果を伴うものであり、上述した種々の特徴構成を備えることもできる。
【発明の効果】
【0023】
上述のように構成された本発明によれば、端末の操作履歴から許容できる操作範囲を生成し、そして端末の操作が許容できる範囲内であるか否かを判定する。そして、端末に対する操作の変化を把握し、不正操作が行われている可能性を判定する事ができ、情報漏洩を軽減する効果を得ることができる。
【図面の簡単な説明】
【0024】
【図1】本発明のシステム構成の概念を模式的に示す図。
【図2】本発明のハードウェア構成の概念を模式的に示す図。
【図3】本発明のシステムの機能ブロックを模式的に示す図。
【図4】本発明の処理プロセスを模式的に示すフローチャート。
【図5】操作ログ情報の一例を模式的に示す図。
【図6】操作ログ情報を集計した結果(許容操作範囲情報用)を模式的に示す図。
【図7】許容範囲設定値記憶部を模式的に示す図。
【図8】許容範囲設定値記憶部を模式的に示す図。
【図9】許容操作範囲情報を模式的に示す図。
【図10】操作ログ情報を集計した結果(操作状況情報用)を模式的に示す図。
【図11】不正操作判定の結果と制御内容を模式的に示す図。
【図12】表示装置の表示を模式的に示す図。
【図13】操作ログ情報を集計した結果(許容操作範囲情報用)を模式的に示す図。
【図14】操作ログ情報の一例を模式的に示す図。
【図15】環境情報を模式的に示す図。
【図16】環境情報とリスクポイントとの関係を模式的に示す図。
【図17】操作ポイントの集計した結果を模式的に示す図。
【図18】基準操作ログ情報と関連操作取得期間の関係を模式的に示す図。
【図19】基準操作ログ情報の条件と関連操作取得期間の内容を模式的に示す図。
【図20】操作内容とポイントを模式的に示す図。
【図21】表示装置の部署毎のレポート表示を模式的に示す図。
【図22】表示装置の端末毎のレポート表示を模式的に示す図。
【発明を実施するための形態】
【実施例1】
【0025】
〔実施例1−構成〕
以下、図面を用いて本発明の実施形態を説明する。図1は、本発明の操作監視システムの全体の構成図を示す。本発明は図1に示すように、管理サーバAが、通信ネットワークN(以下、「ネットワークN」という)を介して、複数のクライアント端末B(以下、「端末B」という)と接続されるという形で構成されている。
【0026】
ネットワークNは、企業や学校等の限られた施設内において情報を物理的に送るケーブルと、LANスイッチやハブ等でなる中継機器を備えたCSMA/CD(Carrier Sense Multiple Access with Collision Detection)方式のイーサネット(Ethernet)(商標)型のLANとして構成されたものであるが、このネットワークNとしてイーサネット型のLAN以外に、インターネットの技術を用いたイントラネットで構築されたものや、WAN(Wide Area Network)の技術によって構築されるものでも良い。
【0027】
図2は、管理サーバAのハードウェア構成の一例を模式的に示す。管理サーバAは、プログラムの演算処理を実行するCPU等の演算装置1と、情報を記憶するRAMやハードディスク等の記憶装置2と、演算装置1の処理結果や記憶装置2に記憶する情報をインターネットやLAN等のネットワークを介して送受信する通信装置5と、ディスプレイ(操作画面)等の表示装置3と、キーボードやマウスやテンキー等の入力装置4と、を少なくとも有している。端末上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュール等)が演算装置1に読み込まれることでその処理が実行される。各機能は、記憶装置2に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置2から読み出し、読み出した情報を適宜、演算装置1における処理に用いる。また、管理サーバAは、複数の端末に、その機能が分散配置されていても良い。
【0028】
端末Bのハードウェア構成は管理サーバAとほぼ同様で、図2に示したとおり、演算装置1と、記憶装置2と、表示装置3と、入力装置4と、通信装置5とを有している。
【0029】
図3は、本発明のファイル管理システムを構成する管理サーバAと端末Bの機能ブロック図を示す。本発明における各構成部及び各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上同一の領域を為していても良い。
【0030】
管理サーバAの内部には、ネットワークNを介して端末Bと様々な情報の送受信するためのネットワークI/F10、端末Bで行われた動作・制御を示す操作ログ情報を取得する操作ログ情報取得部11、取得した端末Bの操作ログ情報を記憶する操作ログ情報記憶部12、操作ログ情報から端末Bの標準的な操作の許容範囲を示す許容操作範囲情報を生成する許容操作範囲生成部13、特定期間における端末Bの操作状況を示す操作状況情報を生成する操作状況生成部14、許容操作範囲情報と操作状況情報とに基づいて不正操作の可能性を判定する不正操作判定部15、判定結果に基づいて各種制御を行う制御部16を備えている。
【0031】
端末Bの内部には、ネットワークNを介して管理サーバAと様々な情報を送受信するためのネットワークI/F20、端末Bにおける各種動作・制御を実行させる端末制御部21、端末Bにおいて実行された動作・制御の履歴を示す操作ログ情報を生成する操作ログ情報生成部22、生成された操作ログ情報を管理サーバAに送信する操作ログ情報送信部23、端末Bに対する各種の制御指示を受信する端末指示受信部24を備えている。
【0032】
通常、管理サーバA、端末Bの内部にある各構成部は、その処理を実行する手段(プログラムやモジュール等)がハードウェアに読み込まれることでその処理が実行されるが、これらをハードウェアとの組み合わせにより構成しても良いし、ロジック等を組み合わせたハードウェアのみで構成しても構わない。
【0033】
以下、図3に記載した本発明を構成する機能ブロック図に基づいて、各構成部の動作について説明する。
【0034】
端末制御部21は、端末Bにおける各種のハードウェア及びソフトウェアの動作・制御を行う。本実施例において端末の動作・制御とは、アプリケーション、OS、ミドルウェア、ファームウェアなどで実行されるあらゆる動作をさすものとする。
【0035】
操作ログ情報生成部22は、端末Bにおいて行われた動作・制御の履歴を示す操作ログ情報(後述)を生成する。操作ログ情報は、端末制御部21で行われた制御に基づいて生成される。
【0036】
操作ログ情報送信部23は、操作ログ情報生成部22で生成した操作ログ情報を管理サーバAに送信する。つまり、操作ログ情報はネットワークI/F20を介して管理サーバAに送信される。通常、操作ログ情報送信部23は、端末制御部21において動作や制御が実行される毎に生成される操作ログ情報を管理サーバAに送信する。また、前述の方法に限らず、所定のタイミングもしくは一定周期で管理サーバへ操作ログ情報の送信を行っても良く、操作ログ情報の生成と管理サーバAへの送信が同一タイミングで実行されなくても良い。
【0037】
操作ログ情報とは、端末Bにおいて、入力装置4を用いたユーザの操作やアプリケーション等の指示による発生した通知・要求に従って動作・制御が実行された履歴を示す情報である。具体的には、端末識別情報、ユーザ識別情報、操作日時、操作内容、操作対象情報、付加情報、等を含むものをいう。これら操作ログ情報に含まれる情報は一例であって限定されるものではなく、本発明の目的を達する限りにおいて、一部の情報のみを用いても良い。操作ログ情報の例を図5に模式的に示す。
【0038】
上述の操作日時には、本実施例では動作・制御が実行された日時が含まれるが、操作ログ情報が生成された日時でも良いし、管理サーバAに送信した日時でも良い。また、日時を数値化した値としてもかまわない。
【0039】
上述の操作内容とは、端末Bにおいて実行された内容であって、ミドルウェアまたはOS等において実行されるソフトウェアやハードウェア等の動作・制御の内容のことをいる。より具体的には、キー入力、ポインティングデバイスの操作(ボタン押下、移動など)、外部記憶媒体の着脱(検出・削除または接続・切断など)、外部出力機器(プリンタなど)との接続、ファイル操作(作成、削除、複製、移動、ファイル名変更、ファイル読み込み、ファイル書込み等)、フォルダ操作(作成、削除、複製、移動、フォルダ名変更等)、メール送信・受信、アプリケーション操作(起動、終了等)、ドライブの追加・削除・検知、ネットワークの接続・切断、IPアドレス変更、コンピュータ名変更、記憶媒体の書き込み、印刷、メディア作成(CD−R、DVD−R等の作成)、クリップボードへの複製、Webページアクセス、ファイルダウンロード、ファイルアップロード、端末起動・端末終了等を示す情報がある。なお、これらは一例であって限定されるものではない。
【0040】
上述の操作対象情報とは、操作内容に応じて実行される対象のことをいう。本実施例においては、端末Bによって操作または制御されたアプリケーションの識別情報(アプリケーション識別情報)、ファイルの識別情報(ファイル識別情報)、フォルダ情報、Webページアドレス、メールアドレス(送信先、送信元)、ネットワークの識別情報(ネットワークドメイン名などのネットワークを一義的に識別する情報)などが含まれる。前述の例以外であっても目的を達する限りにおいていかなる情報で有ってもかまわない。
【0041】
上述のアプリケーション識別情報とは、アプリケーションを一義的に識別可能な情報のことをいう。上述のファイル識別情報とは、ファイルを一義的に識別可能な情報のことをいう。上述のフォルダ情報とは、フォルダを一義的に識別可能な情報のことをいう。上述のWebページアドレスとは、一般的にURL(Uniform Resource Locatorの略)であり、ネットワーク上の情報資源、文書や画像などの場所を指し示す情報のことをいう。
【0042】
上述の付加情報とは、操作内容・操作対象情報にしたがって付加的に取得される情報のことをいい、操作内容によって、付加情報として取得される情報の内容が変わる。より具体的には、データ量、印刷ページ数、ファイル容量、ファイル数などがある。例えば、操作内容がファイルダウンロードであれば、ダウンロードを行ったデータ量などである。なお、これらは一例であって限定されるものではない。
【0043】
制御指示受信部24は、管理サーバAの制御部16によって決定された制御指示をネットワークI/F20を介して受信する。受信した制御指示は端末制御部21に通知される。
【0044】
操作ログ情報取得部11は、端末Bから送られてくる操作ログ情報をネットワークI/F10を介して取得する。
【0045】
操作ログ情報記憶部12は、操作ログ情報取得部11で取得した操作ログ情報を記憶する。操作ログ情報の記憶は、端末識別情報毎またはユーザ識別情報毎に記憶しても良い。さらに、操作ログ情報のをデータベース等を用いて記憶・管理するようにしても良い。
【0046】
許容操作範囲生成部13は、操作ログ情報記憶部12に記憶されている操作ログ情報から端末Bの標準的な操作の範囲を示す許容操作範囲情報を生成する。そして、生成した許容操作範囲情報を不正操作判定部15に通知する。なお、生成した結果を許容操作範囲情報記憶部(図示せず)に記憶させ、適時読み出して使用できるようにすると好適である。
【0047】
上述の許容操作範囲情報とは、操作ログ情報に基づいて端末Bの標準的な操作の範囲を数値化した値(許容範囲値)を含む情報のことをいう。この標準的な操作とは、端末使用者の日常的な範例となる操作のことをいう。許容操作範囲情報には、端末識別情報、許容範囲値などが含まれる。許容範囲値には、操作内容、操作対象情報、付加情報の平均実行回数、平均実行時刻、平均実行周期などが含まれる。許容操作範囲情報の具体的な例としては、操作ログ情報が示す任意の操作が実行された回数の範囲、実行された時刻の範囲、または実行された時間間隔の範囲などが挙げられる。ここでいう範囲には、少なくとも最大値または最小値を示す値が含まれているものとする。
【0048】
上述の許容操作範囲情報の生成方法について詳細に説明する。許容操作範囲生成部13は、操作ログ情報記憶部12から特定の端末Bの操作ログ情報を抽出し、端末Bにおける操作の基準値(操作基準値)を算出する操作基準値算出手段と、操作基準値に基づいて操作の許容範囲を示す許容範囲値を算出し、その許容範囲値を許容操作範囲情報とする許容範囲値生成手段と、を備える。
【0049】
上述の操作基準値算出手段は、まず、操作ログ情報記憶部12から特定の端末Bから出力された、標準的な操作を判定するための所定期間内における操作ログ情報を抽出する。標準的な操作を判定するための所定期間内は、当該端末Bの標準的な操作を判定することができるとユーザが判断した任意の期間としても良いし、予め定められた固定値で有っても良い。または、操作ログ情報記憶部12内に保存されている端末Bのすべての操作ログ情報を抜き出すことができるような期間であっても良い。さらに、所定期間を設定する方法以外にも、予め2つの特定の操作ログ情報を定めておき、その2つの操作ログ情報にはさまれた期間を、操作ログ情報抽出を行う所定期間とするという方法も考えられる。
【0050】
次に、操作基準算出手段は、抽出した操作ログ情報に応じて操作基準値を算出する。この算出する操作基準値としては、(1)単位時間における任意の操作の実行回数の平均値(平均実行回数)、(2)任意の操作の実行時刻の平均値(平均実行時刻)、(3)任意の操作の実行の時間間隔の平均値(平均実行周期)などがある。以下、それぞれについて説明する。
【0051】
〔操作基準値1(平均実行回数)〕
平均実行回数とは、抽出した操作ログ情報を用いて、同じ操作内容に関して単位時間においてに実行された実行回数の平均値を算出して求める操作基準値のことをいう。例えば、図6(a)のように同じ操作内容について1日毎の実行回数を算出していたとする。操作内容「複製」の場合、1日目から10日目までの各日の実行回数として、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」が取得できる。そして、この取得した10日間の実行回数から1日間の平均実行回数「5」を算出する。
【0052】
〔操作基準値2(平均実行時刻)〕
平均実行時刻とは、抽出した操作ログ情報を用いて、同じ操作内容に関してその操作内容が実行された操作日時から実行時刻の平均値を算出して求める操作基準値のことをいう。例えば、図6(b)のように操作内容「端末起動」の1日目から10日目までの各日の実行時刻(「時:分」)を、「8:59」、「8:55」、「9:06」、「8:56」、「9:02」、「9:04」、「8:58」、「9:01」、「9:05」、「9:05」と取得していたとする。そして、この取得した10日間の実行時刻から平均実行時刻「9:01」を算出する。
【0053】
〔操作基準値3(平均実行周期)〕
平均実行周期とは、抽出した操作ログ情報を用いて、同じ操作内容が実行される時間間隔の平均を算出して求める操作基準値のことをいう。本実施例では、端末の動作時間において実行された実行回数に基づいてその操作内容の実行周期を算出し、実行周期の平均値を算出する。例えば、図6(a)(b)のように、単位時間を端末Bの動作時間(起動〜終了までの時間)とした場合における同じ操作内容の実行回数から実行周期を算出する。つまり、1日目から10日目までの10日間の実行周期(「時間:分」)は、「1:35」、「2:01」、「1:54」、「1:36」、「1:19」、「1:08」、「1:23」、「1:59」、「1:36」、「2:00」と取得できる。そして、この取得した実行周期から平均実行周期「1:39」を算出する。
【0054】
上述に操作基準値の算出内容について記載したが、これに限らず、本発明の目的を達する限りにおいて、いかなる方法および情報を用いても良い。また、上述の同じ操作内容の算出において、特定の操作を予め決定しておき、その操作内容を含む操作ログ情報に対して算出するようにしてもかまわない。
【0055】
続いて、算出された操作基準値は、許容範囲値生成手段に通知される。
【0056】
許容範囲値生成手段は、取得した操作基準値を使用し許容範囲値を生成する。そして、生成された許容範囲値を許容操作範囲情報として不正操作判定部16に通知する。
【0057】
許容範囲値の生成方法として、(1)操作基準値から固定の許容範囲値を取得する方法、(2)操作基準値から許容範囲値を算出する方法、(3)操作基準値に対する割合から許容範囲値を算出方法、などがある。以降にそれぞれについて詳細に説明する。
【0058】
〔許容範囲値算出方法1〕
操作基準値から固定の許容範囲値を取得する方法とは、予め操作基準値にかかる許容範囲値を許容範囲設定値記憶部(図示せず)に記憶させ、取得した操作基準値に応じた許容範囲値を取得するという方法のことをいう。例えば、図7(a)が許容範囲設定値記憶部に記憶されている場合に、操作基準値が操作内容における平均実行回数「5」とすると、許容範囲値は、最大値「15」、最小値「0」が取得される。
【0059】
〔許容範囲値算出方法2〕
操作基準値から許容範囲値を算出する方法とは、予め操作基準値にかかる範囲加算値と範囲減算値とを許容範囲設定値記憶部に記憶させ、取得した操作基準値に範囲加算値の加算を行った値を許容範囲値の最大値とし、範囲減算値の減算を行った値を許容範囲値の最小値として算出する方法のことをいう。例えば、図8(b)が許容範囲設定値記憶部に記憶されている場合に、操作基準値が操作内容「端末起動」における平均実行時刻(「時:分」)「9:01」とすると、許容範囲値は、最大値「9:11」、最小値「8:51」が取得される。
【0060】
〔許容範囲値算出方法3〕
操作基準値に対する割合から許容範囲値を算出方法とは、予め許容割合を用いて、取得した操作基準値に許容割合を乗じて許容範囲値を取得する方法のことをいう。許容割合とは、操作基準値に対して許容できる範囲の最大値・最小値を示す割合である。例えば、予め操作基準値に対して60%〜120%が許容範囲となる許容割合が定義されている場合に、操作基準値が操作内容における平均実行回数「5」とすると、許容範囲値は、最大値「6」、最小値「3」が取得される。
【0061】
上述のように算出された許容範囲値は、許容操作範囲情報として不正操作判定部15に通知される。また、通知とともに許容操作範囲情報記憶部(図示せず)に記憶すると良い。
【0062】
なお、上述では平均実行回数と平均実行時刻に対する例を説明したがこれに限らず、他の情報として、例えば、平均実行周期、平均終了時刻、平均動作時間などを用いることもできる。
【0063】
さらに、2以上の許容操作範囲情報を算出し、不正操作判定部15に通知するようにしてもかまわない。
【0064】
操作状況生成部14は、操作ログ情報記憶部12内の特定期間における端末Bの操作ログ情報を抽出し、抽出した操作ログ情報から端末Bの操作状況を示す操作状況情報を生成する。そして、生成した操作状況情報を不正操作判定部15に通知する。
【0065】
上述の操作状況情報とは、特定の期間内の操作ログ情報に基づいて端末Bの操作を数値化した値(操作状況値)を含む情報のことである。操作状況情報には、端末識別情報、操作状況値などが含まれる。操作状況値には、操作内容、操作対象情報、付加情報の実行回数、実行時刻、実行周期などが含まれる。
【0066】
上述の特定期間は、端末Bの操作の傾向や状況を判断するために必要な期間である。具体的には、1日、または1時間などといった期間が設定される。また、さらに企業などにおいて業務時間(例えば、9時〜17時の8時間)、休日(例えば、土曜日、日曜日の2日)といった期間を用いても良い。通常、特定期間は許容操作範囲情報を生成するための期間より短い期間となる。また、特定期間は、許容操作範囲情報を生成するための期間に含まれない期間が好適であるが、特定期間を含んでもかまわない。
【0067】
操作状況生成部14において生成する操作状況値には、(1)特定期間の実行回数、(2)特定期間の実行時刻、(3)特定期間の実行周期、などがある。
【0068】
〔操作状況値1(実行回数)〕
特定期間の実行回数は、抽出した操作ログ情報を用いて、特定期間内に同じ操作内容が単位時間当たりに実行された回数を算出し、操作状況値として生成する。一例として、図10(a)のように11日目の1日間の操作ログ情報が抽出された場合、操作内容「複製」の操作状況値(実行回数)「10」が生成される。
【0069】
〔操作状況値2(実行時刻)〕
特定期間の実効時刻は、抽出した操作ログ情報を用いて、特定期間内に所定の操作内容が実行された操作日時を抽出し、操作状況値として生成する。一例として、図10(b)のように11日目の1日間の操作ログ情報が抽出された場合、操作内容「端末起動」の操作状況値(実行時刻)「10:30」が生成される。なお、特定期間内に所定の操作内容を含む操作ログ情報が抽出された場合は、平均の実行時刻としてもかまわない。
【0070】
〔操作状況値3(実行周期)〕
特定期間の実行周期は、抽出した操作ログ情報を用いて、特定期間内に同じ操作内容が単位時間当たりに実行された回数から実行周期を算出し、操作状況値として生成する。一例として、図10(a)のように11日目の1日間の操作ログ情報が抽出された場合、操作内容「複製」の操作状況値(実行周期)「00:39」が生成される。
【0071】
本実施例では、特定期間と単位時間が等しいとして記載したが、特定期間と単位時間が異なる場合で有っても良い。操作状況生成部16は、操作状況値を単位時間あたりに換算して算出する。
【0072】
上述のように生成された操作状況値は、操作状況情報として不正操作判定部15に通知される。また、生成された2以上の操作状況情報を不正操作判定部15に通知するようにしてもかまわない。
【0073】
不正操作判定部15は、許容操作範囲生成部13で生成された許容操作範囲情報を取得するとともに、操作状況生成部14から操作状況情報を取得する。そして、取得した許容操作範囲情報と操作状況情報とを用い、操作状況情報が許容操作範囲内であるかを比較し不正操作の可能性を判定する。そして、その判定結果を制御部16に通知する。
【0074】
上述の処理を具体的に説明すると、取得した許容操作範囲情報から許容範囲値の最大値及び最小値を抽出し、取得した操作状況情報の操作状況値がその範囲内であるかを比較する。比較の結果、範囲内である場合は、判定結果を「問題なし」とし、範囲外である場合は、判定結果を「不正操作」とする。
【0075】
また、不正操作判定部15は、不正操作である可能性の判定を1つの情報の比較結果に基づいて行っても良いし、複数の情報に基づいて行っても良い。つまり、実行回数、実行周期、実行時刻などいずれかの1つのみで判定しても良いし、それぞれを組み合わせて判定するようにしてもかまわない。
【0076】
たとえば、複数の情報で判定を行う場合には、各情報において「範囲内」もしくは「範囲外」であるかを比較し、「範囲内」の情報数と「範囲外」の情報数を用いて判定する。判定の方法として、「範囲内」の情報数が所定値より多い場合に判定結果を「問題なし」とする、「範囲外」の情報数が所定数以下の場合に判定結果を「問題なし」にする、「範囲内」「範囲外」のそれぞれの比率を算出し、「範囲内」が所定比率以上であった場合に判定結果を「問題なし」にする、などが考えられる。また、それぞれの情報数もしくは比率を判定結果として制御部16に通知するようにしても良い。
【0077】
また、許容操作範囲情報を許容操作範囲情報記憶部(図示せず)から取得するようにしてもかまわない。これによって、許容操作範囲生成部13で予め生成されている許容操作範囲情報を活用する事ができるため、処理の軽減を行うことができるようになる。
【0078】
制御部16は、不正操作判定部15から判定結果を取得し、その判定結果に応じて制御の内容を決定する。決定した制御内容は、端末Bに制御指示として送信する。具体的には、当該端末Bに対して、不正操作が行われた事を端末Bの表示装置3に表示する、端末Bの操作制限を行う、などの制御を指示する情報をネットワークI/F10を介して送信する。
【0079】
また、端末Bに対する制御指示ではなく、管理者端末(所定の端末B)へ通知する、管理サーバAの表示装置に表示する、判定結果を操作判定結果記憶部(図示せず)に記憶する、レポート形式にして管理端末への表示もしくは印刷する、などの制御を実行しても良い。
【0080】
〔実施例1−処理プロセス〕
次に本発明の操作監視システムの処理プロセスの一例を、図3の機能ブロック図、図4のフローチャート等を用いて説明する。なお、以下の説明では、判定対象の端末B「ABC12345」がネットワークNを介して管理サーバAと接続され、操作の判定には操作内容「複製」の実行回数および実行周期を用いることとする。
【0081】
端末Bの操作ログ情報送信部23は、操作ログ情報生成部22で生成された端末において実行された操作を示す操作ログ情報を管理サーバAに送信する。
【0082】
管理サーバAは、操作ログ情報取得部11によって端末Bの操作ログ情報を取得し、操作ログ情報記憶部12に記憶する(S101)。
【0083】
許容操作範囲生成部13は、操作ログ情報記憶部12から判定対象である端末Bの操作ログ情報を抽出し、その操作ログ情報を用いて判定対象の端末Bの標準的な操作である許容操作範囲情報を生成する。そして、生成した許容操作範囲情報を不正操作判定部15に通知する(S102)。
【0084】
上述の動作について、操作ログ情報記憶部12から標準的な操作を判定するための期間を10日間とした場合を用いて具体的に説明する。
【0085】
許容操作範囲生成部13は、操作ログ情報から端末「ABC12345」の10日分の操作ログ情報を抽出する。そして、抽出した操作ログ情報を用いて、日毎の実行回数と実行周期とに係る許容操作範囲値を算出する。
【0086】
まず、日毎の実行回数に係る許容操作範囲値の算出について説明する。抽出した操作ログ情報から操作内容「複製」を示す操作ログ情報が日毎に何回実行されたのかを計数する。計数の結果、1日目から10日目の日毎に操作内容「複製」が実行された回数は、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」となる(図6(a)参照)。よって、1日の実行された平均実行回数(操作基準値)として5回が算出される。そして、操作基準値から固定の許容範囲値を取得する方法(許容範囲値算出方法2)を用いて許容範囲値を算出する(図8(a)参照)。詳細には、算出した平均実行回数が5回であり、図8(a)の実行回数が0〜10の範囲であるため、範囲減算値「0」、範囲加算値「2」が決定され、平均実行回数および範囲減算値・範囲加算値を用いて許容範囲値を算出すると、最大値「7」・最小値「5」となる(図9(a)参照)。
【0087】
次に、実行周期に係る許容操作範囲値の算出について説明する。抽出した操作ログ情報を用いて、日毎の端末「ABC12345」の動作時間(起動していた時間)を算出する。日毎の端末動作時間(「時間:分」)は、「7:56」、「8:07」、「7:39」、「8:03」、「7:58」、「7:56」、「8:18」、「7:57」、「8:00」、「8:00」となる(図6(b)参照)。抽出した日毎の動作時間を上述で計数した日毎の実行回数で除算した値(実行周期)を算出すると、「1:35」、「2:01」、「1:54」、「1:36」、「1:19」、「1:08」、「1:23」、「1:59」、「1:36」、「2:00」となる(図6(a)参照)。この結果から平均実行周期(操作基準値)として「1:39」が算出される。そして、操作基準値から固定の許容範囲値を取得する方法(許容範囲値算出方法2)用いて許容範囲値を算出する(図8(c)参照)。詳細には、平均実行周期「1:39」であるため、図8(c)の実行周期が1:00〜2:00の範囲にあたり、範囲減算値「0:20」、範囲加算値「0:20」が決定され、平均実行周期および範囲減算値・範囲加算値を用いて許容範囲値を算出すると、最大値「1:59」、最小値「1:19」となる(図9(a)参照)。
【0088】
上述のように算出された平均実行回数と平均実行周期との許容操作値を許容操作範囲情報に設定し、その許容操作範囲情報を不正操作判定部15に通知する。
【0089】
操作状況生成部13は、操作ログ情報記憶部12から特定期間における判定対象の端末Bの操作ログ情報を抽出し、その操作ログ情報を用いて判定対象の端末Bの操作状況を示す操作状況情報を生成する。そして、生成した操作状況情報を不正操作判定部15に通知する(S103)。
【0090】
上述の動作について、特定期間を11日目の1日間とした場合を用いて具体的に説明する。
【0091】
操作状況生成部13は、操作ログ情報から端末「ABC12345」の11日目の操作ログ情報を抽出する。そして、抽出した操作ログ情報を用いて、11日目の操作内容「複製」に関する実行回数と実行周期を算出する。算出は、許容操作範囲情報生成部12と同様に算出を行う。よって、算出された操作状況値は、実行回数「10」、実行周期「0:39」となる(図10(a)参照)。そして、算出された操作状況値を操作状況情報として不正操作判定部15に通知する。
【0092】
不正操作判定部15は、操作状況情報と許容操作範囲情報とを比較し、操作状況が許容操作範囲内であるかによって不正操作の可能性を判定する(S104)。
【0093】
上述の動作について具体的に説明する。不正操作判定部15は、操作状況情報として、実行回数「10」、実行周期「0:39」を取得し、許容操作範囲情報として、実行回数の最大値「7」・最小値「5」と実行周期の最大値「1:59」・最小値「1:19」を取得する。そして、実行回数および実行周期のそれぞれについて比較を実行する。
【0094】
不正操作判定部15は、操作状況情報の実行回数が許容操作範囲情報の実行回数の範囲内に含まれているかを比較する。比較の結果は、「範囲外」となる。次に、操作状況情報の実行周期が許容操作範囲情報の実行周期に含まれているかを比較する。比較の結果は、「範囲外」となる。
【0095】
続いて、不正操作判定部15は、比較結果が「範囲外」である比率を算出する。本実施例では比較結果が「範囲外」である比率は100%である。よって、不正操作の可能性の判定結果は100%となり、この判定結果を制御部16に通知する。
【0096】
制御部16は、不正操作判定部15の判定結果に基づいて制御を実行する(S105)。
【0097】
制御部16は、判定結果として不正操作である可能性を示す比率を取得し、その判定結果と予め設定されているしきい値とから判定される制御内容を実行する(図11(a)参照)。また、制御を実行するとともに判定結果を操作判定記憶部(図示せず)に記憶する。
【0098】
具体的には、制御部16は、判定結果として100%を不正操作判定部15から取得したため、その判定結果に対応する制御内容が操作制限(操作禁止)の制御指示を端末「ABC12345」に通知する、管理者への通知として管理サーバAに表示装置3に表示する、といった制御を実行することとなる。
【0099】
そして、端末「ABC12345」の制御指示受信部24は、管理サーバAから操作制限(操作禁止)を受信すると、端末「ABC12345」に接続されている入力装置のキーボードやポインティングデバイスからの入力操作を禁止するように端末制御部21に通知する。そして、端末制御部21は、入力装置からの入力操作を禁止にする。
【0100】
また、制御部16は、管理サーバAに表示装置3に通知画面を表示する(図12参照)。管理サーバAの表示装置3に表示された画面を確認した管理者は、表示画面の内容にしたがって所望の処理を実行させることができる。本実施例では、端末「ABC12345」の電源OFF、操作制限の解除、警告画面の表示などを選択させ、それぞれに応じた制御を端末「ABC12345」に制御指示として送信させることができる。
【0101】
本実施例のように構成する事により、端末B毎に行われている操作が異なる場合であったとしても、端末B毎の操作に合せて許容できる操作の範囲を変化させる事で、高い精度で不正操作の可能性の判定を行うことができる操作監視システムが可能となる。たとえば、定型的な操作のみが行われている端末Bでは、許容できる操作の範囲を狭くし、そうでない端末Bにおいては、許容できる操作の範囲を広くする、となり端末特有の操作に適応した判定が可能となる。
【0102】
さらに、本実施例では、許容操作範囲情報、操作状況情報の生成において、操作内容を用いたがこれに限らず、操作ログ情報の操作対象や付加情報を用いてもかまわない。例えば、操作対象を用いた場合は、Webサイトの閲覧や閲覧時間、共有フォルダのアクセスやアクセス時間、アプリケーションの実行・実行時間などを用いて判定することができる(図6(c)、図7(c)、図8(c)、図9(c)、図10(c)参照)。また、例えば、付加情報を用いた場合は、データのダウンロード量、印刷ページ数、ファイル数、ファイルサイズなどを用いて判定することもできる(図6(d)、図7(d)、図8(d)、図9(d)、図10(d)参照)。
【0103】
さらに、本実施例では、許容操作範囲情報、操作状況情報の生成において、操作内容のみを用いて一致する操作ログ情報の判定をしたがこれに限らず、操作ログ情報に含まれる操作内容、操作対象情報、付加情報を組み合わせて一致する操作ログ情報の抽出・判定を行うようにしてもかまわない。一致する操作ログ情報についていくつかの例を以降に示す。操作内容「複製」かつ操作対象情報「複製先フォルダが自端末」を含む操作ログ情報、操作内容「複製」かつ操作対象情報「複製元フォルダが共有フォルダ」を含む操作ログ情報、操作内容「複製」かつ操作対象情報「外部記憶媒体」を含む操作ログ情報、操作内容「メール送信」かつ操作対象情報「送信先メールアドレスが所定のドメイン以外」を含む操作ログ情報、などである。これらは、一例であって限定されるものではなく、いかなる組み合わせで有ってもかまわない。
【0104】
さらに、本実施例では、操作内容「複製」のみを用いて判定するようにしたが、複数の操作内容を一致する操作とみなして処理を行ってもかまわない。つまり、二以上操作をグループ化させておき、当該操作グループに含まれる操作の実行回数や実行周期を用いるようにしてもかまわない。また、操作内容だけでなく、操作対象情報、付加情報を用いてグループ化することも当然に可能である。
【0105】
さらに、本実施例では、許容操作範囲情報として最大値・最小値の両方を用いて説明をしたが、最大値もしくは最小値のいずれか一方が予め固定値として定められている場合には許容操作範囲情報として固定値で無い方のみを生成するようにしてもかまわない。つまり、たとえば実行回数を用いた場合に固定値として最小値「0」が予め設定されている場合には、最大値のみを生成し、最小値を生成しなくてもかまわない。
【0106】
また、判定結果をレポート形式に表示もしくは印刷するともできる。例えば、図21、図22に示すように判定の対象となった端末の不正操作の可能性を「○」「△」「×」といった視覚的にわかりやすい表示もしくは印刷をさせるようにすることもできる。さらに図21のように予め二以上の端末Bをグループ化(部署毎など)しておき、制御部16は当該グループ内の端末Bの不正操作の可能性について自動的に集計してレポート形式で表示させることもできる。この場合は、予め端末識別情報と所属などを示す属性情報とを関連付けた端末情報を端末情報記憶部(図示せず)に記憶させておくこととする。
【実施例2】
【0107】
本実施例では、端末Bの標準的な操作を判定する所定期間における標準偏差を算出し、その標準偏差を用いて許容操作範囲情報を生成する場合について説明する。
【0108】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。
【0109】
許容操作範囲生成部13は、操作ログ情報記憶部12から特定の端末Bの操作ログ情報を抽出し、端末Bにおける操作の標準偏差および平均値を算出する標準偏差算出手段と、標準偏差に応じて操作の許容範囲(最大値・最小値)を示す許容範囲値を算出し、その許容範囲値を許容操作範囲情報とする許容範囲値生成手段と、を備える。
【0110】
標準偏差算出手段は、まず、実施例1と同様に操作ログ情報を抽出し、単位時間毎の集計値を計数する。次に、この計数された情報を母集団とする標準偏差および平均値を算出する。例えば、図13(a)の操作内容が「複製」とすると、1日目から10日目までの10日間の実行回数として、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」を取得する。よって、この10日間のデータを母集団とする標準偏差「1.054(小数点4桁以下四捨五入)」が算出される。また、10日間の平均実行回数「5」が算出される。そして、算出した標準偏差と平均を許容範囲値生成手段に通知する。
【0111】
許容範囲値生成手段は、標準偏差算出手段から標準偏差および平均値を取得する。そして、予め定められている上限偏差値から最大値、下限偏差値から最小値を算出する。
【0112】
例えば、上述のとおり、標準偏差「1.054」、平均実行回数「5」が取得された場合において、予め、上限偏差値「70」、下限偏差値「30」が設定されているとする。まず、最大値の算出式として、最大値={(上限偏差値−50)×標準偏差}÷10+平均値であるため、最大値=7(小数点以下四捨五入)となる。同様に最小値={(上限偏差値−50)×標準偏差}÷10+平均値であるため、最小値=3(小数点以下四捨五入)となる。よって、許容操作範囲情報として、最大値「7」・最小値「3」が生成される。
【0113】
本実施例のように構成する事により、操作のばらつきに応じた不正操作の判定を行うことができる操作監視システムが可能となる。つまり、操作がばらついている場合は、許容範囲が広く設定されるようになり、操作がばらついていない場合には、許容範囲が狭く設定されるようになる。
【実施例3】
【0114】
上述の実施例1においては、許容操作範囲情報を生成する際に操作基準値を生成し、その操作基準値に対応する最大値および最小値を許容範囲設定値記憶部から取得するようにしたが、本実施例では、端末Bの操作ログ情報を抽出した期間内における最大値および最小値を抽出し、その値を用いて許容操作範囲情報として生成する場合について説明する。
【0115】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。
【0116】
許容操作範囲生成部13は、操作ログ情報記憶部12から特定の端末Bの操作ログ情報を抽出し、端末Bにおける操作の最大値および最小値を抽出し、抽出した最大値および最小値を許容操作範囲情報とする許容範囲値抽出手段、を備える。
【0117】
許容操作範囲抽出手段は、まず、実施例1と同様に操作ログ情報を抽出し、単位時間毎の集計値を計数する。次に、この計数された情報から最大値および最小値を抽出する。例えば、図6(a)において操作内容「複製」の場合、1日目から10日目までの10日間の実行回数として、「5」、「4」、「4」、「5」、「6」、「7」、「6」、「4」、「5」、「4」が取得できる。よって、最大値「7」と最小値「4」が抽出される。この抽出された最大値および最小値を許容操作範囲情報とする。
【0118】
本実施例のように構成する事により、操作基準値から許容操作範囲情報を求める手順が省略されるため、判定にかかる処理の負荷を軽減する効果も得ることができる。
【実施例4】
【0119】
本実施例では、操作状況情報の操作状況値において、特定期間内の最大値と最小値を抽出し、それぞれの最大値同士および最小値同士を比較する場合について説明する。
【0120】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。
【0121】
操作状況生成部14は、特定期間における端末Bの操作ログ情報を抽出し、抽出した操作ログ情報から端末Bの操作状況を示す操作状況値として最大値・最小値を計数する。そして、生成された操作状況値を操作状況情報として不正操作状況判定部15に通知する。
【0122】
不正操作状況情報15は、許容操作範囲生成部13から許容操作情報を取得し、操作状況情報判定部14から操作状況情報を取得する。そして、許容操作範囲情報の最大値・最小値と操作状況情報の最大値・最小値とを比較する。そして、比較結果を制御部16に通知する。
【0123】
上述の処理について、図9(c)、図10(c)を用いて具体的に説明する。なお、特定期間は11日目および12日目の2日間、操作内容「Webページアクセス」かつ操作対象情報「WebサイトD」のWebページ、の操作状況値は実行回数(操作状況値1)として判定を行うものとする。
【0124】
許容操作範囲生成部13は、操作対象「WebサイトD」の許容操作範囲情報を実施例1と同様な方法を用いて生成し、許容操作範囲値の最大値「6」・最小値「4」を取得する(図9(c)参照)。そして、生成した許容操作範囲値は、許容操作範囲情報として不正操作判定部15に通知される。
【0125】
次に、操作状況生成部16は、特定期間11日目と12日目における操作対象「WebサイトD」に対するアクセスの実行回数を計数し、11日目の実行回数「10」、12日目の実行回数「14」を取得する(図10(c)参照)。よって、操作状況値は、最大値「14」・最小値「10」となる。そして、生成した操作状況値を操作状況情報として不正操作判定部15に通知する。
【0126】
不正操作判定部15は、許容操作範囲情報と操作状況情報とを取得する。続いて、許容操作範囲情報の最大値「6」と操作状況情報の最大値「14」とを比較する。比較の結果、操作状況情報の最大値が許容操作範囲情報を超えていると判定される。次に、許容操作範囲情報の最小値「4」と操作状況情報の最小値「5」とを比較する。比較の結果、操作状況情報の最小値は、許容操作範囲情報の最小値よりも大きいため、許容範囲を超えていないと判定できる。
【0127】
不正操作判定部15は、上述の最大値・最小値の比較結果から不正操作の可能性は50%と判定することができる。
【0128】
本実施例のように構成する事により、許容操作範囲情報を算出する際に操作基準値を算出する必要が無くなり、処理の負荷を軽減する効果を得るとともに上述の実施例と同様に各端末の操作に基づいた判定を行うことができる。
【実施例5】
【0129】
本発明は、端末Bの環境情報を加味して判定を行うように構成することもできる。つまり、操作ログ情報を用いて、端末Bのハードウェア・ソフトウェアの環境に関する情報を判定し、端末Bの環境に合わせた許容操作範囲情報・操作状況情報を生成するように構成することもできる。
【0130】
上述の環境情報とは、端末Bのハードウェアもしくはソフトウェアに関する情報のことをいい、具体的には、ネットワークの接続状況、外部機器の接続状況、ソフトウェアのインストール状況などに関する情報である。ネットワークの接続状況とは、例えば、有線ネットワーク接続中(LANケーブルを用いた接続)、無線ネットワーク接続中、イントラネットへの接続中、インターネットへの接続中、未接続などといった情報である。外部機器の接続状況とは、外部記憶媒体、プリンタ、スキャナなどとの接続を示す情報である。ソフトウェアのインストール状況とは、端末B内に有る実行モジュール・実行プログラムなどのインストール情報である。
【0131】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成および動作については、説明を省略する。
【0132】
〔実施例5−構成〕
本発明の操作監視システムは、さらに環境情報生成部(図示せず)および環境情報記憶部(図示せず)を備えている。
【0133】
環境情報生成部は、端末Bの操作ログ情報取得部11から操作ログ情報を取得し、取得した操作ログ情報に基づいて環境情報を生成し、環境情報記憶部に記憶する。この環境情報は、操作ログ情報の操作内容、操作対象情報、付加情報等を用いて端末Bの環境に関する情報を判定して生成される。
【0134】
操作ログ情報取得部11は、端末Bから操作ログ情報を取得すると、環境情報記憶部に保存されている環境情報を操作ログ情報に関連付けて操作ログ情報記憶部12に記憶する。
【0135】
許容操作範囲生成部13は、操作ログ情報記憶部12から標準的な操作を判定するための期間の操作ログ情報を抽出し、各操作ログ情報に含まれる操作内容、操作対象情報、付加情報および環境情報を用いて許容操作範囲情報を生成する。具体的には、操作ログ情報毎に含まれる環境情報に応じて、予め環境情報毎に定義されているリスクポイントを判定する。そして、操作内容・操作対象情報・付加情報およびリスクポイントを用いて操作ログ情報の操作ポイントを算出し、その操作ポイントを集計した値を用いて許容操作範囲値を生成する。
【0136】
操作状況生成部14は、操作ログ情報記憶部12から特定期間の操作ログ情報を抽出し、各操作ログ情報に含まれる操作内容、操作対象情報、付加情報および環境情報を用いて操作状況情報を生成する。具体的には、操作ログ情報毎に含まれる環境情報に応じて、予め環境毎に定義されているリスクポイントを判定する。そして、操作内容・操作対象情報・付加情報およびリスクポイントを用いて操作ログ情報の操作ポイントを算出し、その操作ポイントを集計した値を用いて操作状況値を生成する。
【0137】
〔実施例5−処理プロセス〕
次に本実施例の処理プロセスの一例を、図3の機能ブロック図、図4のフローチャート等を用いて説明する。なお、以下の説明では、判定対象の端末B「ABC12345」がネットワークNを介して管理サーバAと接続され、本操作の判定に用いる操作内容は「複製」、操作状況値は実行回数(操作状況値1)を用いる。そして、環境情報はネットワーク接続状況を用いることとする。
【0138】
操作ログ情報取得部11は、端末Bから操作ログ情報を取得すると環境情報生成部に操作ログ情報を通知する。また、環境情報記憶部から環境情報を抽出し、取得した操作ログ情報と関連付けて操作ログ情報記憶部12に記憶する(S101)。操作ログ情報記憶部12に記憶された操作ログ情報を図14に模式的に示す。
【0139】
環境情報生成部は、操作ログ情報取得部11から操作ログ情報を取得し、取得した操作ログ情報から抽出したネットワーク接続状況を環境情報として取得する。この環境情報の一つであるネットワーク接続状況について具体的に説明する。たとえば、操作内容「ネットワーク接続」、操作対象情報「有線接続」、付加情報「インターネット接続」を含む操作ログ情報を取得した場合、ネットワーク接続状況「有線ネットワーク接続中(インターネット)」と判定し、その内容を環境情報として生成する。また、操作内容「ネットワーク切断」、操作対象情報「有線接続」、付加情報「インターネット接続」を含む操作ログ情報を取得した場合、ネットワーク接続状況「有線ネットワーク未接続」と判定し、その内容を環境情報として生成する(図15参照)。
【0140】
許容操作範囲生成部13は、標準的な操作を判定するための所定期間の操作ログ情報を抽出し、その操作ログ情報とそれに関連する環境情報とに応じて操作ポイントを算出する。そして、操作ポイントを用いて許容操作範囲情報を生成する(S102)。
【0141】
上述の処理を具体的に説明すると、取得した操作ログ情報のうち、操作内容「複製」である操作ログ情報と環境情報(ネットワーク接続状況)とを抽出する。次に、環境情報(ネットワーク接続状況)の内容に応じてリスクポイントテーブル(図16参照)からリスクポイントを取得し、そのリスクポイントをその操作ログ情報の操作ポイントとする。例えば、操作ログ情報が図14(a)で有った場合、環境情報(ネットワーク接続)「有線ネットワーク接続中(インターネット)」であるため、リスクポイントは「2」となる(図16参照)。よって、その操作ログ情報の操作ポイントは「2」となる。
【0142】
続いて、操作ログ情報毎の操作ポイントの算出を行った後、単位時間あたりの操作ポイントを集計する(図17参照)。そして、10日間における1日の操作ポイントの平均値は、「6.4」算出される。そして、この操作ポイントを用いて許容操作範囲情報が算出される。
【0143】
操作状況生成部14は、特定期間における操作ログ情報を取得し、その操作ログ情報と環境情報とに応じて操作ポイントを算出する。そして、操作ポイントを用いて操作状況情報を生成する(S103)。特定期間である11日目の操作ポイントは、10と算出される。
【0144】
本実施例のように構成する事によって、端末Bの環境に応じて不正操作であるかの判定をより厳密に行うことができるようになる。
【0145】
本実施例では、許容操作範囲情報および操作状況情報に環境情報を反映させて操作ポイントを算出するように構成したが、許容操作範囲情報または操作状況情報のいずれか一方に対してのみ環境情報を反映させるように構成してもかまわない。
【0146】
本実施例では、操作ログ情報を用いて環境情報を判定するとしたが、端末Bのハードウェア・ソフトウェアに関する情報を端末Bから取得し、その取得した情報に基づいて環境情報を生成するようにしてもかまわない。以下、具体的に説明する。
【0147】
端末制御部21は、端末Bのハードウェア構成およびインストールされているソフトウェアに関する情報を資産情報として取得する。そして、取得した資産情報をネットワークI/F20を介して管理サーバAに通知する。そして、管理サーバAは、端末Bから資産情報を取得し、環境情報として環境情報記憶部に記憶する。
【0148】
上述の処理について管理サーバAは、資産情報の送信要求を端末Bに指示する事によって端末Bから資産情報を取得するように構成しても良いし、端末Bが定期的に管理サーバAに資産情報を通知するように構成してもよい。
【0149】
また、本実施例では、操作ログ情報を端末Bから取得する毎に環境情報を生成し、操作ログ情報に関連付けて記憶するようにしたが、許容操作範囲生成部13および操作状況生成部14において操作ログ情報記憶部12から操作ログ情報を取得する毎に環境情報の生成しリスクポイントの取得を行うようにしてもかまわない。これによって、判定に使用する環境情報を予め関連付けて記憶する必要がなく、判定のために使用する環境情報を変更する事ができ、さまざまな環境情報に対する判定が可能となる。
【実施例6】
【0150】
上述の実施例では、許容操作範囲情報の生成を標準的な操作を判定するための任意の期間、操作状況情報の生成を任意の特定期間としたが、本実施例では、所定の操作ログ情報(基準操作ログ情報)の操作日時を基点とした一定の期間の操作ログ情報に基づいて許容操作範囲情報および操作状況情報を生成し、判定する場合について説明する。
【0151】
上述の基準操作ログ情報とは、操作ログ情報を取得する期間を決定するための基準となる操作ログ情報である。この基準操作ログ情報は、予め定められた条件に一致する操作ログ情報であるものとする。
【0152】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成部
または動作については、詳細な説明を省略する。
【0153】
〔実施例6−構成〕
許容操作範囲情報生成部13は、操作ログ情報記憶部12から操作ログ情報を順次取得し、取得した操作ログ情報と基準操作ログ情報とを比較する。そして、比較の結果、基準操作ログ情報と判定された場合、関連操作取得期間を判定し、その期間内に含まれる操作ログ情報を操作ログ情報記憶部12から抽出する。この一連の処理を標準的な操作を判定するための所定期間、繰り返し実行する。続いて、抽出した操作ログ情報に応じて集計を行い、許容操作範囲情報を生成する。
【0154】
上述の関連操作取得期間とは、基準操作ログ情報の操作日時を基準とした期間または時間範囲のことをいう。つまり、基準操作ログ情報の操作日時から操作ログ情報の取得を開始する日時および操作ログ情報の取得を終了する日時で示される期間のことである(図19参照)。なお、関連操作取得期間は、基準操作ログ情報の操作日時を基準として、それより以前・以後のいずれでも良い。さらに、関連操作取得期間には、特定の操作ログ情報の日時を含んでいても良いし、含まなくても良い。
【0155】
例えば、基準操作ログ情報の操作内容が「外部記憶媒体の検出」であり、関連操作取得期間が「基準操作ログ情報の0分前〜基準操作ログ情報の10分後」であったとする(図19参照)と、操作ログ情報記憶部12から取得した操作ログ情報の操作内容が「外部記憶媒体の検出」であるかを判定する。判定の結果、合致した場合は、その操作ログ情報以降の10分間の操作ログ情報を抽出する。つまり、図18の場合であれば、「開始A〜終了A]、「開始B〜終了B」の間の操作ログ情報が抽出されることとなる。そして、許容操作範囲情報生成部13は、取得した操作ログ情報に応じて操作の集計を行い、許容操作範囲情報を生成する。
【0156】
操作状況情報生成部14は、操作ログ情報記憶部12から操作ログ情報を取得し、その取得した操作ログ情報の操作内容と基準操作ログ情報の操作内容とを比較する。そして、比較の結果、基準操作ログ情報と判定された場合、予め定義されている関連操作取得期間に含まれる操作ログ情報を操作ログ情報記憶部12から抽出する。そして、抽出した操作ログ情報に基づいて集計を行い、操作状況情報を生成する。
【0157】
例えば、操作状況生成部14は、操作ログ情報記憶部12から順次取得した操作ログ情報の操作内容が「外部記憶媒体の検出」であるかを判定する。判定の結果、合致した場合は、その操作ログ情報以降の10分間の操作ログ情報を抽出する。つまり、図18の場合であれば、「開始C〜終了C]の間の操作ログ情報が抽出されることとなる。続いて、操作状況生成部14は、取得した操作ログ情報に応じて操作の集計を行い、操作状況情報を生成する。
【0158】
このように所定の操作ログ情報を基準とした一定の範囲に限定して操作ログ情報を抽出する事によって、所定の操作ログ情報と連動して行われる操作が不正操作であるかを判定することができるようになる。
【0159】
さらに本実施例では、基準操作ログ情報は、許容操作範囲生成部13および操作状況生成部14において、許容操作範囲情報および操作状況情報を生成するための操作ログ情報を操作ログ情報記憶部12から抽出するための期間を決定するための基準として用いていたが、基準操作ログ情報それ自体を用いて、その基準操作ログ情報が端末Bから出力された回数を用いて許容操作範囲情報および操作状況情報を生成するという構成としても構わない。
【実施例7】
【0160】
本実施例は、許容操作範囲情報と操作状況情報とを比較した結果から判定ポイントを生成し、その判定ポイントの累積を用いて制御を行う場合について説明する。
【0161】
上述の判定ポイントとは、端末Bで行われた操作について不正操作の可能性の度合いを累積した値のことをいう。言い換えると、許容操作範囲情報と操作状況情報との比較の結果に応じて求められたポイントを積算した値のことである。本実施例では、判定ポイントの値が大きいほど不正操作の可能性が高いと判定する。
【0162】
以下、各構成部および処理プロセスについて説明する。なお、実施例1と同様の構成部
または動作については、詳細な説明を省略する。
【0163】
〔実施例7−構成〕
本実施例において、本発明の操作監視システムは判定ポイント記憶部(図示せず)をさらに備えるものとする。
【0164】
操作ポイント記憶部は、不正操作判定部15において許容操作情報と操作状況情報との比較の結果に応じたポイントを積算した判定ポイントを記憶する。
【0165】
不正操作判定部15は、許容操作範囲情報と操作状況情報とを比較する。その比較結果、操作状況情報が許容操作範囲外である場合、比較判定に用いた対象に応じてポイントを決定する(図20参照)。そして、決定したポイントを判定ポイント記憶部から判定ポイントに加算する。ここで判定に用いた対象とは、操作ログ情報に含まれる操作内容、操作対象情報、付加情報などに対する実行回数、実行周期などを指す。
【0166】
制御部16は、判定ポイント記憶部から判定ポイントを取得する。取得した判定ポイントに応じて、端末Bに対する操作制御・警告通知や管理者端末に対する通知を行う(図11(b)参照)。
【0167】
さらに、不正操作判定部15は、判定ポイントを積算するだけでなく、所定のタイミングや周期的に判定ポイントを減算するようにすると好適である。つまり、不正操作判定部15において、不正な操作であると判定すると判定ポイントを加算し、不正な操作で無い(操作状況情報が許容操作範囲内である)と判定された場合、判定に用いた対象に応じてポイントを決定し、決定したポイントを判定ポイントから減算するようにしてもかまわない。これによって、継続的に不正な操作を行っている端末に対してのみ制御を行うことができるようになる。
【0168】
本実施例は、本システムを周期的に実行するようにすると好適である。また、それに限らず、管理者による指示や所定の操作ログ情報などの所定のタイミングで実行するようにしてもかまわない。
【0169】
本実施例は、判定ポイントが大きいほど不正操作の可能性が高いとしたがこれに限らず、判定ポイントが小さいほど不正操作の可の正が高いとなるようにしてもかまわない。この場合は、正常値であるポイント(最高ポイント)が判定ポイント記憶部に記憶されており、不正操作判定部16の結果に応じて記憶されている判定ポイントが減算され、減算された判定ポイントを用いて制御を行うように構成することも当然に可能である。
【実施例8】
【0170】
上述の実施例7では、判定ポイントを設け、判定ポイントの積算値に応じて制御を行う方法について説明したが、本実施例では、不正操作判定部15において判定ポイントが算出される毎に、判定ポイント記憶部に順次記憶し、その値の経時的な変化に応じて不正操作の可能性を判定し、制御を行うという方法について説明する。
【0171】
不正操作判定部15は、許容操作範囲情報と操作状況情報とを比較する。その結果、操作状況情報が許容操作範囲外であると判定された場合、判定に用いた対象に応じてポイントを決定する(図20参照)。そして、決定したポイントを判定ポイント記憶部に判定のタイミングを示す情報(例えば、○日目や操作日時など)とともに記憶する。
【0172】
次に、不正操作判定部15は、判定ポイント記憶部に判定のタイミングを示す情報毎に記憶されたポイントに基づいて、単位時間毎のポイントを集計し、不正操作の発生傾向を求め、その発生傾向に応じて不正操作の可能性の判定を行う。
【0173】
上述の不正操作の発生傾向とは、不正操作が増加傾向に有るもしくは減少傾向に有るといった傾向のことをいう。
【0174】
不正操作判定部15は、不正操作の発生傾向を算出する発生傾向算出手段と、発生傾向に基づいて不正操作の可能性の判定を行う判定手段とを備える。
【0175】
発生傾向算出手段は、判定ポイント記憶部からポイントを取得する。そして、取得したポイントから単位時間毎にポイントを集計する。そして、その集計されたポイントの変化の近似直線式を算出する。算出された近似直線式の傾き・切線を制御手段に通知する。つまり、例えば判定する期間が10日間の場合に、日毎にポイントを集計し、その10日間の日毎の集計されたポイントの近似直線式を算出する。そして、その近似直線式の傾き・切線を制御手段に通知する。
【0176】
発生傾向に近似直線式によって、例えば、傾きがプラス値である場合は増加傾向にあり、傾きがマイナス値で有る場合は減少傾向と判定できる。さらに傾きの絶対値が大きい場合(プラス値/マイナス値のいずれの場合でも)は、操作が急激に変化している事を示すため、不正操作の可能性が高い傾向にあると判断するようにしても良い。さらに、切線の大きさを用いて、継続的に不正操作が行われているとすることもできる。
【0177】
判定手段は、不正操作の発生傾向が増加傾向である、操作が急激に変化した、などの場合に不正操作の可能性が有るもしくは高いと判定し、などといった発生傾向に応じて不正操作の判定を行う。
【実施例9】
【0178】
上述の実施例では、操作ログ情報を用いて操作基準値を算出し、許容操作範囲情報および操作状況情報を求めていたが、取得した操作ログ情報が禁止操作であるかを判定し、その禁止操作の回数等を用いて操作基準値を算出し、許容操作範囲情報および操作状況情報を求めて、不正操作の判定を行うようにしてもかまわない。
【0179】
上述の禁止操作とは、端末Bにおいて実行が禁止もしくは制限されている操作のことである。
【0180】
具体的には、操作ログ情報取得部11において取得した操作ログ情報が禁止操作であるかを判定し、判定の結果を操作ログ情報記憶部12に記憶する。操作ログ情報記憶部12に記憶する際に、禁止操作の情報を操作ログ情報に関連付けると好適である。そして、その禁止操作の情報に基づいて許容操作範囲情報、操作状況情報を生成し、不正操作の判定を行う(図6(e)、図7(e)、図9(e)、図10(e)参照)。
【0181】
なお、禁止操作となる条件については、予め禁止となる操作内容、操作対象情報および付随情報などを定義し、記憶部等に記憶しておくと好適である。
【実施例10】
【0182】
本実施例では、操作ログ情報に含まれる各種データ量を示す情報を用いて判定する場合について説明する。具体的には、操作ログ情報の付加情報に含まれるデータ量、印刷ページ数、およびファイル数等の各種データ量を示す情報を抽出し、単位時間あたりのデータ量の積算値を用いて許容操作範囲情報および操作状況情報を生成し、不正操作の判定を行う。
【0183】
上述のデータ量を示す情報に関する例を以下に示す。操作ログ情報が操作内容「ファイルダウンロード」かつ付加情報「ダウンロードするデータ量」の場合のデータ量(図6(d)、図7(d)、図9(d)、図10(d)参照)、操作ログ情報が操作内容「印刷」かつ付加情報「印刷ページ数」の場合の印刷ページ数、操作ログ情報が操作内容「印刷」かつ付加情報「ファイル数」の場合のファイル数、操作ログ情報が操作内容「メール送信」かつ付加情報「添付ファイル数」の場合のファイル数、操作ログ情報の操作内容「メール送信」かつ付加情報「添付ファイルのデータ量」の場合の添付ファイルのデータ量などがある。なお、これらは、一例であって限定されるものではなく、いかなるデータ量を示す情報を用いてもかまわない。
【実施例11】
【0184】
上述の実施例では、端末識別情報を用いて端末毎に判定するように説明したが、操作ログ情報に含まれるユーザ識別情報を用いて判定することも当然に可能である。これによって、ユーザが端末を特定せずに使用している場合の不正操作を判定することができる。
【実施例12】
【0185】
本発明の操作監視システムの各機能・各構成は、管理サーバA、端末Bにおいて適
宜、分散配置しても良い。
【0186】
上述の構成の他、管理サーバAを設けず、端末Bに必要な構成部を設けるようにしても良い。具体的には、端末Bは、端末制御部21、操作ログ情報生成部22、操作ログ情報取得部11、操作ログ情報記憶部12、許容操作範囲生成部13、操作状況生成部14、不正操作判定部15、制御部16、を設けるようにすることで、端末Bのみで操作監視を行うことも可能である。これによって、管理サーバAに問い合わせる必要が無く、高速に処理を行うことができるようになる。
【0187】
なお分散配置のバリエーションはさまざまなパターンがあり、いかなる配置形態で
も良い。このように、管理サーバA、端末Bにおける処理について、ほかの端末やサー
バの機能を利用する場合には情報の送受信を行う情報送受信部を適宜設け、問い合わせの
送信・問い合わせの結果の受信を行うようにすることで実現するようにすると良い。
【符号の説明】
【0188】
A:管理サーバ
B:端末
C:周辺機器
1:演算装置
2:記憶装置
3:表示装置
4:入力装置
5:通信装置
11:操作ログ情報取得部
12:操作ログ情報記憶部
13:許容操作範囲生成部
14:操作状況生成部
15:不正操作判定部:
16:制御部
21:端末制御部
22:操作ログ情報生成部
23:操作ログ情報送信部
24:制御指示受信部
【特許請求の範囲】
【請求項1】
端末の動作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部と、
前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成部と、
前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成部と
前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定部と
を備える操作監視システム
【請求項2】
前記端末のソフトウェアまたはハードウェアの環境情報を記憶する環境情報記憶部をさらに備え、
前記操作状況生成部は、
前記抽出した操作ログ情報と当該操作ログ情報が生成された時点の環境情報とに基づいて、前記操作状況情報を生成する
ことを特徴とする請求項1記載の操作監視システム
【請求項3】
前記端末のソフトウェアまたはハードウェアの環境情報を記憶する環境情報記憶部をさらに備え、
前記操作傾向生成部は、
前記操作ログ情報記憶部の操作ログ情報と当該操作ログ情報の生成された時点の環境情報とに基づいて前記許容操作範囲情報を生成する
ことを特徴とする請求項1乃至請求項2記載の操作監視システム
【請求項4】
前記操作状況生成部は、
前記操作ログ情報記憶部に記憶される前記特定期間の操作ログ情報のうち、特定の操作を示す操作ログ情報の操作日時を基準とする所定期間における操作状況を示す操作状況情報を生成する
ことを特徴とする請求項1乃至請求項3記載の操作監視システム
【請求項5】
端末の動作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部を備える操作監視システムのための操作監視プログラムであって、
前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成機能と、
前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成機能と
前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定機能と
をコンピュータに実現させる操作監視プログラム
【請求項1】
端末の動作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部と、
前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成部と、
前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成部と
前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定部と
を備える操作監視システム
【請求項2】
前記端末のソフトウェアまたはハードウェアの環境情報を記憶する環境情報記憶部をさらに備え、
前記操作状況生成部は、
前記抽出した操作ログ情報と当該操作ログ情報が生成された時点の環境情報とに基づいて、前記操作状況情報を生成する
ことを特徴とする請求項1記載の操作監視システム
【請求項3】
前記端末のソフトウェアまたはハードウェアの環境情報を記憶する環境情報記憶部をさらに備え、
前記操作傾向生成部は、
前記操作ログ情報記憶部の操作ログ情報と当該操作ログ情報の生成された時点の環境情報とに基づいて前記許容操作範囲情報を生成する
ことを特徴とする請求項1乃至請求項2記載の操作監視システム
【請求項4】
前記操作状況生成部は、
前記操作ログ情報記憶部に記憶される前記特定期間の操作ログ情報のうち、特定の操作を示す操作ログ情報の操作日時を基準とする所定期間における操作状況を示す操作状況情報を生成する
ことを特徴とする請求項1乃至請求項3記載の操作監視システム
【請求項5】
端末の動作の履歴を示す操作ログ情報を記憶する操作ログ情報記憶部を備える操作監視システムのための操作監視プログラムであって、
前記操作ログ情報記憶部の操作ログ情報に基づいて、前記端末における標準的な操作を示す許容操作範囲情報を生成する許容操作範囲生成機能と、
前記操作ログ情報記憶部から前記端末の特定期間における操作ログ情報を抽出し、当該抽出した操作ログ情報に従って前記端末の操作状況を示す操作状況情報を生成する操作状況生成機能と
前記許容操作範囲情報と前記操作状況情報とに基づいて、不正操作の可能性を判定する不正操作判定機能と
をコンピュータに実現させる操作監視プログラム
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図1】
【図21】
【図22】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図1】
【図21】
【図22】
【公開番号】特開2010−211257(P2010−211257A)
【公開日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願番号】特願2009−53347(P2009−53347)
【出願日】平成21年3月6日(2009.3.6)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
【公開日】平成22年9月24日(2010.9.24)
【国際特許分類】
【出願日】平成21年3月6日(2009.3.6)
【出願人】(599108242)Sky株式会社 (257)
【Fターム(参考)】
[ Back to top ]