異常操作検出装置、異常操作検出方法、および異常操作検出プログラム
【課題】パラメータの調整にかかる手間を軽減して、企業内部のユーザによる不正行為を的確に検出できる異常操作検出装置等を提供する。
【解決手段】本発明の異常操作検出装置10は、ユーザ端末の操作内容を取得するログ収集手段101と、ログ収集手段が取得した特定のユーザ端末の短時間の操作内容を現状操作として定義する現状操作定義手段102と、通常の操作であると判断できる定常操作に該当する内容を予め記憶している定常操作データベース230と、現状操作と定常操作との差異が閾値以上である場合に異常であると判断する操作比較手段104と、操作比較手段が異常であると判断した場合に管理者端末にその旨を通知して警報を表示させるアラーム通知手段150と、管理者端末に表示された警報に対応して管理者端末に入力されたフィードバック情報に応じて閾値を増減するフィードバック情報入力手段106とを有する。
【解決手段】本発明の異常操作検出装置10は、ユーザ端末の操作内容を取得するログ収集手段101と、ログ収集手段が取得した特定のユーザ端末の短時間の操作内容を現状操作として定義する現状操作定義手段102と、通常の操作であると判断できる定常操作に該当する内容を予め記憶している定常操作データベース230と、現状操作と定常操作との差異が閾値以上である場合に異常であると判断する操作比較手段104と、操作比較手段が異常であると判断した場合に管理者端末にその旨を通知して警報を表示させるアラーム通知手段150と、管理者端末に表示された警報に対応して管理者端末に入力されたフィードバック情報に応じて閾値を増減するフィードバック情報入力手段106とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は企業などの組織内の情報システムに関し、特にそのような情報システム内でのユーザの不正行為の検出に関する。
【背景技術】
【0002】
企業などの組織内にインターネットに接続する情報システムが普及するにつれ、その情報システムの中で適正に情報を管理することが企業にとって重要なことになっている。特に、P2P(Peer to Peer)ソフトウェアの利用およびコンピュータウィルスの感染に起因する個人情報漏洩事件が企業内部においても現実に多く発生しており、そのような事件が発生した場合にはその企業にとって重大な金銭的損失と社会的信用の失墜とを招くことになる。このため、情報システムにおいては、企業内部のユーザに対しても、不正行為を的確に検出することが極めて重要になっている。
【0003】
これに関連する技術として、次の各々の特許文献がある。特許文献1には、操作履歴収集用サーバによってユーザの操作を収集して分析用サーバに転送して分析するという情報分析装置が記載されている。特許文献2には、行動管理サーバによって各クライアント端末の操作端末を監視するという行動管理システムが記載されている。
【0004】
特許文献3には、ユーザのファイルに対する操作を監視して不正を検出するという不正操作管理装置が記載されている。特許文献4には、同一グループのユーザの操作ログから操作モデルを作成し、この操作モデルから逸脱したユーザの操作を検出可能であるというログ分析システムが記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2004−005231号公報
【特許文献2】特開2005−332345号公報
【特許文献3】特開2008−191857号公報
【特許文献4】特開2008−192091号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1〜4に記載の技術はいずれも、企業内部のユーザによる不正行為を検出しようとするものであるが、いずれの場合も、不正行為を的確に検出するには専門家による所属部門・職位・業務内容に応じた詳細なセキュリティポリシー策定と、人手による詳細なチェック作業とが必要となる。特に検出の基準となる閾値などの各種パラメータの調整は、定期的に行う必要がある。これらの作業は、いずれも非常に煩雑で、かつ高度の熟練を要する作業である。特に誤検出が生じた場合には、緊急にこのパラメータの調整をしなければならない。
【0007】
特許文献4記載の技術では、同一グループのユーザの操作ログから操作モデルを生成しているが、このパラメータの調整にかかる手間を軽減できる構成は特に記載されていない。特許文献1〜3についても同様である。
【0008】
本発明の目的は、パラメータの調整にかかる手間を軽減して、企業内部のユーザによる不正行為を的確に検出できる異常操作検出装置、異常操作検出方法、および異常操作検出プログラムを提供することにある。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明に係る異常操作検出装置は、ネットワークに接続され、ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出装置であって、ユーザ端末の操作内容を取得するログ収集手段と、ログ収集手段が取得した特定のユーザ端末の短時間の操作内容を現状操作として定義する現状操作定義手段と、通常の操作であると判断できる定常操作に該当する内容を予め記憶している定常操作データベースと、現状操作と定常操作とから異常操作度数を求め、この異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する操作比較手段と、操作比較手段が異常であると判断した場合に管理者端末にその旨を通知して警報を表示させるアラーム通知手段と、管理者端末に表示された警報に対応して管理者端末からフィードバック情報の入力を受け付けると共に、入力されたフィードバック情報に応じて差異の比較に使用する閾値を増減するフィードバック情報入力手段とを有することを特徴とする。
【0010】
上記目的を達成するため、本発明に係る異常操作検出方法は、ネットワークに接続され、ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出方法であって、ユーザ端末の操作内容を取得し、取得された特定のユーザ端末の短時間の操作内容を現状操作として定義し、予め定常操作データベースに記憶された通常の操作であると判断できる定常操作と現状操作とから異常操作度数を求め、異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断し、異常であると判断された場合に管理者端末にその旨を通知して警報を表示させ、管理者端末に表示された警報に対応して管理者端末からフィードバック情報の入力を受け付け、入力されたフィードバック情報に応じて差異の比較に使用する閾値を増減することを特徴とする。
【0011】
上記目的を達成するため、本発明に係る異常操作検出プログラムは、ネットワークに接続され、ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出プログラムであって、ネットワークが備えているコンピュータに、ユーザ端末の操作内容を取得する手順と、取得された特定のユーザ端末の短時間の操作内容を現状操作として定義する手順と、予め定常操作データベースに記憶された通常の操作であると判断できる定常操作と現状操作とから異常操作度数を求める手順と、異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する手順と、異常であると判断された場合に管理者端末にその旨を通知して警報を表示させる手順と、管理者端末に表示された警報に対応して管理者端末からフィードバック情報の入力を受け付ける手順と、入力されたフィードバック情報に応じて差異の比較に使用する閾値を増減する手順とを実行させることを特徴とする。
【発明の効果】
【0012】
本発明は、上述したように、異常であると判断された操作に対して管理者にフィードバック情報を入力させ、そのフィードバック情報に応じて閾値を増減するように構成したので、パラメータの煩雑な調整を必要とせずに誤検出を低減できる。これによって、企業内部のユーザによる不正行為を的確に検出できるという、優れた特徴を持つ異常操作検出装置、異常操作検出方法、および異常操作検出プログラムを提供することができる。
【図面の簡単な説明】
【0013】
【図1】本発明の実施形態に係る異常操作検出装置の構成を示す説明図である。
【図2】図1で示した異常操作検出装置の構成を示す説明図である。
【図3】図2で示した各手段および各DBの動作の流れを示す説明図である。
【図4】図2〜3で示した基本定義DBの記録内容を示す表である。
【図5】図2〜3で示した全体ログDBの記録内容を示す表である。
【図6】図5で示した操作種類および操作内容の種類および関連について説明する表である。
【図7】図3で示した定常操作定義手段が全体ログDBに対して行う操作について示すフローチャートである。
【図8】図2〜3で示した定常操作DBの記録内容を示す表である。
【図9】図3で示した現状操作定義手段および操作比較手段が行う操作について示すフローチャートである。
【図10】図2〜3で示した現状操作DBの記録内容を示す表である。
【図11】図2〜3で示したブラックリスト・ホワイトリストDBの記録内容を示す表である。
【図12】図3で示した操作比較手段、アラーム通知手段およびフィードバック情報入力手段が行う操作を示すフローチャートである。
【図13】図2〜3で示した判断ルールDBの記録内容を示す表である。
【図14】図2〜3で示したアラームログDBの記録内容を示す表である。
【図15】図12のステップS506〜507で、管理者端末に表示されるGUI画面の例を示す説明図である。図15(a)は初期状態のGUI画面を、図15(b)は正検知ボタンをクリックした後の状態を、図15(c)は誤検知ボタンをクリックした後の状態をそれぞれ示す。
【発明を実施するための形態】
【0014】
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1〜3に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係る異常操作検出装置10は、ネットワークに接続され、ネットワーク上でのユーザ端末12の異常な操作を検出して同一ネットワーク上の管理者端末16に通知する異常操作検出装置である。この異常操作検出装置10は、ユーザ端末12の操作内容を取得するログ収集手段101と、ログ収集手段が取得した特定のユーザ端末の短時間の操作内容を現状操作として定義する現状操作定義手段103と、通常の操作であると判断できる定常操作に該当する内容を予め記憶している定常操作データベース230と、現状操作と定常操作とから異常操作度数を求め、この異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する操作比較手段104と、操作比較手段が異常であると判断した場合に管理者端末16にその旨を通知して警報を表示させるアラーム通知手段105と、管理者端末に表示された警報に対応して管理者端末からフィードバック情報の入力を受け付けると共に、入力されたフィードバック情報に応じて差異の比較に使用する閾値を増減するフィードバック情報入力手段106とを有する。
【0015】
ここでいうフィードバック情報は、管理者端末16に表示された警報が誤検知であったか否かを表す情報である。また操作比較手段104は、定常操作データベース230に登録された操作から外れる内容の操作がなされた件数である非一致数を、定常操作データベース230に登録された操作内容の総件数で除算して異常操作度数を求める。
【0016】
そして定常操作データベース230が、ユーザ端末12を操作するユーザの属するグループごとに定常操作に該当する内容を記憶しており、操作比較手段104は、グループごとに現状操作と定常操作との差異を比較して異常であるか否かを判断する。
【0017】
異常操作検出装置10はさらに、ログ収集手段101が取得した過去の一定期間の操作内容から定常操作データベース230を作成する定常操作定義手段102が、ログ収集手段101に併設されている。そして、操作比較手段104が現状操作と定常操作との差異の比較に利用しない操作内容を記憶するホワイトリストテーブル252と、現状操作の中に1回でも検出されれば操作比較手段104が異常であると判断する操作内容を記憶するブラックリストテーブル251とを含むブラックリスト・ホワイトリストデータベース250が、操作比較手段104に併設されている。
【0018】
以上の構成を備えることにより、異常操作検出装置10はパラメータの煩雑な調整を必要とせずに誤検出を低減することができる。
以下、これをより詳細に説明する。
【0019】
図1は、本発明の実施形態に係る異常操作検出装置10の構成を示す説明図である。異常操作検出装置10は、ネットワーク11に接続されており、ユーザ端末12のネットワーク11上での動作、たとえばインターネット13を介して行うウェブサーバなどのような外部コンピュータ14に対する操作、あるいは業務システムサーバ15などに接続して行う動作を検出して、この動作が異常である場合にその旨を管理者端末16に通知する。
【0020】
図2は、図1で示した異常操作検出装置10の構成を示す説明図である。異常操作検出装置10は、一般的なコンピュータ装置であり、コンピュータプログラムを実行する主体であるCPU(Central Processing Unit)21と、CPU21が実行するコンピュータプログラムおよび処理する対象であるデータが記憶されているHDD(Hard Disk Drive)22と、CPU21がHDD22から読み込んだプログラムおよびデータが一時的に記憶されるRAM(Random Access Memory)23と、ネットワーク11を介して他のコンピュータ(ユーザ端末12、管理者端末16など)と通信を行うNIC(Network Interface Card)24とを備える。
【0021】
CPU21では、ログ収集手段101、定常操作定義手段102、現状操作定義手段103、操作比較手段104、アラーム通知手段105、フィードバック情報入力手段106といった各手段が、コンピュータプログラムとしてHDD22から読み出されてRAM23上に記憶され、実行される。これらの各機能部の動作については後述する。
【0022】
また、HDD22には基本定義DB(データベース)210、全体ログDB220、定常操作DB230、現状操作DB240、ブラックリスト・ホワイトリストDB250、判断ルールDB260、アラームログDB270といった各データベースが記憶されている。これらについても後述する。
【0023】
図3は、図2で示した各手段および各DBの動作の流れを示す説明図である。ユーザ端末12および管理者端末16は、異常操作検出装置10内部で動作するコンピュータプログラムやデータベースではないが、動作の流れをわかりやすく示すためにこの図3の中に含めて記載する。
【0024】
ログ収集手段101は、ユーザがユーザ端末12で行った操作内容を取得する。この操作内容の取得については、任意の公知技術を利用することができる。定常操作定義手段102は、グループ内で共通して通常の操作と判断することができる操作内容を「定常操作」として定義する。現状操作定義手段103は、ログ収集手段101で取得したユーザの操作内容を、特定のユーザが短時間に行った操作である「現状操作」として定義する。操作比較手段104は、定義された定常操作と現状操作とを比較して、差異が大きい場合に異常であると判断する。アラーム通知手段105は、操作比較手段104が異常であると判断した場合に、管理者端末16にその旨を通知して表示させる。
【0025】
管理者は、管理者端末16に表示された異常に対してフィードバック入力を行う。このフィードバック入力は、表示された異常が正しいアラームであるか、それとも誤検知であるかについての入力である。フィードバック情報入力手段106は、このフィードバック入力を受けて、各手段およびDBに対して、定常操作と現状操作との比較で異常であると判断する基準である閾値の調整を行う。
【0026】
図4は、図2〜3で示した基本定義DB210の記録内容を示す表である。基本定義DB210は、システム管理者によって、次に説明する内容が予め記憶されている。基本定義DB210は、個人識別テーブル211、操作種類テーブル212、グループテーブル213、ユーザテーブル214を含む。
【0027】
個人識別テーブル211は、各ユーザを特定することが可能な個人識別キー種別211aを記憶する。個人識別キー種別211aは、具体的にはたとえばIPアドレス、マシン名、OSユーザ名等である。図4では、個人識別キー種別211aを「IPアドレス」として記載している。
【0028】
操作種類テーブル212は、ログ収集手段101で取得可能なユーザの操作種類212aを記憶する。操作種類212aは、具体的にはたとえばWebアクセス、ファイルアクセス、DBアクセス、起動アプリケーション、OSログイン、Webシステムログイン、DBログイン、アプリケーションログイン等である。
【0029】
グループテーブル213は、各ユーザを分類したグループ名213aと、そのグループに属するユーザのユーザID213bとを記憶する。ユーザテーブル214は、各ユーザのユーザID214a(グループテーブル213のユーザID213bに対応する)と、そのユーザの個人情報である氏名214b、電話番号214c、使用するユーザ端末のIPアドレス214dとを記憶する。前述の個人識別キー種別211aとして「IPアドレス」が記載されているので、ここではIPアドレス214dが各ユーザの個人特定可能なキーである。ユーザテーブル214は、これら以外の各ユーザの個人情報を含んでいてもよい。
【0030】
図5は、図2〜3で示した全体ログDB220の記録内容を示す表である。全体ログDB220は、ログ一覧テーブル221を含む。ログ収集手段101は、ユーザがユーザ端末12で行った操作内容から取得した情報を、このログ一覧テーブル221に記録する。
【0031】
ログ一覧テーブル221は、IPアドレス221b、マシン名221c、OSユーザ名221d、タイムスタンプ(操作実行時間)221e、操作種類221f、操作内容221gなどといった情報を、その操作に対応するユーザID221aと共に記憶する。これらの情報の取得は、公知技術にて可能である。操作種類221fおよび操作内容221gの種類および関連については次で説明する。
【0032】
図6は、図5で示した操作種類221fおよび操作内容221gの種類および関連について説明する表である。操作種類221fは、具体的には、「Webアクセス」「ファイルアクセス」「DBアクセス」「起動アプリケーション」「OSログイン」「Webシステムログイン」「DBログイン」「アプリケーションログイン」などの種類がある。
【0033】
操作内容221gは、操作種類221fに対応して定義される。たとえば操作種類221fが「Webアクセス」である場合には操作内容221gは「URL」、操作種類221fが「ファイルアクセス」である場合には操作内容221gは「ファイルパス」、操作種類221fが「DBアクセス」である場合には操作内容221gは「DBインスタンス名」、操作種類221fが「起動アプリケーション」である場合には操作内容221gは「アプリケーション名」、操作種類221fが「OSログイン」である場合には操作内容221gは「OSユーザID」、操作種類221fが「Webシステムログイン」である場合には操作内容221gは「WebシステムユーザID」、操作種類221fが「DBログイン」である場合には操作内容221gは「DBユーザID」、操作種類221fが「アプリケーションログイン」である場合には操作内容221gは「アプリケーションユーザID」などのように定義される。
【0034】
ログ収集手段101は、まず個人識別キー種別211aを参照し、取得したIPアドレス221b、マシン名221c、OSユーザ名221dのうち個人識別キー種別211aに該当する内容(ここではIPアドレス214d)をユーザテーブル214から検索してユーザID214aを特定し、特定されたユーザIDをログ一覧テーブル221のユーザID221aとして、取得された各情報と共に記憶する。
【0035】
図7は、図3で示した定常操作定義手段102が全体ログDB220に対して行う操作について示すフローチャートである。定常操作定義手段102は、たとえば1日に1回程度、定期的に図7で示す処理を行う。まず、グループテーブル213で定義されたグループ名213aの中から任意の一つを選択し(ステップS301)、さらに操作種類テーブル212で定義された操作種類212aの中から任意の一つを選択し(ステップS302)、グループごと・操作種類ごとに次に示す処理を行う。
【0036】
まずグループテーブル213から、グループ名213aで表されるグループに含まれるメンバのユーザID213bを抽出する(ステップS303)。抽出されたユーザID213bを、ログ一覧テーブル221のユーザID221aから検索し、これに対応するタイムスタンプ221e、操作種類221f、操作内容221gを抽出する(ステップS304)。
【0037】
抽出された内容の中から、タイムスタンプ221eが現在から一定期間以内(たとえば1ヶ月以内など)に行われた操作を抜き出し、さらに操作内容221gが重複するものを排除する。その上で、抽出された内容を定常操作DB230に登録する(ステップS305)。以上の処理を、全ての操作種類、および全てのグループに対して行う(ステップS306〜309)。
【0038】
図8は、図2〜3で示した定常操作DB230の記録内容を示す表である。定常操作DB230は、定常操作定義手段102による図7に示した動作によってデータが記憶される定常操作履歴テーブル231を有する。上記ステップS304で抽出されたタイムスタンプ221e、操作種類221f、操作内容221gが、上記ステップS305で定常操作履歴テーブル231上に各々タイムスタンプ231a、操作種類231b、操作内容231cとして記録される。定常操作履歴テーブル231は、各ユーザの属するグループ名213aごとに別々のテーブルであってもよいし、共通していてもよい。
【0039】
図9は、図3で示した現状操作定義手段103および操作比較手段104が行う操作について示すフローチャートである。現状操作定義手段103は、たとえば1時間に1回程度、定期的に図9で示す処理を行う。現状操作定義手段103および操作比較手段104は、まずグループテーブル213で定義されたユーザID213bの中から任意の一つを選択し(ステップS401)、さらに操作種類テーブル212で定義された操作種類212aの中から任意の一つを選択し(ステップS402)、ユーザごと・操作種類ごとに次に示す処理を行う。
【0040】
まずグループテーブル213から、ユーザID213bを抽出する(ステップS403)。抽出されたユーザID213bを、ログ一覧テーブル221のユーザID221aから検索し、これに対応するタイムスタンプ221e、操作種類221f、操作内容221gを抽出する(ステップS404)。
【0041】
抽出された内容の中から、タイムスタンプ221eが現在から一定期間以内(たとえば1時間以内など)に行われた操作を抜き出し、さらに操作内容221gが重複するものを排除する。その上で、抽出された内容を現状操作DB240に登録する(ステップS405)。
【0042】
図10は、図2〜3で示した現状操作DB240の記録内容を示す表である。現状操作DB240は、現状操作定義手段103による図9に示した動作によってデータが記憶される現状操作履歴テーブル241を有する。上記ステップS404で抽出されたユーザID221a、操作種類221f、操作内容221gが、上記ステップS405で現状操作履歴テーブル241上に各々ユーザID241a、グループ241b、操作種類241c、タイムスタンプ241d、操作内容241eとして記録される。
【0043】
操作比較手段104は、ステップS405までで現状操作履歴テーブル241に記録された内容に対して、数1で示す異常操作度数x(0≦x≦1)を算出する。異常操作度数xは、各ユーザの時間毎の不審・不正な操作の度合いを示す。操作比較手段104は、異常操作度数xを数1により算出し、算出した異常操作度数をユーザおよび操作種類ごとに、後述する判断ルールDB260のユーザスコアテーブル261に登録する(図9:ステップS406)。操作比較手段104は以上の処理を、全ての操作種類、および全てのユーザに対して行う(図9:ステップS407〜410)。
【数1】
【0044】
数1の分母である「グループの操作内容の件数」は、定常操作履歴テーブル231で、あるユーザが属するグループの操作内容231cとして登録されている件数である。この件数が0の場合には、異常操作度数は算出不能となる。数1の分子である「非一致数」は、定常操作履歴テーブル231であるユーザが属するグループの操作内容231cとして登録されている内容と、現状操作履歴テーブル241でそのユーザの操作内容241eとして登録されている内容との間で、一致しないものの数である。
【0045】
図11は、図2〜3で示したブラックリスト・ホワイトリストDB250の記録内容を示す表である。ブラックリスト・ホワイトリストDB250は、後述するフィードバックの操作によって登録されるブラックリストテーブル251およびホワイトリストテーブル252を含む。ブラックリストテーブル251にはブラックリストの対象とする操作種類251aおよび操作内容251bが、ホワイトリストテーブル252にはホワイトリストの対象とする操作種類252aおよび操作内容252bが、各々記録される。
【0046】
図9のステップS406で、非一致数の算出の際には、このホワイトリストテーブル252に含まれている内容は含まない。また、このブラックリストテーブル251に記載されている内容が1回でも含まれていた場合、後述の通り即座にアラームの対象となる。
【0047】
図12は、図3で示した操作比較手段104、アラーム通知手段105およびフィードバック情報入力手段106が行う操作を示すフローチャートである。そして操作比較手段104およびアラーム通知手段105は、たとえば1日に1回程度、定期的に図9で示す処理を行う。操作比較手段104は、数2〜数4で示すアラームを検出する基準となる閾値y(0≦y≦1)を算出する(ステップS501)。
【0048】
図13は、図2〜3で示した判断ルールDB260の記録内容を示す表である。判断ルールDB260は、ユーザスコアテーブル261とグループスコアテーブル262とを含む。ユーザスコアテーブル261は、操作比較手段104によって、前述した図9のステップS406で算出された異常操作度数261dが、この異常操作度数の算出対象となったグループ261a、ユーザID261bおよび操作種類261cごとに記憶される。グループスコアテーブル262は、異常操作度数の算出対象となるグループ262aと操作種類262bごとに、閾値262cおよび後述の閾値補正値262d(z)が記憶される。
【0049】
ユーザスコアテーブル261で、あるグループのある操作種類にn人のユーザが登録されており、iが自然数で1≦i≦nであるとして、i番目のユーザの異常操作度数261dをx(i)とすると、操作比較手段104はまず、数2に示すx(i)の平均値を求め、続いて数3に示すx(i)の標準偏差ρを求める。そして数4に示すx(i)の平均値に標準偏差ρと後述の閾値補正値zを加算した数値が閾値yとなる。
【数2】
【数3】
【数4】
【0050】
そして操作比較手段104は、ステップS501および数2〜数4で閾値yを算出すると、判断ルールDB260のユーザスコアテーブル261の前日分のデータを破棄して、当日分のデータに更新する(図12:ステップS502)。数2〜数4で算出された閾値yも、グループスコアテーブル262の閾値262cとして記録する。
【0051】
そして操作比較手段104は、ユーザスコアテーブル261およびグループスコアテーブル262に格納されている全てのユーザID261b、操作種類262b、異常操作度数261d、閾値262cの組に対して、異常操作度数261dと閾値262cとを比較し(図12:ステップS503)、1つでも異常操作度数261d>閾値262cとなった場合または1つでも前述のブラックリストテーブル251に登録された操作があった場合には、アラーム通知手段105にその旨を通知する(図12:ステップS504)。図12のステップS503で、異常操作度数261d>閾値262cとなったグループやブラックリストテーブル251に登録された操作が存在しない場合は、そのまま処理を終了する。
【0052】
アラーム通知手段105は、操作比較手段104からの通知を受けて、管理者端末16に対してアラームを通知する(図12:ステップS505)。これと共にアラーム通知手段105は、アラームログDB270にそのアラームの内容を記録する(図12:ステップS506)。
【0053】
図14は、図2〜3で示したアラームログDB270の記録内容を示す表である。アラームログDB270は、アラームテーブル271を含む。アラームテーブル271は、アラームの発信時刻271aと、そのアラームの対象となった操作の検知日時271b、検出対象となったユーザID271c、操作種類271dおよび操作内容271e、異常操作度数271fおよびユーザが所属するグループにおける閾値271gなどを含む。
【0054】
また、図12のステップS505で、アラーム通知手段105が管理者端末16に対してアラームを通知する具体的な方法については、たとえば電子メールの送信、ページャーや携帯電話への発呼、SNMPトラップ転送など、任意の公知手段を利用することが可能である。
【0055】
アラーム通知手段105が管理者端末16に対してアラームを通知すると、同時にフィードバック情報入力手段106が管理者端末16を介して管理者からの管理者からのフィードバックを受け付ける状態になる(図12:ステップS507)。より具体的には、フィードバック情報入力手段106が管理者端末16に対して図15に示すGUI画面600を表示する。
【0056】
図15は、図12のステップS506〜507で、管理者端末16に表示されるGUI画面600の例を示す説明図である。図15(a)は初期状態のGUI画面600について示す。GUI画面600は、ステップS505でアラーム通知手段105で通知されたアラームの対象となった操作の具体的な内容を表示し、この操作をアラームの対象とすることは適切か否かを管理者に問うダイアログ601と、このダイアログ601に対する管理者の答えを入力する正検知ボタン602と誤検知ボタン603を有する。
【0057】
図15(a)の初期状態から正検知ボタン602をクリックすると、図15(b)に示すように、この操作の内容をブラックリストテーブル251に追加するか否かを管理者に問うダイアログ604と、これに対する管理者の答えを入力するブラックリスト追加ボタン605が表示される。
【0058】
同様に、図15(a)の初期状態から誤検知ボタン603をクリックすると、図15(c)に示すように、この操作の内容をホワイトリストテーブル252に追加するか否かを管理者に問うダイアログ606と、これに対する管理者の答えを入力するホワイトリスト追加ボタン607が表示される。
【0059】
ここで、管理者が正検知ボタン602もしくは誤検知ボタン603によって、このアラームが正しい検知であったか、それとも誤検知であったかを入力する(図12:ステップS508)。正しい検知であった場合、閾値補正値zには変化はない。誤検知であった場合、フィードバック情報入力手段106は閾値補正値zの値を、閾値yが0≦y≦1を超えない範囲で増加させる。より具体的には、たとえば閾値補正値zに0.1を加算するなどである(図12:ステップS509)。この閾値は、グループスコアテーブル262の閾値補正値262dとして記憶される。
【0060】
さらにフィードバック情報入力手段106は、管理者からのブラックリスト追加ボタン605もしくはホワイトリスト追加ボタン607の入力に応じて、図11で説明したブラックリストテーブル251もしくはホワイトリストテーブル252に、ダイアログ601で表示された内容を追加する(図12:ステップS510〜511)。また、既にブラックリストテーブル251もしくはホワイトリストテーブル252に登録済みの内容と同一の内容については、二重に登録されないようにすることもできる。
【0061】
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本発明に係る異常操作検出方法は、ネットワークに接続され、ネットワーク上でのユーザ端末12の異常な操作を検出して同一ネットワーク上の管理者端末16に通知する異常操作検出方法であって、ユーザ端末の操作内容を取得し、取得された特定のユーザ端末の短時間の操作内容を現状操作として定義し(図9:ステップS401〜405)、予め定常操作データベースに記憶された通常の操作であると判断できる定常操作と現状操作とから異常操作度数を求め(図12:ステップS503)、異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断し(図12:ステップS504)、異常であると判断された場合に管理者端末にその旨を通知して警報を表示させ(図12:ステップS505)、管理者端末に表示された警報に対応して管理者端末からフィードバック情報の入力を受け付け(図12:ステップS507〜508)、入力されたフィードバック情報に応じて差異の比較に使用する閾値を増減する(図12:ステップS509)。
【0062】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行する主体である異常操作検出装置10に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
【0063】
本実施形態によれば、過去の操作履歴から定常業務(操作許可範囲)を自動定義するため、システム管理者が事前に詳細な検知ルールを策定することを必要としない。また、フィードバック情報の入力により検出精度を向上させることが可能なため、システム管理者が定期的にパラメータを調整する作業も軽減できる。即ち、本実施形態によって、ネットワークを管理する管理者の負荷を大幅に軽減することができる。
【0064】
以上で説明した例では、「非一致数」を「グループの操作内容の総件数」で除算して異常操作度数を算出した。そして閾値は、異常操作度数の平均値と標準偏差とから求めた。しかしながら、この異常操作度数および閾値の算出には、それ以外にも任意の統計学的手法を利用することができる。また、フィードバック入力に対する閾値の増減についても、閾値yが0≦y≦1の範囲から外れなければ任意の手法を利用することができる。
【0065】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【産業上の利用可能性】
【0066】
企業などの組織内の情報システムにおいて、幅広く利用することができる。
【符号の説明】
【0067】
10 異常操作検出装置
11 ネットワーク
12 ユーザ端末
13 インターネット
14 外部コンピュータ
15 業務システムサーバ
16 管理者端末
101 ログ収集手段
102 定常操作定義手段
103 現状操作定義手段
104 操作比較手段
105 アラーム通知手段
106 フィードバック情報入力手段
210 基本定義DB
211 個人識別テーブル
212 操作種類テーブル
213 グループテーブル
214 ユーザテーブル
220 全体ログDB
221 ログ一覧テーブル
230 定常操作DB
231 定常操作履歴テーブル
240 現状操作DB
241 現状操作履歴テーブル
250 ブラックリスト・ホワイトリストDB
251 ブラックリストテーブル
252 ホワイトリストテーブル
260 判断ルールDB
261 グループスコアテーブル
270 アラームログDB
271 アラームテーブル
600 GUI画面
【技術分野】
【0001】
本発明は企業などの組織内の情報システムに関し、特にそのような情報システム内でのユーザの不正行為の検出に関する。
【背景技術】
【0002】
企業などの組織内にインターネットに接続する情報システムが普及するにつれ、その情報システムの中で適正に情報を管理することが企業にとって重要なことになっている。特に、P2P(Peer to Peer)ソフトウェアの利用およびコンピュータウィルスの感染に起因する個人情報漏洩事件が企業内部においても現実に多く発生しており、そのような事件が発生した場合にはその企業にとって重大な金銭的損失と社会的信用の失墜とを招くことになる。このため、情報システムにおいては、企業内部のユーザに対しても、不正行為を的確に検出することが極めて重要になっている。
【0003】
これに関連する技術として、次の各々の特許文献がある。特許文献1には、操作履歴収集用サーバによってユーザの操作を収集して分析用サーバに転送して分析するという情報分析装置が記載されている。特許文献2には、行動管理サーバによって各クライアント端末の操作端末を監視するという行動管理システムが記載されている。
【0004】
特許文献3には、ユーザのファイルに対する操作を監視して不正を検出するという不正操作管理装置が記載されている。特許文献4には、同一グループのユーザの操作ログから操作モデルを作成し、この操作モデルから逸脱したユーザの操作を検出可能であるというログ分析システムが記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2004−005231号公報
【特許文献2】特開2005−332345号公報
【特許文献3】特開2008−191857号公報
【特許文献4】特開2008−192091号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1〜4に記載の技術はいずれも、企業内部のユーザによる不正行為を検出しようとするものであるが、いずれの場合も、不正行為を的確に検出するには専門家による所属部門・職位・業務内容に応じた詳細なセキュリティポリシー策定と、人手による詳細なチェック作業とが必要となる。特に検出の基準となる閾値などの各種パラメータの調整は、定期的に行う必要がある。これらの作業は、いずれも非常に煩雑で、かつ高度の熟練を要する作業である。特に誤検出が生じた場合には、緊急にこのパラメータの調整をしなければならない。
【0007】
特許文献4記載の技術では、同一グループのユーザの操作ログから操作モデルを生成しているが、このパラメータの調整にかかる手間を軽減できる構成は特に記載されていない。特許文献1〜3についても同様である。
【0008】
本発明の目的は、パラメータの調整にかかる手間を軽減して、企業内部のユーザによる不正行為を的確に検出できる異常操作検出装置、異常操作検出方法、および異常操作検出プログラムを提供することにある。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明に係る異常操作検出装置は、ネットワークに接続され、ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出装置であって、ユーザ端末の操作内容を取得するログ収集手段と、ログ収集手段が取得した特定のユーザ端末の短時間の操作内容を現状操作として定義する現状操作定義手段と、通常の操作であると判断できる定常操作に該当する内容を予め記憶している定常操作データベースと、現状操作と定常操作とから異常操作度数を求め、この異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する操作比較手段と、操作比較手段が異常であると判断した場合に管理者端末にその旨を通知して警報を表示させるアラーム通知手段と、管理者端末に表示された警報に対応して管理者端末からフィードバック情報の入力を受け付けると共に、入力されたフィードバック情報に応じて差異の比較に使用する閾値を増減するフィードバック情報入力手段とを有することを特徴とする。
【0010】
上記目的を達成するため、本発明に係る異常操作検出方法は、ネットワークに接続され、ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出方法であって、ユーザ端末の操作内容を取得し、取得された特定のユーザ端末の短時間の操作内容を現状操作として定義し、予め定常操作データベースに記憶された通常の操作であると判断できる定常操作と現状操作とから異常操作度数を求め、異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断し、異常であると判断された場合に管理者端末にその旨を通知して警報を表示させ、管理者端末に表示された警報に対応して管理者端末からフィードバック情報の入力を受け付け、入力されたフィードバック情報に応じて差異の比較に使用する閾値を増減することを特徴とする。
【0011】
上記目的を達成するため、本発明に係る異常操作検出プログラムは、ネットワークに接続され、ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出プログラムであって、ネットワークが備えているコンピュータに、ユーザ端末の操作内容を取得する手順と、取得された特定のユーザ端末の短時間の操作内容を現状操作として定義する手順と、予め定常操作データベースに記憶された通常の操作であると判断できる定常操作と現状操作とから異常操作度数を求める手順と、異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する手順と、異常であると判断された場合に管理者端末にその旨を通知して警報を表示させる手順と、管理者端末に表示された警報に対応して管理者端末からフィードバック情報の入力を受け付ける手順と、入力されたフィードバック情報に応じて差異の比較に使用する閾値を増減する手順とを実行させることを特徴とする。
【発明の効果】
【0012】
本発明は、上述したように、異常であると判断された操作に対して管理者にフィードバック情報を入力させ、そのフィードバック情報に応じて閾値を増減するように構成したので、パラメータの煩雑な調整を必要とせずに誤検出を低減できる。これによって、企業内部のユーザによる不正行為を的確に検出できるという、優れた特徴を持つ異常操作検出装置、異常操作検出方法、および異常操作検出プログラムを提供することができる。
【図面の簡単な説明】
【0013】
【図1】本発明の実施形態に係る異常操作検出装置の構成を示す説明図である。
【図2】図1で示した異常操作検出装置の構成を示す説明図である。
【図3】図2で示した各手段および各DBの動作の流れを示す説明図である。
【図4】図2〜3で示した基本定義DBの記録内容を示す表である。
【図5】図2〜3で示した全体ログDBの記録内容を示す表である。
【図6】図5で示した操作種類および操作内容の種類および関連について説明する表である。
【図7】図3で示した定常操作定義手段が全体ログDBに対して行う操作について示すフローチャートである。
【図8】図2〜3で示した定常操作DBの記録内容を示す表である。
【図9】図3で示した現状操作定義手段および操作比較手段が行う操作について示すフローチャートである。
【図10】図2〜3で示した現状操作DBの記録内容を示す表である。
【図11】図2〜3で示したブラックリスト・ホワイトリストDBの記録内容を示す表である。
【図12】図3で示した操作比較手段、アラーム通知手段およびフィードバック情報入力手段が行う操作を示すフローチャートである。
【図13】図2〜3で示した判断ルールDBの記録内容を示す表である。
【図14】図2〜3で示したアラームログDBの記録内容を示す表である。
【図15】図12のステップS506〜507で、管理者端末に表示されるGUI画面の例を示す説明図である。図15(a)は初期状態のGUI画面を、図15(b)は正検知ボタンをクリックした後の状態を、図15(c)は誤検知ボタンをクリックした後の状態をそれぞれ示す。
【発明を実施するための形態】
【0014】
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1〜3に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係る異常操作検出装置10は、ネットワークに接続され、ネットワーク上でのユーザ端末12の異常な操作を検出して同一ネットワーク上の管理者端末16に通知する異常操作検出装置である。この異常操作検出装置10は、ユーザ端末12の操作内容を取得するログ収集手段101と、ログ収集手段が取得した特定のユーザ端末の短時間の操作内容を現状操作として定義する現状操作定義手段103と、通常の操作であると判断できる定常操作に該当する内容を予め記憶している定常操作データベース230と、現状操作と定常操作とから異常操作度数を求め、この異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する操作比較手段104と、操作比較手段が異常であると判断した場合に管理者端末16にその旨を通知して警報を表示させるアラーム通知手段105と、管理者端末に表示された警報に対応して管理者端末からフィードバック情報の入力を受け付けると共に、入力されたフィードバック情報に応じて差異の比較に使用する閾値を増減するフィードバック情報入力手段106とを有する。
【0015】
ここでいうフィードバック情報は、管理者端末16に表示された警報が誤検知であったか否かを表す情報である。また操作比較手段104は、定常操作データベース230に登録された操作から外れる内容の操作がなされた件数である非一致数を、定常操作データベース230に登録された操作内容の総件数で除算して異常操作度数を求める。
【0016】
そして定常操作データベース230が、ユーザ端末12を操作するユーザの属するグループごとに定常操作に該当する内容を記憶しており、操作比較手段104は、グループごとに現状操作と定常操作との差異を比較して異常であるか否かを判断する。
【0017】
異常操作検出装置10はさらに、ログ収集手段101が取得した過去の一定期間の操作内容から定常操作データベース230を作成する定常操作定義手段102が、ログ収集手段101に併設されている。そして、操作比較手段104が現状操作と定常操作との差異の比較に利用しない操作内容を記憶するホワイトリストテーブル252と、現状操作の中に1回でも検出されれば操作比較手段104が異常であると判断する操作内容を記憶するブラックリストテーブル251とを含むブラックリスト・ホワイトリストデータベース250が、操作比較手段104に併設されている。
【0018】
以上の構成を備えることにより、異常操作検出装置10はパラメータの煩雑な調整を必要とせずに誤検出を低減することができる。
以下、これをより詳細に説明する。
【0019】
図1は、本発明の実施形態に係る異常操作検出装置10の構成を示す説明図である。異常操作検出装置10は、ネットワーク11に接続されており、ユーザ端末12のネットワーク11上での動作、たとえばインターネット13を介して行うウェブサーバなどのような外部コンピュータ14に対する操作、あるいは業務システムサーバ15などに接続して行う動作を検出して、この動作が異常である場合にその旨を管理者端末16に通知する。
【0020】
図2は、図1で示した異常操作検出装置10の構成を示す説明図である。異常操作検出装置10は、一般的なコンピュータ装置であり、コンピュータプログラムを実行する主体であるCPU(Central Processing Unit)21と、CPU21が実行するコンピュータプログラムおよび処理する対象であるデータが記憶されているHDD(Hard Disk Drive)22と、CPU21がHDD22から読み込んだプログラムおよびデータが一時的に記憶されるRAM(Random Access Memory)23と、ネットワーク11を介して他のコンピュータ(ユーザ端末12、管理者端末16など)と通信を行うNIC(Network Interface Card)24とを備える。
【0021】
CPU21では、ログ収集手段101、定常操作定義手段102、現状操作定義手段103、操作比較手段104、アラーム通知手段105、フィードバック情報入力手段106といった各手段が、コンピュータプログラムとしてHDD22から読み出されてRAM23上に記憶され、実行される。これらの各機能部の動作については後述する。
【0022】
また、HDD22には基本定義DB(データベース)210、全体ログDB220、定常操作DB230、現状操作DB240、ブラックリスト・ホワイトリストDB250、判断ルールDB260、アラームログDB270といった各データベースが記憶されている。これらについても後述する。
【0023】
図3は、図2で示した各手段および各DBの動作の流れを示す説明図である。ユーザ端末12および管理者端末16は、異常操作検出装置10内部で動作するコンピュータプログラムやデータベースではないが、動作の流れをわかりやすく示すためにこの図3の中に含めて記載する。
【0024】
ログ収集手段101は、ユーザがユーザ端末12で行った操作内容を取得する。この操作内容の取得については、任意の公知技術を利用することができる。定常操作定義手段102は、グループ内で共通して通常の操作と判断することができる操作内容を「定常操作」として定義する。現状操作定義手段103は、ログ収集手段101で取得したユーザの操作内容を、特定のユーザが短時間に行った操作である「現状操作」として定義する。操作比較手段104は、定義された定常操作と現状操作とを比較して、差異が大きい場合に異常であると判断する。アラーム通知手段105は、操作比較手段104が異常であると判断した場合に、管理者端末16にその旨を通知して表示させる。
【0025】
管理者は、管理者端末16に表示された異常に対してフィードバック入力を行う。このフィードバック入力は、表示された異常が正しいアラームであるか、それとも誤検知であるかについての入力である。フィードバック情報入力手段106は、このフィードバック入力を受けて、各手段およびDBに対して、定常操作と現状操作との比較で異常であると判断する基準である閾値の調整を行う。
【0026】
図4は、図2〜3で示した基本定義DB210の記録内容を示す表である。基本定義DB210は、システム管理者によって、次に説明する内容が予め記憶されている。基本定義DB210は、個人識別テーブル211、操作種類テーブル212、グループテーブル213、ユーザテーブル214を含む。
【0027】
個人識別テーブル211は、各ユーザを特定することが可能な個人識別キー種別211aを記憶する。個人識別キー種別211aは、具体的にはたとえばIPアドレス、マシン名、OSユーザ名等である。図4では、個人識別キー種別211aを「IPアドレス」として記載している。
【0028】
操作種類テーブル212は、ログ収集手段101で取得可能なユーザの操作種類212aを記憶する。操作種類212aは、具体的にはたとえばWebアクセス、ファイルアクセス、DBアクセス、起動アプリケーション、OSログイン、Webシステムログイン、DBログイン、アプリケーションログイン等である。
【0029】
グループテーブル213は、各ユーザを分類したグループ名213aと、そのグループに属するユーザのユーザID213bとを記憶する。ユーザテーブル214は、各ユーザのユーザID214a(グループテーブル213のユーザID213bに対応する)と、そのユーザの個人情報である氏名214b、電話番号214c、使用するユーザ端末のIPアドレス214dとを記憶する。前述の個人識別キー種別211aとして「IPアドレス」が記載されているので、ここではIPアドレス214dが各ユーザの個人特定可能なキーである。ユーザテーブル214は、これら以外の各ユーザの個人情報を含んでいてもよい。
【0030】
図5は、図2〜3で示した全体ログDB220の記録内容を示す表である。全体ログDB220は、ログ一覧テーブル221を含む。ログ収集手段101は、ユーザがユーザ端末12で行った操作内容から取得した情報を、このログ一覧テーブル221に記録する。
【0031】
ログ一覧テーブル221は、IPアドレス221b、マシン名221c、OSユーザ名221d、タイムスタンプ(操作実行時間)221e、操作種類221f、操作内容221gなどといった情報を、その操作に対応するユーザID221aと共に記憶する。これらの情報の取得は、公知技術にて可能である。操作種類221fおよび操作内容221gの種類および関連については次で説明する。
【0032】
図6は、図5で示した操作種類221fおよび操作内容221gの種類および関連について説明する表である。操作種類221fは、具体的には、「Webアクセス」「ファイルアクセス」「DBアクセス」「起動アプリケーション」「OSログイン」「Webシステムログイン」「DBログイン」「アプリケーションログイン」などの種類がある。
【0033】
操作内容221gは、操作種類221fに対応して定義される。たとえば操作種類221fが「Webアクセス」である場合には操作内容221gは「URL」、操作種類221fが「ファイルアクセス」である場合には操作内容221gは「ファイルパス」、操作種類221fが「DBアクセス」である場合には操作内容221gは「DBインスタンス名」、操作種類221fが「起動アプリケーション」である場合には操作内容221gは「アプリケーション名」、操作種類221fが「OSログイン」である場合には操作内容221gは「OSユーザID」、操作種類221fが「Webシステムログイン」である場合には操作内容221gは「WebシステムユーザID」、操作種類221fが「DBログイン」である場合には操作内容221gは「DBユーザID」、操作種類221fが「アプリケーションログイン」である場合には操作内容221gは「アプリケーションユーザID」などのように定義される。
【0034】
ログ収集手段101は、まず個人識別キー種別211aを参照し、取得したIPアドレス221b、マシン名221c、OSユーザ名221dのうち個人識別キー種別211aに該当する内容(ここではIPアドレス214d)をユーザテーブル214から検索してユーザID214aを特定し、特定されたユーザIDをログ一覧テーブル221のユーザID221aとして、取得された各情報と共に記憶する。
【0035】
図7は、図3で示した定常操作定義手段102が全体ログDB220に対して行う操作について示すフローチャートである。定常操作定義手段102は、たとえば1日に1回程度、定期的に図7で示す処理を行う。まず、グループテーブル213で定義されたグループ名213aの中から任意の一つを選択し(ステップS301)、さらに操作種類テーブル212で定義された操作種類212aの中から任意の一つを選択し(ステップS302)、グループごと・操作種類ごとに次に示す処理を行う。
【0036】
まずグループテーブル213から、グループ名213aで表されるグループに含まれるメンバのユーザID213bを抽出する(ステップS303)。抽出されたユーザID213bを、ログ一覧テーブル221のユーザID221aから検索し、これに対応するタイムスタンプ221e、操作種類221f、操作内容221gを抽出する(ステップS304)。
【0037】
抽出された内容の中から、タイムスタンプ221eが現在から一定期間以内(たとえば1ヶ月以内など)に行われた操作を抜き出し、さらに操作内容221gが重複するものを排除する。その上で、抽出された内容を定常操作DB230に登録する(ステップS305)。以上の処理を、全ての操作種類、および全てのグループに対して行う(ステップS306〜309)。
【0038】
図8は、図2〜3で示した定常操作DB230の記録内容を示す表である。定常操作DB230は、定常操作定義手段102による図7に示した動作によってデータが記憶される定常操作履歴テーブル231を有する。上記ステップS304で抽出されたタイムスタンプ221e、操作種類221f、操作内容221gが、上記ステップS305で定常操作履歴テーブル231上に各々タイムスタンプ231a、操作種類231b、操作内容231cとして記録される。定常操作履歴テーブル231は、各ユーザの属するグループ名213aごとに別々のテーブルであってもよいし、共通していてもよい。
【0039】
図9は、図3で示した現状操作定義手段103および操作比較手段104が行う操作について示すフローチャートである。現状操作定義手段103は、たとえば1時間に1回程度、定期的に図9で示す処理を行う。現状操作定義手段103および操作比較手段104は、まずグループテーブル213で定義されたユーザID213bの中から任意の一つを選択し(ステップS401)、さらに操作種類テーブル212で定義された操作種類212aの中から任意の一つを選択し(ステップS402)、ユーザごと・操作種類ごとに次に示す処理を行う。
【0040】
まずグループテーブル213から、ユーザID213bを抽出する(ステップS403)。抽出されたユーザID213bを、ログ一覧テーブル221のユーザID221aから検索し、これに対応するタイムスタンプ221e、操作種類221f、操作内容221gを抽出する(ステップS404)。
【0041】
抽出された内容の中から、タイムスタンプ221eが現在から一定期間以内(たとえば1時間以内など)に行われた操作を抜き出し、さらに操作内容221gが重複するものを排除する。その上で、抽出された内容を現状操作DB240に登録する(ステップS405)。
【0042】
図10は、図2〜3で示した現状操作DB240の記録内容を示す表である。現状操作DB240は、現状操作定義手段103による図9に示した動作によってデータが記憶される現状操作履歴テーブル241を有する。上記ステップS404で抽出されたユーザID221a、操作種類221f、操作内容221gが、上記ステップS405で現状操作履歴テーブル241上に各々ユーザID241a、グループ241b、操作種類241c、タイムスタンプ241d、操作内容241eとして記録される。
【0043】
操作比較手段104は、ステップS405までで現状操作履歴テーブル241に記録された内容に対して、数1で示す異常操作度数x(0≦x≦1)を算出する。異常操作度数xは、各ユーザの時間毎の不審・不正な操作の度合いを示す。操作比較手段104は、異常操作度数xを数1により算出し、算出した異常操作度数をユーザおよび操作種類ごとに、後述する判断ルールDB260のユーザスコアテーブル261に登録する(図9:ステップS406)。操作比較手段104は以上の処理を、全ての操作種類、および全てのユーザに対して行う(図9:ステップS407〜410)。
【数1】
【0044】
数1の分母である「グループの操作内容の件数」は、定常操作履歴テーブル231で、あるユーザが属するグループの操作内容231cとして登録されている件数である。この件数が0の場合には、異常操作度数は算出不能となる。数1の分子である「非一致数」は、定常操作履歴テーブル231であるユーザが属するグループの操作内容231cとして登録されている内容と、現状操作履歴テーブル241でそのユーザの操作内容241eとして登録されている内容との間で、一致しないものの数である。
【0045】
図11は、図2〜3で示したブラックリスト・ホワイトリストDB250の記録内容を示す表である。ブラックリスト・ホワイトリストDB250は、後述するフィードバックの操作によって登録されるブラックリストテーブル251およびホワイトリストテーブル252を含む。ブラックリストテーブル251にはブラックリストの対象とする操作種類251aおよび操作内容251bが、ホワイトリストテーブル252にはホワイトリストの対象とする操作種類252aおよび操作内容252bが、各々記録される。
【0046】
図9のステップS406で、非一致数の算出の際には、このホワイトリストテーブル252に含まれている内容は含まない。また、このブラックリストテーブル251に記載されている内容が1回でも含まれていた場合、後述の通り即座にアラームの対象となる。
【0047】
図12は、図3で示した操作比較手段104、アラーム通知手段105およびフィードバック情報入力手段106が行う操作を示すフローチャートである。そして操作比較手段104およびアラーム通知手段105は、たとえば1日に1回程度、定期的に図9で示す処理を行う。操作比較手段104は、数2〜数4で示すアラームを検出する基準となる閾値y(0≦y≦1)を算出する(ステップS501)。
【0048】
図13は、図2〜3で示した判断ルールDB260の記録内容を示す表である。判断ルールDB260は、ユーザスコアテーブル261とグループスコアテーブル262とを含む。ユーザスコアテーブル261は、操作比較手段104によって、前述した図9のステップS406で算出された異常操作度数261dが、この異常操作度数の算出対象となったグループ261a、ユーザID261bおよび操作種類261cごとに記憶される。グループスコアテーブル262は、異常操作度数の算出対象となるグループ262aと操作種類262bごとに、閾値262cおよび後述の閾値補正値262d(z)が記憶される。
【0049】
ユーザスコアテーブル261で、あるグループのある操作種類にn人のユーザが登録されており、iが自然数で1≦i≦nであるとして、i番目のユーザの異常操作度数261dをx(i)とすると、操作比較手段104はまず、数2に示すx(i)の平均値を求め、続いて数3に示すx(i)の標準偏差ρを求める。そして数4に示すx(i)の平均値に標準偏差ρと後述の閾値補正値zを加算した数値が閾値yとなる。
【数2】
【数3】
【数4】
【0050】
そして操作比較手段104は、ステップS501および数2〜数4で閾値yを算出すると、判断ルールDB260のユーザスコアテーブル261の前日分のデータを破棄して、当日分のデータに更新する(図12:ステップS502)。数2〜数4で算出された閾値yも、グループスコアテーブル262の閾値262cとして記録する。
【0051】
そして操作比較手段104は、ユーザスコアテーブル261およびグループスコアテーブル262に格納されている全てのユーザID261b、操作種類262b、異常操作度数261d、閾値262cの組に対して、異常操作度数261dと閾値262cとを比較し(図12:ステップS503)、1つでも異常操作度数261d>閾値262cとなった場合または1つでも前述のブラックリストテーブル251に登録された操作があった場合には、アラーム通知手段105にその旨を通知する(図12:ステップS504)。図12のステップS503で、異常操作度数261d>閾値262cとなったグループやブラックリストテーブル251に登録された操作が存在しない場合は、そのまま処理を終了する。
【0052】
アラーム通知手段105は、操作比較手段104からの通知を受けて、管理者端末16に対してアラームを通知する(図12:ステップS505)。これと共にアラーム通知手段105は、アラームログDB270にそのアラームの内容を記録する(図12:ステップS506)。
【0053】
図14は、図2〜3で示したアラームログDB270の記録内容を示す表である。アラームログDB270は、アラームテーブル271を含む。アラームテーブル271は、アラームの発信時刻271aと、そのアラームの対象となった操作の検知日時271b、検出対象となったユーザID271c、操作種類271dおよび操作内容271e、異常操作度数271fおよびユーザが所属するグループにおける閾値271gなどを含む。
【0054】
また、図12のステップS505で、アラーム通知手段105が管理者端末16に対してアラームを通知する具体的な方法については、たとえば電子メールの送信、ページャーや携帯電話への発呼、SNMPトラップ転送など、任意の公知手段を利用することが可能である。
【0055】
アラーム通知手段105が管理者端末16に対してアラームを通知すると、同時にフィードバック情報入力手段106が管理者端末16を介して管理者からの管理者からのフィードバックを受け付ける状態になる(図12:ステップS507)。より具体的には、フィードバック情報入力手段106が管理者端末16に対して図15に示すGUI画面600を表示する。
【0056】
図15は、図12のステップS506〜507で、管理者端末16に表示されるGUI画面600の例を示す説明図である。図15(a)は初期状態のGUI画面600について示す。GUI画面600は、ステップS505でアラーム通知手段105で通知されたアラームの対象となった操作の具体的な内容を表示し、この操作をアラームの対象とすることは適切か否かを管理者に問うダイアログ601と、このダイアログ601に対する管理者の答えを入力する正検知ボタン602と誤検知ボタン603を有する。
【0057】
図15(a)の初期状態から正検知ボタン602をクリックすると、図15(b)に示すように、この操作の内容をブラックリストテーブル251に追加するか否かを管理者に問うダイアログ604と、これに対する管理者の答えを入力するブラックリスト追加ボタン605が表示される。
【0058】
同様に、図15(a)の初期状態から誤検知ボタン603をクリックすると、図15(c)に示すように、この操作の内容をホワイトリストテーブル252に追加するか否かを管理者に問うダイアログ606と、これに対する管理者の答えを入力するホワイトリスト追加ボタン607が表示される。
【0059】
ここで、管理者が正検知ボタン602もしくは誤検知ボタン603によって、このアラームが正しい検知であったか、それとも誤検知であったかを入力する(図12:ステップS508)。正しい検知であった場合、閾値補正値zには変化はない。誤検知であった場合、フィードバック情報入力手段106は閾値補正値zの値を、閾値yが0≦y≦1を超えない範囲で増加させる。より具体的には、たとえば閾値補正値zに0.1を加算するなどである(図12:ステップS509)。この閾値は、グループスコアテーブル262の閾値補正値262dとして記憶される。
【0060】
さらにフィードバック情報入力手段106は、管理者からのブラックリスト追加ボタン605もしくはホワイトリスト追加ボタン607の入力に応じて、図11で説明したブラックリストテーブル251もしくはホワイトリストテーブル252に、ダイアログ601で表示された内容を追加する(図12:ステップS510〜511)。また、既にブラックリストテーブル251もしくはホワイトリストテーブル252に登録済みの内容と同一の内容については、二重に登録されないようにすることもできる。
【0061】
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本発明に係る異常操作検出方法は、ネットワークに接続され、ネットワーク上でのユーザ端末12の異常な操作を検出して同一ネットワーク上の管理者端末16に通知する異常操作検出方法であって、ユーザ端末の操作内容を取得し、取得された特定のユーザ端末の短時間の操作内容を現状操作として定義し(図9:ステップS401〜405)、予め定常操作データベースに記憶された通常の操作であると判断できる定常操作と現状操作とから異常操作度数を求め(図12:ステップS503)、異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断し(図12:ステップS504)、異常であると判断された場合に管理者端末にその旨を通知して警報を表示させ(図12:ステップS505)、管理者端末に表示された警報に対応して管理者端末からフィードバック情報の入力を受け付け(図12:ステップS507〜508)、入力されたフィードバック情報に応じて差異の比較に使用する閾値を増減する(図12:ステップS509)。
【0062】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行する主体である異常操作検出装置10に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
【0063】
本実施形態によれば、過去の操作履歴から定常業務(操作許可範囲)を自動定義するため、システム管理者が事前に詳細な検知ルールを策定することを必要としない。また、フィードバック情報の入力により検出精度を向上させることが可能なため、システム管理者が定期的にパラメータを調整する作業も軽減できる。即ち、本実施形態によって、ネットワークを管理する管理者の負荷を大幅に軽減することができる。
【0064】
以上で説明した例では、「非一致数」を「グループの操作内容の総件数」で除算して異常操作度数を算出した。そして閾値は、異常操作度数の平均値と標準偏差とから求めた。しかしながら、この異常操作度数および閾値の算出には、それ以外にも任意の統計学的手法を利用することができる。また、フィードバック入力に対する閾値の増減についても、閾値yが0≦y≦1の範囲から外れなければ任意の手法を利用することができる。
【0065】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【産業上の利用可能性】
【0066】
企業などの組織内の情報システムにおいて、幅広く利用することができる。
【符号の説明】
【0067】
10 異常操作検出装置
11 ネットワーク
12 ユーザ端末
13 インターネット
14 外部コンピュータ
15 業務システムサーバ
16 管理者端末
101 ログ収集手段
102 定常操作定義手段
103 現状操作定義手段
104 操作比較手段
105 アラーム通知手段
106 フィードバック情報入力手段
210 基本定義DB
211 個人識別テーブル
212 操作種類テーブル
213 グループテーブル
214 ユーザテーブル
220 全体ログDB
221 ログ一覧テーブル
230 定常操作DB
231 定常操作履歴テーブル
240 現状操作DB
241 現状操作履歴テーブル
250 ブラックリスト・ホワイトリストDB
251 ブラックリストテーブル
252 ホワイトリストテーブル
260 判断ルールDB
261 グループスコアテーブル
270 アラームログDB
271 アラームテーブル
600 GUI画面
【特許請求の範囲】
【請求項1】
ネットワークに接続され、前記ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出装置であって、
前記ユーザ端末の操作内容を取得するログ収集手段と、
前記ログ収集手段が取得した特定の前記ユーザ端末の短時間の操作内容を現状操作として定義する現状操作定義手段と、
通常の操作であると判断できる定常操作に該当する内容を予め記憶している定常操作データベースと、
前記現状操作と前記定常操作とから異常操作度数を求め、この異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する操作比較手段と、
前記操作比較手段が異常であると判断した場合に前記管理者端末にその旨を通知して警報を表示させるアラーム通知手段と、
前記管理者端末に表示された警報に対応して前記管理者端末からフィードバック情報の入力を受け付けると共に、入力された前記フィードバック情報に応じて前記差異の比較に使用する前記閾値を増減するフィードバック情報入力手段と
を有することを特徴とする異常操作検出装置。
【請求項2】
前記フィードバック情報が、前記管理者端末に表示された警報が誤検知であったか否かを表す情報であることを特徴とする、請求項1に記載の異常操作検出装置。
【請求項3】
前記操作比較手段が、前記定常操作データベースに登録された操作から外れる内容の操作がなされた件数である非一致数を、前記定常操作データベースに登録されている操作内容の総件数で除算して前記異常操作度数を求めることを特徴とする、請求項1に記載の異常操作検出装置。
【請求項4】
前記定常操作データベースが、前記ユーザ端末を操作するユーザの属するグループごとに前記定常操作に該当する内容を記憶しており、
前記操作比較手段は、前記グループごとに前記現状操作と前記定常操作との差異を比較して異常であるか否かを判断することを特徴とする、請求項1に記載の異常操作検出装置。
【請求項5】
前記ログ収集手段が取得した過去の一定期間の前記操作内容から前記定常操作データベースを作成する定常操作定義手段が、前記ログ収集手段に併設されていることを特徴とする、請求項1に記載の異常操作検出装置。
【請求項6】
前記操作比較手段が前記現状操作と前記定常操作との差異の比較に利用しない操作内容を記憶するホワイトリストテーブルと、前記現状操作の中に1回でも検出されれば前記操作比較手段が異常であると判断する操作内容を記憶するブラックリストテーブルとを含むブラックリスト・ホワイトリストデータベースが、前記操作比較手段に併設されていることを特徴とする、請求項1に記載の異常操作検出装置。
【請求項7】
ネットワークに接続され、前記ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出方法であって、
前記ユーザ端末の操作内容を取得し、
取得された特定の前記ユーザ端末の短時間の操作内容を現状操作として定義し、
予め定常操作データベースに記憶された通常の操作であると判断できる定常操作と前記現状操作とから異常操作度数を求め、
前記異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断し、
前記異常であると判断された場合に前記管理者端末にその旨を通知して警報を表示させ、
前記管理者端末に表示された警報に対応して前記管理者端末からフィードバック情報の入力を受け付け、
入力された前記フィードバック情報に応じて前記差異の比較に使用する閾値を増減する
ことを特徴とする異常操作検出方法。
【請求項8】
ネットワークに接続され、前記ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出プログラムであって、
前記ネットワークが備えているコンピュータに、
前記ユーザ端末の操作内容を取得する手順と、
取得された特定の前記ユーザ端末の短時間の操作内容を現状操作として定義する手順と、
予め定常操作データベースに記憶された通常の操作であると判断できる定常操作と前記現状操作とから異常操作度数を求める手順と、
前記異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する手順と、
前記異常であると判断された場合に前記管理者端末にその旨を通知して警報を表示させる手順と、
前記管理者端末に表示された警報に対応して前記管理者端末からフィードバック情報の入力を受け付ける手順と、
入力された前記フィードバック情報に応じて前記差異の比較に使用する閾値を増減する手順とを
実行させることを特徴とする異常操作検出プログラム。
【請求項1】
ネットワークに接続され、前記ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出装置であって、
前記ユーザ端末の操作内容を取得するログ収集手段と、
前記ログ収集手段が取得した特定の前記ユーザ端末の短時間の操作内容を現状操作として定義する現状操作定義手段と、
通常の操作であると判断できる定常操作に該当する内容を予め記憶している定常操作データベースと、
前記現状操作と前記定常操作とから異常操作度数を求め、この異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する操作比較手段と、
前記操作比較手段が異常であると判断した場合に前記管理者端末にその旨を通知して警報を表示させるアラーム通知手段と、
前記管理者端末に表示された警報に対応して前記管理者端末からフィードバック情報の入力を受け付けると共に、入力された前記フィードバック情報に応じて前記差異の比較に使用する前記閾値を増減するフィードバック情報入力手段と
を有することを特徴とする異常操作検出装置。
【請求項2】
前記フィードバック情報が、前記管理者端末に表示された警報が誤検知であったか否かを表す情報であることを特徴とする、請求項1に記載の異常操作検出装置。
【請求項3】
前記操作比較手段が、前記定常操作データベースに登録された操作から外れる内容の操作がなされた件数である非一致数を、前記定常操作データベースに登録されている操作内容の総件数で除算して前記異常操作度数を求めることを特徴とする、請求項1に記載の異常操作検出装置。
【請求項4】
前記定常操作データベースが、前記ユーザ端末を操作するユーザの属するグループごとに前記定常操作に該当する内容を記憶しており、
前記操作比較手段は、前記グループごとに前記現状操作と前記定常操作との差異を比較して異常であるか否かを判断することを特徴とする、請求項1に記載の異常操作検出装置。
【請求項5】
前記ログ収集手段が取得した過去の一定期間の前記操作内容から前記定常操作データベースを作成する定常操作定義手段が、前記ログ収集手段に併設されていることを特徴とする、請求項1に記載の異常操作検出装置。
【請求項6】
前記操作比較手段が前記現状操作と前記定常操作との差異の比較に利用しない操作内容を記憶するホワイトリストテーブルと、前記現状操作の中に1回でも検出されれば前記操作比較手段が異常であると判断する操作内容を記憶するブラックリストテーブルとを含むブラックリスト・ホワイトリストデータベースが、前記操作比較手段に併設されていることを特徴とする、請求項1に記載の異常操作検出装置。
【請求項7】
ネットワークに接続され、前記ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出方法であって、
前記ユーザ端末の操作内容を取得し、
取得された特定の前記ユーザ端末の短時間の操作内容を現状操作として定義し、
予め定常操作データベースに記憶された通常の操作であると判断できる定常操作と前記現状操作とから異常操作度数を求め、
前記異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断し、
前記異常であると判断された場合に前記管理者端末にその旨を通知して警報を表示させ、
前記管理者端末に表示された警報に対応して前記管理者端末からフィードバック情報の入力を受け付け、
入力された前記フィードバック情報に応じて前記差異の比較に使用する閾値を増減する
ことを特徴とする異常操作検出方法。
【請求項8】
ネットワークに接続され、前記ネットワーク上でのユーザ端末の異常な操作を検出して同一ネットワーク上の管理者端末に通知する異常操作検出プログラムであって、
前記ネットワークが備えているコンピュータに、
前記ユーザ端末の操作内容を取得する手順と、
取得された特定の前記ユーザ端末の短時間の操作内容を現状操作として定義する手順と、
予め定常操作データベースに記憶された通常の操作であると判断できる定常操作と前記現状操作とから異常操作度数を求める手順と、
前記異常操作度数が予め決められた閾値よりも大きい場合に異常であると判断する手順と、
前記異常であると判断された場合に前記管理者端末にその旨を通知して警報を表示させる手順と、
前記管理者端末に表示された警報に対応して前記管理者端末からフィードバック情報の入力を受け付ける手順と、
入力された前記フィードバック情報に応じて前記差異の比較に使用する閾値を増減する手順とを
実行させることを特徴とする異常操作検出プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2010−250502(P2010−250502A)
【公開日】平成22年11月4日(2010.11.4)
【国際特許分類】
【出願番号】特願2009−98345(P2009−98345)
【出願日】平成21年4月14日(2009.4.14)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成22年11月4日(2010.11.4)
【国際特許分類】
【出願日】平成21年4月14日(2009.4.14)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]