重要インフラへのアクセス者特定システム
【課題】旧来からあるインフラにおいて、利用者を一意に特定する処理を後付けすることが可能な重要インフラへのアクセス者特定システムを提供する。
【解決手段】複数の利用端末4の各々に対応した複数の無線ICタグリーダー22を設置し、無線ICタグ21が無線ICタグリーダー22に接近することよってICタグ管理装置3記録される利用ログと、利用者が利用端末4を使用することによって記録される重要インフラサーバ5のアクセスログを、定期的にログ管理システム6のログ収集部61が収集する。収集された2つのログは、ログ正規化部64によってアクセスログに無線ICタグ21に記録されるユーザIDを付する。これにより、アクセスログから利用者を一意に特定することができなかったシステムであっても、利用者の特定を行うことができる。
【解決手段】複数の利用端末4の各々に対応した複数の無線ICタグリーダー22を設置し、無線ICタグ21が無線ICタグリーダー22に接近することよってICタグ管理装置3記録される利用ログと、利用者が利用端末4を使用することによって記録される重要インフラサーバ5のアクセスログを、定期的にログ管理システム6のログ収集部61が収集する。収集された2つのログは、ログ正規化部64によってアクセスログに無線ICタグ21に記録されるユーザIDを付する。これにより、アクセスログから利用者を一意に特定することができなかったシステムであっても、利用者の特定を行うことができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、既存の重要インフラであって、例えばアクセス可能なIDが1つしか発行できないようなインフラに対して、利用者を一意に特定可能な拡張システムである重要インフラへのアクセス者特定システムに関する。
【背景技術】
【0002】
従来用いられるシステムでは、システムの利用やメンテナンス等に用いるための共用のログインID(以降共用IDと称呼する)を発行している場合が少なくない。この共用IDを利用者に配布することで、IDを1つ発行するのみで一元管理が可能であるため、システム管理者側にとっては都合がよいという利点があった。しかしながら、企業等における相次ぐ不正会計等を防止するために、金融商品取引法が一部改正(所謂日本版SOX法)され施行されたことを受け、各企業において、コーポレートガバナンスに対する意識を向上させざるを得なくなり、これに対応するためのインフラの整備の必要性に迫られており、従来のシステムで用いられているような共用IDによるインフラの利用は、不特定多数がシステムの利用を行い、各々の利用者がどのアプリケーションを利用したかなどの情報を得ることができなかった。
【0003】
この日本版SOX法に従いコーポレートガバナンスを確実に行うために、利用者別のIDによってログインを行い、ログイン時の認証情報を一時的に記憶し、当該認証情報に基づいてアプリケーションの利用を可能とするというようなインフラが提供されている。
【0004】
例えば、特許文献1では、クライアントで保存し、更新したログファイルをサーバにアップロードする際、セキュリティチップに記録した正規クライアントであることを示すクライアント署名データをサーバが取得し、検証プログラムによって当該署名データが正規クライアントのものであると識別できた場合のみ、当該ログファイルの保護を解除し、サーバへの更新を可能とするログ保全システムが開示されている。
【0005】
【特許文献1】特開2007−280096号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、旧来用いていたシステムを流用するためにはログイン認証処理やそれに伴う多くのアプリケーションにおいて、アカウントのセッション管理等が必要となるため、ログイン認証処理によって生成される認証情報を、その後用いられるアプリケーションに引き渡しを行い、認証情報に基づいてアプリケーションを利用可能とするというような、大幅なシステムの改修を迫られることになり、それに伴い多くの時間的・費用的なコストを必要としてしまう。
【0007】
本発明は上記課題を鑑みてなされたものであり、旧来からあるシステムのクライアントに対して新たにユーザ認証手段を設け、旧来からあるシステムとクライアントのユーザ認証手段の各々によって生成されるログファイルを突き合わせることで、システムの利用者とその操作に関する情報を記憶することができる重要インフラへのアクセス者特定システムを提供することを目的とする。
【課題を解決するための手段】
【0008】
請求項1に係る重要インフラへのアクセス者特定システムは、
アプリケーションがインストールされ、アクセスされた日時、利用端末情報、利用者ID及び前記アプリケーションが利用された内容をログとして記録するアクセスログ記録手段を備えるサーバと、該サーバにアクセスして前記アプリケーションを利用する利用端末と、からなるインフラと、
ユーザを識別するユーザ識別手段と接続し、該ユーザ識別手段によって識別されたユーザの利用ログを記録及び管理するユーザ識別情報管理装置と、
前記インフラのアクセスログ記録手段によって記録されるアクセスログと、前記ユーザ識別情報管理装置に記録される利用ログとを収集するログ収集手段と、これら2つのログに基づきインフラのアクセスログに対して何れのユーザによる動作なのかを付き合わせる(以降、本動作をログの正規化と称呼する)ためのログ正規化手段と、当該正規化が行われたログを記録する正規化ログ記録手段と、該正規化ログ記録手段に記録された正規化ログを分析し不正・異常ログを検出すると共に所定の異常検知動作を行うログ分析/通報手段と、を有するログ管理システムと、を備え、
前記インフラに記録されるアクセスログと、前記ユーザ識別手段を介して前記ユーザ識別情報管理装置に記録される利用ログと関連付けを行うことで、前記利用端末を介して前記インフラを利用中のユーザを一意に特定可能なことを特徴とする。
【0009】
請求項1の構成によれば、ユーザ識別手段によって何れの利用者によって利用端末を操作されたかを記録し、これをインフラによって記録されたアクセスログと付き合わせることで、アクセスログに対して旧来記録されていなかった利用者情報を付することができる。
【0010】
請求項2に係る重要インフラへのアクセス者特定システムは、請求項1記載の重要インフラへのアクセス者特定システムにおいて、前記正規化を行うための、前記利用端末と前記ユーザ識別手段との関連付け情報を管理する対応表管理手段を備えることを特徴とする。
【0011】
請求項2の構成によれば、利用端末を一意に識別するコード(例えばIPアドレス)から、対応するユーザ識別手段を特定するための対応表を作成しこれを対応表管理手段によって管理記憶する。
【0012】
請求項3に係る重要インフラへのアクセス者特定システムは、請求項1又は2記載の重要インフラへのアクセス者特定システムにおいて、分析された正規化ログを所定のルールに当てはめ、該当するルール毎によって前記所定の異常検知動作を設定するためのログ分析ポリシー管理手段を備えることを特徴とする。
【0013】
請求項3の構成によれば、正規化ログに記録される情報において、所定のルールに合致した際に、当該ルールに応じて様々な処理に振り分けを行うことができる。
【0014】
請求項4に係る重要インフラへのアクセス者特定システムは、請求項1から3の何れか1項記載の重要インフラへのアクセス者特定システムにおいて、前記ユーザ識別手段は、ユーザ別の識別IDを記録したICタグと、該ICタグを読み込むためのICタグリーダーから成ることを特徴とする。
【0015】
請求項4の構成によれば、ユーザ識別手段を、識別IDを記録したICタグ及びICタグリーダーとしたことで、ユーザは、ICタグをICタグリーダーにかざすことで、容易にインフラに対してユーザ識別情報を送信することができる。
【発明の効果】
【0016】
請求項1に係る重要インフラへのアクセス者特定システムは、
アプリケーションがインストールされ、アクセスされた日時、利用端末情報、利用者ID及び前記アプリケーションが利用された内容をログとして記録するアクセスログ記録手段を備えるサーバと、該サーバにアクセスして前記アプリケーションを利用する利用端末と、からなるインフラと、
ユーザを識別するユーザ識別手段と接続し、該ユーザ識別手段によって識別されたユーザの利用ログを記録及び管理するユーザ識別情報管理装置と、
前記インフラのアクセスログ記録手段によって記録されるアクセスログと、前記ユーザ識別情報管理装置に記録される利用ログとを収集するログ収集手段と、これら2つのログに基づきインフラのアクセスログに対して何れのユーザによる動作なのかを付き合わせる(以降、本動作をログの正規化と称呼する)ためのログ正規化手段と、当該正規化が行われたログを記録する正規化ログ記録手段と、該正規化ログ記録手段に記録された正規化ログを分析し不正・異常ログを検出すると共に所定の異常検知動作を行うログ分析/通報手段と、を有するログ管理システムと、を備え、
前記インフラに記録されるアクセスログと、前記ユーザ識別手段を介して前記ユーザ識別情報管理装置に記録される利用ログと関連付けを行うことで、前記利用端末を介して前記インフラを利用中のユーザを一意に特定可能なので、
個人認証に関わるユーザ識別手段と、ログ正規化手段、ログ分析/通報手段を後付けするのみで、既存のインフラをそのまま利用することができ、正確なユーザのインフラ利用状況をログとして残すことができ、日本版SOX法への対応も容易に行うことができる。
【0017】
請求項2に係る重要インフラへのアクセス者特定システムは、請求項1記載の重要インフラへのアクセス者特定システムにおいて、前記正規化を行うための、前記利用端末と前記ユーザ識別手段との関連付け情報を管理する対応表管理手段を備えるので、例えば複数の利用端末が設置されている場合、同数のユーザ識別手段を設置し、これを対応させた関連付け情報を管理することで、何れの利用端末をユーザが使用したとしても、ユーザ識別手段によってユーザを一意に特定することができ、更に使用した利用端末の特定を行うことができる。
【0018】
請求項3に係る重要インフラへのアクセス者特定システムは、請求項1又は2記載の重要インフラへのアクセス者特定システムにおいて、分析された正規化ログを所定のルールに当てはめ、該当するルール毎によって前記所定の異常検知動作を設定するためのログ分析ポリシー管理手段を備えるので、正規化ログの内容に応じて異常検知動作を柔軟に設定することができる。
【0019】
請求項4に係る重要インフラへのアクセス者特定システムは、請求項1から3の何れか1項記載の重要インフラへのアクセス者特定システムにおいて、前記ユーザ識別手段は、ユーザ別の識別IDを記録したICタグと、該ICタグを読み込むためのICタグリーダーから成るので、ICタグをICタグリーダーにかざすだけでユーザ認証を行うことができ、利便性が向上する。
【発明を実施するための最良の形態】
【0020】
以下、本発明を実施するための最良の形態としての実施例を図1から図10を参照して説明する。もちろん、本発明は、その発明の趣旨に反さない範囲で、実施例において説明した以外のものに対しても容易に適用可能なことは説明を要するまでもない。
【0021】
本実施例における重要インフラへのアクセス者特定システムの構成について、図1に基づいて説明する。1は重要インフラへのアクセス者特定システムである。2はユーザ識別手段であって、ユーザ毎に所持する無線ICタグ21と、無線ICタグリーダー22からなる。3はICタグ管理装置であり、ICタグの接近及び離間を検知し、これを利用ログとして記録する。4は重要インフラ利用端末(以下、単に利用端末と称呼する)であり、後述に重要インフラにアクセスし、重要インフラにインストールされる種々のアプリケーションを利用するための端末装置である。利用端末4は1つ乃至複数台にて構成され、無線ICタグリーダー22は利用端末4と同数設置されるものである。5は旧来から用いられている重要インフラであり、利用端末から所定のIDでログインをすることで、アプリケーションの利用が可能となる。その際、重要インフラは何れの利用端末からアクセスを受け、どのアプリケーションによってどのファイルを使用したかをアクセスログとして記録する。6は、ICタグ管理装置3に記録される利用ログ及び重要インフラサーバ5に記録されるアクセスログを収集し、重要インフラサーバにアクセスしたユーザを一意に特定するためのログ管理システムである。
【0022】
ログ管理システム6は、以下のような構成からなる。61はログ収集部であり、ICタグ管理装置3に接続して利用ログを、また重要インフラサーバ5に接続してアクセスログを収集する。62はログ正規化部であり、ログ収集部61で取得した利用ログ及びアクセスログの突合せを行い、重要インフラサーバ5のアクセスログにユーザIDを付し、重要インフラサーバ5を利用したユーザの利用状況を正規化ログ64として記憶する。利用ログ及びアクセスログの突合せは、利用端末4に対応する無線ICタグリーダー22を管理する対応表63に基づいて行われる。65は、正規化ログ64の分析結果と照合して続く動作を決定するためのログ分析ポリシーである。66は、正規化ログ64の分析をログ分析ポリシー65に従って行い、通報の必要のあるログが抽出された場合管理者にメール8等によって通報を行うログ分析/通報部である。67は、正規化ログを管理者等で視認するためのログ表示部であり、画面表示部7に映像化して表示させるためのものである。
【0023】
次に、ユーザが利用端末4を利用する際の、ユーザ認証手段2たる無線ICタグ21及び無線ICタグリーダー22の動作について、図2に基づいて説明する。利用者が重要インフラサーバ5にアクセスし、アプリケーションを利用するために、無線ICタグ21を携帯して利用端末4に接近する(S101)。接近した無線ICタグ21を検出した無線ICタグリーダー22は、無線ICタグ21に記録されるユーザIDを読み取る(S102)。無線ICタグリーダー22は、ユーザIDと、ユーザIDを読み取った時点での現在時刻をICタグ管理装置3へ送る(S103)。ICタグ管理装置3は、受信したユーザIDと現在時刻を利用ログとして記録する(S104)。その後当該無線ICタグ21が無線ICタグリーダー22から離れたことを検出した場合、即ち利用者が利用端末4の利用を終え、利用端末4から離れた場合、当該無線ICタグ21が記録していたユーザIDとその時点での現在時刻をICタグ管理装置3に送り、利用ログに記録する。
【0024】
続いて、利用端末4及び重要インフラサーバ5へのログイン認証処理について、図3に基づいて説明する。利用者は利用端末4から、重要インフラサーバにアクセスし、共有IDを用いてログインを行う(S201)。重要インフラサーバ5は、アクセス時のアクセスID、及び現在時刻、アクセス内容(例えばログイン処理の成否、利用したアプリケーションの名前や操作内容等)を逐次アクセスログに記録する。
【0025】
続いて、ログ管理システム6のログ正規化動作について、図4に基づいて説明する。ログ管理システム6のログ収集部61は、ICタグ管理装置3及び重要インフラサーバ5に定期的にアクセスし、利用ログ及びアクセスログの収集を行う(S301)。ログ正規化部62は、図6に示すような、利用端末4と無線ICタグリーダー22の各々の対応付けを管理する対応表63に基づいて利用ログとアクセスログを対応付け(正規化)し、これを正規化ログ64として記録する(302)。正規化ログ64は、ログ表示部67を介して画面表示7に表示することができ、管理者は表示された正規化ログを随時監視することができ、利用端末4の利用者を特定することができる(S303)。
【0026】
利用ログ及びアクセスログの正規化の一例を、図7〜9に基づいて説明する。図7は無線ICタグ21及び無線ICタグリーダー22によって記録される利用ログである。User01がReader01に接近した(接続)時刻と、離間した(切断)時刻が記録される。他の無線ICタグが他の無線ICタグリーダーに接近及び離間した場合も、同様に記録がなされ、無線ICタグ管理装置3に利用ログとして記録される。図8は、重要インフラサーバ5に記録されるアクセスログである。複数の利用端末4から1台を特定するためのIPアドレス、アクセスが行われた日時、アクセスID、利用者の動作の内容を示すアクセス内容が管理される。この2つのログを、ログ正規化部62によって加工が行われ、図9に示すような正規化ログ64が生成される。即ち、図6に示す対応表63に基づき、利用端末4のIPアドレスと、無線ICタグリーダー22のコードを関連付けることで、アクセスログに対して利用者を特定するためのユーザIDを付した正規化ログを作成することができる。例えば、利用ログでは図7に示すように、無線ICタグリーダーReader01は、利用者User01によって10:00〜11:00まで利用されており、Reader01は図6に示すようにIPアドレス10.x.x.1の利用端末4と対応付けられるため、図8に示すアクセスログにおけるIPアドレス10.x.x.1の利用端末4に関するもののうち、アクセス日時が10:00〜11:00のものに対して、ユーザID=User01の情報を付した正規化ログ64が生成されることとなる。
【0027】
続いて、正規化ログに基づいたログ分析/通報部66の動作について、図5に基づいて説明する。ログ分析/通報部66は図10に示すようなログ分析ポリシー65に基づいて、正規化ログ64に記録されるログを分析する(S401)。判断条件に合致するログが正規化ログに存在する場合は(S402)、ログ分析/通報部66は、当該判断条件に続く対応内容に基づいて管理者へのメール8による通報等の処理を行う(S403)。例えば、IPアドレス10.x.x.2の利用端末4に利用者User02がアクセスした場合、ログ分析/通報部66は、管理者宛に当該動作を通知する旨のeメールを自動的に送信する。これにより、不正アクセス等があった場合でも、自動的に管理者に通報を行うことができ、後の対処を迅速に行うことができる。
【0028】
以上のような構成の重要インフラへのアクセス者特定システムによれば、既存の重要インフラであり、共有ID1つで運用しているような場合においても、重要インフラサーバ5からアクセスログファイルにアクセス可能であれば重要インフラサーバ5に対して大きな改修を行わずとも、ユーザ識別手段2たるICタグ21及びICタグリーダー22及びログ管理システム6を追加することで、重要インフラサーバ5の利用履歴をユーザ単位で管理・監視することができ、日本版SOX法対応のために重要インフラサーバ5において利用するアプリケーションの大幅な改修を行わなくとも、利用者の特定を行うことができる重要インフラを実現することが可能となる。
【0029】
以上、本発明の実施例について詳述したが、本発明は、前記実施例に限定されるものではなく、本発明の要旨の範囲内で種々の変形実施が可能である。例えば、利用端末4及び重要インフラサーバ5の利用に共有IDを用いるとしたが、これに限定せず、利用者ごとにユーザIDを付与するようなインフラに本発明を適用しても何ら問題ない。また、ICタグ及びICタグリーダーを無線ICタグ及び無線ICタグリーダーとしたが、有線によるもの、もしくは他の識別手段であっても、何ら問題ない。
【図面の簡単な説明】
【0030】
【図1】本発明の実施例における、重要インフラへのアクセス者特定システムの構成を示すブロック図である。
【図2】同上、ICタグ管理装置による利用ログの記録動作を示すフローチャートである。
【図3】同上、運用管理システムの動作を示すフローチャートである。
【図4】同上、ログ収集処理監視システムの動作を示すフローチャートである。
【図5】同上、ログ収集処理監視システムの動作を示すフローチャートである。
【図6】同上、対応表の一例を示す説明図である。
【図7】同上、ICタグ管理装置に記録される利用ログの一例を示す説明図である。
【図8】同上、重要インフラサーバに記録されるアクセスログの一例を示す説明図である。
【図9】同上、ログ管理システムで生成される正規化ログの一例を示す説明図である。
【図10】同上、ログ管理システムにて管理するログ分析ポリシーの一例を示す説明図である。
【符号の説明】
【0031】
1 重要インフラへのアクセス者特定システム
2 ユーザ識別手段
21 無線ICタグ
22 無線ICタグリーダー
3 ICタグ管理装置(ユーザ識別情報管理装置)
4 重要インフラ利用端末(利用端末)
5 重要インフラサーバ(アクセスログ記録手段)
6 ログ管理システム
61 ログ収集部(ログ収集手段)
62 ログ正規化部(ログ正規化手段)
64 正規化ログ(正規化ログ記録手段)
65 ログ分析ポリシー(ログ分析ポリシー管理手段)
66 ログ分析/通報部(ログ分析/通報手段)
7 画面表示部
8 通報メール
【技術分野】
【0001】
本発明は、既存の重要インフラであって、例えばアクセス可能なIDが1つしか発行できないようなインフラに対して、利用者を一意に特定可能な拡張システムである重要インフラへのアクセス者特定システムに関する。
【背景技術】
【0002】
従来用いられるシステムでは、システムの利用やメンテナンス等に用いるための共用のログインID(以降共用IDと称呼する)を発行している場合が少なくない。この共用IDを利用者に配布することで、IDを1つ発行するのみで一元管理が可能であるため、システム管理者側にとっては都合がよいという利点があった。しかしながら、企業等における相次ぐ不正会計等を防止するために、金融商品取引法が一部改正(所謂日本版SOX法)され施行されたことを受け、各企業において、コーポレートガバナンスに対する意識を向上させざるを得なくなり、これに対応するためのインフラの整備の必要性に迫られており、従来のシステムで用いられているような共用IDによるインフラの利用は、不特定多数がシステムの利用を行い、各々の利用者がどのアプリケーションを利用したかなどの情報を得ることができなかった。
【0003】
この日本版SOX法に従いコーポレートガバナンスを確実に行うために、利用者別のIDによってログインを行い、ログイン時の認証情報を一時的に記憶し、当該認証情報に基づいてアプリケーションの利用を可能とするというようなインフラが提供されている。
【0004】
例えば、特許文献1では、クライアントで保存し、更新したログファイルをサーバにアップロードする際、セキュリティチップに記録した正規クライアントであることを示すクライアント署名データをサーバが取得し、検証プログラムによって当該署名データが正規クライアントのものであると識別できた場合のみ、当該ログファイルの保護を解除し、サーバへの更新を可能とするログ保全システムが開示されている。
【0005】
【特許文献1】特開2007−280096号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、旧来用いていたシステムを流用するためにはログイン認証処理やそれに伴う多くのアプリケーションにおいて、アカウントのセッション管理等が必要となるため、ログイン認証処理によって生成される認証情報を、その後用いられるアプリケーションに引き渡しを行い、認証情報に基づいてアプリケーションを利用可能とするというような、大幅なシステムの改修を迫られることになり、それに伴い多くの時間的・費用的なコストを必要としてしまう。
【0007】
本発明は上記課題を鑑みてなされたものであり、旧来からあるシステムのクライアントに対して新たにユーザ認証手段を設け、旧来からあるシステムとクライアントのユーザ認証手段の各々によって生成されるログファイルを突き合わせることで、システムの利用者とその操作に関する情報を記憶することができる重要インフラへのアクセス者特定システムを提供することを目的とする。
【課題を解決するための手段】
【0008】
請求項1に係る重要インフラへのアクセス者特定システムは、
アプリケーションがインストールされ、アクセスされた日時、利用端末情報、利用者ID及び前記アプリケーションが利用された内容をログとして記録するアクセスログ記録手段を備えるサーバと、該サーバにアクセスして前記アプリケーションを利用する利用端末と、からなるインフラと、
ユーザを識別するユーザ識別手段と接続し、該ユーザ識別手段によって識別されたユーザの利用ログを記録及び管理するユーザ識別情報管理装置と、
前記インフラのアクセスログ記録手段によって記録されるアクセスログと、前記ユーザ識別情報管理装置に記録される利用ログとを収集するログ収集手段と、これら2つのログに基づきインフラのアクセスログに対して何れのユーザによる動作なのかを付き合わせる(以降、本動作をログの正規化と称呼する)ためのログ正規化手段と、当該正規化が行われたログを記録する正規化ログ記録手段と、該正規化ログ記録手段に記録された正規化ログを分析し不正・異常ログを検出すると共に所定の異常検知動作を行うログ分析/通報手段と、を有するログ管理システムと、を備え、
前記インフラに記録されるアクセスログと、前記ユーザ識別手段を介して前記ユーザ識別情報管理装置に記録される利用ログと関連付けを行うことで、前記利用端末を介して前記インフラを利用中のユーザを一意に特定可能なことを特徴とする。
【0009】
請求項1の構成によれば、ユーザ識別手段によって何れの利用者によって利用端末を操作されたかを記録し、これをインフラによって記録されたアクセスログと付き合わせることで、アクセスログに対して旧来記録されていなかった利用者情報を付することができる。
【0010】
請求項2に係る重要インフラへのアクセス者特定システムは、請求項1記載の重要インフラへのアクセス者特定システムにおいて、前記正規化を行うための、前記利用端末と前記ユーザ識別手段との関連付け情報を管理する対応表管理手段を備えることを特徴とする。
【0011】
請求項2の構成によれば、利用端末を一意に識別するコード(例えばIPアドレス)から、対応するユーザ識別手段を特定するための対応表を作成しこれを対応表管理手段によって管理記憶する。
【0012】
請求項3に係る重要インフラへのアクセス者特定システムは、請求項1又は2記載の重要インフラへのアクセス者特定システムにおいて、分析された正規化ログを所定のルールに当てはめ、該当するルール毎によって前記所定の異常検知動作を設定するためのログ分析ポリシー管理手段を備えることを特徴とする。
【0013】
請求項3の構成によれば、正規化ログに記録される情報において、所定のルールに合致した際に、当該ルールに応じて様々な処理に振り分けを行うことができる。
【0014】
請求項4に係る重要インフラへのアクセス者特定システムは、請求項1から3の何れか1項記載の重要インフラへのアクセス者特定システムにおいて、前記ユーザ識別手段は、ユーザ別の識別IDを記録したICタグと、該ICタグを読み込むためのICタグリーダーから成ることを特徴とする。
【0015】
請求項4の構成によれば、ユーザ識別手段を、識別IDを記録したICタグ及びICタグリーダーとしたことで、ユーザは、ICタグをICタグリーダーにかざすことで、容易にインフラに対してユーザ識別情報を送信することができる。
【発明の効果】
【0016】
請求項1に係る重要インフラへのアクセス者特定システムは、
アプリケーションがインストールされ、アクセスされた日時、利用端末情報、利用者ID及び前記アプリケーションが利用された内容をログとして記録するアクセスログ記録手段を備えるサーバと、該サーバにアクセスして前記アプリケーションを利用する利用端末と、からなるインフラと、
ユーザを識別するユーザ識別手段と接続し、該ユーザ識別手段によって識別されたユーザの利用ログを記録及び管理するユーザ識別情報管理装置と、
前記インフラのアクセスログ記録手段によって記録されるアクセスログと、前記ユーザ識別情報管理装置に記録される利用ログとを収集するログ収集手段と、これら2つのログに基づきインフラのアクセスログに対して何れのユーザによる動作なのかを付き合わせる(以降、本動作をログの正規化と称呼する)ためのログ正規化手段と、当該正規化が行われたログを記録する正規化ログ記録手段と、該正規化ログ記録手段に記録された正規化ログを分析し不正・異常ログを検出すると共に所定の異常検知動作を行うログ分析/通報手段と、を有するログ管理システムと、を備え、
前記インフラに記録されるアクセスログと、前記ユーザ識別手段を介して前記ユーザ識別情報管理装置に記録される利用ログと関連付けを行うことで、前記利用端末を介して前記インフラを利用中のユーザを一意に特定可能なので、
個人認証に関わるユーザ識別手段と、ログ正規化手段、ログ分析/通報手段を後付けするのみで、既存のインフラをそのまま利用することができ、正確なユーザのインフラ利用状況をログとして残すことができ、日本版SOX法への対応も容易に行うことができる。
【0017】
請求項2に係る重要インフラへのアクセス者特定システムは、請求項1記載の重要インフラへのアクセス者特定システムにおいて、前記正規化を行うための、前記利用端末と前記ユーザ識別手段との関連付け情報を管理する対応表管理手段を備えるので、例えば複数の利用端末が設置されている場合、同数のユーザ識別手段を設置し、これを対応させた関連付け情報を管理することで、何れの利用端末をユーザが使用したとしても、ユーザ識別手段によってユーザを一意に特定することができ、更に使用した利用端末の特定を行うことができる。
【0018】
請求項3に係る重要インフラへのアクセス者特定システムは、請求項1又は2記載の重要インフラへのアクセス者特定システムにおいて、分析された正規化ログを所定のルールに当てはめ、該当するルール毎によって前記所定の異常検知動作を設定するためのログ分析ポリシー管理手段を備えるので、正規化ログの内容に応じて異常検知動作を柔軟に設定することができる。
【0019】
請求項4に係る重要インフラへのアクセス者特定システムは、請求項1から3の何れか1項記載の重要インフラへのアクセス者特定システムにおいて、前記ユーザ識別手段は、ユーザ別の識別IDを記録したICタグと、該ICタグを読み込むためのICタグリーダーから成るので、ICタグをICタグリーダーにかざすだけでユーザ認証を行うことができ、利便性が向上する。
【発明を実施するための最良の形態】
【0020】
以下、本発明を実施するための最良の形態としての実施例を図1から図10を参照して説明する。もちろん、本発明は、その発明の趣旨に反さない範囲で、実施例において説明した以外のものに対しても容易に適用可能なことは説明を要するまでもない。
【0021】
本実施例における重要インフラへのアクセス者特定システムの構成について、図1に基づいて説明する。1は重要インフラへのアクセス者特定システムである。2はユーザ識別手段であって、ユーザ毎に所持する無線ICタグ21と、無線ICタグリーダー22からなる。3はICタグ管理装置であり、ICタグの接近及び離間を検知し、これを利用ログとして記録する。4は重要インフラ利用端末(以下、単に利用端末と称呼する)であり、後述に重要インフラにアクセスし、重要インフラにインストールされる種々のアプリケーションを利用するための端末装置である。利用端末4は1つ乃至複数台にて構成され、無線ICタグリーダー22は利用端末4と同数設置されるものである。5は旧来から用いられている重要インフラであり、利用端末から所定のIDでログインをすることで、アプリケーションの利用が可能となる。その際、重要インフラは何れの利用端末からアクセスを受け、どのアプリケーションによってどのファイルを使用したかをアクセスログとして記録する。6は、ICタグ管理装置3に記録される利用ログ及び重要インフラサーバ5に記録されるアクセスログを収集し、重要インフラサーバにアクセスしたユーザを一意に特定するためのログ管理システムである。
【0022】
ログ管理システム6は、以下のような構成からなる。61はログ収集部であり、ICタグ管理装置3に接続して利用ログを、また重要インフラサーバ5に接続してアクセスログを収集する。62はログ正規化部であり、ログ収集部61で取得した利用ログ及びアクセスログの突合せを行い、重要インフラサーバ5のアクセスログにユーザIDを付し、重要インフラサーバ5を利用したユーザの利用状況を正規化ログ64として記憶する。利用ログ及びアクセスログの突合せは、利用端末4に対応する無線ICタグリーダー22を管理する対応表63に基づいて行われる。65は、正規化ログ64の分析結果と照合して続く動作を決定するためのログ分析ポリシーである。66は、正規化ログ64の分析をログ分析ポリシー65に従って行い、通報の必要のあるログが抽出された場合管理者にメール8等によって通報を行うログ分析/通報部である。67は、正規化ログを管理者等で視認するためのログ表示部であり、画面表示部7に映像化して表示させるためのものである。
【0023】
次に、ユーザが利用端末4を利用する際の、ユーザ認証手段2たる無線ICタグ21及び無線ICタグリーダー22の動作について、図2に基づいて説明する。利用者が重要インフラサーバ5にアクセスし、アプリケーションを利用するために、無線ICタグ21を携帯して利用端末4に接近する(S101)。接近した無線ICタグ21を検出した無線ICタグリーダー22は、無線ICタグ21に記録されるユーザIDを読み取る(S102)。無線ICタグリーダー22は、ユーザIDと、ユーザIDを読み取った時点での現在時刻をICタグ管理装置3へ送る(S103)。ICタグ管理装置3は、受信したユーザIDと現在時刻を利用ログとして記録する(S104)。その後当該無線ICタグ21が無線ICタグリーダー22から離れたことを検出した場合、即ち利用者が利用端末4の利用を終え、利用端末4から離れた場合、当該無線ICタグ21が記録していたユーザIDとその時点での現在時刻をICタグ管理装置3に送り、利用ログに記録する。
【0024】
続いて、利用端末4及び重要インフラサーバ5へのログイン認証処理について、図3に基づいて説明する。利用者は利用端末4から、重要インフラサーバにアクセスし、共有IDを用いてログインを行う(S201)。重要インフラサーバ5は、アクセス時のアクセスID、及び現在時刻、アクセス内容(例えばログイン処理の成否、利用したアプリケーションの名前や操作内容等)を逐次アクセスログに記録する。
【0025】
続いて、ログ管理システム6のログ正規化動作について、図4に基づいて説明する。ログ管理システム6のログ収集部61は、ICタグ管理装置3及び重要インフラサーバ5に定期的にアクセスし、利用ログ及びアクセスログの収集を行う(S301)。ログ正規化部62は、図6に示すような、利用端末4と無線ICタグリーダー22の各々の対応付けを管理する対応表63に基づいて利用ログとアクセスログを対応付け(正規化)し、これを正規化ログ64として記録する(302)。正規化ログ64は、ログ表示部67を介して画面表示7に表示することができ、管理者は表示された正規化ログを随時監視することができ、利用端末4の利用者を特定することができる(S303)。
【0026】
利用ログ及びアクセスログの正規化の一例を、図7〜9に基づいて説明する。図7は無線ICタグ21及び無線ICタグリーダー22によって記録される利用ログである。User01がReader01に接近した(接続)時刻と、離間した(切断)時刻が記録される。他の無線ICタグが他の無線ICタグリーダーに接近及び離間した場合も、同様に記録がなされ、無線ICタグ管理装置3に利用ログとして記録される。図8は、重要インフラサーバ5に記録されるアクセスログである。複数の利用端末4から1台を特定するためのIPアドレス、アクセスが行われた日時、アクセスID、利用者の動作の内容を示すアクセス内容が管理される。この2つのログを、ログ正規化部62によって加工が行われ、図9に示すような正規化ログ64が生成される。即ち、図6に示す対応表63に基づき、利用端末4のIPアドレスと、無線ICタグリーダー22のコードを関連付けることで、アクセスログに対して利用者を特定するためのユーザIDを付した正規化ログを作成することができる。例えば、利用ログでは図7に示すように、無線ICタグリーダーReader01は、利用者User01によって10:00〜11:00まで利用されており、Reader01は図6に示すようにIPアドレス10.x.x.1の利用端末4と対応付けられるため、図8に示すアクセスログにおけるIPアドレス10.x.x.1の利用端末4に関するもののうち、アクセス日時が10:00〜11:00のものに対して、ユーザID=User01の情報を付した正規化ログ64が生成されることとなる。
【0027】
続いて、正規化ログに基づいたログ分析/通報部66の動作について、図5に基づいて説明する。ログ分析/通報部66は図10に示すようなログ分析ポリシー65に基づいて、正規化ログ64に記録されるログを分析する(S401)。判断条件に合致するログが正規化ログに存在する場合は(S402)、ログ分析/通報部66は、当該判断条件に続く対応内容に基づいて管理者へのメール8による通報等の処理を行う(S403)。例えば、IPアドレス10.x.x.2の利用端末4に利用者User02がアクセスした場合、ログ分析/通報部66は、管理者宛に当該動作を通知する旨のeメールを自動的に送信する。これにより、不正アクセス等があった場合でも、自動的に管理者に通報を行うことができ、後の対処を迅速に行うことができる。
【0028】
以上のような構成の重要インフラへのアクセス者特定システムによれば、既存の重要インフラであり、共有ID1つで運用しているような場合においても、重要インフラサーバ5からアクセスログファイルにアクセス可能であれば重要インフラサーバ5に対して大きな改修を行わずとも、ユーザ識別手段2たるICタグ21及びICタグリーダー22及びログ管理システム6を追加することで、重要インフラサーバ5の利用履歴をユーザ単位で管理・監視することができ、日本版SOX法対応のために重要インフラサーバ5において利用するアプリケーションの大幅な改修を行わなくとも、利用者の特定を行うことができる重要インフラを実現することが可能となる。
【0029】
以上、本発明の実施例について詳述したが、本発明は、前記実施例に限定されるものではなく、本発明の要旨の範囲内で種々の変形実施が可能である。例えば、利用端末4及び重要インフラサーバ5の利用に共有IDを用いるとしたが、これに限定せず、利用者ごとにユーザIDを付与するようなインフラに本発明を適用しても何ら問題ない。また、ICタグ及びICタグリーダーを無線ICタグ及び無線ICタグリーダーとしたが、有線によるもの、もしくは他の識別手段であっても、何ら問題ない。
【図面の簡単な説明】
【0030】
【図1】本発明の実施例における、重要インフラへのアクセス者特定システムの構成を示すブロック図である。
【図2】同上、ICタグ管理装置による利用ログの記録動作を示すフローチャートである。
【図3】同上、運用管理システムの動作を示すフローチャートである。
【図4】同上、ログ収集処理監視システムの動作を示すフローチャートである。
【図5】同上、ログ収集処理監視システムの動作を示すフローチャートである。
【図6】同上、対応表の一例を示す説明図である。
【図7】同上、ICタグ管理装置に記録される利用ログの一例を示す説明図である。
【図8】同上、重要インフラサーバに記録されるアクセスログの一例を示す説明図である。
【図9】同上、ログ管理システムで生成される正規化ログの一例を示す説明図である。
【図10】同上、ログ管理システムにて管理するログ分析ポリシーの一例を示す説明図である。
【符号の説明】
【0031】
1 重要インフラへのアクセス者特定システム
2 ユーザ識別手段
21 無線ICタグ
22 無線ICタグリーダー
3 ICタグ管理装置(ユーザ識別情報管理装置)
4 重要インフラ利用端末(利用端末)
5 重要インフラサーバ(アクセスログ記録手段)
6 ログ管理システム
61 ログ収集部(ログ収集手段)
62 ログ正規化部(ログ正規化手段)
64 正規化ログ(正規化ログ記録手段)
65 ログ分析ポリシー(ログ分析ポリシー管理手段)
66 ログ分析/通報部(ログ分析/通報手段)
7 画面表示部
8 通報メール
【特許請求の範囲】
【請求項1】
アプリケーションがインストールされ、アクセスされた日時、利用端末情報、利用者ID及び前記アプリケーションが利用された内容をログとして記録するアクセスログ記録手段を備えるサーバと、該サーバにアクセスして前記アプリケーションを利用する利用端末と、からなるインフラと、
ユーザを識別するユーザ識別手段と接続し、該ユーザ識別手段によって識別されたユーザの利用ログを記録及び管理するユーザ識別情報管理装置と、
前記インフラのアクセスログ記録手段によって記録されるアクセスログと、前記ユーザ識別情報管理装置に記録される利用ログとを収集するログ収集手段と、これら2つのログに基づきインフラのアクセスログに対して何れのユーザによる動作なのかを付き合わせる(以降、本動作をログの正規化と称呼する)ためのログ正規化手段と、当該正規化が行われたログを記録する正規化ログ記録手段と、該正規化ログ記録手段に記録された正規化ログを分析し不正・異常ログを検出すると共に所定の異常検知動作を行うログ分析/通報手段と、を有するログ管理システムと、を備え、
前記インフラに記録されるアクセスログと、前記ユーザ識別手段を介して前記ユーザ識別情報管理装置に記録される利用ログと関連付けを行うことで、前記利用端末を介して前記インフラを利用中のユーザを一意に特定可能なことを特徴とする重要インフラへのアクセス者特定システム。
【請求項2】
前記正規化を行うための、前記利用端末と前記ユーザ識別手段との関連付け情報を管理する対応表管理手段を備えることを特徴とする請求項1記載の重要インフラへのアクセス者特定システム。
【請求項3】
分析された正規化ログを所定のルールに当てはめ、該当するルール毎によって前記所定の異常検知動作を設定するためのログ分析ポリシー管理手段を備えることを特徴とする請求項1又は2記載の重要インフラへのアクセス者特定システム。
【請求項4】
前記ユーザ識別手段は、ユーザ別の識別IDを記録したICタグと、該ICタグを読み込むためのICタグリーダーから成ることを特徴とする請求項1〜3の何れか1項記載の重要インフラへのアクセス者特定システム。
【請求項1】
アプリケーションがインストールされ、アクセスされた日時、利用端末情報、利用者ID及び前記アプリケーションが利用された内容をログとして記録するアクセスログ記録手段を備えるサーバと、該サーバにアクセスして前記アプリケーションを利用する利用端末と、からなるインフラと、
ユーザを識別するユーザ識別手段と接続し、該ユーザ識別手段によって識別されたユーザの利用ログを記録及び管理するユーザ識別情報管理装置と、
前記インフラのアクセスログ記録手段によって記録されるアクセスログと、前記ユーザ識別情報管理装置に記録される利用ログとを収集するログ収集手段と、これら2つのログに基づきインフラのアクセスログに対して何れのユーザによる動作なのかを付き合わせる(以降、本動作をログの正規化と称呼する)ためのログ正規化手段と、当該正規化が行われたログを記録する正規化ログ記録手段と、該正規化ログ記録手段に記録された正規化ログを分析し不正・異常ログを検出すると共に所定の異常検知動作を行うログ分析/通報手段と、を有するログ管理システムと、を備え、
前記インフラに記録されるアクセスログと、前記ユーザ識別手段を介して前記ユーザ識別情報管理装置に記録される利用ログと関連付けを行うことで、前記利用端末を介して前記インフラを利用中のユーザを一意に特定可能なことを特徴とする重要インフラへのアクセス者特定システム。
【請求項2】
前記正規化を行うための、前記利用端末と前記ユーザ識別手段との関連付け情報を管理する対応表管理手段を備えることを特徴とする請求項1記載の重要インフラへのアクセス者特定システム。
【請求項3】
分析された正規化ログを所定のルールに当てはめ、該当するルール毎によって前記所定の異常検知動作を設定するためのログ分析ポリシー管理手段を備えることを特徴とする請求項1又は2記載の重要インフラへのアクセス者特定システム。
【請求項4】
前記ユーザ識別手段は、ユーザ別の識別IDを記録したICタグと、該ICタグを読み込むためのICタグリーダーから成ることを特徴とする請求項1〜3の何れか1項記載の重要インフラへのアクセス者特定システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2010−79704(P2010−79704A)
【公開日】平成22年4月8日(2010.4.8)
【国際特許分類】
【出願番号】特願2008−248731(P2008−248731)
【出願日】平成20年9月26日(2008.9.26)
【出願人】(000233491)日立電子サービス株式会社 (394)
【Fターム(参考)】
【公開日】平成22年4月8日(2010.4.8)
【国際特許分類】
【出願日】平成20年9月26日(2008.9.26)
【出願人】(000233491)日立電子サービス株式会社 (394)
【Fターム(参考)】
[ Back to top ]